Канадський Apple може передавати дані покупців шахраям
Або ж стався витік даних у UPS – транспортного партнера Apple.
У Канаді дуже дорогі авіаперельоти порівняно зі США та Європою. Для економії канадцям доводиться користуватися послугами бюджетних компаній: Flair Airlines, Swoop Airlines, Lynx Air тощо. Вони зазвичай дешевші, ніж монополіст Air Canada, але мандрівники скаржаться на перенесення рейсів і втрату багажу.
Моя знайома з Торонто нещодавно полетіла з сім'єю до Ванкувера, щоб покататися на лижах. На жаль, багаж було втрачено, а підтримка авіакомпанії не доклала жодних зусиль для того, щоб його знайти. Але все ж історія закінчилася благополучно, тому що дівчина помістила в черевик Airtag — мініатюрний пристрій від Apple, який може протягом року без зміни батарейки передавати місце розташування. Знайома відстежила переліт лиж і просто приїхала в аеропорт на стійку видачі багажу, щоб забрати свою втрату. Причому бюджетна авіакомпанія так і не зреагувала...
Купівля на сайті Apple
Я теж вирішив підготуватися до внутрішнього авіаперельоту і замовив безпосередньо на сайті Apple 4 Airtag. Система бронювання обіцяла безкоштовну доставку 21 березня за допомогою UPS.
13 березня о 6:03 ранку я отримав текстове повідомлення на телефон про відправлення мого замовлення:
Безкоштовна доставка стала платною
Цього ж дня о 23:24 я отримав ще одне повідомлення з невідомого номера про необхідність доплати за доставку:
На перший погляд воно прийшло від UPS — адже Apple говорив, що відправить моє замовлення цією транспортною компанією. У ньому було зазначено:
- моє повне ім'я;
- індекс доставки;
- номер телефону теж був правильним, інакше я б не отримав цього повідомлення.
Збентежило кілька моментів:
- Apple обіцяв безкоштовну доставку, а тут ідеться про $2.89.
- Адреса сайту схожа на UPS, але якщо придивитися, то сайт дивний — com-delivery-payment.info, схоже на скамерів!
- Повідомлення написано англійською з помилками.
Я перейшов за посиланням із телефону, оскільки це безпечніше, ніж із комп'ютера, і там показалася наступна сторінка:
Даремна підтримка від Apple
Я вже став підозрювати, що це фішинговий сайт, який маскується під офіційний сайт UPS, і на наступній сторінці мене попросять заплатити карткою. А далі гроші з неї пропадуть, і доведеться витратити багато часу на розгляди з банком. Але все ж я вирішив зв'язатися з підтримкою Apple і уточнити, чому доставка платна. Мені було люб'язно запропоновано звернутися на підтримку UPS, що я не став робити — вже мав досвід очікування на телефоні...
Небезпечний експеримент
Я вирішив іти далі й натиснути кнопку "Continue". Я виявився не правий: у мене не одразу запитали номер картки, спочатку запросили ввести домашню адресу, телефон, email і дату народження (для доставки!). Загалом, практично всю особисту інформацію.
Звичайно, жодні додаткові посилання, які були показані для маскування під сайт UPS, не працювали.
Я на кожному кроці вводив фейкову інформацію, включно з номером картки, але сайт мене пропустив і сказав, що інвойс оплачено:
Кумедно, але наступного дня я отримав ще одне текстове повідомлення з іншого номера телефону. У ньому інший сайт UPS, але код "жертви" такий самий:
На момент написання цієї статті сайт більше не відкривається. Але посилання з першого хакерського повідомлення спрацьовує.
Другий шанс для Apple
Я ще раз зв'язався з підтримкою Apple, цього разу мене не одразу стали відправляти дзвонити в UPS, але все ж не отримав жодної допомоги:
Apple зламали!
Я твердо впевнений, що витік даних у Apple або UPS був і, можливо, є. Поясню чому:
- Оплату було здійснено з картки іншої людини, де вказано іншу адресу оплати, тобто це не витік із банку.
- Хакер знав, що була покупка в Apple, і дата атаки збіглася з датою відправлення товару.
- Шахрай знав, що доставка має бути UPS і зробив фішинговий сайт під UPS.
Висновки
На жаль, атаки хакерів стають дедалі хитромудрішими, і шахрайство розпізнати важко. Навіть технологічні гіганти вразливі, і особисті дані стають "суспільними".
Раніше ми публікували інтерв'ю з колишнім професійним шахраєм.
Алекс Павленко, засновник Immigrant.Today
