iOS 8? ??? ??? iPhone? iPad? ??? ??? ??
Apple’s mobile OS has been enhanced, but is it more secure?
Apple’s mobile OS has been enhanced, but is it more secure?
Apple’s mobile OS has been enhanced, but is it more secure?
Following reports of Apple IDs being compromised and devices being held for ransom in Australia and New Zealand, Apple issued a statement to ZDNet proclaiming that their iCloud infrastructure had not been breached. They went on to warn users to “change their Apple ID password as soon as possible and avoid using the same user name and password for multiple services.” Symantec would like to advise owners of Apple devices to keep an eye out for emails attempting to phish for Apple ID login credentials.
Going Phishing for Apple IDs
While there have been no confirmed reports as to how these Apple IDs were compromised, one possible explanation is phishing scams. Due to all the media attention this event has received, Symantec is cautioning users to be skeptical of emails claiming to be from Apple. This event presents scammers with more credibility when attempting to phish for Apple IDs, especially now that many users are concerned about the safety and security of their Apple IDs and devices.
What does an Apple ID phishing email look like?
Figure 1. Example of an Apple ID phishing email from early May
There are a number of different Apple ID phishing emails that have been in circulation in recent months. The emails adopt some of the following subject lines:
These subjects are used to trick users into opening emails, improving the odds that they may click on the links within them.
What does an Apple ID phishing page look like?
If a user clicks on a link within the phishing email, they are directed to a Web page that on the surface looks like the real My Apple ID page. However, if users check the address bar, they will see a suspicious URL for a website that is not secure (HTTPS), which should raise suspicion.
Figure 2. Example of an Apple ID phishing Web page
Once the attacker harvests the Apple ID login and password, they direct users to a second phishing page that asks for financial and personal information, such as credit card number, date of birth, and a security question.
Figure 3. Apple ID phishing page requests financial details
Once this information has been submitted, the user is directed back to the real Apple.com. However, their Apple ID along with their personal and financial details have now been compromised.
Localized phishing for Apple IDs
In addition to the English language phishing sites, we have also observed instances of Apple ID phishing sites localized for targets in other countries.
Figure 4. Apple ID phishing page localized for China
Figure 5. Apple ID phishing page localized for Italy
In addition to these localized versions, we found some Apple ID phishing sites that require a target to select his or her country to make sure they are served the correct, localized phishing page.
Figure 6. Apple ID phishing page asks users to select localized version
These countries include the United Kingdom, the United States, Canada, Italy, Germany and Other, which is just another English version of the phishing page.
Ways to Prevent Apple ID Phishing
オーストラリアやニュージーランドで、多くのユーザーの Apple ID が侵害されています。Apple サポートコミュニティやソーシャルネットワークでは、Apple 社製のデバイスがリモートからロックされ、Oleg Pliss(Oracle 社のソフトウェアエンジニア)と名乗る人物から身代金を要求されたという報告が見られます。攻撃者は、ランダムに選んだ Oleg 氏に罪を着せようとしているようです。
図 1. ロックされた iPhone の身代金要求メッセージ
Apple 社製デバイスで発生している現象
最初に寄せられた報告によると、多くの Apple ID が侵害され、それらの Apple ID を使って iPhone、iPad、Mac がロックされました。Apple ID がどのように侵害されたのか正確にはわかっていませんが、フィッシング攻撃や脆弱なパスワード、パスワードの使い回しなどが原因の可能性があります。Apple 社のサイトや iCloud にサインインするための電子メールやパスワードに関する別のデータ侵害によって Apple ID の侵害が引き起こされた可能性もあります。
攻撃者は、侵害された Apple ID を使って iCloud の「iPhone を探す」機能にアクセスできます。この機能を使うと、インターネットに接続されているデバイスの所在地を特定したり、「紛失モード」機能を有効にしたりすることができます。「紛失モード」機能を有効にすると、攻撃者は、サウンドの再生、デバイスのロック、身代金要求メッセージの表示などをリモートから実行できます。
どのような場合でも、身代金は支払わないでください。身代金を支払っても、攻撃者がデバイスのロックを解除してくれる保証はありません。
侵害された Apple ID への対処方法
デバイスがロックされたのは、Apple ID が侵害されたことが原因です。まずは Apple ID アカウントにサインインして、パスワードが勝手に変更されていないことを確認する必要があります。変更されていなかったら、すぐにパスワードを変更してアカウントを保護してください。念のため、変更した後に iCloud アカウントにサインインしてから、すべてのブラウザで iCloud からサインアウトしてください。
ロックされたデバイスへの対処方法
侵害が発生する前にデバイスにパスコードを設定していた場合には、パスコードを入力すればロックを解除できます。
しかし、パスコードを設定していなかった場合、ロックは解除されません。これは、攻撃者が「紛失モード」機能を有効にするときに、デバイスにパスコードを設定する必要があるためです。この場合は、Apple サポートに連絡してサポートを受ける必要があります。ただし、多くのユーザーからの報告によると、デバイスを復元するためには、デバイスをワイプしてバックアップから復元するしか方法がありません。
Apple ID とデバイスを保護する方法
今回の攻撃による被害を受けていない場合でも、Apple ID とデバイスを保護するために、次のセキュリティ対策を確認して実施しておくことをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Many users in Australia and New Zealand have had their Apple IDs compromised. We are seeing reports on Apple’s support community and social networks that their Apple devices are being remotely locked and held for ransom by someone claiming to be Oleg Pliss, a software engineer at Oracle, who the attackers randomly chose to pin this attack on.
Figure 1. Locked iPhone ransom message
What happened to my Apple device?
Based on initial feedback, a number of Apple IDs have been compromised and used to lock iPhones, iPads, and Macs. It remains unclear exactly how the Apple IDs were compromised, but possible explanations include phishing attempts, weak passwords, or password reuse. A separate breach involving emails and passwords used to login to Apple and iCloud could have facilitated the compromise of the Apple IDs.
Once an Apple ID is compromised, attackers can access the Find My iPhone feature in iCloud. This feature is used to locate your devices if they have an internet connection and turn on the Lost Mode feature. Once Lost Mode is turned on, the attacker can remotely play a sound, lock the device, and display a ransom message.
Whatever you do, do NOT pay the ransom. There is no guarantee that the criminals responsible will unlock your device.
How to deal with a compromised Apple ID
While your devices have been locked, the root issue is the compromise of your Apple ID. First, you should login to your Apple ID account and confirm that your password has not been changed. If it has not, you should immediately secure the account by changing your password. Once changed, make sure you login to your iCloud account and sign out of all browsers just to be safe.
How to deal with a locked device
If you had set a passcode on your device prior to the compromise, you can simply unlock it by inputting your passcode.
However, if you did not set a passcode on your device, then your phone will remain locked. This is because the attacker is required to set a passcode for your device when enabling the Lost Mode feature. In this scenario, you should call Apple support for further assistance. However, most users are reporting that the only option to recover the device is to wipe the device and restore it from a backup.
How to secure your Apple ID and devices
Even if this did not impact you directly, it is a good time to review and implement the following security measures to protect your Apple ID and devices.
A major Apple security flaw allows cybercrooks and spies to grab personal information like email, credit card numbers, and other sensitive data. Apple confirmed researchers’ findings that the same SSL/TSL security flaw fixed with the latest iOS 7.0.2 update is also present in notebook and desktop machines running OS X. Please apply the patches as advised […]
It’s easy and fast to download apps to your smartphone. They do everything from identify a song you just heard to turning your phone into a flashlight. But there are secrets beneath the fun apps. See how knowledgeable you are about the risks associated with free and paid apps for your smartphone. Answer the question, […]
日本語のワンクリック詐欺アプリが Google Play に初めて姿を現したのは今年の初めでしたが、その後ほぼ毎日のように新しい亜種が出現するなど、今ではマーケットの常連になっています。同じ詐欺グループが他のモバイルプラットフォームも狙おうとしているのかどうかが気になったため、簡単に調査を実施しました。その結果、他のプラットフォームでワンクリック詐欺は見つかりませんでしたが、Apple 社の App Store でワンクリック詐欺アプリに似た手口を使う巧妙なアプリを発見しました。
このアプリは、起動すると特定の URL にアクセスし、そこにあるコンテンツをアプリ内で表示します。アプリ自体が、詐欺サイトのフレームとして動作しているようなものです。このアプリからは偽の出会い系サービスにリンクしていますが、このようなサイトは日本語で「サクラ」と呼ばれています。アダルトビデオのサービス料金を支払うようユーザーを欺こうとするワンクリック詐欺アプリとは、この点が異なっています。
App Store では、このアプリはゲームとして紹介されていて、英語のページでは確かに出会い系サービスと関係があるようには見えません。
図 1. 英語版の App Store
一方、日本語ページの紹介文では、このアプリがアダルト関連であることが示唆されています。日本語ページでは、ユーザーが 18 歳以上でなければならず、また一定期間だけ無料でダウンロードできると説明されています。
図 2. 日本語版の App Store
アプリをインストールして起動すると、そのデザインは App Store に似ています。
図 3. ダウンロード可能なように見えるアプリ
デバイスのネットワーク接続を切断してから、もう一度このアプリを起動すると、何もコンテンツは表示されません。インターネットからダウンロードできないからです。
図 4. デバイスがネットワークに接続されていないときの表示
このアプリの中に表示されている、実際には存在しないアプリを開くと、デバイスのデフォルトブラウザで、各種の出会い系サービスサイトが表示されます。いずれもホストされているドメインは同じです。このドメインは、Android 版の同じ出会い系詐欺をホストしていることがすでに確認されている点に注目してください。
図 5. 詐欺で使われた出会い系の「サクラ」サイト
サービスに登録するとすぐに、実在しない人物から会ってみたいというメッセージがひっきりなしに届きます。実際には、出会い系サービスの運営業者が雇った人から送信されたメッセージであり、このような人々を日本では慣用的に「サクラ」と呼びます。このサイトの最終的な目的は、ユーザーを欺いて、オンラインでのやり取りを続けるためのポイントを購入させることです。ユーザーが実際にサイト上の誰かと会えるチャンスはほとんどありません。以上のことから、このタイプのサイトを日本では「サクラ」サイトと総称しています。被害者がサイトへの登録に使った電子メールアカウントには、あちこちの出会い系サービスからスパムが届くようになる恐れがあります。
この迷惑アプリは、さまざまな理由で明らかに App Store のポリシーに違反しているため、すでに App Store から削除されています。そもそも、このアプリはいったいどうやって承認されたのでしょうか。フレームとして機能するだけなので、承認プロセスの間は別のコンテンツ、おそらくはゲーム関係のコンテンツを表示していたのかもしれません。これは詐欺グループにとっては大きな商売なので、詐欺を拡散するためにさまざまな手法を駆使しています。ダウンロード元にかかわらず、アプリをダウンロードするときには警戒が必要です。
以下のビデオでは、この詐欺の仕組みを紹介しています。ただし、ビデオの撮影に使ったのは Android デバイスです。
<!– By use of this code snippet, I agree to the Brightcove Publisher T and C found at https://accounts.brightcove.com/en/terms-and-conditions .–><!– By use of this code snippet, I agree to the Brightcove Publisher T and C found at https://accounts.brightcove.com/en/terms-and-conditions .–>
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Japanese one-click fraud apps on Google Play made their debut at the beginning of the year and have now become a regular on the market as new variants appear on an almost daily basis. I was curious to see whether the scammers had attempted to target other mobile platforms, so I did some investigative work. The result of which was I didn’t find any one-click fraud on other platforms, but I did came across a dodgy app in the Apple App Store that uses a strategy that is similar to one-click fraud apps.
Once opened, the app accesses certain URLs and displays content from them within the app. The app itself pretty much acts as a frame for the fraudulent site. The particular app leads to fake dating services, called “sakura” sites in Japan, rather than one-click fraud apps that attempt to fool users into paying for an adult video service.
The app was introduced on the App Store as a game and certainly does not look like it is related to a dating service on the English page.
Figure 1. English version on the App Store
However, the introduction on the Japanese page suggests that the app may have something to do with pornography. The page also states that users need to be over 18 years of age and that the app is available for a free download for a limited time only.
Figure 2. Japanese version on the App Store
Once installed and launched, the app’s appearance resembles the App Store.
Figure 3. Supposedly downloadable apps
By turning off the network connection on the device and then reopening the app, no content is displayed in the app because it could not download it from the Internet.
Figure 4. Result of no network connection on the device
When the non-existent apps within the app are opened, the default browser on the device opens various dating service sites that are all hosted on the same domain. Interestingly, the domain has been known to host the Android version of the same dating scam as well.
Figure 5. “Sakura” dating site used in the scam
Once users sign-up for the service, they will soon be bombarded with messages from non-existent people interested in meeting them. The messages are actually sent from people hired by the operators of the dating service; this type of person is known colloquially in Japan as a “sakura.” The ultimate goal of the sites is to trick users into purchasing points to continue the online conversations. There is little chance that the users will ever be able to physically meet anyone on the site. Hence, this type of site is generally known as a “sakura” site in Japan. The email accounts the victims used to sign up to the site may also end up receiving spam from various dating services.
The offending app is clearly in violation of the App Store policy for various reasons and has been removed from the store. How could the app have been approved in the beginning? Because the app simply acts as a frame, different content, perhaps game related, could have been used during the approval process. As this is big business for the scammers, they devise various strategies to spread their scam. Users need to be vigilant wherever they may be downloading their apps from.
The following video shows how this scam works (note that an Android device was used to capture the video):
<!– By use of this code snippet, I agree to the Brightcove Publisher T and C found at https://accounts.brightcove.com/en/terms-and-conditions .–><!– By use of this code snippet, I agree to the Brightcove Publisher T and C found at https://accounts.brightcove.com/en/terms-and-conditions .–>