Злоумышленники скомпрометировали сервер, используемый двумя сайтами в домене ea.com, который задействован для хостинга online-календарей.
Неизвестные злоумышленники взломали сайт Electronic Arts с целью похитить коды идентификации Apple ID. По словам Пола Маттона (Paul Mutton) из Netcraft, скомпрометированный сервер использовали два сайта в домене ea.com, который задействован для хостинга online-календарей.
Как утверждает эксперт, злоумышленники эксплуатировали уязвимость в устаревшей версии WebCalendar 1.2.0, выпущенной в 2008 году, и использовал ее в качестве вектора атаки для размещения поддельной страницы «Мой Apple ID». Предназначением последней было похищение Apple ID и паролей.
После того, как пользователь вводил свои учетные данные, ему отображалась вторая форма, требующая подтверждения полного имени, номера карты, срока окончания ее действия, защитного кода, даты рождения, номера телефона, девичьей фамилии матери и ряда других деталей. Введя информацию и нажав «Подтвердить», жертва перенаправлялась на подлинную web-страницу с Apple ID.
Стоит отметить, что учетные данные от системы Apple предоставляют доступ к весьма важной информации, хранящейся на iCloud. В частности, злоумышленники могут похитить электронную переписку, контакты, календари, а также фотографии. Кроме того, наличие Apple ID предоставляет возможность восстановления данных iPhone или iPad на собственном мобильном устройстве. Также злоумышленники могут получить доступ к любой учетной записи в соцсетях, если жертва использует для восстановления пароля icloud.com/mac.com/me.com.
Согласно заявлению представителя EA, поддельная страница, запрашивающая Apple ID, была удалена, однако пока неизвестно, как долго фишинговая кампания была активна, и скольких пользователей она затронула.
Ладно, не доказали. Но мы работаем над этим