骗子复活iCloud存储已满骗局以窃取支付详情

执行摘要

一种死灰复燃的网络钓鱼活动正在冒充苹果公司，用欺诈性的“iCloud存储已满”警告来欺骗用户。Malwarebytes研究人员记录的这种骗局，使用高压手段匆忙让受害者在看似真实但伪造的苹果网站上输入信用卡信息和Apple ID凭证。这标志着从之前的骗局演变而来，主要寻求Apple ID密码，到现在更直接针对支付信息的金融动机攻击。

技术分析

攻击始于一封设计得看起来来自苹果的网络钓鱼电子邮件或短信，警告收件人他们的iCloud存储已满。消息声明用户必须“立即升级”，否则将失去对照片和其他数据的访问权限。消息包含一个链接，将受害者引导至一个模仿苹果官方iCloud管理界面的欺诈网站。

根据Malwarebytes的说法，这个假冒网站是合法苹果存储升级页面的复杂克隆。它提示用户使用他们的Apple ID和密码登录。在收集了凭证之后，网站进入第二个页面，要求输入信用卡信息——包括卡号、有效期、CVV和账单地址——以处理存储计划付款为幌子。整个流程旨在营造紧迫感和合法性，绕过随意审查。

支持骗局的技术基础设施是典型的网络钓鱼操作。用于假冒页面的域名通常是新注册的，并带有轻微的拼写错误或使用不同的顶级域名（例如，.com与.net）以显得真实。这些网站可能使用SSL证书来显示挂锁图标，进一步欺骗用户相信连接是安全和合法的。

入侵指标

目前没有识别出任何指标。该活动使用短暂的域名和基础设施，使得静态IOC的价值有限。用户应对任何关于iCloud存储的未经请求的消息持极度怀疑态度。

战术、技术与程序

威胁行为者采用几种关键技术：

• T1589.001: 收集受害者身份信息：Apple ID凭证：初始登录页面旨在收集苹果用户名和密码。
• T1589.002: 收集受害者身份信息：支付详情：次级表单捕获完整的信用卡信息。
• T1598.003: 网络钓鱼获取信息：鱼叉式网络钓鱼链接：该活动使用包含指向欺诈网站的链接的电子邮件和短信。
• T1608.001: 部署能力：上传恶意软件：虽然当前的骗局专注于数据盗窃，但这种基础设施可能被重新用于分发恶意软件。
• 社会工程学：主要攻击向量依赖于创造紧迫感（“升级或丢失数据”）来短路受害者的批判性思维和绕过安全意识。

威胁行为者背景

这次活动背后的特定威胁行为者尚未被识别。这种骗局与运行大规模、机会主义网络钓鱼活动的金融动机网络犯罪集团的操作一致。“iCloud存储已满”主题的重复使用和改进表明，这是一个经过验证、有效的模板，继续产生回报。没有证据将这一活动与国家支持的行为者联系起来。

缓解措施与建议

用户和组织应实施以下缓解措施：

• 不要点击未经请求的消息中的链接：手动导航到官方苹果网站（apple.com）或直接在您的设备上打开iCloud设置应用程序以检查存储状态。
• 在Apple ID上启用多因素认证（MFA）：虽然这不能防止凭证网络钓鱼，但它显著降低了如果凭证被盗取，账户被接管的风险。
• 仔细验证网站URL：在输入任何信息之前，检查地址栏中是否有微妙的拼写错误或错误的域名。
• 使用密码管理器：密码管理器不会在不匹配保存域的欺诈网站上自动填充凭证，提供技术警告。
• 报告网络钓鱼尝试：将声称来自苹果的可疑电子邮件转发至[email protected]。
• 安全意识培训：定期培训应强调网络钓鱼的标志，包括紧迫性、未经请求的联系和对敏感信息的请求。