Apple

اللدغة الأمنية: يستغل مجرمو الإنترنت إمكانية التقاط الطرف الثالث من Apple Store Online


في مؤتمر القرصنة السنوي هذا العام، Black Hat Asia، كشف فريق من الباحثين الأمنيين كيف يستخدم مجرمو الإنترنت بشكل خفي بطاقات الائتمان المسروقة وخيار “شخص آخر سيلتقطه” من متجر Apple Store عبر الإنترنت في مخطط سرق أكثر من 400 ألف دولار في عامين فقط .


يتم تقديم 9to5Mac Security Bite لك حصريًا من خلال Mosyle، منصة Apple الموحدة الوحيدة. إن جعل أجهزة Apple جاهزة للعمل وآمنة للمؤسسات هو كل ما نقوم به. يجمع نهجنا المتكامل الفريد للإدارة والأمن بين أحدث الحلول الأمنية الخاصة بشركة Apple من أجل التعزيز والامتثال المؤتمت بالكامل، والجيل القادم من EDR، وZero Trust المدعومة بالذكاء الاصطناعي، وإدارة الامتيازات الحصرية مع أقوى وأحدث Apple MDM فى السوق. والنتيجة هي منصة Apple الموحدة المؤتمتة بالكامل والتي تثق بها حاليًا أكثر من 45000 مؤسسة لجعل الملايين من أجهزة Apple جاهزة للعمل دون أي جهد وبتكلفة معقولة. اطلب تجربتك الموسعة اليوم وافهم لماذا يعتبر Mosyle كل ما تحتاجه للعمل مع Apple.


وفقًا لجيويون كيم وهيونهو تشو من معهد الأمن المالي في كوريا الجنوبية، في سبتمبر 2022، كشفت هي وزميلها عن سلسلة من الهجمات الإلكترونية ضد أكثر من 50 متجرًا شرعيًا عبر الإنترنت، مما كشف عن انتهاكات كبيرة للبيانات حدثت. ومع ذلك، وبعد مزيد من التحليل، وجدوا أن الجهات الفاعلة في مجال التهديد كانت مهتمة بأكثر من مجرد سرقة سريعة لبيانات المستخدم.

تمكن مجرمو الإنترنت من التلاعب بصفحات الدفع الخاصة بهذه المتاجر عبر الإنترنت لنقل معلومات بطاقة الائتمان والمعلومات الشخصية إلى خوادمهم، بالإضافة إلى الخوادم الشرعية، للمساعدة في عدم اكتشافهم.

“استخدمت مجموعات التهديد هذه استراتيجيات تهرب مختلفة لمنع اكتشاف صفحات التصيد الخاصة بها من قبل مسؤولي الموقع والمستخدمين، باستخدام نقاط ضعف وأدوات متعددة”، حسبما ذكر الثنائي الأمني ​​في موجز Black Hat الخاص بهما.

ومع ذلك، كانت سرقة بطاقات الائتمان مجرد جزء واحد من الخطة.

ووفقاً للدراسة، فإن إحدى الطرق الأساسية التي اتبعها مرتكبو التهديدات لجني الأموال كانت الاستفادة من سياسة “Pickup Contact” الخاصة بمتجر Apple Store عبر الإنترنت. وأوضح كيم أن “الهدف النهائي لهذه العملية كان تحقيق مكاسب مالية”.

يبدأ المخطط ببيع منتجات Apple الجديدة بأسعار “مخفضة” في متاجر السلع المستعملة عبر الإنترنت في كوريا الجنوبية. ومما يصفه البحث، يبدو أن هذه المواقع تعادل موقع Craiglist أو eBay. عندما يتوصل المشتري إلى اتفاق مع البائع، أو في هذه الحالة، جهات التهديد، يتم استخدام تفاصيل بطاقة الائتمان المسروقة سابقًا لشراء المنتج الفعلي من متجر Apple.

يوافق المشتري على المبلغ، ثم يرسل البائع (ممثل التهديد) رمز الاستجابة السريعة لاستلام المنتج من متجر Apple.
الصورة عبر Black Hat Asia/Gyuyeon Kim وHyunho Cho

وبدلاً من شحنها، قام مجرمو الإنترنت بتعيين العنصر على خيار “سوف يستلمه شخص آخر” على موقع Apple الإلكتروني. يتيح ذلك للأفراد المصرح لهم استلام الطلبات عبر الإنترنت من أحد متاجر Apple للبيع بالتجزئة من خلال تقديم بطاقة هوية حكومية تحتوي على صورة ورمز الاستجابة السريعة/رقم الطلب. سيتم تعيين المشتري من متجر السلع المستعملة باعتباره الطرف الثالث القادر على استلام المنتج الذي تم شراؤه دون قصد باستخدام بطاقة ائتمان مسروقة.

فقط بعد أن يستلم المشتري المنتج، يقوم بالدفع، على الأرجح من خلال متجر السلع المستعملة. يمكن أن يفوتك ممثل التهديد إذا لم يرسل المشتري المبلغ المتفق عليه.

على سبيل المثال، يمكن إدراج هاتف iPhone 15 جديد تمامًا بقيمة 800 دولار بسعر 700 دولار في سوق المنتجات المستعملة. سيكون السعر منخفضًا بما يكفي لجذب الاهتمام ولكنه مرتفع بما يكفي حتى لا يظهر على أنه عملية احتيال. بعد العثور على مشتري مهتم، يقوم المجرمون بشراء الجهاز باستخدام رقم بطاقة ائتمان مسروقة تم الحصول عليها من خلال عمليات التصيد الاحتيالي الخاصة بهم ويحصلون على مبلغ 700 دولار يدفعه المشتري من متجر السلع المستعملة.

يقوم ممثل التهديد بتعيين مشتري متجر السلع المستعملة باعتباره الطرف المعين لاستلام المنتج.
الصورة عبر Black Hat Asia/Gyuyeon Kim وHyunho Cho

“تم استخدام بطاقة مسروقة لدفع مبلغ 10000 دولار في أحد متاجر Apple، لكن رفض Apple التعاون بسبب اللوائح الداخلية أعاق التحقيق”، نقلاً عن العرض الذي قدمه الباحث في Black Hat Asia في حالة أكثر تطرفًا. “على الرغم من الجهود التي بذلها السيد يون للإبلاغ عن الحادث إلى كل من شركة البطاقات والشرطة على الفور، فقد أدى عدم تعاون شركة Apple إلى تأخير التحقيق لأكثر من شهر. أثار رفض شركة أبل تقديم أي معلومات، مستشهدة بسياستها الداخلية، انتقادات محلية وفي الولايات المتحدة، على الرغم من تركيز الشركة على حماية الخصوصية.

أطلق كل من غيويون كيم وهيونهو تشو على المخطط اسم “التفاحة المسمومة”، والذي يعتقدان أنه حقق 400 ألف دولار على مدى العامين الماضيين. النطاق الحالي هو كوريا الجنوبية واليابان، ولكن لا يوجد سبب يجعل المجرمين في بلدان أخرى، بما في ذلك الولايات المتحدة، يبدأون في فعل الشيء نفسه.

من يقف وراء المخطط؟

ويعتقد الباحثون أن الجناة يتمركزون في مكان ما في الصين بسبب صفحات الويب التصيدية التي يتم تسجيلها من خلال مزود خدمة الإنترنت الصيني. وبأعجوبة، أثناء البحث في منتديات الويب المظلمة، عثروا أيضًا على إشارات باللغة الصينية المبسطة لنفس عنوان البريد الإلكتروني في الكود المصدري.

اطلع على الإحاطة والعرض التقديمي الكامل لـ Black Hat هنا.

المزيد في هذه السلسلة

اتبع أرين: تويتر/Xلينكد إن , المواضيع

FTC: نحن نستخدم الروابط التابعة التلقائية لكسب الدخل. أكثر.




اكتشاف المزيد من عالم الآيفون

اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى

اكتشاف المزيد من عالم الآيفون

اشترك الآن للاستمرار في القراءة والحصول على حق الوصول إلى الأرشيف الكامل.

Continue reading

salwar porn whiteporntube.net hot girla
xvideos indian girlfriend tubzolina.mobi polar porn
hot vidios nanotube.mobi tamil play movies
nadia ali videos indianhottube.com antrwasana
www.hindimp3.com xxxhindividoes.com pussyeating
نيك كويتيات meeporn.net صور سكس متحركه جديده
pussy jet.com indianpornmms.net woman sex videos
اجمل النساء سكس pornotane.net نيك مترجم محارم
preggomilky hqtube.mobi malluaunties
zarin khan hd russianporntrends.com trafficfactory
سكس ميا احمد arabic-porn.com افلام سكس تونسى
desi incest sex tubenza.mobi shama sikander hot
sammus hentai series-hentai.net newhalf hentai
bhojpuri film blue pornolike.mobi bodo sex
x vindeos chupaporn.net kannada hd xxx