Kanadyjskie Apple może przekazywać dane klientów oszustom

Albo doszło do przecieku w firmie UPS, która jest partnerem Apple w zakresie wysyłek.

W Kanadzie podróże lotnicze są bardzo drogie w porównaniu do USA i Europy. Aby zaoszczędzić, Kanadyjczycy muszą korzystać z tanich linii lotniczych: Flair Airlines, Swoop Airlines, Lynx Air itp. Są one zazwyczaj tańsze niż monopolista Air Canada, ale podróżni skarżą się na opóźnione loty i zagubiony bagaż.

Moja przyjaciółka z Toronto poleciała niedawno z rodziną do Vancouver na narty. Niestety, jej bagaż został zgubiony, a obsługa linii lotniczych nie podjęła żadnych starań, aby go odnaleźć. Mimo to historia zakończyła się bezpiecznie, ponieważ włożyła do buta Airtag, maleńkie urządzenie Apple, które może przesyłać informacje o lokalizacji przez rok bez wymiany baterii. Moja znajoma śledziła swój lot na nartach i po prostu przyszła na lotnisko do kasy bagażowej, aby zgłosić swoją stratę. A tanie linie lotnicze nigdy nie zareagowały...

Kupowanie w witrynie internetowej Apple

Postanowiłem też przygotować się do krajowej podróży samolotem i zamówiłem 4 Airtagi bezpośrednio na stronie Apple. System rezerwacji obiecywał darmową wysyłkę 21 marca za pośrednictwem UPS.

W dniu 13 marca o godzinie 6:03 otrzymałem na swój telefon sms o wysyłce mojego zamówienia:

Potwierdzenie wysyłki przez Apple

Darmowa wysyłka stała się płatna

Tego samego dnia o 23:24 otrzymałem kolejną wiadomość z nieznanego numeru o konieczności dopłaty za dostawę:

Fałszywy list od UPS

Na pierwszy rzut oka było to od UPS, ponieważ Apple powiedziało, że będzie wysyłać moje zamówienie przez tę firmę. Stwierdzono:

moje pełne nazwisko;
indeks dostawy;
numer telefonu też był prawidłowy, inaczej nie otrzymałbym tej wiadomości.

W ten weekend Kanada przechodzi na czas zimow...

Kanada obchodzi Dzień Kraju i zastanawia się ...

Kanadyjski wywiad bije na alarm: wpływy Chin ...

Kanada nadal przyciąga wykwalifikowanych spec...

Jak działa łańcuch dostaw żywności w Kanadzie...

Tajemnicze zniknięcie gigantycznego niedźwied...

W południowo-zachodniej Nowej Fundlandii znal...

Saskatchewan podnosi limit wieku uprawniający...

Atak z użyciem broni palnej w ratuszu w Edmon...

W katastrofie helikoptera w Kolumbii Brytyjsk...

Zaktualizowano zasady uzyskiwania zezwolenia ...

Kanadyjski pasażer próbował otworzyć drzwi sa...

Było kilka zagmatwanych rzeczy:

Apple obiecywało darmową wysyłkę, a tu mowa o 2,89$.
Adres strony wygląda jak UPS, ale jeśli przyjrzeć się bliżej, strona jest dziwna — com-delivery-payment.info, wygląda na oszustów!
Wiadomość jest napisana w języku angielskim z błędami.

Kliknąłem na link z telefonu, ponieważ jest bezpieczniejszy niż z komputera, i pokazała się następująca strona:

Strona z fakturą UPS

Bezużyteczne wsparcie ze strony Apple

Zaczynałem podejrzewać, że to strona phishingowa, przebrana za oficjalną stronę UPS, a na następnej stronie prosiłbym o zapłacenie kartą. A potem pieniądze by zniknęły i musiałbym spędzić mnóstwo czasu na kontaktach z bankiem. Ale mimo to postanowiłem skontaktować się z supportem Apple i zapytać, dlaczego pojawiła się opłata za dostawę. Uprzejmie zaproponowano mi kontakt z supportem UPS, czego nie zrobiłem — miałem już doświadczenie z czekaniem na telefon...

Niebezpieczny eksperyment

Postanowiłam pójść dalej i kliknąć "Continue". Myliłem się: nie od razu zapytali o numer mojej karty, ale najpierw poprosili o adres domowy, numer telefonu, e-mail i datę urodzenia (dla dostawy!). Krótko mówiąc, całkiem sporo danych osobowych.

Oczywiście żadne dodatkowe linki, które były pokazywane w celu maskowania strony UPS nie działały.

Na każdym kroku wpisywałem fałszywe dane, łącznie z numerem karty, ale strona przepuściła mnie i stwierdziła, że faktura została opłacona:

Faktura opłacona pomyślnie

To zabawne, ale następnego dnia dostałem kolejną wiadomość tekstową z innego numeru telefonu. Zawierał inną stronę internetową UPS, ale kod "ofiary" był taki sam:

Kolejna wiadomość od UPS

W chwili pisania tego tekstu, strona nie jest już otwarta. Ale link z pierwszego postu hakera działa.

Druga szansa dla Apple

Skontaktowałem się ponownie z supportem Apple i tym razem nie odesłali mnie od razu do zadzwonienia do UPS, ale nadal nie uzyskałem pomocy:

Wsparcie Apple

Apple zostało zhakowane!

Głęboko wierzę, że Apple lub UPS ma i prawdopodobnie wycieka dane. Pozwólcie, że wyjaśnię dlaczego:

Płatność została wykonana z karty innej osoby z innym adresem płatniczym, czyli nie jest to wyciek z banku.
Haker wiedział, że dokonano zakupu od Apple, a data ataku zbiegła się z datą wysyłki przedmiotu.
Oszust wiedział, że wysyłka miała być realizowana przez UPS i zrobił stronę phishingową dla UPS.

Wnioski

Niestety, ataki hakerów są coraz bardziej wyrafinowane, a oszustwa trudne do wykrycia. Nawet giganci technologiczni są narażeni na niebezpieczeństwo, a dane osobowe stają się publiczne.

Alex Pavlenko, założyciel firmy Immigrant.Today