Towson Hack – чума, поразившая iTunes

В качестве прикроватного чтива на эти выходные предлагаем вам ознакомиться с расследованием, которое попытались провести журналисты издания MacWorld. Дело в том, что в последние месяцы участились случаи исчезновения денег с подарочных карт iTunes. А так как многие российские потребители за неимением кредитных карт американских банков вынуждены пользоваться именно таким платежным средством для приобретения приложений в App Store, то это расследование, как говорят в «Программе максимум», касается всех.

С ноября 2010 года уже сотни клиентов сервиса iTunes успели столкнуться с одной весьма неприятной проблемой: деньги с их подарочных карт таинственным образом списываются и уходят на покупки приложений, которых эти пользователи не осуществляли.

Первый сигнал тревоги появился 28 ноября прошлого года, когда пользователь под ником stereocourier создал ветку на форуме поддержки Apple, посвященную этой проблеме. Автор ветки утверждал, что без его ведома и согласия с его счета в iTunes Store было списано более 50 долларов, и эти деньги были использованы для покупки приложений для iPhone. Никакой кредитной карты к аккаунту пользователя привязано не было: средства непонятным образом были вычтены из его кредита. При этом stereocourier также сообщил, что после этого инцидента в его личных данных появились изменения: отныне, в соответствии с информацией аккаунта, он проживал в городе Тоусоне (штат Мэриленд, США).

И на момент написания этой статьи данная ветка разрослась уже до 45 страниц, где пользователи успели оставить более 700 сообщений. Из форума можно узнать следующее: какой-то злоумышленник (или группа злоумышленников) получил возможность тратить средства с подарочных карт iTunes, чтобы приобретать на них приложения, которые пользователям не нужны. И судя по всему, хакер, который занимается этими грязными делами, своим мастерством владеет очень хорошо. Ведь с момента первой жалобы уже прошло более девяти месяцев, несколько сотен пострадавших лишись своих кровных, а прекратить это бедствие пока никто не в состоянии.

История очень походит на плохой детектив. Плохой, потому что в хороших детективах в какой-то момент обязательно появляется опытный и проницательный сыщик, который собирает улики, проводит расследование и в конце концов оглашает самую главную информацию: имя преступника и его мотивы. Что же касается истории Towson Hack (именно так она названа, в честь города Тоусона, появлявшегося в личных данных жертв), то в этом пазле некоторые важные детали отсутствуют. Преступление есть, улики наличествуют, и о мотиве тоже можно догадаться. Единственное, чего пока не удается добиться, это правосудие и справедливое наказание для преступника. Считайте, что мы вас предупредили.

Обо всем по порядку

В течение нескольких месяцев после появления первого сообщения stereocourier на форуме Apple множество других пользователей рассказали об аналогичных случаях исчезновения средств с кредитов iTunes Store. Они сообщали, что к ним приходили чеки на покупки, которые они не совершали. Суммы были разными (42, 20, 35, 10 долларов), но они никогда не превышали лимита доступных у пользователей средств. Каждый раз, когда пользователи обращались к представителям службы поддержки Apple, им соглашались вернуть деньги, но отказывались признавать, что в iTunes завелась какая-то зараза. И каждый раз в аккаунтах пострадавших пользователей город их проживания сменялся на все тот же Тоусон.

Если в начале этого года посетитель Google пытался набрать поисковый запрос «towson md itunes», то он мог найти множество форумов, где пользователи подробно рассказывали о том, как столкнулись с проблемой исчезновения денег с кредитов iTunes. На страницах этих же форумов в январе 2011 года стали появляться сообщения о том, что хакеры несколько видоизменили характер своих атак. Некоторые пользователи начали сообщать, что деньги с их счетов пропадали, но при этом их личная информация оставалась без изменений. Другие сообщали, что немедленно после исчезновения средств со счетов их аккаунты в iTunes каким-то образом отвязывались от зарегистрированных на них кредитных карт. Судя по всему, злоумышленники не почивают на лаврах, а непрерывно совершенствуют механизмы виртуального разбоя.

Многие потребители, чьи кредиты были украдены, заметили, что большинство приобретаемых на похищенные деньги приложений происходят от ограниченного числа разработчиков. В числе таких разработчиков числится некто «gao jing», создавший такие приложения как Expert Guide for Black Ops, Cheats Guide for Black Ops, Weapons Guide for Black Ops и Game Guide for New Vegas. Примечательно, что сегодня ни одно из этих приложений уже не доступно в App Store. В то же время Apple отказывается комментировать свое решение об их отзыве из магазина. Другие пользователи сообщают, что от их имени приобретались приложения от таких разработчиков как Hongbin Suo, lane ma, Yang Yun, KAMAGAMES и Lakoo. Подавляющее большинство приложений и разработавших их компаний имеют китайское происхождение. Не со стороны ли Поднебесной дует этот ветер?

Боб Сейферт (Bob Seifert) проживает в Висконсине, и его история весьма типична:

«Рано утром 12 августа я получил электронное письмо, в котором утверждается, что мой аккаунт использовался для приобретения бесплатного приложения Instagram с устройства, которое ранее не было привязано к этому аккаунту. Вскоре я получил еще одно письмо, в котором сообщается о приобретении другого приложения – на этот раз китайского. А после этого с моего аккаунта была совершена покупка из приложения на сумму 19,99 долларов. Это была какая-то игра, и покупка была необходима для пополнения кошелька некой игровой валютой»

Сейферт утверждает, что никогда раньше об этой игре не слышал, поэтому не мог загрузить ее и потом что-то из нее покупать. На вопрос о том, не мог ли он когда-либо впечатать свой пароль от iTunes в какую-нибудь веб-форму и стать таким образом жертвой фишинга, он ответил:

«Определенно, нет. На самом деле, я работаю в IT-подразделении крупной компании и поэтому вполне осведомлен о том, что такое фишинг, и как легко можно потерять из-за него контроль над своими личными данными. Мой отдел тесно сотрудничает с отделом безопасности моей компании, к тому же для всех своих данных я использую очень сложный пароль».

В результате нежелательной покупки с 25-долларовой подарочной карты Сейферта, приобретенной «за две-три недели до этого», пропали все деньги. Примечательно, что хотя Боб получил от Apple электронное письмо с подтверждением смены биллингового адреса, после выполнения входа в iTunes он по-прежнему видел свой правильный адрес, в котором ни о каком Тоусоне не говорилось.

Как и многие другие участники вышеупомянутой ветки форума, Сейферт связался с компанией Apple, где ему немедленно вернули деньги. Однако представители службы поддержки вновь не стали признавать масштабного характера проблемы, назвав проблему Боба частным случаем. Компания решила выбрать в отношение ситуации с Towson Hack тактику замалчивания: ни одно раздраженное письмо пользователей не получило ответа, а на официальном сайте компании до сих пор нет никакой информации о разрастающейся проблеме.

Причем здесь Sega?

Анализируя мотивы злоумышленников, наблюдатели выдвигают теорию, которая заключается в том, что эта проблема появилась вследствие сговора хакеров с разработчиками приложений, не пользующихся большим успехом. Якобы чтобы заработать денег и поднять популярность своих продуктов, нечистоплотные разработчики залезают в кошельки к покупателям и на украденные деньги у себя же покупают программы.

Однако есть одно обстоятельство, которое в эту теорию не совсем укладывается. Дело в том, что не все похищенные деньги с подарочных карт пошли на приобретение сомнительной китайской продукции. Начиная с апреля этого года, пользователи стали сообщать, что им приходят электронные письма о том, что они осуществили покупки из приложений (in-app purchase) от компании Sega. В частности, речь идет о популярной игре под названием KingdomConquest. Так как представляется крайне сомнительно, что такая респектабельная компания как Sega опустится до участия в проекте Towson Hack, это дает повод предполагать, что списание средств с кредитов происходит в произвольном порядке, и хакеры могут не быть аффилированы с компаниями-разработчиками.

Самое смешное состоит в том, что ни один из пользователей, которые якобы делали приобретения из KingdomConquest, никогда эту игру не устанавливал. Поэтому можно заключить, что ситуация начала приобретать совершенно невероятный характер: с пользователя взыскивают деньги за покупки, осуществленные из приложения, которое даже не установлено на его девайсе! Все это свидетельствует о том, что хакеры уже дошли до такой степени мастерства, что для похищения средств им потребителей им уже даже необязательно загружать соответствующие приложения. Интересно, известно ли хотя бы одно из этих обстоятельств службе безопасности Apple?

Между тем, компания Sega в свою очередь решила не прятать голову в песок и немедленно опубликовала на своем официальном форуме такое заявление:

«В настоящий момент мы занимаемся рассмотрением всех направленных жалоб. Тем не менее, так как мы на обладаем доступом ни к информации аккаунтов пользователей iTunes, ни к их истории транзакций, мы рекомендуем всем пострадавшим обратиться непосредственно к Apple. Мы же в свою очередь заявляем, что, распространяя свою игру  Kingdom Conquest, компания Sega не прибегала к использованию каких-либо мошеннических средств или вредоносного программного обеспечения».

Однако глупо было бы утверждать, что использование такой сомнительной схемы увеличения продаж KingdomConquest могло бы быть выгодно только компании Sega или ее хитроумным конкурентам, которые хотят против воли компании втянуть ее в этот скандал и подпортить ей репутацию. Мы забываем, что этой ситуацией могли бы воспользоваться и простые любители халявы. Представьте: у вас есть знакомый хакер, который владеет этой методикой и за 10 долларов готов предоставить вам доступ к похищенному кредиту на сумму 50 долларов. Наверняка немногие пользователи, особенно в бедных странах, откажутся от возможности приобрести с 500-процентной скидкой продукт какой-нибудь уважаемой компании. И возможно, так вышло, что на текущий момент Sega пользуется особой популярностью в этой тусовке людей. Однако, раз уж ни Apple, ни Sega никаких официальных комментариев предоставлять не желают, то что-либо определенное в этом вопросе вряд ли можно сказать. Но такой сценарий может являться вполне логичным объяснением того, почему известная игра Sega оказалась втянута в эту дурно пахнущую историю.

География расширяется

К июню этого года хакеры, разработавшие Towson Hack, по всей видимости, решили расширить географию своих злодейств: пользователи начали сообщать, что в измененных данных их аккаунтов стали фигурировать и другие города. В частности, речь идет о Кокисвилле (все тот же Мэриленд) и Майами (штат Флорида).

Кроме того, было замечено, что, начиная с июня тональность писем Apple, направленных в ответ на претензии пользователей, несколько изменилась. Например, посетитель форума службы поддержки UnbrknCh8n получил от компании письмо следующего содержания:

«Изучив обстоятельства Вашей проблемы, мы приняли решение, что возврат Вам денег за продукты, приобретенные без Вашего разрешения, является приемлемым исключением из Правил и положений iTunes Store, в которых заявляется, что все покупки имеют окончательный характер, а транзакции пересмотру не подлежат. Возмещенная сумма в размере 49,97 доллара будет перечислена на Ваш счет в iTunes».

Наблюдатели заметили, что согласие Apple признать факт осуществления покупки «без согласия» пользователя свидетельствует о том, что компания не признает и факт наличия такой проблемы как Towson Hack. Однако на этот раз уже повезло не многим. Другой пользователь, проходящий под ником eric.h.210, утверждает, что Apple не стала возвращать похищенные деньги, после того как он стал жертвой злоумышленников во второй раз.

Чем дальше, тем страшней

История приобрела новый и еще более ужасающий оборот, когда появилось сообщение от новой жертвы Towson Hack – жителя штата Орегон Крейга Уильямса (Craig Williams). В своем июньском сообщении на форуме Apple он пишет:

«Однажды утром я проснулся и получил несколько электронных писем от PayPal с подтверждениями небольших покупок на iTunes»

Когда Уильямс упомянул PayPal, его история по началу не выглядела как сюжет, имеющий отношение к рассматриваемой нами проблема. Как мы знаем, в интернете полно эксплойтов, которые получают пароли пользователей PayPal методом фишинга, и никакой iTunes здесь не виноват. Однако проблема состоит в том, что сначала Уильямс подвергся атаке создателей Towson Hack:

«Изучив ситуацию, я обнаружил, что с баланса моей подарочной карты тоже пропали деньги»

Сопоставив чеки на покупки в iTunes с полученными письмами, он заметил, что сначала были списаны средства с подарочной карты: «20 долларов или что-то вроде того». И только после этого была произведена атака на его аккаунт PayPal, привязанный к iTunes. «К счастью, с моего счета в PayPal было похищено всего 100 долларов», сообщает Уильямс. Кстати, деньги, украденные с баланса Крейга, пошли на осуществление покупок из все той же игры KingdomConquest от компании Sega.

Что делать?

И что же теперь остается делать нам, простым пользователям iTunes? Apple, как показал опыт взаимодействия с ее службой поддержки, реагирует на обращения пользователей и возвращает им украденные деньги (правда, только если этот грабеж происходит в первый раз). Если вы внесли кредит на свой счет в iTunes и сразу же эти средства не использовали, советуем вам регулярно проверять свой баланс. К тому же необходимо проверять свою историю приобретений в iTunes на предмет того, не затесались ли среди них нежелательные покупки.

Судя по всему, в iTunes поселился эксплойт, который позволяет хакерам красть средства с подарочных карт пользователей. При этом данный эксплойт настолько грамотно создан, что уже почти 10 месяцев его никто не может обнаружить. И если вы подозреваете, что могли стать жертвой подобной атаки, немедленно обратитесь в службу поддержки Apple, используя форму обратной связи iTunes.

Нужно ли нам паниковать? Сложно сказать. Apple зарабатывает серьезные деньги, продавая свои подарочные карты. И если принять во внимании, что клиентская база iTunes насчитывает более 100 миллионов пользователей, то можно ожидать, что работа интернета будет парализована, если с каждого счета пропадет хотя бы доллар, и все пострадавшие немедленно обратятся к форумам, чтобы пожаловаться. По этой причине для хакеров, разработавших этот вирус, максимально выгодно было бы продолжать оставаться ниже зоны досягаемости радаров и состригать купоны с мелких пакостей, не замахиваясь на глобальный миропорядок. Лучше синица в руках.

По мнению Apple, пользователи становятся жертвами Towson Hack, потому что выбирают слишком простые пароли и/или не боятся вводить свои личные данные в различные непроверенные онлайн-формы. Если Apple права, то получается, что каким-то образом хакерам удается выполнять вход в аккаунты по паролям, получаемым ими каждый день, чтобы завладеть средствами с кредитов. Эта задача не такая уж простая как кажется, и тот факт, что еще никто не попался за попытками зайти в чужой аккаунт под ворованным ником и паролем, свидетельствует о маловероятности этой теории. Ведь у Крейга Уильямса, к примеру, после похищения средств с подарочной карты был украдены деньги и с PayPal. А это уже куда серьезней.

По всему видимому, Apple считает, что Towson Hack не направлен конкретно против iTunes. По их мнению, это просто традиционная атака хакеров, которая по какой-то причине в качестве своей жертвы выбрала iTunes. Однако это не снимает главного вопроса: неужели служба безопасности Apple настолько непрофессиональна, что за 10 месяцев не может избавить нас от этой напасти? Судя по всему, пока компания Стива Джобса не поставит на свой мультимедийный сервис большую и надежную заплатку, спасение одураченных будет оставаться делом рук самих одураченных.

Источник: MacWorld.com

 
Авторизуйтесь Чтобы оставить комментарий