Se roban los creditos
Volver el 28 de noviembre de 2010, un usuario llamado stereocourier iniciado un hilo en los foros de soporte de Apple. El cartel afirmó que-sin su conocimiento o consentimiento de una persona, gastó más de $ 50 de su crédito de iTunes Store en el iPhone aplicaciones.
El usuario no tiene tarjeta de crédito vinculada a su cuenta, todas las compras misteriosas sacó de su crédito en la tienda. Ah, y stereocourier también señaló que diversos datos de carácter personal se han cambiado por su cuenta, en concreto, su domicilio fue sustituida por una dirección que no reconoció en Towson, Maryland.
Al escribir estas líneas, que hilo de discusión desde entonces ha aumentado a más de 45 páginas, con cerca de 700 puestos de trabajo. Alguien o algún grupo de someones-parece ser capaz de pasar de regalo de iTunes con tarjeta de crédito sin su permiso, la compra de aplicaciones que los usuarios no desean. Y el que está haciendo la piratería parece bastante bueno en eso: Cientos de usuarios han visto su crédito robadas iTunes, y el hack no muestra signos de desaceleración, diez meses después de que se reportó por primera vez.
Esta es una historia de misterio, pero no es un gran uno. Un gran misterio en general, implica un detective que reúne las pruebas, realiza una investigación y, finalmente, los problemas de la revelan espectaculares: el motivo, el culpable, y si todo va bien el castigo. En el misterio de la Hack Towson, por desgracia, tenemos un crimen, las pruebas, y un motivo, pero la justicia no, y no la resolución real. Considérese advertido.
El fondo
En los días y meses después de mensaje en el foro inicial stereocourier está en el sitio de Apple, muchos otros usuarios comparten historias similares de crédito de iTunes Store la desaparición, con los recibos que llegan que las compras detalladas de los usuarios afectados no habían hecho-$ 42, $ 20, $ 35, $ 10; nocantidad de crédito de la tienda era demasiado pequeña para deslizar. En un caso tras otro, cuando los clientes afectados se acercó, Apple representantes de servicio al cliente accedió a devolver el crédito en la tienda sólo por esta vez, pero reconoció que ninguna fechoría o iTunes piratería de cualquier tipo.
Y, en caso tras caso, las direcciones de los usuarios afectados «se cambiaron a Baltimore, Maryland. En enero de 2011, sin embargo, parece que, o bien a los atacantes más inteligente, o que otros hackers se había percatado de su proceso. En ese momento, Towson MD itunes fue una sugerencia de Google que llevó a muchos mensajes de gente de Web detallando historias similares de crédito de la tienda iTunes desaparecido, una tendencia que continúa hoy. Así que cuando llegue enero, aunque el robo de claves en el corazón del Hack Towson se mantuvo constante, algunos clientes comenzaron a reportar que su crédito en la tienda desapareció a pesar de que su información de cuenta de iTunes fue en su mayoría sin ser molestados. Muchos usuarios también comenzó a reportar que sus tarjetas de crédito fueron desvinculados de sus cuentas de iTunes al mismo tiempo que sus fondos de crédito de tiendas se agotaron.
Muchos clientes de crédito cuya tienda fue robada señaló que las compras se centraron en un puñado de aplicaciones específicas de los desarrolladores. Uno de los desarrolladores se «gao jing», el nombre detrás de aplicaciones como guía experto para Operaciones Negro, Guía de Trucos para Operaciones Negro, Guía de las armas de Operaciones Negro, y la Guía de Juego para New Vegas.Cabe destacar que ninguna de esas aplicaciones de permanecer en la App Store a partir de este escrito, sin embargo, Apple no quiso hacer comentarios sobre el motivo de su salida de la tienda. Otros clientes señaló que las aplicaciones compradas en sus cuentas eran de otros desarrolladores, incluyendo «Hongbin Suo», «carril ma», «Yang Yun,» «KAMAGAMES» y «Lakoo.» Muchas de las aplicaciones de compra, o las empresas detrás de ellos, al parecer de origen chino.
Bob Seifert vive en Wisconsin, y su historia es típica. «Temprano en la mañana del 12 de agosto», dijo a Macworld: «Yo había recibido un correo electrónico diciendo que mi cuenta se utilizó para comprar [la aplicación gratuita] Instagram» desde un dispositivo no vinculado con anterioridad a su cuenta. «Poco después de eso, me llegó otro correo electrónico, indicando que otra aplicación gratuita se compró-a un chino, en esta ocasión. Y entonces, se hizo una compra en aplicación a través de esa aplicación de $ 19.99 por alguna moneda en el juego de algún tipo. »
Seifert nunca había oído hablar del juego antes, y dice que no lo descargue o hacer la compra en aplicación. Cuando se le preguntó si alguna vez había escrito potencialmente su contraseña de iTunes en un formulario Web, tal vez de sucumbir a un ataque de phishing, respondió enfáticamente: «No, absolutamente no. En realidad, el trabajo en el departamento de TI de una gran empresa, y estoy muy consciente de phishing. Estoy muy relacionado con el grupo de seguridad de la información aquí [en el trabajo], y usar contraseñas excesivamente complicado para todas mis cosas. «La compra de falso en cuenta Seifert es todo pero con buen drenaje lo que quedaba de una tarjeta de regalo de $ 25 sólo había introducido en «dos o tres semanas antes de la corte.» Curiosamente, a pesar de Seifert también recibió un correo electrónico de Apple confirma que él había hecho un cambio en la dirección de facturación en su cuenta, aún veía la dirección correcta (y no Towson) cuando se conectó pulg
Como es típico de las narraciones sobre el tema en el foro, Seifert contacto con Apple y Apple finalmente devuelto las compras, pero la empresa reconoce ningún problema mayor, y dijo que la devolución fue un acto de cortesía de una sola vez. Tampoco ha dado ninguna de Apple declaración formal en la Towson Hack-no en los correos electrónicos a los clientes que Macworld podría localizar, no en su sitio, y no en cualquier otro lugar.
El segue Sega
Una teoría que varias de las víctimas puso adelante en el foro de Apple es que el Hack Towson fue concebido realmente por los desarrolladores de delincuentes, que han creado aplicaciones en gran parte falsa y luego se usa de crédito de otros clientes de regalo para comprar las aplicaciones de puntuación mal ganado dinero en efectivo en el proceso.
Algunas personas encuentran que el crédito de regalo robado no va a la compra de aplicaciones no deseadas de China, sin embargo. A partir de finales de abril, algunos clientes encuentran que en lugar de sus fondos estaban haciendo en aplicación de las compras para un juego de Sega llamado KingdomConquest.Ciertamente parece poco probable que una gran corporación como Sega intencionalmente involucrarse en comportamientos maliciosos, como el Hack Towson, lo que sugiere que tal vez algo estaba pasando más allá de acumular las ventas de aplicaciones falsas.
Los clientes que fueron víctimas de la variante de la KingdomConquest Hack Towson no era dueño de la aplicación original, y, ciertamente, nunca entró en el juego para hacer en la aplicación de compras con su crédito en la tienda. De alguna manera, los hackers eran capaces de «comprar» la aplicación gratuita de las cuentas de las víctimas de iTunes, y luego activar las compras en-app.
En su propio foro, Sega publicó este mensaje:
Actualmente estamos investigando esta denuncia, así como algunos otros, pero como no tenemos acceso a cualquier información de los clientes cuenta de iTunes o de historial de transacciones es muy recomendable ponerse en contacto con Apple directamente … Permítanme dejar muy claro que Sega y «Reino de conquista no son que actúe maliciosamente de ninguna manera.
Una portavoz de Sega intercambiado correos electrónicos con Macworld, pero se negó a comentar sobre el asunto más allá del mensaje en el foro anterior.
Mientras que el modus operandi es el mismo, parece claro que la variante de la KingdomConquest Hack Towson viene con una motivación diferente. Una explicación plausible: Hackers familiarizado con la técnica están vendiendo el acceso a la iTunes hackeado cuentas con crédito de la tienda para quemar. Tal vez si usted está dispuesto a pagar un hacker de 10 dólares, que va a darle acceso a una cuenta hackeada con $ 50 de crédito-y tal vez del juego de Sega resulta muy popular entre la gente dispuesta a hacer ese acuerdo. Sin más comentarios de Apple o Sega, sin embargo, es difícil afirmar de forma definitiva.Tal escenario parece marcar la forma más fácil explicación de por qué juego tan popular de Sega se involucró en este lío.
Towson y más allá
En junio, los usuarios malintencionados detrás del Hack Towson aparentemente comenzó un viaje por carretera: los clientes empezaron a decir, después de su crédito en la tienda fue arrasada, su dirección de facturación, a una dependencia de una variedad de lugares, incluyendo Miami, Florida y Cockeysville, Marlyand.
También en junio, algunos clientes reportaron haber recibido un mensaje de Apple con un tono muy diferente. UnbrknCh8n cartel afirmaba que Apple escribió:
Después de revisar las circunstancias de su caso, se determinó que la emisión de un reembolso de los elementos que fueron adquiridos sin su permiso es una excepción adecuada a los Términos y Condiciones de iTunes Store, que establecen que todas las ventas son finales. La devolución de la cantidad de $ 49.97 será acreditado a su cuenta de iTunes.
Que la admisión de que las compras se hicieron «sin permiso» sigue siendo el más cercano que Apple ha llegado a reconocer de hecho la existencia de los Hack Towson.
Pero incluso esta concesión no ha sido codificado entre los niveles de servicio al cliente de Apple: Otro usuario eric.h.210-afirmó que Apple no nos hubieran devuelto sus cargos de manera fraudulenta incurrido, ya que era su segunda vez en víctimas del ataque.
Apple curita
Y el Hack Towson continúa sin cesar. Nuevos clientes-víctimas de participar en la discusión en el sitio de Apple, con bastante frecuencia al día, ya que Macworld comenzaron a monitorear el hilo del mes pasado.
Alrededor de junio de este año, Apple comenzó a enviar por correo electrónico a los clientes que hayan adquirido las aplicaciones de los dispositivos que antes no vinculados a sus cuentas de iTunes. Por ejemplo, si usted compró un iPhone nuevo, y luego compró una aplicación de iPhone que, recibirás un correo electrónico de lectura, en parte:
Tu ID de Apple se utilizó sólo para la compra [de la aplicación en cuestión] de la App Store en un ordenador o dispositivo que no habían sido previamente asociados con el ID de Apple. Si usted hizo la compra, puede ignorar este mensaje. Este correo electrónico fue enviado como medida de seguridad diseñadas para proteger contra compras no autorizadas.
El correo electrónico ofrece enlaces a las páginas en el sitio de Apple para cambiar la contraseña de iTunes y la mejora de la seguridad general. No proporciona un enlace directo con el informe que las compras fueron autorizadas, sin embargo. Y aunque el mensaje puede estar trabajando para alertar a los clientes cuando han sido víctimas de un truco como este, no es detener el robo de que se produzcan.
El hack se aterrador
Craig Williams, que vive en Oregon, añade una arruga un poco nuevo en el Hack Towson. Fue alcanzado en junio. «Me desperté y tenía varios correos electrónicos de PayPal confirmando las compras de iTunes pequeño». Williams mencionó PayPal, su historia en principio parecía no relacionados; PayPal relacionados con hazañas casi todo el mundo provienen de ataques de phishing con éxito las contraseñas de PayPal.
Pero aquí está la cosa: Williams consiguió víctimas de la primera Hack Towson.»Después de investigar, vi que el saldo de mi tarjeta de regalo se había agotado también.» Poner en común sus recibos de compra de iTunes, Williams dio cuenta de que el saldo de su tarjeta de regalo fue el primero-«alrededor de $ 20 o menos», y sólo entonces fue su iTunes ligada cuenta de PayPal atacado.»Afortunadamente», dice Williams, «sólo se utiliza alrededor de 100 dólares de mi cuenta de PayPal.» En el caso de Williams, todos los fondos robados fueron a las compras en la aplicación en el juego KingdomConquest de Sega.
Crédito Anne Robson regalo fue robado por las compras en la aplicación de KingdomConquest, también. Pero el detalle añadido en el caso de Robson es aún más preocupante: la vida de Robson en el Reino Unido. En un correo electrónico a Macworld, que explicó cómo «cargar una tarjeta de regalo de £ 25 … [más] de que fue robado de mi cuenta en el espacio de unos 5 minutos un viernes por la tarde», en junio, en el curso de tres operaciones. Pero aquí es donde la historia se Robson (aún más) alarmantes: «Mientras que mi cuenta fue cerrada por Apple en pos de mí en duda la transacción, un nuevo intento se hizo para sacar dinero.»
Apple no pudo explicar a Robson cómo alguien podría intentar comprar aplicaciones con su cuenta mientras que estaba cerrada. Manzana bloquea las cuentas al denunciar el fraude, así como su compañía de tarjeta de crédito impide su tarjeta de incurrir en gastos posteriores cuando se informe de robo-en teoría, debería ser imposible entrar, incluso en una cuenta después de haber sido cerrado.
Caso de Robson podría indicar que el bueno para nada pozos detrás del Hack Towson alguna suciedad con las cuentas de iTunes a través de métodos tan insidioso que saltar bloques de Apple. O, su caso podría ser simplemente un golpe de suerte-un bloque erróneamente aplicado o outlier una.
Cuando Macworld contacto con Apple sobre el hack de Towson, la empresa proporcionó una lectura declaración por escrito:
Siempre estamos trabajando para mejorar la seguridad de la cuenta para los usuarios de iTunes. Si su tarjeta de crédito o la contraseña de iTunes es robado y usado en iTunes debe ponerse en contacto con su institución financiera acerca de las compras no autorizadas, y asegúrese de cambiar la contraseña de la cuenta de iTunes de inmediato. Para consejos sobre cómo proteger tu cuenta de iTunes de seguridad www.apple.com visite / support / itunes.
Lo más útil que la información pueda ser, no aborda el quid de la cuestión: crédito de la tienda robada. Y, como en los casos individuales de robo reportado, la declaración de Apple no hace ninguna mención en absoluto de cualquier tipo de piratería sistemática, como el tipo que parece estar en la raíz de este fenómeno.
¿Y ahora qué?
Entonces, ¿qué es un cliente de iTunes interesados a hacer? Apple ha parecido en general responden a los clientes afectados por este problema, y, finalmente, les devolverá su dinero, pero sólo, al parecer, cuando los clientes primer informe de los problemas mismos. Si se agrega crédito de la tienda a su cuenta de iTunes y no lo gastan de inmediato, usted necesita mirar su saldo muy de cerca.Revise su historial de compras de iTunes en iTunes, para asegurarse de que usted no ha comprado ninguna de las aplicaciones sin saberlo.
Parece probable que una explotación existe iTunes que permite a los hackers para robar tarjetas de regalo de crédito de los clientes, si es así, que explotan se ha mantenido sin actualizar desde hace casi diez meses. Si crees que tu cuenta ha sido afectado por este ataque, usted debe reportarlo inmediatamente a Apple mediante el formulario de soporte de iTunes y la privacidad de Apple formulario de contacto problemas.
¿Es necesario entrar en pánico? Es difícil de decir. Apple hace negocio sólido con sus tarjetas de regalo iTunes, con más de cien millones de clientes de iTunes, que se espera de Internet para paralizado, ahogado por las quejas del cliente, si cada dólar de crédito de la tienda iTunes fueron robadas por gente maliciosa. De la misma manera, apuntar sólo a un pequeño porcentaje de usuarios de iTunes trabaja en favor de los hackers: Como con la mayoría del malware y ataques de phishing, los hackers todavía puede neto un buen rendimiento sin dejar de ser por debajo del radar.
Apple sugiere que el Hack Towson se deriva de contraseñas débiles, faciles de adivinar, y / o ataques de phishing, donde los clientes son engañados para que introduzca sus contraseñas en los formularios de los hackers. Si el derecho de Apple, lo que significa que de alguna manera que los hackers son luego ingresar a todas las cuentas que han capturado todos los días, la comprobación de crédito de iTunes Store para explotar. Eso no es una tarea fácil, y uno difícil de lograr al mismo tiempo evadir la detección. Pero el hecho de que el hack solo en constante informó consiste en robar crédito de la tienda hace que esta teoría menos plausible. Craig Williams vio su éxito cuenta de PayPal, también, pero sólo después de que los piratas informáticos se inició con su crédito de regalo.
¿Por qué no son los atacantes tan dispuesto a usar tarjetas de crédito vinculada a la cuenta de iTunes para hacer estas compras no deseadas? Tal vez se están haciendo rogue compras con tarjeta de crédito también, pero casi nadie se ha dado cuenta o reportado el abuso, a diferencia por ejemplo de las víctimas de robo de crédito de tiendas, que informan sobre el tema en masa. Es posible, sí.Pero no es probable.
Que se les advirtió
Como dijimos al principio: Esto no es un gran misterio. Todavía no sabemos quién lo hizo, ¿por qué el atacar objetivos exclusivamente de crédito de regalo, y si Apple nunca será capaz de bloquear o detectar el pícaro tienda de crédito impulsado las compras de manera preventiva.
En otras palabras, no estamos más cerca de saber cómo el Hack Towson realmente funciona. Hubo un tiempo en que usted podría comprar hackeado cuentas de iTunes en China, pero una vez más, se espera que si las propias cuentas habían sido ataques de phishing o hackeado, veríamos compras fraudulentas que no se basó en crédito de la tienda. Por lo tanto, parece más probable que sea cual sea el medio de ataque, lo hace de alguna manera requieren que crédito de la tienda se presente a trabajar.
La única cosa que puede tener una mejor comprensión de la motivación. Es posible que el Hack Towson es explotada por malfeasants diferentes, hacia fines diferentes. El escenario más común consiste en la presentación del funcional-pero-insusbtantial aplicaciones para la App Store, seguido por hacer compras repetidas de (o desde) las aplicaciones con iTunes de crédito robadas para hacer dinero en las «ventas». Sin embargo, en algunos casos , los piratas informáticos que han encontrado una manera de explotar el Hack Towson parecen estar beneficiándose de ella por no «comprar» las copias de sus propias aplicaciones, sino más bien mediante la venta de acceso a las cuentas de crédito con el don para los demás de su uso.
Por supuesto, eso no explica realmente cómo el Hack Towson obras en el primer lugar.
Es muy posible que el análisis de Apple es en el clavo. Si Apple es realmente correcto, entonces el Hack Towson es realmente un hack contraseña tradicional.De hecho, una víctima Towson pocos Hack informe que han recibido notificaciones por correo electrónico de Apple acerca de intentos de conexión demasiados en sus cuentas en los días previos a su tarjeta de regalo de robos, lo que sugiere la fuerza bruta, los intentos de romper la contraseña.
Así que tal vez los hackers se están rompiendo en las cuentas de iTunes a través de descifrado de contraseñas agresivo, y que sólo roban de crédito de tarjetas de regalo, porque es un poco más tranquilo y menos obvia que acumular los cargos de tarjetas de crédito. Tal vez el uso de un proceso automatizado de hacking que los primeros intentos de cambiar su dirección de facturación para confirmar que tienen acceso, y sólo entonces se empiezan a gastar su crédito.Que parece un poco exagerado, aunque, parece como si los hackers explícitamente cuentas de destino con las tarjetas de regalo, en lugar de irrumpir en las cuentas de todos y sólo atacar a los que tienen créditos.
Apple aparentemente cree que el Hack Towson no es específica de iTunes-que es simplemente un ataque tradicional hacking que sucede con iTunes objetivo, de lo contrario, parece como si la empresa hubiera cambiado algo desde noviembre de 2010.
Pero está lejos de estar claro si la teoría es correcta. Hasta que, oa menos que Apple puede confirmar y corregir la vulnerabilidad, que depende de los clientes de iTunes para ver sus cuentas muy de cerca.
[Lex Friedman es escritor del personal de Macworld.]
Traducido por: Traductor Google
