Кража iPhone превратилась в индустрию: подпольный рынок разблокировки работает через Telegram и смишинг

Специалисты по кибербезопасности провели масштабное исследование. Они выяснили, как воры обходят защиту Apple. Оказалось, что ключевую роль играют фишинговые атаки через SMS - так называемый смишинг (комбинация слов SMS и фишинг) и поддельные веб-страницы. Воры не взламывают последние версии iOS, они манипулируют людьми. Добыв физический доступ к устройству, они видят на экране контактный номер, который владелец оставил для возврата. Сразу после этого жертве приходит сообщение якобы от Apple с предложением отследить телефон на карте. Ссылка ведёт на сайт, который до мелочей копирует официальный портал Find My. Дальше жертву просят ввести код-пароль. Если человек доверчиво вводит его, злоумышленник получает полный контроль над смартфоном.

Вот как выглядит типичная цепочка. У жертвы крадут iPhone. На заблокированном экране высвечивается номер для связи. Преступник отправляет на этот номер СМС с адресом поддельного сайта. На подложной странице отображается карта с анимированным движением телефона, что создаёт иллюзию работы сервиса Apple. Через мгновение всплывает окно с запросом PIN-кода. Если жертва вводит код, вор входит в учётную запись iCloud, снимает блокировку активации и перепродает устройство.

Исследователи проанализировали DNS-записи доменов, связанных с этими атаками. Они обнаружили, что многие сайты не просто содержат фишинговые страницы, но и раскрывают административные панели самих мошенников. Так специалисты вышли на десятки Telegram-групп, которые образуют крупный подпольный рынок. Там продаются инструменты для разблокировки, фишинговые наборы (так называемые "FMI OFF" или "iCloud Webkit") и программы для социальной инженерии. Среди последних - скрипты для автоматических звонков с голосом, имитирующим сотрудника Apple, и предзаписанные аудиофайлы на разных языках. Всё это предлагается по модели "pay-as-you-go": клиент платит небольшую сумму за каждую попытку разблокировки или за каждую отправленную фишинговую ссылку. Средняя цена - меньше десяти долларов США. В отчёте исследователи подчёркивают: даже самые дешёвые инструменты способны окупиться, ведь чистый iPhone старших моделей продаётся за сотни долларов.

Технические возможности таких инструментов различаются. Для старых моделей iPhone существуют утилиты, которые автоматически выполняют джейлбрейк (процедуру снятия ограничений операционной системы) и извлекают идентификационные данные. Для новых устройств, на которых установлены iOS версии 17.0 и выше, публично известных уязвимостей нет. Здесь вступает в дело смишинг. Специальные Telegram-боты позволяют по серийному номеру телефона узнать имя владельца, страну активации и привязанный Apple ID. Эта информация используется для персонализации фишинговых сообщений: вор обращается к жертве по имени, упоминает детали, которые знает только настоящий владелец. Доверие растёт, и шанс получить код-пароль увеличивается.

Масштаб явления впечатляет. Специалисты выявили более десяти тысяч доменов, задействованных в этих схемах. Домены регистрировались в разное время и используют различную хостинговую инфраструктуру. Это подтверждает, что на рынке действует много независимых групп. В 2025 году трафик на такие сайты вырос на 350% по сравнению с предыдущим годом. Примечательно, что сами мошенники предусмотрели защиту от блокировок. В некоторые инструменты встроена функция автоматической проверки: если домен оказывается в чёрных списках Google Safe Browsing, скрипт отправляет запрос на снятие блокировки, используя случайное оправдание из заготовленного списка - от "мы благотворительный фонд для бездомных животных" до "собака съела домашнее задание". Эффективность метода оценить сложно, но на момент исследования большинство фишинговых доменов оставались не заблокированными.

Интересный вывод, который сделали эксперты: воры не интересуются данными, хранящимися на телефоне. Вопреки распространённому мнению, личная и корпоративная информация для них представляет мало ценности. Все проанализированные инструменты принудительно сбрасывают устройство до заводских настроек сразу после получения доступа. Цель - перепродать аппарат как новый. Такая модель даёт оптимальное соотношение риска и прибыли. Угон телефона может обойтись бесплатно (если, конечно, не считать самого деяния). Разблокировка стоит до пятидесяти долларов. Даже старые модели iPhone на вторичном рынке стоят несколько сотен долларов. Низкий порог входа, широкая сеть реселлеров из Бангладеш, Индии, Пакистана, Венесуэлы, Бразилии и других стран - всё это стимулирует рост числа краж.

Создатели инструментов зарабатывают на объёме. Чем больше попыток разблокировки совершают их клиенты, тем выше доход. Telegram-каналы полны видео успешных атак и инструкций. Всё это работает как реклама и привлекает новых участников на чёрный рынок.

Риски растут не только в цифровой среде, но и в физическом мире. Возможность лёгкого снятия блокировки напрямую провоцирует уличные кражи. Смартфон есть почти у каждого, и потенциальных жертв становится всё больше. Чтобы защитить себя, специалисты советуют никогда не вводить код-пароль на сайтах, полученных по СМС или в мессенджерах, а также использовать двухфакторную аутентификацию для Apple ID. В случае кражи нужно немедленно сообщить оператору и через другой доверенный устройство активировать режим пропажи. Эти простые меры помогут не дать ворам превратить ваш телефон в лёгкие деньги.

Domains

• apple.com-app.lt
• apple.connect-app.info
• applebrasil.info
• applemap.us
• apple-mylocation.info
• applesupporter.us
• find.my-id.com.es
• findyourphone.help
• icloud.sa.com
• icloud-f.com
• locate-it-now.net
• lphone-retained-store.us
• mapsfind.info
• navigate-to-location.me
• phone.xuidns.pw
• photos-sharing.in
• smartthingsfind-samsung.com
• support-lcloud.xyz
• view-location.app