В прошлом месяце Филипп Христодулу (Phillipe Christodoulou) решил проверить свои биткоины, хранившиеся на аппаратном кошельке Trezor. Для этого пользователь скачал мобильное приложение в App Store. Однако после загрузки приложения и введения учетных данных он обнаружил, что его 17.1 BTC украдены. Тогда они стоили около $600 тысяч, сейчас же их стоимость близка к $1 млн.
Скачанное приложение оказалось подделкой, несмотря на оценку в пять звёзд. Позднее Христодулу снова зашел в App Store, чтобы более внимательно изучить отзывы. До того, как поддельное приложение Trezor было удалено из App Store, оно имело 155 отзывов с высокими оценками. Однако когда Христодулу открыл письменные отзывы, он увидел жалобы от других людей, которых обманули таким же образом. Получается, что пятизвездочные рейтинги тоже были фальшивыми. Но самое интересное — что мобильного приложения для Trezor от разработчиков кошелька вообще не существует.
Христодулу сказал, что обижен на Apple больше, чем на самих мошенников. Apple позиционирует App Store как безопасную площадку для покупки приложений, каждое из которых проходит тщательную проверку. Apple гарантировала безопасность, надёжность, полезность и уникальность всех материалов, размещаемых на App Store. Компания также заявляет, что комиссии в размере от 15% до 30%, взимаемые со всех торговых сделок в App Store, используются для улучшения уровня обслуживания клиентов.
«Когда-то я был постоянным клиентом Apple, но теперь я больше не восхищаюсь этой компанией. Apple предала моё доверие, и произошедшее не должно сойти этой компании с рук», - сказал пострадавший пользователь.
Сотрудник Apple Фред Сайнц (Fred Sainz) ответил, что доверие пользователей закладывает основу для бизнеса. Многочисленные исследования доказывают, что App Store – один из самых безопасных рынков приложений в мире, и Apple постоянно работает над поддержанием своих стандартов и усилением защиты App Store. Однако в некоторых случаях преступникам удаётся обмануть компанию и пользователей. Поэтому Apple принимает оперативные меры против злоумышленников, чтобы предотвратить подобные нарушения в будущем.
Apple признала, что в App Store появлялись и другие мошеннические приложения для работы с криптовалютами. Однако компания не пояснила, появлялись ли ранее поддельные приложения Trezor в App Store, и будут ли новые приложения под названием Trezor отмечаться как мошеннические. Apple также не назвала имя разработчика поддельного приложения Trezor и не предоставила его контактную информацию. Неизвестно, передала ли компания эти данные правоохранительным органам, и будет ли проводиться дальнейшее расследование в отношении этого разработчика. Apple также не сообщила, создавал ли он другие приложения, и может ли этот мошенник действовать под другими учётными записями на площадке.
Эксперты считают, что на самом деле мошенникам легко обойти правила Apple. Злоумышленники могут отправлять на утверждение вполне безобидные приложения, а затем вносить в них изменения, необходимые для проведения фишинговых атак. Когда Apple узнаёт об этом, компания удаляет такие приложения и вносит их разработчиков в «черный список». К сожалению, для людей, «попавшихся на удочку мошенников», становится уже слишком поздно. Способность приложений превращаться во вредоносные программы после одобрения App Store, вызывает множество вопросов об эффективности проверок Apple. К тому же, компания не сообщает, как часто появляются такие мошеннические «продукты», и как быстро они удаляются. При этом известно, что в прошлом году было удалено около 6500 приложений из-за «скрытых или недокументированных функций».
Исполнительный директор Coalition for App Fairness Меган ДиМузио (Meghan DiMuzio) считает, Apple может распространять ложную информацию о конфиденциальности и безопасности пользователей. По словам ДиМузио, Apple непоследовательно применяет свои стандарты безопасности к приложениям, и делает это лишь тогда, когда это приносит выгоду Apple.
Британская компания Coinfirm, расследующая криптовалютные мошенничества, сообщила, что с октября 2019 года получила более 7000 жалоб о похищении цифровых активов. Пострадавшие пользователи использовали фальшивые приложения, купленные в Google Play Store и Apple App Store. Компания Coinfirm сообщила, что уже пять человек воспользовались поддельным приложением Trezor для iOS, а их общие потери составили $1.6 млн. Также в компанию поступали сообщения от людей, которые скачали вредоносное приложение Trezor для Android, после чего потеряли криптовалюты на общую сумму $600 000.
Trezor — первый и самый известный производитель аппаратных кошельков. Однако у него нет мобильного приложения, хотя компания начала над этим работать. Представитель Trezor Кристина Мазанкова сообщила, что компания уже неоднократно уведомляла Apple и Google о поддельных приложениях, появляющихся в их магазинах приложений. Однако процесс коммуникации осложняется тем, что Apple и Google не поддерживают контакт. Мазанкова сказала, что 1 февраля Trezor уведомил Apple о появлении поддельного приложения, и Apple удалила его лишь 3 февраля. Однако приложение вновь появилось уже через несколько дней.
По приблизительным данным Sensor Tower, мошенническое приложение Trezor находилось в Apple App Store с 22 января по 3 февраля и было скачано около 1000 раз. Инженер из штата Джорджия Джеймс Файц (James Fajcz) тоже сообщил о краже криптоактивов после загрузки подобного приложения. В декабре он купил BTC и ETH на $14 000 и решил хранить их на аппаратном кошельке Trezor. Позднее он скачал мошенническое приложение Trezor, которое запрашивало секретную фразу (seed). По словам пользователя, приложение не подключалось к кошельку Trezor, поэтому инженер решил, что оно не работает. Через несколько недель он купил еще эфиры, но подключившись к своему Trezor обнаружил, что там ничего нет.
«Узнав, что приложения Trezor на самом деле не существует, моя челюсть упала на пол. Я понял, что натворил. Как это гнусное приложение попало на платформу App Store, претендующую на звание лучшего и самого надежного магазина приложений? Apple должна нести за это ответственность», - сказал пострадавший.
Аналитическая фирма Chainalysis выяснила, что криптоактивы Файца и Христодулу могли быть украдены одними и теми же злоумышленниками. Компания нашла свидетельства того, что это крупная афера, приносящая миллионы долларов. Христодулу до сих пор не оправился от произошедшего и теперь вынужден принимать лекарства и обращаться к психологу.
Отметим, что владельцы кошельков Ledger тоже часто становятся жертвами фишинговых атак, потеряв более 1 150 000 XRP.