La trampa detrás del mensaje: “su iPhone ha sido localização”, luego de un robo

Esto bien podría ser solo un informe policial sobre lo que fue un simple robo de un celular en la vía pública, y no correspondería a los temas que solo abordamos desde la seguridad informática. Sin embargo, sucedió algo curioso del robo de un iPhone a un conocido, que a las pocas horas llegó a su número de teléfono, que ya había sido activado en otro dispositivo, un SMS informándole que su dispositivo iPhone había sido localizado..

Ante la mezcla de asombro y alegría, la víctima no se percató de que la dirección a la que se le invitaba a acceder a través del mensaje no correspondía en absoluto a un sitio oficial de Apple, sino que lo conducía directamente a un sitio falso que simulaba ser la página. oficial de la compañía y donde le solicitaron incluir sus credenciales de usuario.

Como se puede apreciar en la imagen, el dominio que aparece en la URL no corresponde a un sitio oficial, a pesar del aspecto similar y el uso de palabras conocidas para engañar a la víctima y caer en la trampa. seguramente, la persona que protagonizó este hecho cayó en la trampa y por eso hizo llegar al laboratorio de ESET el mensaje para su análisis. Para ello, debimos cambiar los ultimos caracteres del enlace para llegar al sitio activo, lo que demesta que se enclave enlaces individuales a victimi del robo de uno de estos dispositivos, buscando un mayor seguirio de cada potencial victimi.

El único objetivo de la página es robar las credenciales, ya que como se puede ver en la imagen anterior, al ingresar cualquier información, el sitio no valida si las credenciales ingresadas son correctas, de lo contrario, invita al usuario a incorporar el desbloqueo del celular. llave.

Nuevamente, como modo de análisis introdujimos cualquier código, aclarando que cualquier víctima desprevenida que llegara a esta instancia habría entregado sus credenciales de iCloud y la clave de desbloqueo del celular, y para sorpresa del análisis (y la situación que llevó a la víctima de este caso se dio cuenta que se trató de un phishing) la página direcciona a una ubicación en Google maps.

En este caso particular, se trata de un punto ubicado en la provincia de Córdoba, en Argentina; que en si mismo no dice nada.

Analizando los dos dominios involucrados en las redirecciones de phishing, detectamos que uno de ellos (el mensaje SMS) está registrado con datos de Perú, pero con domicilio en Av. Malvinas Argentinas; punto coincidente con la ubicación señalada en el mapa, donde supuestamente (lejos de ser cierto) se encontró el celular robado.

Los dominios involucrados muestran los siguientes datos de registro:

Ambos dominios fueron registrados en los últimos 60 días y con URLs que claramente dan indicios de la intención de ser utilizados para engaños del tipo ingeniería social. Ambas páginas en su nivel superior no muestran ningún sitio activo, excepto cuando se accede a través de enlaces completos con subdominios.

Adicionalmente, cuando analizamos la IP del servidor encontramos que en esta dirección (ahora fuera de línea) estaban alojados otros dos sitios, los cuales fueron claramente creados para realizar campañas de phishing:

Como muchas veces sucede en los ataques de ingeniería social dirícios, en este caso los delincuentes (presumiblemente no los mismos arrebatadores, sino donde terminan los equipos robados) contaban con el número teléfono de la victimia. Esto les permitió enviar un mensaje SMS estilo pesca submarina para intentar aprovecharse del momento de vulnerabilidad por el que estaba travesando a la víctima, quien probabilita haya estado pasando por un momento de estres y su criterio de seguridad hubiera estado equivocado por estar pendiente de novedades respecto a su teléfono; una combinación letal a la hora de pensar en la seguridad personal.

La principal recomendación es que, al igual que en los correos de phishing tradicionales que llegan por correo electrónico, nunca hay que hacer clic en enlaces que recibimos sin antes verificar su procedenciasu veracidad y comprador que sea de un sitio oficial.

En este caso, lo que debería haber hecho la víctima del robo del iPhone es acceder al sitio de iCloud de forma manual y realizar los pasos necesarios para utilizar el servicio de búsqueda de dispositivos móviles. De esta manera, podría haber corroborado (o no) si su dispositivo se encontró activo y ubicapable en algún lugar.

Hace un tiempo, WeLiveSecurity publicó un artículo sobre un caso similar que involucró el robo de un celular y el intento de capturar el ID de Apple, aunque en ese caso no se solicitó la contraseña para desbloquear el dispositivo. Esto último deja en evidencia cómo los ciberdelincuentes buscan continuamente mejorar sus prácticas y adaptarlas al avance de la tecnología y parámetros de seguridad de los dispositivos.

Y por supuesto, no podemos dejar el consejo de denunciar estos hechos, tanto el robo del dispositivo como el de datos los personales cuando somos víctimas de un phishing.

Para obtener más información, aprenda cómo denunciar un delito informático.