Oleada de Phishing está robando credenciales de Apple ID y tarjetas de crédito
La compañía de detección de amenazas informáticas ESET identificó un correo en el que se descubre un nuevo intento de robo de información asociada a las credenciales de acceso de Apple ID y al número de tarjeta de crédito asociado a la misma cuenta.
Las campañas de phishing, ataque de Ingeniería Social con el objetivo de adquirir fraudulentamente información personal y/o confidencial donde el estafador se hace pasar por una persona o empresa de confianza utilizando una aparente comunicación oficial, no son novedad. Lo que los investigadores de ESET destacan en particular es que el correo falso se recibe poco tiempo después de haber realizado un cambio o recuperación de la contraseña del servicio Apple ID. Esta es una práctica de ataque dirigida a clientes que interactúan de alguna manera con Apple ID, como sucedió recientemente con la campaña que atacaba a usuarios victimas de robo de celulares.
El engaño se origina desde la recepción de un correo electrónico. Al analizar en detalle el mensaje se destacan ciertos puntos sospechosos: el remitente a pesar de identificarse como ICloud, la dirección de correo no coincide con la oficial, luego se observa que el correo no es dirigido a un usuario en particular sino a «Estimado Cliente» y, por último, la firma impersonal y con errores de redacción pueden dar cuenta de la falsedad del envío.
Este tipo de engaño fué realizado traz el proceso de recuperación de su contraseña del servicio Apple ID, dando a entender que el ataque es dirigido a clientes que de alguna manera interactúan con Apple ID; algo similar a lo que vimos hace un par de meses cuando hablamos de la campaña que atacaba a usuarios victimas del robo de un iPhone.
En este caso en particular, el engaño comienza con la recepción del siguiente correo electrónico.
Imagen 1. Correo inicial que llega a la víctima en el que se destacan algunos elementos que dan señales de que estamos ante un posible engaño
Analizando en detalle el mensaje, lo primero que observamos y que debería servir como señal de alerta para indicarnos que estamos frente a un posible engaño son los campos que destacamos con un recuadro rojo. Como se puede apreciar, la dirección de correo del remitente, a pesar de “llamarse” ICloud, no coincide para nada con la oficial. Se puede apreciar también que el correo no es dirigido a alguien en particular, ya que dice “Estimado Cliente”. Por último, la firma completamente impersonal y mal redactada al punto de decir solo “Apple”.
De no mediar el reciente cambio de contraseña realizado en ICloud, el usuario hubiera automáticamente descartado el mensaje o al menos observado con más detenimiento de qué se trataba el correo. Igualmente, realizamos la prueba de seguir el proceso que propone el engaño para ver cómo continúa. Por lo tanto, accediendo al botón de “Revisar tu cuenta” llegamos a la siguiente landing page.
Imagen 2. Falsa página que suplanta la identidad del sitio legítimo de Apple ID para administrar credenciales
Como se puede observar, una página activa, que copia a la perfección la página legítima de administración de credenciales de Apple, pero que tal como observa en su URL, nada tiene que ver con la página oficial. Aún así, seguimos adelante para ver el alcance de esta campaña.
Imagen 3. Falsa página solicita ingresar las credenciales de acceso de la víctima
Probamos ingresando cualquier dato y verificamos que tiene un script de longitud de contraseña, ya que solicita que se ingresen como mínimo seis dígitos. Una vez que cumplimos con esta condición se informa a la víctima lo que “supuestamente” sucedió con la cuenta.
Imagen 4. Mensaje de la campaña en el que explica los supuestos motivos del bloqueo de la cuenta.
Imagen 5. Formulario para que la víctima ingrese sus datos de forma completa.
Si la víctima continúa el proceso la campaña intentará que usuarios desprevenidos ingresen toda su información personal.
Lo particular de este formulario es que, al igual que ocurre con la etapa de verificación de clave, está configurado para corroborar que el número de tarjeta de crédito tenga la forma correcta. Para el análisis del engaño en nuestro caso utilizamos un generador aleatorio de números de tarjeta.
Al ingresar todos los datos se despliega la siguiente pantalla indicando que el proceso de verificación se completó.
Imagen 6. Pantalla que indica que el proceso de verificación se completó.
El sistema amablemente informa que la cuenta fue verificada correctamente y redirecciona a la víctima a la página oficial de Apple ID.
Imagen 7: Sitio legítimo al cual es redireccionada la víctima luego de que completa todos los pasos
Como se puede apreciar observando el sitio legítimo, la página falsa personificaba a la perfección el sitio oficial, obligando a que para darse cuenta del engaño el usuario deba ser conocedor de las buenas prácticas y sepa que no solo está navegando en un sitio con certificado SSL y que la dirección empieza con HTTPS, sino que también el certificado esta emitido a nombre de la empresa que representa, como se puede observar en el sitio oficial con el nombre de la empresa responsable del certificado que aparece a la derecha del candado.
Respecto del dominio utilizado para este robo de información, se puede observar que el mismo fue registrado el día anterior del envío de los mensajes y con la información reservada respecto de su propietario.
Imagen 8. Información sobre el dominio utilizado como parte de la campaña
No hay nada que indique una relación entre el pedido de cambio de clave que realizó el usuario que envío el mensaje al Laboratorio con la recepción del correo de phishing. Todo indicaría que se trata de una campaña completamente masiva, que busca justamente captar usuarios que interactuaron recientemente con su cuenta y esto los haga controlar menos la veracidad del mensaje recibido.
Como muchas veces sucede en los ataques de ingeniería social dirigidos, en este caso los estafadores intentar aprovecharse del momento de vulnerabilidad por el que está pasando la victima que solicitó el cambio de clave y que probablemente haya bajado la guardia por estar pendiente de novedades respecto de su cuenta; una combinación letal a la hora de pensar en la seguridad personal.
La principal recomendación es que, al igual que en los correos de phishing tradicionales que llegan por correo electrónico, nunca hay que hacer clic en enlaces que recibimos sin antes verificar su procedencia, su veracidad y comprobar que sea de un sitio oficial.
En este caso, lo que debería haber hecho el usuario es acceder manualmente al sitio de iCloud y verificar si su cuenta está en orden.
Y por supuesto, no podemos dejar de lado el consejo de denunciar estos hechos, así como el robo de datos los personales cuando somos víctimas de un phishing.
Para más información, conozca cómo denunciar un delito informático.
Fuente: ESET