En las últimas semanas Symantec ha identificado que cibercriminales han creado múltiples páginas web falsas para engañar a los propietarios de dispositivos iOS a dar sus credenciales de acceso de sus cuentas de iCloud y robárselas. Los atacantes parecen concentrarse especialmente en los usuarios que han perdido o han sufrido el robo de sus iPads y iPhones. Es posible que los atacantes estén llevando a cabo esta operación de phishing como parte del servicio para ladrones de equipos iOS que se ofrece en foros clandestinos.
En un caso particular identificado, la víctima sufrió el robo de su iPad y posteriormente recibió un mensaje no solicitado informándole que habían encontrado su tablet. El mensaje le indicaba que debía hacer clic en una liga específica para ver la ubicación de su equipo robado.
Imagen 1. Mensaje enviado a la víctima de robo de iPad
Dado que el término “i-cloud” aparece en la dirección URL incluida en el mensaje fraudulento, el usuario puede caer en el engaño al asumir que la comunicación viene del sitio oficial de iCloud de Apple. Sin embargo, la dirección lleva al usuario a un sitio de phishing que incluye la palabra “icloud” en la dirección URL y que es muy parecida a la página de acceso real de iCloud.
Figure 2. Fake iCloud login page
Imagen 2. Página falsa de acceso a iCloud
Imagen 3. Página real de acceso a iCloud
Los estafadores están dirigiendo sus ataques a propietarios de iOS que hablan un idioma específico. Y Symantec ha identificado que los sitios falsos de iCloud están disponibles en diez diferentes idiomas incluidos: inglés, español, portugués, italiano, francés, alemán, chino y ruso, entre otros.
Imagen 4. Script que determina el idioma del sitio de falso
¿Por qué atacar a quienes les han robado un dispositivo iOS?
La función “Find My iPhone” (Encuentra mi iPhone) de iOS incluye el “Modo Perdido” (Lost Mode), el cual permite que los usuarios bloqueen sus equipos en caso de pérdida o robo. Durante el proceso para configurar esta modalidad, los usuarios pueden escribir un mensaje que aparecerá en la pantalla bloqueada, el cual puede incluir un número de teléfono, permitiendo que cualquier persona que lo encuentre contacte al usuario y le permita saber dónde está su dispositivo.
Si el usuario consigue recuperar su equipo, el “Modo Perdido” se puede desactivar solo de dos formas: ingresando de forma física la contraseña preestablecida o entrando a su cuenta de iCloud desde otro equipo y deshabilitar dicho modo. Mientras el “Lost Mode” esté habilitado el smartphone o tableta es prácticamente inútil.
En esta campaña, el objetivo de los atacantes es conseguir las credenciales de iCloud para desactivar el “Modo Perdido” para que puedan utilizar de nuevo el equipo robado.
Mientras el "Modo Perdido" esté activado, los delincuentes pueden aprovechar los datos que aparecen en las pantallas de los dispositivos perdidos o robados. Si el usuario ha incluido un número de teléfono en la pantalla de bloqueo, los delincuentes podrán enviar la notificación falsa a ese número y los propietarios que estén angustiados por la pérdida de su iPhone o iPad pueden caer fácilmente en la trampa, dada la ansiedad por recuperar su dispositivo.
El grupo criminal detrás de esta acción internacional podría estar llevándola a cabo como parte de un servicio para los ladrones que necesitan desbloquear los dispositivos que han robado. En el mercado negro siempre hay demanda de este y otros servicios y donde hay una necesidad, alguien suele ofrecer la forma de resolverla.
Protección
Los usuarios deben seguir los siguientes consejos para prevenir caer en este tipo de estafa:
- Estar atentos y ser cautelosos cuando reciban mensajes no solicitados de usuarios desconocidos.
- Examinar cuidadosamente las URL de los sitios que visitan para asegurar que están entrando al sitio que realmente quieren.
- Usar una contraseña fuerte para proteger los dispositivos móviles. Se recomienda usar contraseñas alfanuméricas de al menos 8 caracteres, los códigos de cuatro dígitos pueden ser insuficientes si un dispositivo se pierde o si se los roban. Cualquiera puede adivinar o forzar el acceso si tiene la voluntad y el tiempo para intentarlo.
Los usuarios de Norton están protegidos contra estos sitios falsos (phishing) a través del servicio Safe Web.