Os cibercriminosos realizam phishing com credenciais do iCloud das vítimas de roubo de iphones e ipads
Hackers criaram sites de phishing para enganar os usuários cujos dispositivos iOS foram perdidos ou roubados, para assim liberar suas credenciais do iCloud.
Os cibercriminosos criaram recentemente vários sites de phishing a fim de enganar os proprietários de dispositivos iOS e fazê-los fornecer credenciais de login para suas contas do iCloud. Os hackers parecem focar nos usuários cujos iPads e iPhones foram perdidos ou roubados. É possível que os hackers estejam executando esta operação de phishing como parte de um serviço para ladrões de dispositivos iOS em fóruns clandestinos.
Em um caso particular, uma vítima de roubo de iPad recebeu uma mensagem não solicitada, informando-o que o seu tablet tinha sido encontrado. A mensagem, então, instruiu-o a clicar em um link para descobrir a localização de seu iPad.
Figura 1. Mensagem enviada para a vítima de roubo de iPad
Como o termo “i-cloud” está incluído na URL fornecida nas mensagens fraudulentas, o usuário pode ser enganado e presumir que a ligação é para o site oficial da Apple iCloud. No entanto, em vez disso, a URL redireciona o usuário para um site de phishing que inclui “icloud” na URL e imita a aparência da página verdadeira de login do iCloud.
Figura 2. Página falsa de login do iCloud
Figura 3. Página real de login do iCloud
Os scammers não são apenas alvo dos proprietários de dispositivos iOS que falam um idioma específico. Os sites de phishing estão disponíveis em dez idiomas diferentes: inglês, espanhol, italiano, francês, alemão, português, chinês, russo, vietnamita e indonésio.
Figura 4. Script que direciona a linguagem do site de phishing
Por que se concentrar em vítimas de roubo de dispositivos iOS?
O recurso do iOS "Find My iPhone” inclui o “Modo Perdido”, que permite aos usuários bloquear seus dispositivos se tiverem seus aparelhos perdidos ou roubados. Durante o processo de configuração deste recurso, os usuários recebem uma opção para escrever uma mensagem que será exibida na tela de bloqueio. Eles podem incluir um número de telefone, que permite que qualquer pessoa que encontre o dispositivo entre em contato com o proprietário e saiba onde o dispositivo está.
Se o usuário consegue obter o seu dispositivo de volta, pode desativar o “Modo Perdido” de duas maneiras: inserindo o código de acesso pre-definido no dispositivo ou realizando o login em sua conta do iCloud a partir de um dispositivo disponível e desativar este modo. Até que o “Modo Perdido” seja desativado, o smartphone ou o tablet fica inutilizado.
Desta forma, o objetivo dos hackers é adquirir as credenciais de iCloud do usuário a fim de desativar o “Modo Perdido” e tornar o dispositivo roubado utilizável. Enquanto o “Modo Perdido” estiver ativado, os hackers podem aproveitar as informações fornecidas nas telas de dispositivos perdidos ou roubados. Se o usuário tiver incluído um número de telefone na tela de bloqueio, os criminosos enviam uma notificação falsa para este número. Os proprietários que estão emocionalmente abalados devido à perda de seu aparelho podem facilmente cair no golpe, no desespero de obter o seu dispositivo de volta.
O grupo criminoso poderia realizar esse esquema de phishing como parte de um serviço para ladrões que procuram desbloquear dispositivos roubados. O sistema clandestino sempre tem demandas para tal serviço e, se há demanda, há alguém que normalmente proporciona o fornecimento.
Proteção
Os usuários devem respeitar os seguintes conselhos se quiserem evitar essa fraude:
Seja cauteloso ao receber mensagens não solicitadas de fontes desconhecidas e examine cuidadosamente as URLs de sites visitados.
Use uma senha forte para proteger os dispositivos móveis. É recomendado uma senha alfanumérica complexa; senhas de quatro dígitos podem não ser suficientemente seguras se um dispositivo for perdido ou roubado. Qualquer um com vontade e tempo para realizar tentativas pode adivinhar ou forçar o acesso a um dispositivo.
Os usuários do Norton estão protegidos contra esses sites de phishing através do serviço de Safe Web.