Elaborar ataques de phishing contra propietarios de iPhones robados para extraer contraseñas
Perder tu iPhone puede ser una pesadilla, especialmente cuando tu dispositivo aparece en un país lejano dos meses después de haber desaparecido. Eso es exactamente lo que ocurrió con el usuario de Twitter Phillip Caudell, cuyo iPhone X fue robado en el Reino Unido y terminó en Argel.
Caudell, como la mayoría de los usuarios de iPhone, tenía Find My iPhone habilitado en su dispositivo iOS y esperaba que terminara en manos de un buen samaritano que se pusiera en contacto con él usando el mensaje en pantalla y le entregara su iPhone. Sin embargo, tuvo que lidiar con lo contrario cuando, dos meses después de que su dispositivo desapareciera, recibió un mensaje de texto que parecía provenir del servicio de asistencia técnica de Apple. El mensaje decía «Tu iPhone X Silver 256GB ha sido encontrado y conectado temporalmente a iCloud».
El mensaje de texto también contenía un enlace web que el mensaje decía que le permitiría a Caudell ver la ubicación actual de su iPhone. Cuando se hizo clic en el enlace, se abrió una página web muy similar a la de Apple en la que se pedía al usuario que introdujera su nombre de usuario y contraseña de ID de Apple. El sitio web incluso tenía un nombre de dominio convincente’Apple-Map.com’ para que todo pareciera legítimo.
Casi 2 meses después, mi iPhone robado ha aparecido en Argel! Está bloqueado con un mensaje que dice que me llame si lo encuentra, pero en su lugar los ladrones usaron mi número para enviar un nombre de usuario falso de iCloud (para que puedan desbloquearlo). Inteligente – ¿cuántas personas caen en esto? pic.twitter.com/tkZ4HLE8Gj
– Phillip Caudell (@phillipcaudell) 22 de julio de 2019
Resulta que todo el mensaje y el sitio web al que apuntaba era falso y fue creado por la gente que robó el iPhone de Caudell. Como el iPhone en cuestión tenía el bloqueo de activación de iCloud y sólo podía desbloquearse con el nombre de usuario y la contraseña de Caudell, los ladrones utilizaron el número de teléfono que se mostraba en el dispositivo bloqueado y enviaron un mensaje de texto al propietario del dispositivo haciéndose pasar por Apple. Si Caudell hubiera introducido los datos de su ID de Apple en el sitio web falso, los ladrones habrían recibido la información y utilizado los datos de la cuenta para desbloquear finalmente el iPhone. Fue un pensamiento inteligente de Caudell, que no se dejó engañar por el ataque de phishing y no compartió los detalles de su ID de Apple.
Toda la historia es bastante extraña y muestra cómo se han convertido los ladrones de iPhone expertos en tecnología, ya que el envío de un mensaje falso que muestra que aparece como fue enviado por’Apple’ y la creación de un sitio falso requiere un considerable conocimiento técnico, algo que no se esperaría de los ladrones de todos los días. Además, el hecho de que valga la pena para estos ladrones para establecer como un ataque de phishing elaborado sugiere que se ocupan de un gran número de iPhones robados y Caudell fue sólo una de las muchas víctimas que apuntan sobre una base diaria. Esto también es evidente para otros usuarios que han respondido al tweet de Caudell, con muchos diciendo que cayeron en el mismo ataque de phishing y terminaron dando los detalles de su ID de Apple a personas que robaron sus iPhones.
La lección aquí es que siempre debes mantener activado Buscar mi iPhone en tu iPhone (Settings> Apple ID> iCloud> Find My iPhone) y siempre asegúrate de averiguar los orígenes de un mensaje de texto antes de responder a él. También debe asegurarse de verificar si un sitio web en el que se encuentra pertenece realmente a Apple o a cualquier otra empresa cuyos productos utilice en primer lugar antes de compartir sus datos personales en él.
>
Suscribirse a nuestro canal
Francisco Merchán es el fundado del blog tecnológico Tecnoteka Magacine, respaldado y publicado por la Biblioteca de la Escuela de Ingenieros de Albacete (España), una de las mayores bases de datos de dispositivos electrónicos de código abierto y libres de patentes.