S21sec detectó en México una nueva modalidad de phishing ligada al robo de iPhones en el transporte público, en la que los criminales intentan engañar a los usuarios para suplantar su identidad. Esta nueva variedad de fraude utiliza mensajes con la apariencia del diseño original de la empresa fabricante.
El proveedor de soluciones de protección y ciberseguridad S21sec viene siguiendo reportes de una nueva modalidad de fraude tipo phishing (usurpación de identidad) relacionado con el hurto de dispositivos móviles iPhone, registrado en el transporte público de la Ciudad de México. La práctica del fraude intenta convencer a la víctima de compartir información personal con el pretexto de localizar su dispositivo robado, a través de mensajes firmados supuestamente por Soporte Apple.
Cuando víctima solicita a la empresa de telefonía que le brinda servicio un nuevo chip para recuperar su línea, y tras ser colocado este en un equipo nuevo, comienza a recibir avisos donde se le pide acceder a un enlace para ubicar su iPhone robado. Los mensajes poseen un diseño y tipografía similares a los usados en las comunicaciones oficiales de la empresa fabricante, lo que aumenta el riesgo de compartir la contraseña para acceder al dispositivo y a toda la información guardada en este.
Phishing “Soporte Apple”, paso a paso
1. El iPhone es robado mientras el usuario viaja en transporte público.
2. La víctima cancela el chip y solicita uno nuevo a su proveedor de servicio de telefonía.
3. Al colocar el chip en un nuevo dispositivo, comienza a recibir mensajes con un enlace a través del cual supuestamente podrá localizar su dispositivo; el número telefónico desde donde se envían estos avisos es ocultado por una máscara informática que cambia los dígitos.
4. Al dar clic en el enlace, este redirecciona a una página web que solicita el código de acceso del dispositivo, con el pretexto de “bloquear el iPhone perdido”.
5. Tras ingresar el código, la página pide también la contraseña para acceder a los servicios de iCloud del usuario, con el supuesto fin de “bloquear la activación”.
6. Si la víctima hace caso omiso, los criminales envían nuevos mensajes para incrementar el sentido de urgencia, firmados en nombre de Soporte iCloud.
7. Al ingresar en ese nuevo enlace, la página redirecciona a un sitio web bastante similar al oficial de iCloud y solicita el ID de Apple del usuario.
Incluso una semana después de efectuado el robo, si la víctima aún no cae en el engaño, los criminales pueden enviar mensajes de audio pregrabados desde un número marcado como desconocido para avisar que existe el peligro de que la cuenta sea “hackeada”, e informando que enviarán un enlace para protegerla.
Al buscar en los códigos de programación de los enlaces compartidos por los asaltantes, los expertos en ciberseguridad de S21sec encontraron directorios no protegidos donde se alojan las imágenes utilizadas para crear las páginas web antes mencionadas, que en realidad son screenshots (capturas de pantalla) de los sitios oficiales de la empresa fabricante, así como los audios de los mensajes pregrabados en formato wav.
Este tipo de fraude es una respuesta ante las medidas de seguridad que ofrecen los modelos recientes de iPhone, como reconocimiento facial, el cual dificulta a las personas ajenas el acceso al contenido del dispositivo.
El robo de teléfonos celulares, que está alcanzando cifras récord en el transporte público de la Ciudad de México, no solo supone la pérdida de la inversión que un usuario realiza al momento de adquirir uno de estos dispositivos: también conlleva el riesgo de que sus datos personales puedan caer en manos del crimen organizado.
Manuel Macías, Security Consultant de S21sec, aconseja seguir los pasos de protección básicos para evitar el phishing en este tipo de situaciones: “Es necesario aprender a identificar las direcciones URL que parecen sospechosas y revisarlas a conciencia antes de compartir nuestros datos. Además, los mensajes enviados en este tipo de fraude suelen mostrar faltas de ortografía, como ausencia de acentos con tilde, y las empresas originales son muy cuidadosas en la redacción de sus comunicados oficiales”.
Agrega Macías: “Una empresa establecida jamás enviará mensajes con hipervínculos que redireccionen a una página web para solicitar datos personales, como contraseñas de cuentas y servicios. Ante cualquier duda, por mínima que sea, lo mejor es ser prudente y contactar directamente al área de soporte de la empresa fabricante”.