spatele

Analizăm un caz specific de phishing care ajunge la victima unui furt de iPhone prin SMS, care caută să fure acreditările iCloud și cheia de deblocare

Aceasta ar putea fi doar o cronică a poliției despre ceea ce a fost un simplu furt al unui telefon mobil pe drumurile publice și nu ar corespunde problemelor pe care le abordăm de obicei din securitatea computerului. Cu toate acestea, ceva curios s-a întâmplat după furtul unui iPhone unui cunoscut, care în câteva ore ajunge la numărul său de telefon, pe care îl activase deja pe un alt dispozitiv, un SMS care vă informează că dispozitivul dvs. iPhone a fost localizat.

Mesaj SMS fraudulos care ajunge la victimă, indicând faptul că iPhone-ul a fost localizat

Înainte de amestecul de uimire și bucurie, victima nu și-a dat seama că adresa la care a fost invitat să acceseze prin mesaj nu corespunde deloc unui site oficial Apple, ci că a dus direct la un site fals care simulează a fi pagina oficială a companiei și unde i-au cerut să includă acreditările sale de utilizator.

Pagina falsă iCloud caută să fure datele de conectare ale victimei

După cum se poate vedea în imagine, domeniul care apare în URL nu corespunde unui site oficial, în ciuda aspectului similar și a utilizării cuvintelor cunoscute pentru a da adevărului înșelăciunii și că victima cade în capcană. Din păcate, persoana care a desfășurat acest eveniment a căzut în capcană și, prin urmare, a trimis mesajul laboratorului ESET pentru analiză. Pentru a face acest lucru, a trebuit să schimbăm ultimele caractere ale linkului pentru a ajunge pe site-ul activ, ceea ce arată că linkurile individuale sunt trimise către o victimă a furtului unuia dintre aceste dispozitive, urmărind o monitorizare mai mare a fiecărei victime potențiale.

Site-ul fals nu validează dacă acreditările introduse sunt corecte

Singurul obiectiv al paginii este de a fura acreditările, deoarece așa cum se poate vedea în imaginea anterioară, atunci când introduceți orice informație, site-ul nu validează dacă acreditările introduse sunt corecte, ci dimpotrivă, invită utilizatorul să încorporeze tasta de deblocare a telefonului mobil.

Site-ul fals cere victimei să introducă cheia de deblocare a dispozitivului.

Din nou, pe cale de analiză, introducem orice cod, clarificând faptul că orice victimă nebănuită care ajunge la această instanță și-ar fi livrat deja acreditările iCloud și cheia de deblocare a telefonului mobil și spre surprinderea analizei (și a situației care a dus la victima acestui caz pentru a realiza că a fost un phishing) pagina direcționează către o locație din Google Maps.

Locația pe hărțile Google unde se presupune că este localizat dispozitivul furat

În acest caz specific, este un punct situat în provincia Córdoba, în Argentina; care în sine nu spune nimic.

Analizând cele două domenii implicate în redirecționările de phishing, am detectat că unul dintre ele (cel cu mesajul SMS) este înregistrat cu date din Peru, dar cu o adresă pe strada Av. Malvinas Argentinas; punct care coincide cu locația indicată pe hartă, unde se presupune (departe de a fi adevărat) telefonul mobil furat.

Domeniile implicate prezintă următoarele date de înregistrare:

Date de înregistrare a domeniului

Date de înregistrare a domeniului

Ambele domenii au fost înregistrate în ultimele 60 de zile și cu adrese URL care indică în mod clar intenția de a fi utilizate pentru păcăleli de tipul ingineriei sociale. Ambele pagini de la nivelul lor superior nu afișează niciun site activ, cu excepția cazului în care sunt accesate prin linkurile complete cu subdomenii.

În plus, când am analizat adresa IP a serverului, am constatat că alte două site-uri erau găzduite la această adresă (azi offline), care au fost create în mod clar pentru a desfășura campanii de phishing:

Analiza adresei IP arată că alte site-uri care identificau Apple au fost găzduite pe acest domeniu

Așa cum se întâmplă adesea în atacurile de inginerie socială vizate, în acest caz infractorii (probabil nu atacatorii înșiși, dar acolo unde ajung echipamentele furate) aveau numărul de telefon al victimei. Acest lucru le-a permis să trimită un mesaj SMS în stil spearphishing pentru a încerca să profite de momentul vulnerabilității prin care trecea victima, care a trecut probabil printr-un moment de stres și criteriile lor de securitate ar fi fost greșite datorită faptului că erau conștienți de știri cu privire la telefonul lor; o combinație letală atunci când vine vorba de siguranța personală.

Principala recomandare este ca, la fel ca în e-mailurile tradiționale de phishing care ajung prin e-mail, nu trebuie să faceți clic pe linkurile pe care le primim fără a verifica mai întâi originea lor, veridicitatea și verificați dacă provine de pe un site oficial.

În acest caz, ceea ce ar fi trebuit să facă victima furtului iPhone-ului este să acceseze manual site-ul iCloud și să efectueze pașii necesari pentru a utiliza serviciul de căutare al dispozitivului mobil. În acest fel, ați fi putut confirma (sau nu) dacă dispozitivul dvs. era activ și localizabil undeva.

Cu ceva timp în urmă, în WeLiveSecurity am publicat un articol de caz similar care implica furtul unui telefon mobil și încercarea de a captura ID-ul Apple, deși în acel moment nu era solicitată parola de deblocare a echipamentului. Acesta din urmă dezvăluie modul în care infractorii cibernetici încearcă continuu să-și îmbunătățească practicile și să le adapteze la avansarea tehnologiei și a parametrilor de securitate a dispozitivelor.

Și, desigur, nu putem ignora sfaturile de raportare a acestor fapte, atât furtul dispozitivului, cât și furtul de date cu caracter personal atunci când suntem victime ale phishingului.