Esto bien podría ser únicamente una crónica policial de lo que fue un simple robo de un celular en la vía publica, y no correspondería a las temáticas que solemos abordamos desde la seguridad informática. Sin embargo, algo curioso sucedió a partir del robo de un iPhone a un conocido, a quien a las pocas horas le llega a su número de teléfono, que ya había activado en otro aparato, un SMS informándole que su dispositivo iPhone había sido localizado..

 

Mensaje SMS fraudulento que llega a la víctima indicando que su iPhone ha sido localizado

Ante la mezcla de asombro y alegría, la víctima no se percató de que la dirección a la que lo invitaban a acceder a través del mensaje no correspondía para nada a un sitio oficial de la Apple, sino que lo llevaba directamente a un falso sitio que simulaba ser la página oficial de la compañía y donde le solicitaron incluir sus credenciales de usuario.

Falsa página de iCloud busca robar credenciales de acceso de la víctima

Como se puede apreciar en la imagen, el dominio que figura en la URL no corresponde a un sitio oficial, a pesar del aspecto similar semejanza y de utilizar palabras conocidas para darle veracidad al engaño y que la víctima caiga en la trampa. Lamentablemente, la persona que protagonizó este hecho cayó en la trampa y por eso hizo llegar al laboratorio de ESET el mensaje para su análisis. Para ello, debimos cambiar los últimos caracteres del enlace para llegar al sitio activo, lo que demuestra que se envían enlaces individuales a víctima del robo de uno de estos dispositivos, buscando un mayor seguimiento de cada potencial víctima.

El falso sitio no valida si las credenciales ingresadas son las correctas

El único objetivo de la página es robar las credenciales, ya que como se puede apreciar en la imagen anterior, al ingresar cualquier información, el sitio no valida si las credenciales ingresadas son las correctas, sino todo lo contrario, invita al usuario a incorporar la clave de desbloqueo del celular.

Falso sitio solicita a la víctima ingresar la clave de desbloqueo del dispositivo.

Nuevamente, a modo de análisis introducimos cualquier código, aclarando que cualquier victima desprevenida que llegue a esta instancia ya habría entregado sus credenciales de iCloud y la clave de desbloqueo del celular, y para sorpresa del análisis (y situación que llevo a la víctima de este caso a darse cuenta que se trataba de un phishing) la página direcciona a una ubicación en Google maps.

Ubicación en Google maps donde supuestamente se encuentra el dispositivo robado

En este caso puntual, se trata de un punto ubicado en la provincia de Córdoba, en Argentina; que en sí mismo no dice nada.

Analizando los dos dominios involucrados en las redirecciones del phishing detectamos que uno de ellos (el del mensaje SMS) está registrado con datos de Perú, pero con un domicilio en la calle Av. Malvinas Argentinas; punto coincidente con la ubicación señalada en el mapa, donde supuestamente (lejos de ser cierto) se encontraba el celular robado.

Los dominios involucrados muestran los siguientes datos de registro:

Datos de registro del dominio

Datos de registro del dominio

Ambos dominios fueron registrados en los últimos 60 días y con URLs que claramente dan indicios de la intención de ser utilizadas para engaños del tipo ingeniería social. Ambas páginas en su nivel superior no muestran ningún sitio activo, salvo cuando se accede a través de los links completos con subdominios.

Adicionalmente, cuando analizamos la IP del servidor constatamos que otros dos sitios fueron alojados en esta dirección (hoy fuera de línea), los cuales claramente se crearon para realizar campañas de phishing:

Análisis de la dirección IP muestra que otros sitios que suplantan la identidad de Apple fueron alojados en este dominio

Como muchas veces sucede en los ataque de ingeniería social dirigidos, en este caso los delincuentes (presumiblemente no los mismos arrebatadores, sino donde terminan los equipos robados) contaban con el número de teléfono de la víctima. Esto les permitió enviar un mensaje SMS estilo spearphishing para intentar aprovecharse del momento de vulnerabilidad por el que estaba atravesando la víctima, quien probablemente haya estado pasando por un momento de estrés y sus criterios de seguridad habrían sido equivocados por estar pendiente de novedades respecto de su teléfono; una combinación letal a la hora de pensar en la seguridad personal.

La principal recomendación es que, al igual que en los correos de phishing tradicionales que llegan por correo electrónico, nunca hay que hacer clic en enlaces que recibimos sin antes verificar su procedencia, su veracidad y comprobar que sea de un sitio oficial.

En este caso, lo que debería haber hecho la víctima del robo del iPhone es acceder manualmente al sitio de iCloud y realizar los pasos necesarios para utilizar el servicio de búsqueda del dispositivo móvil. De esta manera, podría haber corroborar (o no) si su dispositivo se encontraba activo y ubicable en algún lugar.

Hace un tiempo, en WeLiveSecurity publicamos un artículo caso similar que involucraba el robo de un celular y el intento de capturar el Apple ID, aunque en esa oportunidad no se solicitaba la contraseña de desbloqueo del equipo. Esto último deja en evidencia cómo los ciberdelincuentes buscan continuamente mejorar sus prácticas y adecuarlas al avance de la tecnología y los parámetros de seguridad de los dispositivos.

Y por supuesto, no podemos dejar de lado el consejo de denunciar estos hechos, tanto el robo del dispositivo como el de datos los personales cuando somos víctimas de un phishing.

Para más información, conozca cómo denunciar un delito informático.