Menú principal

miércoles, 29 de abril de 2015

Warning! Phishing para capturar tu Apple ID en Internet

No sabemos desde cuando existe un phishing de Apple con el que se pretende que diferentes usuarios proporcionen sus credenciales, podemos encontrarlo en este sitio web. Como podemos ver hay elementos visuales que ya nos harán desconfiar del sitio web, por ejemplo el icono del candado que indica que el sitio web es 100% seguro, cuando el protocolo utilizado para las conexiones es simplemente HTTP. Más detalles son la falta de copyright en el sitio web o la falta de la propia marca. Está lejos de ser un phishing difícil de diferenciar, aunque si que puede llevar a engaño para mucho usuarios. 

El dominio tampoco ayuda y es que un sitio web de Apple que se encuentre fuera del dominio apple.com o icloud.com ya es raro, pero ver un dominio el cual se donomina app-iphone.org llama mucho la atención. Además, el dominio org no ayuda a relacionarlo con algo de Apple. Analizando un pcoo el entorno en el que se mueve el sitio web vemos que el login lo encontramos en la dirección URL http://app-iphone.org/style/lose/, mientras que si subimos un nivel o vamos a la raíz no encontramos nada. Esto vuelve a indicarnos que meter las credenciales en ese sitio web no es buena idea.

Figura 1: Phishing de Apple en Internet

Viendo un poco por encima y probando a buscar información sobre el dominio con Whois podemos encontrar algo de información. Por ejemplo, podemos ver como el registro está a nombre de una persona en concreto, el cual a priori parece de nacionalidad francesa, debido a que el correo con el que lo registró pertenece a Hotmail bajo su dominio francés, hotmail.fr.

La prueba con Whois permite también saber la dirección postal de la persona que ha registrado el dominio, al menos alguna que es utilizada por él. El nombre de la organización también lo podemos sacar, siempre y cuando ésta sea real. Todos estos datos siempre pueden ser falseados, pero puede que esta persona no haya mentido. De todos modos, puede que este phishing pueda haber sido puesto por otro usuario malintencionado y que no sea la persona que sale en los datos del Whois.

Figura 2: Datos obtenidos del Whois

También podemos encontrar indicios de que esto es un phishing en la dirección IP de la máquina que alberga el sitio web en cuestión. Si ejecutamos en Bing la consulta ip:[dirección IP] podemos obtener el listado de dominios que Bing tiene almacenado que responden a esa dirección IP. Como podemos ver en la imagen, podríamos quedar sorprendidos del número de dominios que comparten IP y hosting con el sitio web.

Figura 3: Dominios que comparten hosting con el phishing

Por último, no podíamos quedarnos sin probar como funcionaba el formulario que presenta el sitio web falso. Para ver un poco la petición y ver si había alguna anomalía, utilizábamos el proxy ZAProxy. En la imagen se puede ver como los datos son evniados por POST a un sitio web y, suponemos, que serán almacenados.

Figura 4: Petición con usuario y contraseña

La sorpresa viene a continuación, se descubre otro recurso tras haber introducido una contraseña cualquiera, ya que somos redirigidos a otro recurso, denominado Find my iPhone, el cual no tiene mucho que ver con el original.

Figura 5: Segundo phishing en el mismo sitio

El phishing se ubica en la siguiente URL http://app-iphone.org/style/lose/find/ y de nuevo podemos ver cómo los detalles hacen fallar. Hay que tener en cuenta que si introducimos datos en este formulario, esta vez, nos redirigirán al dominio dónde los usuarios de Apple se autentican de verdad. En el momento de hacer este artículo los navegadores como Google Chrome no estaban anunciando esto como phishing por lo que queremos avisar de que esta amenaza está en Internet.

1 comentario:

  1. Se podría intentar meter basura en ese login para fastidiarle la database al tio...

    ResponderEliminar

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares