Desde hace unas horas muchos usuarios de Apple están recibiendo algunos correos electrónicos, e incluso algunos SMS, en el que se indica que se ha encontrado su dispositivo iPhone. Los delincuentes pasan al usuario un sitio web para que se introduzcan las credenciales, ya que el dispositivo fue previamente bloqueado por los propietarios del dispositivo con Activation Lock. El objetivo es claro engañar a las personas que han perdido en algún momento su dispositivo y que éstas introduzcan sus credenciales en este tipo de sitios.
El sitio que se presenta al usuario para localizar su iPhone perdido es el que se puede visualizar en la imagen. Como se puede ver tiene un estilo muy similar al de iCloud, el cual puede hacer sentir al usuario como en casa. El dominio debe hacernos desconfiar, e incluso el método de notificarnos que el dispositivo ha sido encontrado es muy extraño, por lo que de primeras sabemos que se trata de una campaña de phishing. La dirección URL http://iphone-localizar.tk no pertenece a Apple.
Figura 1: phishing de iCloud |
Analizando un poco lo que hay detrás podemos hacer una pequeña prueba y ver a dónde van los datos que se introducen aquí. Inventándonos datos en el Apple ID y password utilizamos un proxy para comprobar a que dominio se conecta tras el submit. Tal y como puede verse en la imagen siguiente los datos son enviados a un PHP que se encuentra bajo el dominio icloud-lost.com. De nuevo este dominio no es de Apple.
Figura 2: Análisis de envío de datos |
Desde Seguridad Apple pedimos que los usuarios tengan mucho cuidado con esta campaña de phishing, ya que está siendo utilizada para desbloquear cuentas de dispositivos robados bien por correo electrónico o incluso por iMessage. De momento navegadores como Chrome o Firefox no están incluyendo estos dominios en los listados de sitios no seguros o de phishing, pero esperamos que ocurra pronto como ya se ha hecho con otros.
A mi no me deja entrar a la paguina
ResponderEliminarestoy dispuesto a pagar