El laboratorio de Investigación de ESET identificó un correo en el que se halló un nuevo intento de robo de información asociada a las credenciales de acceso de Apple ID y al número de tarjeta de crédito asociado a la misma cuenta.
Las campañas de phishing, ataque de ingeniería social que busca adquirir fraudulentamente información personal y/o confidencial, y en donde el estafador se hace pasar por una persona o empresa de confianza utilizando una aparente comunicación oficial, no son novedad.
Sin embargo, lo que los investigadores de ESET destacan en particular de este caso es que el correo falso se recibe poco tiempo después de haber realizado la recuperación de la contraseña del servicio Apple ID. Esta es una práctica de ataque dirigida a clientes que interactúan de alguna manera con Apple ID, como sucedió recientemente con la campaña que atacaba a usuarios victimas de robo de celulares.
El engaño se origina desde la recepción de un correo electrónico. Al analizar en detalle el mensaje se destacan ciertos puntos sospechosos: el remitente a pesar de identificarse como ICloud, la dirección de correo no coincide con la oficial, luego se observa que el correo no es dirigido a un usuario en particular sino a “Estimado Cliente” y, por último, la firma impersonal y con errores de redacción pueden dar cuenta de la falsedad del envío.
El hecho de que el usuario haya realizado un reciente cambio de contraseña en ICloud, puede llevar a desestimar los puntos de sospecha y seguir las indicaciones del correo. Al acceder al botón de “Revisar tu cuenta” la persona es dirigida a otra landing page.
La página activa copia a la perfección la página actual de administración de credenciales de la empresa. No obstante, su URL no tiene tiene ninguna relación con el sitio oficial. Si se continúa con el engaño, llega al punto de solicitar las credenciales de acceso.
Al ingresar cualquier dato de prueba, una ventana alerta sobre el bloqueo de la cuenta ingresada por motivos de seguridad. A continuación, se le solicita al usuario un desbloqueo que consiste en ingresar información personal, incluidos los datos de la tarjeta de crédito vinculada con la cuenta.
Al ingresar todos los datos y continuar con la prueba con la finalidad de ver si ocurría algo más, el sistema informa que la cuenta fue verificada correctamente y redirecciona ahora sí a la página real y oficial de Apple.
“La página falsa imita a la perfección el sitio oficial, pero es aquí donde hay que recurrir a las buenas practicas, y analizar que no solo se está navegando en un sitio con certificado SSL, que la dirección empieza con HTTPS, sino que también el certificado esté emitido a nombre de la empresa que representa, como se puede observar en el sitio oficial inclusive a la derecha del candado aparece inmediatamente el nombre de la empresa responsable del certificado”, comentó Luis Lubeck, especialista en seguridad informática de ESET Latinoamérica.
Según la investigación de ESET, no hay indicio de una relación entre el pedido de cambio de clave por parte del usuario y la recepción del correo de phishing, sino que se trataría de una campaña masiva, que busca captar usuarios que interactúan con su cuenta y esto provoque un menor control sobre la veracidad del mensaje recibido.
“Como muchas veces sucede en los ataques de ingeniería social dirigidos, en este caso los delincuentes intentar aprovecharse del momento de vulnerabilidad por el que está atravesando la víctima, quien probablemente habría errado en sus criterios de seguridad por estar pendiente de novedades respecto de su cuenta, una combinación letal a la hora de pensar en la seguridad personal. Conocer los riesgos a los que estamos expuestos permite tomar los recaudos necesarios, como prestar atención a mensajes sospechosos, tener los sistemas actualizados y contar con una solución de seguridad para poder disfrutar de Internet de una manera segura”, agrega Lubeck.
Desde ESET se recomienda nunca hacer clic en los enlaces sin antes verificar su procedencia, su veracidad y comprobar que sea de un sitio oficial. En este caso, aconsejan acceder manualmente al sitio de iCloud y verificar si la cuenta está en orden.
