Durante este último año se ha incrementando el número de correos electrónicos que forman parte de una campaña activa de phishing que busca robar las credenciales de acceso a Apple ID y el número de tarjeta de crédito asociado a la cuenta.
Esta actividad es bastante popular debido a que la campaña es muy básica, pero bien elaborada pues en este caso se recibió el correo de pishing justamente después de haber realizado el proceso de recuperación de su contraseña del Apple ID, dando a entender que el ataque es dirigido a clientes que de alguna manera interactúan con Apple ID.
En este caso en particular, el pishing comienza desde el envío de un correo electrónico en donde te indican que “hay un problema con tu Apple ID” y es necesario actualizarlo a la brevedad posible para evitar perder el acceso a tu cuenta.
Si analizamos este correo electrónico la principal novedad es que lo primero que observamos y que debería servir como señal de alerta para indicarnos que estamos frente a un posible engaño son los campos que destacamos con un recuadro rojo.
En este caso, el remitente del correo es “iCloud” y la dirección de correo electrónico es muy sospechosa. Además, el correo está dirigido a un “Estimado Cliente”, eso significa que no está orientado a alguien en particular y finalmente la firma completamente impersonal y mal redactada al punto de decir solo “Apple”.
Si damos clic en “Revisar tu cuenta” las cosas se vuelven más sospechosas debido a que como se puede observar, una página activa, que copia a la perfección la página legítima de administración del AppleID, pero que tal como observa en su URL, nada tiene que ver con la página oficial. Aún así, seguimos adelante para ver el alcance de esta campaña.
Esta nueva página básicamente tiene un script de longitud de contraseña, ya que solicita que se ingresen como mínimo seis dígitos, como debe ser la contraseña de un Apple ID y una vez que cumplimos con esta condición se informa a la víctima lo que “supuestamente” sucedió con la cuenta.
En caso de que el usuario continué completamente el proceso le estará otorgando a los ciberdelicuentes todos sus datos personales y bancarios para que estas personas puedan utilizarlos con fines de suplantación de identidad y realizar compras en línea.
Lo particular de este formulario es que al igual que ocurre con la etapa de verificación de contraseña, en este caso el sistema está configurado para corroborar que el número de tarjeta de crédito tenga la forma correcta con 16 dígitos.
En caso de ingresar todos los datos, se despliega la siguiente pantalla indicando que el proceso de verificación se completó y nos redireccionan amablemente a la página oficial de Apple ID, engañando fácilmente a muchos usuarios despistados.
De esta forma, los ciberdelincuentes personificaba a la perfección el sitio oficial, obligando a que para darse cuenta del engaño el usuario deba ser conocedor de las buenas prácticas al verificar que el sitio tenga un certificado SSL para que la dirección empiece con HTTPS y aparezca el candado de seguridad.
Todo indicaría que se trata de una campaña completamente masiva, que busca justamente captar usuarios que interactuaron recientemente con su cuenta y esto los haga controlar menos la veracidad del mensaje recibido.
La principal recomendación es que, al igual que en los correos de phishing tradicionales que llegan por correo electrónico, nunca hay que hacer clic en enlaces que recibimos sin antes verificar su procedencia, su veracidad y comprobar que sea de un sitio oficial.