Los ladrones de iPhone, posiblemente amparados por la estructura de mafias muy especializadas, están utilizando un complejo entramado tecnológico para desbloquear iPhone robados usando ingeniería social.

Ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes informáticos, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.

En el caso del iPhone, lo que ocurre es lo siguiente: un ladrón especializado busca un iPhone para robar. Cuando consigue uno, inmediatamente lo apaga. Mientras, el usuario, con unos conocimientos técnicos mínimos de las herramientas que ofrece Apple, utiliza Encuentra mi iPhone. Al estar apagado, es muy difícil localizarlo, y en algunos casos no muestra la ubicación si no está activada. El usuario utiliza la opción “Perdido”, añadiendo un teléfono adicional al que llamar.

Y aquí empieza la fiesta.

A las pocas horas el usuario recibe un SMS con un mensaje similar a este:

encontradoCon el nerviosismo de la situación, es fácil caer y entrar al enlace enviado que contiene una URL que tiene “cierto parecido” con un servicio de Apple, pero que realmente no lo es. La pantalla mostrada por el sitio es exactamente igual que la página de identificación de Apple:

Captura de pantalla 2015-05-02 a las 22.47.51

Sin embargo, esta web no es legítima, pero el usuario no se da cuenta, mete sus datos de ID de Apple, y con esos datos el iPhone es inmediatamente desbloqueado, desactivada la cuenta iCloud y el teléfono está listo para ser vendido. Y si el usuario no se da cuenta y no cambia rápidamente la contraseña de Apple, la cosa aún puede empeorar.

Apple intenta mitigar estos problemas de inicio de sesión con correos electrónicos que avisan del inicio de sesión en un dispositivo “no conocido”. Es el aviso de que nuestra contraseña iCloud ha sido comprometida. Ese correo no incluye ningún enlace para iniciar sesión, ya que con un correo similar sería factible crear un engaño para robar los datos de una cuenta.

Captura de pantalla 2015-05-02 a las 23.14.31

El WHOIS asociado a este dominio está ubicado en Indonesia y fue registrado el 30 de abril de 2015. El despliegue de esta web es muy reciente, pero posiblemente sea debido a que una muy similar, icloudlocate.com, ha sido suspendido y redirigido por su registrador, Godaddy. En cuanto machacan el dominio, registran otro, modifican las DNS al servidor donde está la web maliciosa y listo.

Lo importante ante esa situación es comprobar específicamente las URL en las que introducimos nuestros datos de nuestra iCloud. Para empezar, cuando conectamos con Apple para introducir nuestros datos, la conexión está cifrada con https, y por lo tanto en la URL aparece un candado para indicar este método de transmisión.

Además, cualquier URL que requiere de la entrada de una contraseña con Apple llevará un subdominio.apple.com, nunca un nombre compuesto en el canónico del dominio. Siempre será xxxx.apple.com, nunca una variación de varios nombres relacionados con Apple.

 

In this article


Join the Conversation

5 comments

  1. SRSolis

    Quede dicho lo primero que desprecio los robos y cualquier actividad criminal y que si los pillan, deben ir a la cárcel, pero debo decir que el estilo y trabajo de esta combinación de robo, ingeniería social y phishing me parece de una elegancia como para quitarme el sombrero.

    1. Mauro del Món

      Hombre SRSolis, elegante me parece inapropiado; no es de buen gusto, ni noble, el robar al despiste o por la fuerza y luego con engaño suplantar la identidad de uno.

  2. erretxea

    ¿La verificación en dos pasos no echa por tierra esta estrategia?

  3. amaya

    yo por norma general, no abro el enlace del email que me envían, voy directamente a la web de quien sea, incluso si parece de Apple.
    El otro día me escribieron un sms diciendo que querían su iPod Touch de vuelta, al tiempo que me hacían insistentes llamadas de FaceTime (video y audio), con cierto temor le contesté que yo quería que me devolvieran mi iPad y mi iPhone también, y luego bloquee al usuario.

  4. Domi

    Hola,

    Que hacer con esto

    Mi hermana ha dado mi numeor de contacto en caso de encuentro del mobil pero recibi este mensaje

    Estimado Cliente,

    Su Iphone 6 16 GB gris se encuentra en Raval, Barcelona, España.

    10 de Septiembre 2016 15:36

    IMEI 354428061386566

    S/N C32NHUAMG5MN

    Puede reclamar y localizar ubicación exacta de su mobil aqui.

    http://apple.suppolrt.id-verifications.eu/

    Sinceramente,

    Apple Support

    Por desgracia mi hermana entro en el link (no debería hacer)

    http://apple.2savvy.com

    Indico su contraseña y ya la tenian pillada, le desactivaron los datos y ya no hay manera de rastrearlo.

    Mi amigo que sabe poco de informatica encontro estos datos del link que he recibido en mi mobil.

    http://apple.2savvy.com

    2savvy.com registry whois

    Updated 1 second ago – Refresh

    Domain Name: 2SAVVY.COM

    Registrar: ENOM, INC.

    Sponsoring Registrar IANA ID: 48

    Whois Server: whois.enom.com

    Referral URL: http://www.enom.com

    Name Server: NS1.PHATSERVERS.COM

    Name Server: NS2.PHATSERVERS.COM

    Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited

    Updated Date: 24-apr-2016

    Creation Date: 02-may-2005

    Expiration Date: 02-may-2017

    2savvy.com registrar whois Updated 1 second ago

    Domain Name: 2SAVVY.COM

    Registry Domain ID: 154039128_DOMAIN_COM-VRSN

    Registrar WHOIS Server: whois.enom.com

    Registrar URL: http://www.enom.com

    Updated Date:

    Creation Date: 2005-05-02T03:59:17.00Z

    Registrar Registration Expiration Date: 2017-05-02T03:59:00.00Z

    Registrar: ENOM, INC.

    Registrar IANA ID: 48

    Domain Status: clientTransferProhibited https://www.icann.org/epp#clientTransferProhibited

    Registry Registrant ID:

    Registrant Name: BEN BRAMAN

    Registrant Organization: SHORTURL.COM URL FORWARDING SERVICES

    Registrant Street: PO BOX 89091

    Registrant City: TUCSON

    Registrant State/Province: AZ

    Registrant Postal Code: 85752

    Registrant Country: US

    Registrant Phone: +1.5209755923

    Registrant Phone Ext:

    Registrant Fax: +.

    Registrant Fax Ext:

    Registrant Email: email@SHORTURL.COM

    Registry Admin ID:

    Admin Name: BEN BRAMAN

    Admin Organization: SHORTURL.COM URL FORWARDING SERVICES

    Admin Street: PO BOX 89091

    Admin City: TUCSON

    Admin State/Province: AZ

    Admin Postal Code: 85752

    Admin Country: US

    Admin Phone: +1.5209755923

    Admin Phone Ext:

    Admin Fax: +.

    Admin Fax Ext:

    Admin Email: email@SHORTURL.COM

    Registry Tech ID:

    Tech Name: BEN BRAMAN

    Tech Organization: SHORTURL.COM URL FORWARDING SERVICES

    Tech Street: PO BOX 89091

    Tech City: TUCSON

    Tech State/Province: AZ

    Tech Postal Code: 85752

    Tech Country: US

    Tech Phone: +1.5209755923

    Tech Phone Ext:

    Tech Fax: +.

    Tech Fax Ext:

    Tech Email: email@SHORTURL.COM

    Name Server: NS1.PHATSERVERS.COM

    Name Server: NS2.PHATSERVERS.COM

    DNSSEC: unSigned

    Registrar Abuse Contact Email: email@enom.com

    Registrar Abuse Contact Phone: +1.4252982646

    URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/

    >>> Last update of WHOIS database: <<<

    Solo lo publico que tal vez, lo vea un informatico y les jode esta web