Los ciberdelincuentes tienen como objetivo iPhone usuarios a los que les han robado sus teléfonos con una nueva estafa diseñada para robar los datos de inicio de sesión de iCloud.
Como si que te robaran tu iPhone no fuera lo suficientemente malo, los piratas informáticos están engañando a las víctimas de robo de teléfonos para que revelen sus credenciales de ID de Apple, dándoles acceso a sus datos personales.
Los usuarios de iPhone están siendo golpeados por una estafa de phishing muy convincente (Imagen: AP)
junior savva andreas segundo
Muchos usuarios de Apple informaron haber sido engañados por el hackeo en línea, incluido un hombre desafortunado, Joonas Kiminki, quien detalló cuán convincente puede ser la estafa de phishing. en Hackernoon.
Después de que le robaran su iPhone de su auto mientras estaba de vacaciones, Kiminki hizo lo obvio: usó el teléfono de su esposa para llamar al suyo. Pero, como era de esperar, estaba apagado.
Luego marcó el teléfono como 'perdido' en la aplicación Find my iPhone, que informa a los usuarios si se ha encontrado un teléfono. Ingresó un texto para que se mostrara en el teléfono en caso de que se volviera a encender e hizo clic en todas las casillas de verificación Enviarme un correo electrónico cuando el teléfono vuelva a estar en línea.
La aplicación Find My iPhone ayuda a los usuarios a localizar dispositivos iOS perdidos (Imagen: manzana)
'Nadie pudo acceder a mis datos en el teléfono y, dado que está conectado a mi cuenta de iCloud, otros no pueden reactivar el teléfono por sí mismos', dijo.
Más tarde compré un teléfono nuevo, pero ayer, once días después de que me robaran el teléfono, sucedió lo más interesante: ¡recibí un SMS y un correo electrónico notificándome que se había encontrado el teléfono!
El inicio de sesión falso de iCloud de aspecto auténtico con una dirección web sin cifrar (Imagen: Hackermoon)
Tanto el SMS como el correo electrónico contenían un enlace para que Kiminki hiciera clic y mostrarle la ubicación de su iPhone perdido. El enlace abrió una pantalla de inicio de sesión de iCloud de aspecto auténtico.
chyna y jordan fin de semana
Por supuesto, corrí a la dirección en el enlace y luego comencé a escribir mis credenciales, pero de repente me detuve. Algo no estaba bien, dijo
Explicó que, debido a que trabaja para una empresa de creación de sitios web, pudo detectar los signos reveladores de un pirateo que la persona promedio no puede detectar.
Estoy bastante seguro de que muchas personas habrían ingresado su ID y contraseña de Apple y solo entonces se habrían preguntado por qué no funciona el inicio de sesión, agregó.
El script detrás del inicio de sesión falso de iCloud muestra que no es realmente de Apple
Debido a que pudo detectar que el correo electrónico y el SMS no eran auténticos, también logró evitar que le robaran sus credenciales.
Entonces, ¿cuáles fueron los factores reveladores de este llamado ataque de phishing? En primer lugar, el enlace llevó a Kiminki a un sitio web con la dirección 'show-iphone-location.com', que no suena muy oficial. Tampoco estaba encriptada como lo estaría una página genuina de Apple.
Al profundizar, Kiminki notó que el correo electrónico tampoco era de Apple, sino de icloud.insideappleusa@gmail.com, que no está registrada a nombre de Apple, sino de una empresa en Nassau.
No puede activar un iPhone, ni ningún dispositivo iOS, siempre y cuando esté conectado a la cuenta de iCloud de alguien, dijo Kiminki.
'Sin embargo, cuando robas un teléfono, puedes perfeccionar el crimen robando también la identidad del pobre bastardo'.
Luego, los piratas informáticos solo necesitan iniciar sesión en Find my iPhone, desacoplar la cuenta del dispositivo y boom: tienen un teléfono desbloqueado.
los piratas informáticos pueden explotar la aplicación Find my Phone ya que la función no utiliza la verificación en dos pasos (Imagen: Getty)
Esta no es una idea completamente nueva: ha habido varios casos en los que esta estafa se ha utilizado contra los usuarios. Un ataque similar fue publicado por un usuario en Reddit en abril .
experto en seguridad graham cluley dijo que los piratas informáticos pueden explotar la aplicación Find my Phone porque, a diferencia de iCloud, la función no utiliza la verificación de dos pasos para verificar que quienes acceden al servicio sean genuinos.
Comentando sobre el mismo truco usado en un estudiante de posgrado en ciencias de la computación en la Universidad de Waterloo , Cluley dijo: 'Si hubiera habido otro paso de inicio de sesión, como una pregunta de seguridad secreta, el atacante no habría podido casi borrar sus dispositivos.
Los usuarios deben proteger sus ID de Apple, así como todas sus cuentas web, con una contraseña segura y con verificación en dos pasos, siempre que esté disponible.
La industria de la seguridad espera Manzana presentará la verificación de dos pasos para la función Find My iPhone ahora que varios de estos ataques de phishing han sido reportados en línea.
que rico es ksi
A pesar de la naturaleza muy bloqueada de su software, el gigante tecnológico finalmente está comenzando a darse cuenta de que no es inmune a la seguridad cibernética vulnerabilidades.
La semana pasada, la empresa acordó dar acceso a los investigadores de seguridad a su software por primera vez.
La compañía ahora ofrece $ 200,000 (£ 152,000) en recompensas por errores, un programa de incentivos que ofrece recompensas por descubrir y enviar fallas y debilidades de seguridad.
Otras empresas tecnológicas como Google y Microsoft han estado ofreciendo tales recompensas para reforzar su nivel de seguridad en línea desde hace algún tiempo. Aunque, tal vez para compensar el tiempo perdido, la suma global de Apple parece ser la recompensa corporativa más alta de la historia.
cargando la encuesta
