Spam y phishing

La manzana de la discordia

A medida que Apple gana popularidad, también lo hace el deseo de los estafadores por lucrar con los usuarios de los productos de esta compañía. Los ciberdelincuentes intentan robar el Apple ID de los usuarios de Apple que les permite acceder a su información personal almacenada en iCloud, como fotografías, contactos, documentos, mensajes de correo, etc., así como realizar compras en la tienda de la compañía, iTunes Store. Muchos ciberdelincuentes van más allá y buscan apoderarse de los datos de las tarjetas bancarias que los usuarios usan para pagar sus compras online.

Los estafadores recurren a sitios phishing que imitan el sitio oficial de la compañía, apple.com. Desde principios de 2012 hasta la fecha, esto ha resultado en un significativo aumento en la cantidad de detecciones antivirus web entre los usuarios de nuestros productos que intentan visitar dichos sitios. Durante este periodo, hemos registrado un promedio de 200.000 detecciones por día. Por el contrario, en 2011 esta cifra rondaba las 1.000 detecciones por día.

 
Detecciones del analizador heurístico de enero 2012 a mayo 2013 (detecciones por día)

Algunos días, el número de detecciones antivirus web diarias para los sitios phishing que imitan el sitio apple.com sobrepasó varias veces el promedio diario. Se presentaron varios picos, de los cuales los más significativos se dieron el 6 de diciembre de 2012 (939.549 detecciones) y el 1œ de mayo de 2013 (856.025 detecciones). Este aumento periódico de las actividades ciberdelictivas y el consecuente aumento de las detecciones antivirus web pueden dejar huella en la vida de Apple. Por ejemplo, el pico de diciembre ocurrió inmediatamente después de que la tienda iTunes Store se abriera en Rusia, Turquía, India, Sudáfrica y otros 52 países en todo el mundo.

¿Cómo terminan los usuarios en estos sitios falsos? Uno de los métodos más comunes consiste en usar spam para propagar enlaces que conduzcan a los sitios phishing. Por ejemplo, los ciberdelincuentes enviaron mensajes de correo en nombre de Apple, en los que pedían al destinatario confirmar su cuenta mediante un enlace incorporado en el mensaje. Este enlace conduce a un sitio fraudulento en el que se pide a los usuarios que ingresen su Apple ID y su contraseña, información que los ciberdelincuentes roban para después usarla para sus fines maliciosos.
Este es un ejemplo de un mensaje fraudulento que contiene un enlace a un sitio phishing:

 

Como se puede ver, los estafadores han hecho un buen trabajo: el lenguaje del mensaje suena oficial y el campo “Remitente” contiene la falsa dirección service@apple.com. Pero en realidad, este mensaje se envió de otra dirección que permanece invisible para el remitente. Al colocar el cursor sobre el enlace, se puede ver que obviamente no conduce al sitio apple.com.

Este es otro ejemplo de un mensaje de correo phishing en el que los remitentes se hacen pasar por el servicio al cliente de Apple:

 

Los autores de este mensaje fraudulento han sido todavía más cuidadosos con su trabajo: han añadido un fondo con el logo de Apple, un enlace a Preguntas más frecuentes, e incluso han firmado “Apple Customer Support”. Lo único que lo denuncia como fraudulento es la ausencia del nombre del destinatario al principio del mensaje.
La página a la que se dirige al destinatario desde el mensaje phishing suele imitar las páginas oficiales del sitio web de Apple de forma muy precisa, y todos los contenidos en los enlaces de las páginas fraudulentas llevan hacia páginas de apple.com.

 
Ejemplos de páginas phishing que muestran los trucos que utilizan los ciberdelincuentes: los trucos y los dominios reales se subrayan en rojo

En estos ejemplos, la línea de la dirección es la clave para desenmascarar su origen fraudulento: puede contener “apple.com” de una u otra manera, pero incluso un usuario sin experiencia podría darse cuenta que es una dirección falsa. Sin embargo, si el sitio se abre en un dispositivo móvil como iPhone o iPad con navegador Safari, el usuario no llega a ver la línea de la dirección ya que permanece oculta cuando se descarga la página. Los estafadores también pueden añadir otros elementos a la página, como una imagen de una línea de dirección que muestra una dirección legítima. Este elemento remplaza la línea de la dirección real y su objetivo es engañar a los destinatarios del mensaje.

La siguiente imagen muestra una página falsa utilizada para robar datos de tarjetas bancarias bajo el pretexto de vincular la tarjeta con el Apple ID del usuario:

 

Como se puede ver, los estafadores buscaban la mayor cantidad posible de información, desde el número de la tarjeta hasta el CVC. Con estos datos en sus manos, pueden utilizar la tarjeta del usuario para cualquier transacción que deseen.

Para proteger tu cuenta, puedes activar la autenticación de dos factores para Apple ID, con un código de verificación de cuatro dígitos que se envía a uno o más dispositivos de confianza. Este proceso de verificación de dos pasos imposibilita cualquier intento de acceso no autorizado o modificaciones en tu cuenta en el sitio My Apple ID y evita que terceras personas realicen compras mediante tu cuenta. Sin embargo, no evita que pierdas tu dinero si les has proporcionado a los ciberdelincuentes los datos de tu cuenta bancaria. Por lo tanto, si recibes un mensaje en nombre de Apple o de uno de sus empleados, ten mucho cuidado: vale la pena ponerse en contacto con el servicio técnico de Apple para estar completamente seguro de su legitimidad. Asimismo, debes evitar activar los enlaces incluidos en estos mensajes; es mejor que tú mismo escribas la dirección en tu navegador. Y si no activas el enlace, revisa con cuidado el contenido de la página y verifica la dirección que aparece en el navegador. Al seguir estas sencillas reglas podrás mantener seguros tus datos y evitarás caer en las trampas de los estafadores.

La manzana de la discordia

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada