![\"\"](\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2019\/04\/trampa-iPhone-localizado-luego-de-robo-1.png\")
<\/a><\/figure>\n\n\n\nMensaje SMS fraudulento que llega a la v\u00edctima indicando que su iPhone ha sido localizado.<\/p>\n\n\n\n
Ante la mezcla de asombro y alegr\u00eda, la v\u00edctima no se percat\u00f3 de que la direcci\u00f3n a la que lo invitaban a acceder a trav\u00e9s del mensaje no correspond\u00eda para nada a un sitio oficial de la Apple (Phishing), sino que lo llevaba directamente a un falso sitio que simulaba ser la p\u00e1gina oficial de la compa\u00f1\u00eda y donde le solicitaron incluir sus credenciales de usuario.<\/p>\n\n\n\n Falsa p\u00e1gina de iCloud busca robar credenciales de acceso de la v\u00edctima.<\/p>\n\n\n\n Como se puede apreciar en la imagen, el dominio que figura en la URL no corresponde a un sitio oficial, a pesar del aspecto similar semejanza y de utilizar palabras conocidas para darle veracidad al enga\u00f1o y que la v\u00edctima caiga en la trampa. Lamentablemente, la persona que protagoniz\u00f3 este hecho cay\u00f3 en la trampa y por eso hizo llegar al laboratorio de ESET<\/strong> el mensaje para su an\u00e1lisis. Para ello, debimos cambiar los \u00faltimos caracteres del enlace para llegar al sitio activo, lo que demuestra que se env\u00edan enlaces individuales a v\u00edctima del robo de uno de estos dispositivos, buscando un mayor seguimiento de cada potencial v\u00edctima.<\/p>\n\n\n\n El falso sitio no valida si las credenciales ingresadas son las correctas.<\/p>\n\n\n\n El \u00fanico objetivo de la p\u00e1gina es robar las credenciales, ya que como se puede apreciar en la imagen anterior, al ingresar cualquier informaci\u00f3n, el sitio no valida si las credenciales ingresadas son las correctas, sino todo lo contrario, invita al usuario a incorporar la clave de desbloqueo del celular.<\/p>\n\n\n\n Falso sitio solicita a la v\u00edctima ingresar la clave de desbloqueo del dispositivo.<\/p>\n\n\n\n Nuevamente, a modo de an\u00e1lisis introducimos cualquier c\u00f3digo, aclarando que cualquier victima desprevenida que llegue a esta instancia ya habr\u00eda entregado sus credenciales de iCloud y la clave de desbloqueo del celular, y para sorpresa del an\u00e1lisis (y situaci\u00f3n que llevo a la v\u00edctima de este caso a darse cuenta que se trataba de un phishing) la p\u00e1gina direcciona a una ubicaci\u00f3n en Google maps.<\/p>\n\n\n\n Ubicaci\u00f3n en Google maps donde supuestamente se encuentra el dispositivo robado.<\/p>\n\n\n\n En este caso puntual, se trata de un punto ubicado en la provincia de C\u00f3rdoba, en Argentina; que en s\u00ed mismo no dice nada.<\/p>\n\n\n\n Analizando los dos dominios involucrados en las redirecciones del phishing detectamos que uno de ellos (el del mensaje SMS) est\u00e1 registrado con datos de Per\u00fa, pero con un domicilio en la calle Av. Malvinas Argentinas; punto coincidente con la ubicaci\u00f3n se\u00f1alada en el mapa, donde supuestamente (lejos de ser cierto) se encontraba el celular robado.<\/p>\n\n\n\n Los dominios involucrados muestran los siguientes datos de registro:<\/p>\n\n\n\n Datos de registro del dominio<\/p>\n\n\n\n Ambos dominios fueron registrados en los \u00faltimos 60 d\u00edas y con URLs que claramente dan indicios de la intenci\u00f3n de ser utilizadas para enga\u00f1os del tipo ingenier\u00eda social<\/a>. Ambas p\u00e1ginas en su nivel superior no muestran ning\u00fan sitio activo, salvo cuando se accede a trav\u00e9s de los links completos con subdominios.<\/p>\n\n\n\n Adicionalmente, cuando analizamos la IP del servidor constatamos que otros dos sitios fueron alojados en esta direcci\u00f3n (hoy fuera de l\u00ednea), los cuales claramente se crearon para realizar campa\u00f1as de phishing:<\/p>\n\n\n\n Como muchas veces sucede en los ataque de ingenier\u00eda social dirigidos, en este caso los delincuentes (presumiblemente no los mismos arrebatadores, sino donde terminan los equipos robados) contaban con el n\u00famero de tel\u00e9fono de la v\u00edctima. Esto les permiti\u00f3 enviar un mensaje SMS estilo spearphishing<\/em> para intentar aprovecharse del momento de vulnerabilidad por el que estaba atravesando la v\u00edctima, quien probablemente haya estado pasando por un momento de estr\u00e9s y sus criterios de seguridad habr\u00edan sido equivocados por estar pendiente de novedades respecto de su tel\u00e9fono; una combinaci\u00f3n letal a la hora de pensar en la seguridad personal.<\/p>\n\n\n\n La principal recomendaci\u00f3n es que, al igual que en los correos de phishing tradicionales que llegan por correo electr\u00f3nico, nunca hay que hacer clic en enlaces que recibimos sin antes verificar su procedencia<\/strong>, su veracidad y comprobar que sea de un sitio oficial.<\/p>\n\n\n\n En este caso, lo que deber\u00eda haber hecho la v\u00edctima del robo del iPhone es acceder manualmente al sitio de iCloud<\/strong> y realizar los pasos necesarios para utilizar el servicio de b\u00fasqueda del dispositivo m\u00f3vil. De esta manera, podr\u00eda corroborar (o no) si su dispositivo se encontraba activo y ubicable en alg\u00fan lugar.<\/p>\n\n\n\n Y por supuesto, no podemos dejar de lado el consejo de denunciar estos hechos, tanto el robo del dispositivo como el de datos los personales cuando somos v\u00edctimas de un phishing.<\/p>\n\n\n\n<\/a><\/figure>\n\n\n\n