Ataque de phishing ativo rouba credenciais Apple ID e dados de cartões de crédito

Ontem chegou ao laboratório da ESET América Latina um e-mail de um cliente a dar conta de uma campanha ativa de phishing, que tenta roubar as credenciais de acesso ao Apple ID e o número do cartão de crédito associado à conta.

Embora não se trate de uma campanha inédita, a particularidade desta é que a correspondência foi recebida logo após a execução do processo de recuperação da password do Apple ID, o que significa que o ataque aconteceu. É destinado a clientes que de algum modo interagem com o Apple ID; algo parecido com o que vimos há alguns meses quando falamos sobre a campanha que atacou os utilizadores vítimas de roubo de um iPhone.

Neste caso em particular, o engano começa com a receção do seguinte e-mail.

Figura 1. E-mail inicial que é enviado à vítima no qual se destacam alguns elementos que dão sinais de que estamos perante uma possível fraude

Analisando em detalhe a mensagem, o que verificamos em primeiro lugar e que deveria servir como sinal de alerta para nos indicar que estamos perante uma possível fraude são os campos que destacamos numa caixa vermelha. Como é possível verificar, o endereço de e-mail do remetente, apesar de se “chamar” ICloud, não coincide de forma alguma com o oficial. Podemos verificar também que o e-mail não se dirige a ninguém em especial, já que começa com “Estimado Cliente”. Por último, há que referir a assinatura completamente impessoal e mal escrita ao ponto de dizer apenas “Apple”.

Se não se desse o caso de ter feito uma alteração recente de password no iCloud, o utilizador teria automaticamente descartado a mensagem, ou pelo menos, observado com mais atenção o assunto do e-mail. Da mesma forma, realizámos o teste seguindo o processo proposto pela fraude para ver como se desenvolvia. Assim, acedendo ao botão “Verificação da sua conta” (Revisar tu cuenta), chegámos à página seguinte de destino.

Figura 2. Página falsa que se faz passar pelo site legítimo do Apple ID para gerir credenciais

Podemos verificar uma página ativa, que copia na perfeição a página legítima de administração de credenciais da Apple, mas que, tal como se pode ver através do seu URL, nada tem a ver com a página oficial. Ainda assim, seguimos em frente para ver o alcance desta campanha.

Figura 3. Falsa página solicita a introdução das credenciais de acesso da vítima

Testámos com a introdução de uma palavra ao acaso e verificamos que tem um script de comprimento de password, já que solicita a introdução de pelo menos seis dígitos. Uma vez cumprida esta condição, a vítima é informada sobre o que “supostamente” aconteceu com a sua conta.

Figura 4. Mensagem da campanha a qual menciona o motivo a que se deve o (falso) bloqueio da conta
Figura 5. Formulário para que a vítima preencha com os seus dados

Se a vítima continuar com o processo a campanha tentará que utilizadores desprevenidos introduzam toda a sua informação pessoal.

O curioso deste formulário é que, à semelhança do que acontece na etapa de verificação de password, está configurado para confirmar que o número de cartão de crédito tenha a forma correta. Para a análise da fraude no nosso caso utilizámos um gerador aleatório de números de cartão de crédito.

Ao introduzir todos os dados é aberto o seguinte ecrã a indicar que o processo de verificação está completo.

Figura 6. Ecrã que indica que o processo de verificação está completo

O sistema informa que a conta foi verificada corretamente e redireciona a vítima para a página oficial do Apple ID.

Figura 7. Site legítimo para o qual é redirecionada a vítima depois que complete todos os passos

Como se pode verificar observando o site legítimo, a página falsa foi perfeitamente personificada no site oficial, obrigando a que para se dar conta do engano o utilizador precise ser conhecedor de boas práticas de segurança e saiba que não só está a navegar num site com certificado SSL e que o endereço começa com HTTPS, mas que também o certificado está emitido em nome da empresa que representa, como se pode observar no site oficial com o nome da empresa responsável pelo certificado que aparece à direita do cadeado.

No que respeita ao domínio utilizado para este roubo de informação, podemos verificar que o mesmo foi registado no dia anterior ao envio das mensagens e possui informação reservada no que respeita ao seu proprietário.

Imagen 8. Informação sobre o domínio utilizado como parte da campanha

Não existe nada que indique uma relação entre o pedido de alteração de password que o utilizador realizou com a receção do e-mail de phishing. Tudo indicaria que se trata de uma campanha massiva, que procura captar utilizadores que interagiram recentemente com a sua conta e por isso a probabilidade de desconfiarem da veracidade da mensagem recebida é menor.

Como acontece muitas vezes em ataques dirigidos de engenharia social, neste caso os golpistas tentaram aproveitar-se do momento de vulnerabilidade pelo qual está a passar a vítima que solicitou uma alteração da password e que provavelmente baixou as guardas por estar dependente de novidades que respeitam à sua conta; uma combinação letal no que respeita a segurança pessoal.

A principal recomendação é que, à semelhança do que deve acontecer com os e-mails de phishing tradicionais, nunca devem aceder aos links que os mesmos incluem sem antes verificar a sua precedência, veracidade e comprovar que são de um site oficial.

Neste caso, o que o utilizador deveria ter feito era aceder manualmente ao site do iCloud e verificar se algo se passa com a sua conta.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

*