Hola a tod@s! Hoy vengo a hablaros sobre un correo Phishing que se está lanzando con el objetivo de obtener las claves de acceso de Apple ID además de los datos de tarjetas bancarias. En esta entrada no voy a realizar un análisis a fondo, simplemente os vengo a enseñar este caso para que lo conozcáis y estéis alerta.
Introducción
Todo comenzó con un aviso por parte de mi mujer. Ella no tiene grandes conocimientos en informática y menos en ciberseguridad, pero la verdad es que siempre ha sido muy consciente a la hora de saber que no se debe confiar en los correos que se reciben y mucho menos de pinchar en enlaces de dudosa procedencia, incluso tiene sus batallitas con sus padres para hacerles entender que no se deben fiar de nada (Mode Paranoid xD).
Pues bien, tanto es así que cada vez que mi suegra recibe un correo sospechoso o de gran importancia, antes nos consulta para saber si debe hacer caso al aviso o no. Por si lo estáis pensando: Si, estoy con el babero de allá para acá, no lo puedo remediar, las adoro.
De esto vengo precisamente a hablaros hoy. Ayer mi suegra recibió un bonito correo a su cuenta de gmail que le resultó bastante extraño, ya que según nos comentaba le informaban desde Apple que su cuenta había sido bloqueada y para desbloquearla debía pinchar en un enlace y ella dudaba si debía pinchar sobre él o no. Mi mujer, lo primero que la dijo al ver el correo fue: "Apple nunca se pondría en contacto contigo en inglés ya que ellos ya saben que eres de España, así que olvídate que es un fake". Acto seguido me miró como buscando aprobación, pero yo ya estaba en otro mundo...
Primer vistazo
Aprovechando la coyuntura, la pedí que me reenviase el correo para trastear un poco con él solo por ver como lo tenían montado, así que allá vamos.
El correo recibido tiene el siguiente aspecto:
Si os fijáis, lo primero que canta aparte de que está escrito en inglés, es la dirección de correo (dwhovkmicloud@me.dwhovkmib.icloud.com). La verdad es que ya se la podrían haber currado un poquito...
Otra cosa que llama la atención es que al enlace le falta un espacio "hereand", error que no es que se suela cometer en un comunicado oficial...
Si ponemos el cursor sobre el enlace vemos que han utilizado un acortador de URL lógicamente para ocultar el enlace final y darle más credibilidad.
Bien, pues veamos que nos dicen los servicios online unshorten. El primero de ellos se queda bloqueado, directamente no puede mostrar la siguiente redirección.
No pasa nada, probemos otro.
Bien! Este parece que sí logra identificar la redirección la cual contiene un aspecto de lo más "curioso". Bueno, pues ahora vamos a hacer uso de otros 2 servicios, el primero URLQUERY para identificar el aspecto y el contenido de la web entre otras cosas. El segundo, virustotal por si alguien ya lo ha escaneado anteriormente.
En cuanto al primer servicio, vemos por la captura de pantalla que parece una web que suplanta la página de login de Apple ID ¿no?. Además ya están saltando alertas indicando que pasa a través de un servicio DynDNS y contiene código javascript ofuscado.
Aparte, podemos ver que desde este servidor se sirven o se han servido otras webs maliciosas desde las que se podía descargar malware y también han existido otras páginas phishing.
https://urlquery.net/report/ae94a7d8-e2c3-4118-8f43-721b2af45e25
Parece que VirusTotal lo ve todo correcto...
https://www.virustotal.com/es/url/405a0b5866c50a7afc227368320f9a1a570ac91cf23b107727a3296e92caba47/analysis/1529009164/
También podemos realizar una consulta Whois para saber que se está sirviendo esta web desde un servicio DynDNS, en este caso el servicio es No-IP.
Cómo funciona
Bien, llegados a este punto toca ver qué es lo que hace. Lo primero es navegar a la URL a la que nos redirige el acortador (https://ecror-challegae.servequake.com/?unc). Lo primero que realiza es asignarnos un ID de sesión.
Pasado un tiempo, ese ID caduca, por lo que si queremos entrar de nuevo debemos hacerlo desde el enlace anterior para que nos asigne un nuevo identificador.
Muy bien, supongamos que somos un usuario despistado y hemos picado, veamos qué datos se nos solicita. Como podéis ver, mediante javascript va comprobando en cada uno de los campos si el dato introducido se corresponde con el que debería ser, es decir, si debe ir en ese campo una dirección de correo, debe tener el formato de correo electrónico o nos saldrá un aviso y no nos permitirá seguir.
Guau! estabamos en lo cierto!. Solicitan todo tipo de información para desvalijar tu tarjeta, desde nombre completo y número de teléfono hasta los datos de tu tarjeta con la pregunta de seguridad.
Ojo! que no se nos olvide poner bien el número de tarjeta de crédito que también nos saltará el aviso de que el formato de número introducido no es correcto. Sin duda "Apple" está haciendo bien su trabajo xD.
Veamos si conseguimos desbloquear nuestra cuenta.
Bien! ahora ya podemos entrar en nuestra cuenta con total seguridad, qué majos.
Como podéis ver, en este punto ya estamos
Y esto ha sido todo, recordar concienciar bien a las personas y utilizar el sentido común. Ni Apple ni cualquier otro servicio te va a solicitar nunca que introduzcas tu tarjeta de crédito para desbloquear tu cuenta.
Buen fin de semana!