De entre todos los intentos de engaños, estafas y similares que recibimos por correo electrónico, hay algunos que son bastante recurrentes en el tiempo y evolucionan para tratar de engañar a usuarios despistados. Un ejemplo de ello lo tenemos en el supuesto email de Apple que cada cierto tiempo vuelve a aparecer para intentar robar los datos de aquellos que muerdan el anzuelo.
El email sospechoso y las pistas para reconocerlo
Como suele suceder en este tipo de engaños, todo comienza por un email recibido por los usuarios en el que se muestra algún tipo de alerta. En esta ocasión, nos intentan convencer de que hay algún problema de seguridad en nuestra cuenta de Apple que requiere nuestra atención y, para hacerlo más creíble, nos muestran un supuesto acceso a nuestra cuenta desde un país remoto.
Sin embargo, hay varias cosas en este correo que no cuadran y que podemos detectar fácilmente si estamos atentos. Para empezar, fijémonos en la dirección desde la que se envía el correo. Por mucho que se hagan pasar por Apple, resulta evidente que la dirección “mpbijwe@mpbijweaj.my.kitaadalahsangraja23.com” no tiene pinta de pertenecer a la empresa. Sin embargo, puede que muchos usuarios no se fijen en este detalle y pasen directamente a leer el cuerpo del correo electrónico.
Aun en este escenario, hay un par de puntos que nos pueden hacer sospechar. Para empezar, ¿no notáis algo raro en la forma en que están escritas algunas letras?, es como si hubieran sido escritas con un tipo de letra diferente al resto, e incluso podríamos aventurarnos a decir que ha sido escrito utilizando una codificación de caracteres diferente. Además, si antes de darle al botón para acceder a la supuesta web de registro nos fijamos en el enlace al que apunta, observaremos como el enlace que aparece está acortado para ocultar el destino final.
Una web fraudulenta pero bastante bien hecha
En el caso de que un usuario muerda el anzuelo y pulse sobre enlace proporcionado por los delincuentes en el correo, será redirigido a una web que es una copia casi exacta de la original de Apple usada para identificarnos con las credenciales de nuestro Apple ID. A estas alturas, ya no es ninguna novedad encontrarse este tipo de webs utilizando certificados para hacer que la conexión desde el sistema de la víctima a la web sea segura, y conseguir así que la víctima baje la guardia pensando que está en una web legítima.
Sin embargo, tal y como ya hemos mencionado en alguna ocasión, solo certifican que la comunicación entre nuestro dispositivo y la web va a realizarse de forma segura, no que la web sea segura en sí misma. Es decir, pueden estar robándonos los datos de forma que estos viajen cifrados desde nuestro sistema hasta la web controlada por los delincuentes. El resultado para la víctima sigue siendo negativo, pero ese “candadito” consigue que este tipo de webs fraudulentas se ganen la confianza de sus víctimas.
Una vez introducido los datos de acceso a Apple ID se nos mostrará una alerta indicando que nuestra cuenta ha sido bloqueada por motivos de seguridad, y se nos invitará a desbloquearla proporcionando de nuevo todos nuestros datos personales.
En este punto podemos empezar a ver cómo de meticulosos son los delincuentes detrás de esta campaña a la hora de solicitar los datos personales, ya que nos encontraremos con un formulario que nos pedirá toda nuestra información personal, incluyendo nombre, apellidos, fecha de nacimiento, teléfono y dirección postal.
Además, ya que el usuario está ahí, qué menos que pedirle también los datos de la tarjeta de crédito, incluyendo su número, la fecha de caducidad o el código de verificación. ¿Qué podría salir mal?
Lo que ya parece una broma de mal gusto es que se le pida al usuario un selfie con la tarjeta de crédito en la mano y donde se le vea su cara. En este punto, muchos usuarios deberían empezar a pensar (si no lo han hecho ya) que este proceso de verificación no tiene demasiada pinta de ser legítimo.
Y por si lo anterior fuera poco, también nos piden que nos hagamos un selfie con algún documento de identidad que tengamos a mano, ya sea nuestro pasaporte, DNI o carnet de conducir.
Con toda esta información, los delincuentes tienen datos suficientes no solo para hacerse con nuestra cuenta de Apple ID, sino también para vaciar nuestra tarjeta de crédito. Todos los datos personales proporcionados también podrían servir para realizar una suplantación de identidad en otros servicios online o incluso para pedir préstamos a nuestro nombre.
Para terminar, los delincuentes redirigen al usuario a la web auténtica de Apple ID, algo que podemos comprobar al revisar que el certificado emitido está a nombre de la empresa y la dirección URL tiene como dominio Apple.com. Tampoco deberíamos fiarnos de esto al 100% porque hay técnicas incluso para engañar al más avispado, pero de eso hablaremos en otra ocasión.
Con respecto al dominio utilizado por los delincuentes para alojar su web de phishing, este fue registrado hace pocos días, y viendo la fecha de envío del correo que hemos analizado es muy probable que esta campaña siga propagándose durante algunos días más.
Conclusión
Acabamos de ver como los delincuentes puede obtener datos muy importantes de usuarios desprevenidos con una campaña de spam y una web de phisihing que suplanta a Apple que cuestan relativamente poco de hacer. Para evitar caer en este tipo de trampas hemos de fijarnos en aquellos detalles que nos ayudan a distinguir una web o un correo legítimo de uno fraudulento.
Si además contamos con medidas adicionales de seguridad como el doble factor de autenticación para evitar que accedan a nuestras cuentas aun cuando han conseguido las credenciales, o una solución de seguridad capaz de detectar páginas fraudulentas, estaremos más protegidos frente a este tipo de amenazas y nuestros datos quedarán a salvo.