La evolución de los casos de phishing a lo largo de los últimos años ha hecho que los delincuentes detrás de estas webs falsas diversifiquen sus actividades, centrándose en nichos de usuarios en lugar de tratar de engañar a la mayor cantidad posible, independientemente de su localización geográfica o idioma natal.

Lo vimos primero con la suplantación de entidades bancarias específicas de cada país para después observar cómo se intentaba suplantar otros servicios. Así pues, en los últimos años hemos visto como los delincuentes intentan hacerse con las credenciales de acceso a redes sociales como Twitter, sistemas de cobro de impuestos como la Agencia Tributaria Española, servicios de juego online o, como analizaremos hoy, credenciales de acceso utilizadas para acceder a servicios de Apple.

Un sospechoso correo electrónico en francés

Prueba de que los delincuentes no desprecian ninguna posibilidad de obtener nuevas víctimas tenemos en un correo electrónico recibido esta mañana en nuestro laboratorio. En este e-mail que imita bastante bien los correos que envía Apple a sus usuarios, se indica en francés que el ID de Apple ha sido utilizado para abrir una sesión en un ordenador no autorizado.

apple_phishing_frances

Sin embargo, un nativo podrá reconocer un lenguaje un tanto forzado, como si hubiera sido traducido por un sistema automático. Esto se observa en fallos, como por ejemplo, a la hora de utilizar el género correcto en algunas palabras.

En ese mismo correo se nos indica que nuestra cuenta ha sido bloqueada hasta que verifiquemos nuestra identidad. Para eso se nos proporciona un enlace que nos llevará a otra web, que luce así:

apple_identificacion

Como vemos, el look & feel de Apple está presente en toda la web y además está traducida íntegramente al francés. Sin embargo, como veremos más adelante, los delincuentes que han preparado esta web falsa han dejado pistas bastante evidentes que cualquier usuario puede llegar a detectar para evitar caer en este engaño.

Robo de datos del usuario

En la página principal de esta falsa web se nos pide nada menos que nuestro ID de Apple y la contraseña, algo que puede resultar muy peligroso si no contamos con un doble factor de autenticación.

No obstante, los delincuentes no se quedan ahí e intentan obtener toda la información posible de su víctima. Para empezar, intentarán que el usuario complete un formulario donde se le pide su nombre y apellidos, dirección postal y su número de teléfono, datos suficientes para suplantar su identidad en varios sitios web.

apple_formulario

Además, no contentos con esa información, se proporciona un tercer formulario en el que se pide al usuario que introduzca los datos de su tarjeta de crédito, incluyendo número, código de seguridad, fecha de caducidad o la fecha de nacimiento. Estos datos son más que suficientes para realizar compras en Internet a nombre de la víctima y cargar los gastos a la cuenta bancaria asociada a la tarjeta.

apple_tarjeta_credito

Tras realizar todo este proceso se dirige al usuario a la web legítima de Apple Francia. De esta forma, el usuario no sospechará nada y pensará que ha verificado su cuenta para evitar que le roben sus datos cuando en realidad ha sucedido todo lo contrario.

apple_robo_datos

Analizando el ataque

Este caso de phishing tiene dos elementos clave. Por una parte la confianza que genera en los usuarios una marca de reconocido prestigio como Apple. Por otro lado, y tras analizar un análisis del sitio falso, vemos que los delincuentes han aprovechado una vulnerabilidad reciente en complementos muy conocidos de Wordpress para alojar su sitio fraudulento.

Mientras realizábamos el análisis hemos conseguido acceder al directorio del servidor donde se aloja la plantilla utilizada por los delincuentes para alojar todos los ficheros que conforman la falsa web de Apple.

apple_trafico

Como vemos, hay varios puntos a tener en cuenta. El primero de ellos es que en todo momento se muestra la IP de la web comprometida en lugar de una web legítima de Apple. Esto debería bastar para que un usuario precavido detectase que ese enlace contiene algo sospechoso y evitar introducir datos privados. No obstante, sabemos que aún son pocos los que prestan atención a este detalle por lo que es bastante probable que los delincuentes hayan conseguido más víctimas de lo que cabría esperar.

El segundo punto importante también lo podemos observar en la dirección web donde se alojan los ficheros de Wordpress. Vemos como se hace referencia a una carpeta de nombre “twentyfifteen” y, si repasamos las vulnerabilidades descubiertas en Wordpress durante las últimas semanas, veremos como hay una que menciona a este complemento en concreto.

Es muy probable que los atacantes hayan conseguido tomar el control de ese y otros blogs y ahora los estén usando para propagar estos casos de phishing. Como vemos, este es un claro ejemplo de lo poco que tardan los delincuentes en aprovechar las vulnerabilidades que van apareciendo.

Conclusión

Al tratarse de un caso de phishing dirigido específicamente a aquellos usuarios de servicios Apple de habla francesa, es posible que consiga sortear la primera barrera que los usuarios suelen poner para detectar estas amenazas: el idioma.

A pesar de esto, hemos visto como existen indicios suficientes como para que un usuario atento puede identificar el engaño y evitar caer en la trampa de proporcionar alegremente sus datos personales. Estos indicios son los que debemos aprender a reconocer para evitar ver nuestro dinero o cuentas comprometidas y en manos de delincuentes.