No último mês, mais uma vítima foi abordada por bandidos nas ruas brasileiras e teve seu iPhone roubado. Crime bastante comum salvo por um detalhe: os ladrões “reais” engatilharam um modus operandi que é roubar fisicamente o smartphone e – por meio de uma página de phishing e um SMS projetado socialmente fingindo ser a Apple – os hackers tentam conseguir as credenciais do Apple ID da vítima.
A Trend Micro foi mais a fundo e detalhou quais os passos envolvidos neste tipo de golpe. Enquanto o aparelho está em funcionamento, é possível descobrir o número do aparelho e tentar mudar a senha dos aplicativos de redes sociais (e possivelmente do e-mail) instalados – provavelmente para extorquir a vítima no futuro. Os cibercriminosos tentam agir o mais rápido possível antes do alvo desligar o aparelho.
Um dia após o furto, a vítima mencionada no começo do texto, recebeu uma mensagem de SMS em seu novo telefone. Escrita em português, dizia:
O link que acompanhava a mensagem – hxxp://busca-devices[.]pe[.]hu – direcionava para um formulário de login solicitando as credenciais do Apple ID. Com a investigação da Trend Micro, logo se desconfiou que o endereço poderia ser uma página de phishing.
Após verificar a última localização do iPhone roubado, o site oficial do iCloud de fato confirmou que era o local onde a vítima havia sido roubada.
Roubo físico aliado ao Cibercrime
A indefinição do limite entre o roubo físico/tradicional e o cibercrime – e, em particular, o trabalho aparentemente em equipe entre os ladrões e os cibercriminosos pode resultar em possíveis ataques ainda maiores e mais complicados.
Além disso, em investigação no Underground Brasileiro, a Trend Micro encontrou uma página de phishing da Apple sendo negociada sob o valor de R$ 135 (equivalente a aproximadamente 43 dólares em 4 de maio de 2017). A página era oferecida para aluguel com um vídeo tutorial explicando como o serviço funciona.
Não se pode afirmar a correlação direta entre o assalto mencionado e a venda de tutoriais para o golpe via phishing Apple. No entanto, um dos commodities mais vendidos no submundo online brasileiro, são as vendas de credenciais Apple ID. Inclusive, este tipo de ataque tem sido relatado no país desde o começo de 2015.
Além do roubo de informações pessoais, a obtenção das credenciais da Apple ID permite ao hacker desativar o recurso de bloqueio de ativação em dispositivos iOS, o que lhes permitiria limpar o telefone (como parte de um ataque ou até mesmo para reutilizá-lo).
Boas práticas
Os crimes físicos e virtuais podem, de fato, trabalhar lado a lado com a finalidade de criarem esquemas maliciosos e ataques de maiores proporções. Por isso, a segurança física aliada à cibersegurança é ainda mais válida. Não só os usuários finais devem redobrar a proteção, mas as empresas se conscientizarem que os riscos de ataques online/virtuais podem ser igualmente prejudiciais.
Identificar sinais suspeitos para mitigar golpes phishing e adotar políticas de privacidade para aparelhos BYOD são apenas algumas das melhores práticas de segurança adotadas. Tais medidas são complementadas pela proteção de senhas até o uso de biometria ou PINs elaborados para impedir o acesso não autorizado aos aplicativos do dispositivo móvel.
Em tempo
Com ajuda da PhishLabs, a Trend Micro conseguiu derrubar as páginas de phishing que ainda estavam online. Também foi comunicado à Apple as descobertas relacionadas à ameaça.
