16 abril 2024

Nuevos tiempos, nuevos fraudes: phishing unicode

10 septiembre 2017
En nuestra historia real de hoy queremos contaros el caso de Asun, cuyo intento de recuperar su smartphone robado estuvo a punto de salirle muy caro ya que casi pica ante un nuevo tipo de fraude: el phishing unicode.

Asun se había levantado en una mañana de sábado con la intención de  hacer un poco de ejercicio. Unos largos en la piscina le vendrían muy bien para estirar su castigada espalda debido a la cantidad de horas que permanece sentada en su silla de oficina.

Finalizada la sesión de piscina, como cada sábado, Asun se dirigió a su cafetería de confianza para desayunar con su amiga Cristina. Mientras ésta pedía dos desayunos, Asun se levantó con intención de añadir a esta petición dos zumos naturales, cometiendo el error de dejar su bolsa de deporte encima de la mesa, sin ninguna vigilancia. A pesar de llevar su cartera en la mano para pagar la cuenta, su móvil quedó expuesto en una rejilla transparente situada en uno de los extremos de la bolsa. Cualquiera que pasara en ese momento por esta mesa, podría llevarse el móvil sin apenas levantar sospechas.

Y así ocurrió, pero Asun no se dio cuenta hasta salir de la cafetería. Su disgusto era mayúsculo, le habían robado su flamante Iphone 6S. Acto seguido, con el móvil de su amiga Cristina, buscaron por Internet información sobre cómo localizar un dispositivo robado iPhone comprobando que con el modo “Perdido” que ofrece iCloud, podrían localizar el móvil (en caso de estar encendido), bloquearlo de forma remota y también enviar un mensaje personalizado al mismo para informar al ladrón o la persona que lo encontrase, que el teléfono estaba bloqueado y que procediesen a la devolución siguiendo las indicaciones del mensaje.

Así pues, Asun envió un mensaje a su móvil con intención de que se lo devolvieran:

Imagen de pantalla de iPhone perdido. Indica que se ha perdido el IPhone y que se llame a un número.

Los usurpadores del móvil, tras ver el mensaje, y ser conocedores de esta opción de recuperación del dispositivo que facilita iCloud, pusieron en marcha su plan B para robar las credenciales de dicho servicio a Asun y así hacerse con el control del teléfono.

Para ello hicieron uso de un servicio mediante el cual se puede proceder al envío de un SMS o email suplantando a una entidad original, en este caso Apple, para solicitar las credenciales originales de acceso al servicio de iCloud de Asun.

Programas que envían SMS simulando ser Apple.

Y así fue… al teléfono de Cristina, la amiga, llegó el siguiente SMS:

Imagen de SMS recibido por un falso servicio de Apple.

Asun pensó que se trataba del servicio de localización de su teléfono, por lo que nerviosa por saber su ubicación accedió al enlace. A continuación se abrió una página con la web de iCloud… o eso parecía aparentemente.

Página fraudulenta que simula ser Apple.

Una de las cosas que Asun sabía es que cualquier web en las que hubiera que introducir credenciales, debía contar con certificado de seguridad y empezar por https. En esta ocasión, a simple vista así era: aparecía candado verde en el navegador y la url comenzaba por HTTPS. Sin embargo, rápidamente se dio cuenta que algo en la dirección no estaba bien. Aunque aparentemente parecía ser la web de iCloud, en la URL había un puntito que le parecía cuanto menos sospechoso.

Url fraudulenta simulando ser Apple.

Además, al pinchar sobre el candado verde para comprobar el certificado, detectó que la URL no era la legítima de iCloud, sino otra que nada tenía que ver.

Certificado de seguridad fraudulento.

¿Cómo han podido hacer esto los ladrones?

Han creado una página fraudulenta de tipo phishing en el que la URL en lugar de ser letras del código ASCII, contiene caracteres de tipo cirílicos, que a simple vista tienen el mismo aspecto, pero sin embargo tiene diferente representación Unicode. A este tipo de ataque también se le conoce como phishing homográfico o ataque de phishing mediante el uso de caracteres Unicode.

Por otro lado, para dotar de mayor credibilidad al fraude, han utilizado una autoridad certificadora que expide certificados gratuitos (Let’s Encrypt). De esta forma, el usuario ve el candado verde y el https en la URL.

¿Cómo acaba nuestra historia?

Al mismo tiempo que Asun se percataba del engaño, los ladrones del móvil pensando que Asun les enviaría sus credenciales con el engaño dejaron encendido el dispositivo, de tal forma que Asun pudo ver la localización exacta de su teléfono. Denunció lo sucedido y con la ayuda de las Fuerzas y Cuerpos de Seguridad del Estado, pudieron acudir al lugar donde la señal se encontraba activa y localizar a los ladrones y recuperar el teléfono.

Además de este tipo de phishing, desde el INCIBE se siguen detectando páginas fraudulentas que intentan suplantar a Apple o iCloud. Aquí os dejamos algunas muestras para que estéis atentos y no bajéis la guardia. Los ciberdelincuentes no descansan a la hora de conformar engaños para robarte las credenciales:

Imagen de varias páginas que simulan ser de Apple pero que son fraudulentas.

A %d blogueros les gusta esto: