Los estafadores han encontrado la manera de hacer un uso indebido de los correos electrónicos legítimos de notificación de cuentas de Apple para engañar a sus víctimas y que llamen a números falsos de asistencia técnica.
Según un informe de BleepingComputer, los estafadores crean una cuenta de Apple e introducen un mensaje de phishing en los campos de información personal; a continuación, modifican la cuenta para que Apple envíe al destinatario una alerta de seguridad auténtica sobre el cambio.
BleepingComputer logró reproducir el ataque.
El atacante crea un ID de Apple que controla y, a continuación, introduce el mensaje de phishing en los campos de información personal (nombre, apellidos y, posiblemente, dirección), dividiéndolo entre varios campos porque no cabe en uno solo.
Para poner en marcha el ataque de phishing, el atacante modifica algún dato inofensivo de su cuenta de Apple creada específicamente para este fin, como la información de envío, lo que hace que los sistemas de Apple envíen un correo electrónico de seguridad con el asunto «Se ha actualizado tu cuenta de Apple».
Aunque la alerta original se envía al correo electrónico de iCloud del atacante, este puede reenviarla a una lista más amplia de víctimas, por ejemplo, a través de una lista de correo.
En la copia que reciben los destinatarios, los encabezados del correo electrónico siguen mostrando un remitente legítimo de Apple, y la presencia de la dirección de iCloud del atacante puede incluso dar la impresión de que «otra persona» ha accedido a la cuenta.
Dado que Apple incluye esos campos rellenados por el usuario en el correo electrónico de seguridad, el texto de phishing se envía dentro de un mensaje legítimo procedente de la propia infraestructura de Apple.
Este método, conocido como «phishing de devolución de llamada», descarta a los usuarios sospechosos, de modo que los estafadores pueden centrarse en las personas que han picado en la primera parte.
Los correos electrónicos proceden de una fuente legítima, por lo que superan todos los filtros de seguridad y parecen lo suficientemente convincentes como para asustar al destinatario y hacerle creer que alguien ha gastado 899 dólares de su PayPal .
Pero la estructura del correo electrónico no tiene sentido.
A «Estimado usuario» le sigue inmediatamente el mensaje fraudulento, justo donde debería aparecer tu nombre. El asunto indica que se trata de información de la cuenta, en lugar de una compra. Además, la cuenta de iCloud no pertenece al destinatario. Por lo tanto, una vez que sabes cómo se hace, no es difícil detectarlas. Por eso hemos escrito este artículo.
Y, en caso de duda, siempre puedes consultar a Malwarebytes Guard.
¿Estafa o es de fiar? Scam Guard lo sabe.
Scam Guard identificó la captura de pantalla como una estafa y guía a los usuarios a través de los siguientes pasos.
Este tipo de estafas funcionan porque muchos usuarios siguen considerando que las llamadas telefónicas son más fiables que los correos electrónicos, sobre todo si el correo electrónico ha superado todos los controles técnicos habituales de autenticidad y han sido ellos mismos quienes han iniciado la llamada.
Cómo mantenerse seguro
Los estafadores que se hacen pasar por personal de soporte técnico intentarán convencer a quienes llaman de que instalen algún tipo de aplicación de escritorio remoto para robar datos de su ordenador, o les pedirán datos financieros para poder robarles el dinero.
Para protegerte de estos estafadores:
- Desconfía de las alertas inesperadas sobre compras de alto valor que no reconozcas. Son sospechosas incluso si proceden de un dominio auténtico.
- Nunca llames a un número que te hayan enviado sin que lo hayas solicitado, ni siquiera a los que aparezcan en los resultados de búsqueda patrocinados.
- Lee atentamente los correos electrónicos y los mensajes de texto, incluso si proceden de direcciones de confianza. ¿Tiene sentido el correo electrónico desde el punto de vista estructural y lingüístico?
- Si alguien que dice ser del servicio de atención al cliente de una empresa legítima te pide acceso remoto o datos de pago durante una llamada, cuelga y ponte en contacto con la empresa a través de los canales oficiales.
- Utiliza Malwarebytes Guard para analizar cualquier tipo de mensaje que te alarme o te inste a actuar de inmediato.
¿Te parece que algo no va bien? Compruébalo antes de hacer clic.
Malwarebytes Guardte ayuda a analizar al instante enlaces, mensajes de texto y capturas de pantalla sospechosos.
Disponible conMalwarebytes Premium para todos tus dispositivos, y en laMalwarebytes para iOS Android.
