Homem tem iPhone 7 roubado em SP e acaba perseguido por golpe de phishing
Rafael Ferreira andava pela rua Augusta, em São Paulo, no último sábado (02), e teve o seu Apple iPhone 7 Plus furtado por um grupo de homens. Os homens abraçaram Rafael* na altura do n° 1.200 da Augusta e, quando ele percebeu, o smartphone havia sumido. Acontece que, no dia seguinte, após preencher o Boletim de Ocorrência, Ferreira começou a receber mensagens SMS — no mesmo número ativado em outro aparelho — com links para a ferramenta Buscar iPhone e iCloud. O problema é que, na verdade, isso também não passava de outro golpe, mas o de phishing.
Ferreira, leitor do TecMundo, nos enviou os links do golpe. Utilizando o WhoIs, site que mostra o registro de domínios na internet, pudemos determinar que os domínios estão registrados nos nomes de Marcelo Junior e Jose Viegas, provavelmente sem qualquer relação com a Apple.
Cuidado: ambos os sites simulam perfeitamente os domínios oficiais da Apple
O site “ibuscar-find.com.br/Find/”, enviado via SMS para Rafael, possui protocolo de segurança HTTPS, o que ajuda a ludibriar as vítimas. Ao preencher os campos de inserção, o site apenas exibe a mensagem de erro de senha, porém, tudo que é escrito nos campos acaba sendo catalogado em um servidor próprio.
O segundo site enviado para a vítima, na verdade um subdomínio do primeiro, se chama “ibuscar-find.com.br/Support” e simula a tela do iCloud. A funcionalidade é a mesma: puxar dados escritos nos campos de inserção.
Site falso Buscar iPhone
Vale notar como ambos os sites simulam perfeitamente os domínios oficiais da Apple — deixando de lado o último citado, que possui algumas proporções diferentes de imagem. No momento da publicação desta notícia, a vítima também começou a receber os links via email. Como você mesmo pode ver na imagem, o remetente falso “[email protected]” entrega o golpe.
A Apple confirmou que o caso se trata de um golpe
O Buscar iPhone oficial da Apple possui algumas diferenças nítidas. Primeiro que, antes do protocolo HTTPS, a assinatura Apple Inc. [US] está presente. Além disso, o domínio é “icloud.com/#find”. Na imagem, podemos ver que Ferreira não tem mais acesso ao localizador, já que o aparelho se encontra desligado.
Caso você não saiba, phishing é um dos métodos de ataque mais antigos, já que “metade do trabalho” é enganar o usuário de computador ou smartphone. Como uma “pescaria”, o cibercriminoso envia um texto indicando que você ganhou algum prêmio ou dinheiro (ou está devendo algum valor) e, normalmente, um link acompanhante para você resolver a situação. A armadilha acontece quando você entra nesse link e insere os seus dados sensíveis — normalmente, há um site falso do banco/ecommerce para ludibriar a vítima —, como nome completo, telefone, CPF e números de contas bancárias.
O TecMundo entrou em contato com a Apple. A companhia afirmou que o site realmente não faz parte de seus domínios oficiais, se tratando de um golpe de phishing.
Atualização às 15h30: Policiais civis do Decap (Departamento de Polícia Judiciária da Capital São Paulo) abordaram um casal no centro de São Paulo carregando mais de 10 aparelhos celulares. Entre os smartphones, estava o iPhone 7 Plus de Rafael Ferreira, citado nesta notícia. De acordo com nossa fonte, o casal fazia parte de uma quadrilha especializada no roubo e venda de iPhones — até por isso, a quadrilha possuía o equipamento necessário para realização do phishing.
Phishing via email (esq) e SMS (direita)
Para você entender melhor sobre o caso, conversamos com Renato Marinho, chefe de pesquisas do Morphus Labs e SANS ISC Handler.
“Ao longo do tempo, a Apple vem aperfeiçoando o Activation Lock, um mecanismo de segurança que, aliado ao Find my iPhone, maximizam as chances de recuperação de dispositivos perdidos ou roubados por impedirem que os aparelhos sejam úteis para terceiros”, disse Marinho. “Na minha opinião, esse recurso tem cumprido bem seu papel e tem sido extremamente útil para milhares de usuários da plataforma, mas, assim como qualquer outro controle de segurança, há sempre quem esteja à procura de uma maneira de driblá-lo”.
É imprescindível que os usuários habilitem um segundo fator de autenticação em todas as contas
Marinho comenta que já ouviu diversos relatos de pessoas que, ao terem seus iPhones roubados, foram exigidas pelo criminoso que repassassem os dados de usuário e senha do ID da Apple. “Uma outra estratégia bastante comum é exatamente através do email ou SMS phishing, que podem levar as vítimas a digitarem suas credenciais em um site falso do Find my iPhone”.
Site falso do iCloud
*O nome da vítima foi alterado para Rafael Ferreira por medida de segurança
