Como meu iPhone foi duplamente roubado: Episódio 2

Com mensagens falsas que parecem ser da função “Buscar meu iPhone”, os cibercriminosos tentam desvincular o iPhone da sua conta ID Apple para poder vendê-lo por maior valor.

Ano passado, falamos sobre uma estratégia clássica de phishing que pretendia desvincular um iPhone roubado da conta Apple ID da vítima. O objetivo era revender o telefone como um smartphone usado, muito mais valioso, se comparado com o preço das peças separadas.

Na última vez, a sorte estava do lado dos cibercriminosos, que conseguiram o nome de usuário e a senha do iCloud de que precisavam. Desta vez, analisamos uma estratégia de phishing mais complexa para extrair os dados confidenciais das vítimas, incluindo o Plano B, que visa capturar qualquer um que consiga se safar do Plano A.

Primeiro passo: o roubo do iPhone

Tudo começou como sempre: minha colega Ana esqueceu seu telefone em um banco do parque. Voltou 20 minutos depois, mas o telefone havia sumido. Ela ligou para seu número -não mais disponível. Sem hesitar, Ana ativou o “Modo Perdido” no “Buscar meu iPhone” usando o smartphone de um amigo e adicionou outro número para que quem  encontrasse o dispositivo pudesse entrar em contato com ela.

No dia seguinte, não tinha mais esperança de receber a ligação de alguém que tivesse encontrado o aparelho. De acordo com as informações do app do iPhone, ainda estava desconectado. Portanto, Ana optou por ativar a função “Apagar iPhone”.

Função “Apagar iPhone” está pendente

Este aplicativo de segurança útil para iPhone exclui todos os dados do telefone e o desativa assim que o dispositivo se conecta à Internet. Mas, aparentemente, o ladrão era um especialista em iPhone ou, mais provavelmente, contratou alguém no mercado paralelo expert na arte de desvincular dispositivos Apple das contas de seus proprietários no iCloud. De qualquer forma, uma vez perdido, o iPhone não havia se reconectado, por isso era impossível apagá-lo para desativá-lo.

Embora o dispositivo estivesse protegido com Touch ID, o acesso ao WiFi e aos dados móveis podem ser desativados sem a necessidade de desbloquear o telefone. Basta deslizar o dedo para cima na tela de bloqueio para acessar o Centro de Controle e ativar o “Modo Avião”.

Central de Controle pode ativar o modo avião sem desbloqueio

Durante os dois dias em que o cartão SIM do telefone permaneceu desbloqueado, os golpistas puderam usá-lo para descobrir o número de telefone de Ana. No terceiro dia, a companhia telefônica bloqueou o antigo cartão SIM e Ana introduziu um novo, com o mesmo número, em seu novo telefone.

Segundo passo: um SMS de phishing

No quarto dia, os golpistas tentaram desvincular o iPhone do ID Apple de Ana. Primeiro, fizeram uma série de ligações de um número de telefone, supostamente dos Estados Unidos. Quem respondeu do outro lado ficou em silêncio.

Chamadas de teste dos cibercriminosos. É fácil substituir um número pelo IP da telefonia

O objetivo das chamadas era confirmar que o cartão SIM havia sido reemitido e se o número estava ativo novamente. Imediatamente após a última ligação, Ana recebeu uma mensagem de texto confirmando que seu telefone havia sido conectado e foi localizado.

Mensagens de phishing informando que o iPhone foi conectado e localizado

A mensagem de phishing era muito fiel à realidade. Para Ana não suspeitar, a mensagem foi enviada de um serviço capaz de substituir “Apple” como remetente. O link de phishing que apareceu na mensagem também parecia muito crível. Se inserido manualmente, direciona para uma página que não existe. Mas, se clicarmos no link, leva para um site de phishing. Onde está o segredo?

O domínio icloud.co.com existe e pertence à Apple, mas o link de texto vinculado à icIoud.co.com, que é um “L” maiúsculo, não um “l” minúsculo. Depois de clicar, Ana foi redirecionada para uma página de phishing muito convincente, que solicitou a ela inserir seu ID e senha da Apple para procurar o iPhone perdido. Se olharmos mais de perto essa página fraudulenta, podemos ver que o endereço mudou e, portanto, não é seguro inserir os dados.

É assim que a página de phishing parece no navegador móvel

É curioso que a página seja diferente dependendo do dispositivo e do navegador. Provavelmente, cibercriminosos usam este site para diferentes estratégias de phishing adaptadas a diferentes plataformas.

A versão para desktop da mesma página de phishing

Ana não preencheu o formulário de página porque percebeu imediatamente que o serviço era falso. Além disso, seu telefone ainda parecia desconectado no aplicativo “Buscar meu iPhone”, assim como havia aparecido desde o roubo.

Este poderia ter sido o fim, mas sem desvincular o telefone do ID Apple, os ladrões não poderiam conseguir tanto dinheiro com a revenda. Portanto, continuaram com o plano B.

Terceiro passo: Um telefonema “amigável”

Três horas após o envio da mensagem de phishing e, quando ficou claro que Ana não iria inserir as informações de sua conta em uma página de phishing, ela recebeu uma chamada de voz. O cibercriminosos se apresentou como um funcionário do atendimento ao cliente, mencionou o modelo e a cor do telefone e perguntou se ela o havia perdido. Ele continuou dizendo que o telefone estava em um shopping do outro lado da cidade e convidou Ana para ir buscá-lo.

Com a tentativa de phishing ainda recente, Ana fez uma série de perguntas razoáveis ​​sobre como eles haviam encontrado o telefone e seu número, para avaliar se aquilo era uma fraude. O desconhecido respondeu bruscamente: “Se você não precisa do telefone, não venha.”

Ele também acrescentou que as pessoas que levaram o telefone ao centro de atendimento ao cliente pareciam suspeitas, então ele procurou no banco de dados e descobriu que ele parecia perdido. O mesmo banco de dados (obviamente mágico) também continha o número de telefone de Ana. Em resumo, ela tinha uma hora para atender o telefone antes que aqueles que o haviam encontrado voltassem para buscá-lo.

Vamos nos concentrar em uma série de detalhes técnicos. Para saber se um telefone está perdido, a primeira coisa a fazer é ligá-lo. Em seguida, o telefone mostrará uma notificação sobre a perda, com um número para entrar em contato com o proprietário.

Além disso, durante a conversa com o suposto serviço ao cliente, Ana verificou se o telefone estava conectado. E, verificando que não, ele informou o cibercriminoso, que respondeu com astúcia que era possível que o telefone já estivesse conectado a outro ID da Apple. Se não fosse a pressão e as emoções psicológicas, teria sido o momento perfeito para detectar o golpe. Mas, nós contamos o final dessa história mais abaixo.

Posteriormente, o homem que fingiu ser do atendimento ao cliente disse à Ana que o estabelecimento não poderiam manter os dispositivos dos clientes e que eles devolveriam o telefone se alguém o procurasse. Ele também pediu para Ana ligar se ela não pudesse aparecer no shopping em uma hora. E então veio a mudança inesperada: ele pediu que trouxesse a capa do telefone original e sua identificação. O truque funcionou. Ana, acompanhada por alguns amigos por motivos de segurança, chamou um táxi e foi procurar seu telefone.

No caminho, Ana ligou para o “atendimento ao cliente” para ver como estava a situação. O homem pediu para ela abrir o aplicativo “Buscar meu iPhone” e a bombardeou com perguntas: o que você vê, qual a cor do ponto que aparece ao lado do ícone do telefone e de outros, como se estivesse investigando seu caso.

Quando Ana disse a ele que ela estava chegando, o homem pediu que ela se conectasse ao iCloud novamente, verificasse se o dispositivo havia aparecido e, em seguida, solicitou que apertasse o botão “Excluir” e confirmasse se a mensagem de aviso continha certas palavras. Ana apertou o botão e retransmitiu a mensagem de aviso. Então o homem disse que tudo estava claro: o telefone havia sido desconectado da iCloud e, para reconectá-lo, ele teria que confirmar a exclusão e reconectá-lo.

Apesar do estresse da situação, Ana não o fez, pois lembrou que um telefone nunca deve ser desconectado da conta de seu proprietário. Então ela respondeu que resolveria isso no centro.

O cibercriminoso ligou alguns minutos depois, armado com uma técnica de engenharia social mais eficaz. Para pressionar a vítima, ele disse que aqueles que haviam encontrado o telefone haviam retornado, então ela teve que decidir ali mesmo se deveria ou não devolver o telefone.

Ao fundo, o barulho típico de um local público podia ser ouvido, vozes perguntando “E aí?” e o golpista respondendo “Um segundo, pessoal”, enquanto ainda insistia que Ana removesse o telefone da nuvem. Ana respondeu que estava perto, que havia chamado a polícia e estava a caminho. O homem disse que entregaria todas as gravações de segurança, mas que não poderia mais esperar por ela. Ele ia dar o telefone para eles.

Como esperado, quando Ana chegou ao shopping, ela não encontrou nenhum serviço ao cliente. Quando a polícia chegou, os agentes confirmaram que não havia nada parecido, mas que os golpistas costumavam direcionar as vítimas para aquele local e o informavam da estratégia usual que seguiam, idêntica à que eles tentaram com Ana.

Depois disso, os golpistas não entraram em contato com ela, mas as mensagens de phishing continuaram chegando alguns dias depois, esperando que Ana cedesse e lhes entregasse sua senha.

Mensagens de phishing continuaram por um tempo

Por fim, Ana não conseguiu seu iPhone, mas também não caiu na armadilha dos golpistas de cibercriminosos. O telefone roubado ficou vinculado ao seu ID Apple e com o modo de excluir o iPhone ativado, portanto, uma vez conectado, tudo será excluído e desativado. Os ladrões terão que se contentar em vendê-lo em pedaços.

O que fazer se o seu iPhone for perdido ou roubado?

Para concluir, deixamos aqui uma série de dicas que você deve seguir se você perder seu iPhone ou for roubado.

  • Ative imediatamente o “Modo Perdido” no aplicativo “Buscar meu iPhone”.
  • Entre em contato com sua operadora para bloquear o cartão SIM, especialmente se ele não estiver protegido pelo código PIN (por padrão, esses códigos estão desativados ou muito simples, como 0000).
  • Ative o modo para Äpagar o iPhone” imediatamente se tiver certeza de que não verá o telefone novamente.
  • Lembre-se de que mensagens SMS e até chamadas de voz podem ser estratégias de phishing. Se as informações coletadas pelas mensagens não corresponderem ao que você vê na função “Buscar meu Iphone”, é muito provável que alguém esteja tentando roubá-lo.
  • Pesquise no seu e-mail as mensagens verdadeiras que você recebeu da função “Buscar meu iPhone”. Se você não tiver recebido nada, qualquer outra mensagem enviada para seu telefone poderá ser fraudulento.
  • Não acesse os links que aparecem em uma mensagem de texto, insira icloud.com manualmente (e com cuidado) no navegador e nunca insira seu ID e senha da Apple em uma página já que você pode ter aberto a partir de um link de phishing.
  • Mantenha a calma. É muito provável que os golpistas tentem fazer você tomar uma decisão precipitada. É a estratégia habitual, não desista.
  • Por mais que os golpistas insistam, nunca desative o “Modo Perdido” do aplicativo “Buscar meu iPhone”.
Dicas