Se solicita al usuario que, además, actualice su información haciendo clic en un enlace que parece ser de un dominio de Apple. En la siguiente imagen se puede ver que la dirección de correo electrónico no pertenece a Apple, por lo que esto ya es una gran pista para evitar caer en el phishing. Además, se puede ver como el dominio dónde apunta el enlace no corresponde con un dominio de Apple, ni algo parecido. Una buena práctica sería intentar ver más información a través de un whois.
Cuando el usuario hace clic en el enlace, se accede a un sitio web con la imagen de Apple, pero como se comentó anteriormente un dominio no relacionado con Apple. Otro detalle a tener en cuenta es que no existe ningún protocolo de cifrado, por lo que puede extrañarnos que Apple nos solicite información por correo, lo cual nunca hará, y además que el login no se encuentre bajo un protocolo SSL/TLS.
Si el usuario cae en la trampa, se le solicitarán los datos de la tarjeta, así como el código de seguridad y la fecha de expiración. Si la víctima cae y los entrega, los atacantes obtienen todos los datos necesarios para conseguir utilizar la tarjeta y realizar robos. Si se analiza el código fuente se puede ver dónde se envía la información, y se puede verificar de forma sencilla que no es a Apple.
Hay más de mil millones de usuarios de Apple en el mundo que se encuentran activos entre los diferentes dispositivos. Por esta razón, es potencialmente sencillo que muchos puedan caer en este tipo de trampas. Descuida siempre que te soliciten datos por correo electrónico, ya que como sabéis no es la vía por la que nadie os pedirá este tipo de datos.
Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths
Continúar leyendo...