A la protagonista de nuestra historia, un falso mensaje sobre la compra de una canción en una tienda de aplicaciones online, le supuso «compartir» el acceso a su cuenta de iTunes así como a su correo electrónico. ¿Quieres saber cómo pasó?

Ana es una usuaria de Internet, tiene un iPhone y, al igual que muchos usuarios hoy día, lo usa para hablar, mensajería electrónica, comprar, banca online, etc. Cierto día, recibió un correo electrónico en el cual se le indicaba que acababa de comprar una canción en iTunes…

Falso correo con el gancho para el phishing a la página de Apple

Se fijó en el remite del correo y le pareció correcto ya que venía de soporteapple.com. Además el enlace que aparecía en dicho correo, era de apple.com, así que, como no había comprado esa canción, hizo clic en el enlace para cancelar la operación. A continuación, se cargó una página "que parecía" de Apple.

Página falsa que simula el acceso mediante Apple ID

Tras introducir el identificador de usuario y la contraseña para «Iniciar sesión», un error debió producirse porque se volvió a cargar la página de Apple ID.

Página legítima de Apple que se carga después de robar las credenciales.

Volvió a introducir los datos de usuario y esta vez sí accedió a su cuenta. para su sorpresa, no vio ningún cargo como el que se le indicaba en el email, ni ninguna nueva canción ni nada raro, así que pensó que se trataba de un error sin más.

Al día siguiente el correo electrónico de su móvil dejó de funcionar, indicándole que había un error de autenticación, lo que le extrañó. No obstante, introdujo la contraseña de nuevo desde el móvil, pero no conectaba, seguía dando error en la validación.

Cuando llegó a casa, intentó desde el ordenador acceder a la cuenta de correo, pero no pudo. También probó a modificar la contraseña de acceso, pero los mecanismos de recuperación tampoco funcionaban: ni las preguntas de seguridad, ni el teléfono de recuperación, ni la cuenta de correo alternativa. En ese momento, se dio cuenta que le habían robado la cuenta de correo electrónico.

Para recuperar la cuenta tuvo que rellenar un formulario y enviárselo a Google ya que el correo era de Gmail. Afortunadamente, después de un día, pudo acceder a la cuenta y es cuando vio una serie de correos de confirmación de pagos vía PayPal, que por supuesto, ella no había hecho. Entró en la cuenta de PayPal y vio que la limitación se había hecho porqué consideraban la actividad “sospechosa”, y tanto, ella no había hecho esos pagos, los cibercriminales habían usado las credenciales robadas con el phishing de Apple ID, que eran las mismas.

Los que le habían robado la cuenta, habían hecho varios pagos por PayPal, por un total de 800€.Tras informarse en la página web de PayPal, le indicaron cómo proceder para la recuperación del dinero, que no fue inmediata, de hecho, un mes más tarde aún está en ello.

De manera adicional, consultó a la OSI sobre qué implicaciones podría tener este robo de credenciales, y desde la OSI le indicamos lo que había pasado:

  1. Había sido víctima de un phishing. Un email le hizo creer que se había realizado una compra a través de su cuenta de Apple para que accediera a un link que le redirigía a una página web que no era la de Apple, sino una suplantación. Le robaron sus datos de acceso.
  2. Como las credenciales de acceso de su Apple ID eran las mismas que para el correo electrónico, pudieron acceder también a él.
  3. Tras revisar su buzón, vieron que utilizaba el servicio de PayPal para tramitar pagos y compras, ya que había varios emails.
  4. Finalmente, para evitar sospechas, le cambiaron la contraseña del correo y los datos de recuperación para que no pudiera recibir los correos de PayPal con los distintos pagos realizados.

En este caso, la protagonista, ha recuperado ya parte del dinero, gracias al sistema de protección de pagos de PayPal, no obstante en otros casos puede que no se recupere o incluso que puedan acceder a más servicios, y además de robar datos, puedan llevar a cabo otro tipo de acciones delictivas usando los datos de la víctima.

¿Qué fallos había cometido Ana?

  1. No comprobar el dominio ni el certificado cuando pinchó el enlace del correo de phishing, el texto de la URL hacía creer que redirigía a la página oficial, sin embargo, la URL le llevaba a una web maliciosa.
  2. Tener servicios «críticos» (Apple ID, Gmail y PayPal) con la misma contraseña, robada una, tenemos tres. El correo va «a chivarse» de muchos otros servicios.
  3. Tener un medio de pago online con acceso a la cuenta corriente o tarjeta de crédito, directamente. El dinero sólo debería estar 30 segundos en el medio de pago. Transferimos dinero de otro sitio, pagamos y el saldo a 0€. Esto sirve para PayPal, tarjetas de pago online, etc.

¿Cómo tenemos que prevenir estas situaciones?

Antes de entrar, comprobar. Si vamos a introducir las credenciales en un servicio web, comprobamos que hay certificado y corresponde al sitio donde vamos a entrar.

2º Cada servicio ha de tener una contraseña distinta, si tienes muchos servicios y te resulta complicado memorizar todas las contraseñas, puedes usar un gestor de contraseñas.

3º Usa medios de pago seguros como tarjetas virtuales, PayPal… de forma que, justo antes de pagar, se transfiera el dinero exacto a esos medios, y una vez se realice el pago, el saldo quede a 0.

¿Os ha resultado interesante esta historia real? ¿Habéis vivido algún caso de este tipo? ¿Cómo habéis reaccionado? Podéis contarnos vuestro caso en privado desde el formulario de contacto de Historias reales de OSI.