Sua conta Apple expira em menos de 48 horas

Sua conta Apple expira em menos de 48 horas

Um email de phishing anda a circular em massa pelos emails dos portugueses. Objectivo? Tentar obter dados confidenciais de quem tem conta Apple ID.
O email, com remetente forjado no_reply@apple.com, falha em muitos testes anti-SPAM mas ainda consegue “fazer mossa” aos mais desatentos.

Um desses testes de anti-SPAM é a validação do SPF (Sender Policy Framework) que não é validado (como é óbvio):

Received-SPF: softfail (google.com: domain of transitioning no_reply@apple.com does not designate 93.90.22.67 as permitted sender) client-ip=93.90.22.67;
Authentication-Results: mx.google.com;spf=softfail (google.com: domain of transitioning no_reply@apple.com does not designate 93.90.22.67 as permitted sender) smtp.mail=no_reply@apple.com;dmarc=fail (p=NONE dis=NONE) header.from=apple.com

O endereço IP tem origem em Espanha (http://www.ip-adress.com/ip_tracer/93.90.22.67) e, o próprio endereço no qual a vítima é reencaminhada, também tem algumas referências em língua espanhola.

O link que acompanha o email fraudulento, e que posteriormente encaminha para a página de phishing, não é bloqueado por nenhum antivírus comum (apenas pelo WebSense).

iforgot-idapple-login-pt.slyip.net/Carregando-de-verificacao/ reencaminha para iforgot-idapple.com/.aplication.store.pt/store/cuenta/verificacao/3D/
ccfacf3e5f5481c25cda61dd731bbece/4f4fd9b2e3be5fd1fbe103d7b108d0e27cf5b7eee81860992d1b36d4/
default.html?key=4f4fd9b2e3be5fd1fbe103d7b108d0e27cf5b7eee81860992d1b36d48ad8e045f&language=IT-IT

apple_phishing2

De referir a utilização do serviço de DNS dinâmico gratuito DtDNS  para a atribuição de um hostname, neste caso iforgot-idapple-login-pt.slyip.net

O domínio iforgot-idapple.com foi registado no site nominalia.com em 9 de Janeiro de 2014 e está registado num nome italiano mas com origem nos nuetros hermanos.

O endereço de phishing, à imagem do site português da Apple, requisita diversos dados à vitima. Entre os quais os dados do cartão de crédito, informações pessoais e a password do email (isto é o que chamo ir directo ao assunto). Após o preenchimento destes campos, toda a informação é encaminhada para o utilizador malicioso e posteriormente utilizada para roubo de informação confidencial e financeira.

De referir que o código fonte do site de phishing está ofuscado mas podem consultar o código aqui – http://pastebin.com/HqjmLNKe.

Se por acaso preencheu os dados do site de phishing que acompanha este email fraudulento, deverá contactar rapidamente a entidade bancária do seu cartão de crédito e trocar a sua password de email (ou outras contas associadas com esta password).

Achaste interessante? Partilha!
    Analista de segurança web com vários anos de experiência. Fundador do projeto WebSegura.net. Reconhecido publicamente, por divulgação de vulnerabilidades, por empresas como a Google, Adobe, eBay, Microsoft, Yahoo, Panda Security, AVG, Kaspersky, McAfee, Hootsuite e outros. Colabora regularmente com a comunicação social em temas relacionados com a segurança de informação.

    Que tal participar com o seu comentário?