Portada General ¡Atención! – Miles de Casos Phishing en iPhone y Mac
El phishing es uno de los mayores problemas de seguridad que puedes encontrarte hoy en día.
Los atacantes cada vez usan más esta técnica por motivo muy sencillo, es muy fácil.
No tiene que programar un complicado malware ni buscarse la vida para instalarlo en tu dispositivo, en el phishing eres tú mismo el que le facilita la información sensible, (contraseñas, nombres de usuario, etc…)
Además, el phishing es «multiplataforma», ya que a los atacantes les da igual el tipo de dispositivo que utilices y puede estar enfocado a casi cualquier cosa, como acceder a tu cPanel.
La empresa de seguridad Kaspersky ha detectado que los ataques phishing dirigidos exclusivamente a usuarios de sistemas operativos macOS (iMac, MacBook, etc…) y iOS (iPhone, iPad) está aumentando a un ritmo endiablado.
En 2018, la empresa detectó 7,3 millones de intentos de phishing a usuarios de macOS, pero en la primera mitad de 2019 ya han detectado 6 millones de acciones phishing, por lo que se estiman más de 12 millones cuando acabe el año.
Hay que tener en cuenta que estos son los ataques detectados por Kaspersky, en realidad existirán muchísimos más ataques phishing para los usuarios que usen dispositivos de la manzana mordida.
El aumento de ataques phishing a usuarios de dispositivos de Apple es muy importante, pero esto no significa que sean los únicos que reciben este tipo de ataques.
Cualquier usuario de cualquier sistema operativo puede ser un «objetivo phishing», así que no se trata de fastidiar a los usuarios de Apple en exclusiva.
El aumento de ataques para usuarios de macOS, se debe a varios factores.
El primero y más evidente, es la «sensación de seguridad» que trasmite el sistema operativo de Apple.
Antes de que salten chispas, remarco que he entrecomillado el término «sensación de seguridad», ya que cualquiera que tenga algunos conocimientos informáticos, sabe que ningún sistema es completamente seguro y si, para Mac también existe el malware.
No es menos cierto que la cuota de mercado de macOS es muy inferior a la de Windows, así que es lógico que un atacante elija como objetivo el sistema operativo con mayor cuota de mercado, si hay más peces en el mar…
El segundo punto a tener en cuenta para entender este aumento, es la falta de experiencia en los usuarios de Mac ante estos ataques.
Al usar un sistema operativo con menos ataques que Windows, es posible que tenga menos experiencia en detectar un intento de phishing, así que los atacantes están lanzando el anzuelo, aunque hayan «menos peces en el mar», por seguir con la misma metáfora.
Los usuarios habituales de macOS o iOS no están acostumbrados a ser el objetivo específico de campañas así, pero existir, existen…
Aunque como hemos dicho antes, el phishing no entiende de sistemas operativos, puedes recibir un email de tu banco pidiéndote que verifiques tus datos de acceso, cuando en realidad no es tu banco quién envia el email.
Normalmente, un ataque phishing comienza con un email, el email está trabajado, parece un email fidedigno de la empresa o servicio que lo envía y en principio, nada te hace sospechar de él.
El mensaje suele ser referente a una urgencia, una verificación, una advertencia, etc… algo que llame tu atención y un botón o enlace que te llevará a un sitio web.
El sitio web será semejante al que estás habituado a entrar, pero será más falsa que una moneda de 3 € y si pones us datos de acceso, ya está, habrás caído en un phishing.
Le has dado tus credenciales de acceso al atacante de manera voluntaria y él sólo tiene que entrar al sitio web real y usar las credenciales para poder acceder libremente y hacer, literalmente, lo que quiera.
Por lo general, los sitios web falsos suelen tener defectos, pero desde Kaspersky, destacan la calidad los sitios web que los atacantes están usando en sus ataques para usuarios de Apple.
Aquí hay algunos ejemplos:
Y estos son una muestra de los correos que se envían como «gancho»:
Y otro tipo de ataque, es una advertencia por parte de Apple, indicando que se ha detectado malware instalado en tu dispositivo.
El sitio web salta de repente mientras estás navegando y es tremendamente real, prácticamente con el mismo diseño que una web de Apple y dándote dos opciones, que llames a un número de teléfono de soporte o que descargues el software para solucionar el problema.
Obviamente, cualquiera de las dos opciones es falsa y si sigues sus instrucciones, convertirás una amenaza ficticia en una amenaza real.
El phishing se evita estando atentos y usando el sentido común, seas un usuario de un dispositivo Apple o no.
Si recibes un email de Apple indicándote, de forma muy alarmante por supuesto, que si no haces click en «Este enlace» y verificas tu cuenta, esta será borrada pediendo todas tus fotos, documentos y hasta tu casa…. ¡¡DESCONFÍA!!.
El enlace te llevará a una web trampa, ya has visto más arriba lo «curradas» que están y les darás tus datos a los atacantes.
Mejor entras a la web de Apple directamente desde un navegador, no pulsando en el enlace que te envían.
Fíjate y mucho, en la URL del sitio web donde vas a loguearte.
No es lo mismo ver esto, donde podemos que el dominio es apple.com claramente:
Que ver algo así, que es falso aunque ponga apple por algún sitio:
Cualquier email que recibas que pueda parecer sospechoso, no hagas click en ningún enalace, es mejor que preguntes directamente a Apple si el emails que has recibido es spam o algo real y Apple tiene un servicio técnico en el que te ayudarán sin problemas.
Tampoco es bueno actuar de manera impulsiva. Si recibes un email de alerta importante, casi de vida o muerte, seguramente será algo falso y sólo tendrás que confirmarlo con Apple directamente para darte cuenta.
Cómo hemos dicho, el sentido común y estar atentos son el mayor enemigo del phishing que, a fin de cuentas, es sólo un engaño más, no un peligroso código informático creado por un equipo de hackers de película.
Fuente: Kaspersky