Cómo los piratas informáticos y los estafadores se dividen en iPhones bloqueados por iCloud

En una novedosa fusión de física y ciberdelito, los piratas informáticos, los ladrones e incluso las empresas de reparación independientes están encontrando formas de "desbloquear iCloud" desde los iPhones

En la primavera de 2017, una adolescente caminó detrás de una mujer que salía del Metro en el noreste de Washington DC y la puso en un estrangulamiento: "Cállate", dijo. Y "borra tu iCloud". Agarró su iPhone 6S y salió corriendo.

El mes pasado, hubo una serie de atracos similares en Filadelfia. En cada uno de estos atracos, el perpetrador presuntamente detuvo a la víctima a punta de pistola, les exigió que sacaran su iPhone y les dio instrucciones: deshabilite "Buscar mi iPhone" y cierre la sesión de iCloud.

En 2013, Apple introdujo una función de seguridad diseñada para hacer que los iPhones sean objetivos menos valiosos para los posibles ladrones. Un iPhone solo se puede asociar a una cuenta de iCloud, lo que significa que, para venderlo a otra persona (o para que alguien nuevo pueda usar un teléfono robado), esa cuenta debe eliminarse del teléfono por completo. Un iPhone robado que todavía está conectado a la cuenta de iCloud del propietario original no sirve para su uso personal ni para revenderlo (a menos que lo elimine por partes), porque en cualquier momento el propietario original puede bloquear el teléfono de forma remota y encontrar su ubicación con Find My iPhone . Sin la contraseña del propietario, la cuenta del propietario original no se puede desvincular del teléfono y el dispositivo no puede restablecerse de fábrica. Esta característica de seguridad explica por qué algunos atracadores han estado exigiendo contraseñas de sus víctimas.

Es probable que la función de seguridad de iCloud haya reducido la cantidad de iPhones que han sido robados, pero los delincuentes emprendedores han encontrado formas de eliminar iCloud para revender dispositivos. Para hacer esto, engañan a los propietarios originales del teléfono o a los empleados estafadores en las tiendas de Apple, que tienen la capacidad de anular los bloqueos de iCloud. Los ladrones, codificadores y piratas informáticos participan en una industria clandestina diseñada para eliminar la cuenta iCloud de un usuario de un teléfono para que luego puedan ser revendidas.

Para complicar aún más las cosas, el hecho de que no todos los teléfonos con iCloud son dispositivos robados, algunos de ellos son teléfonos que se devuelven a las compañías de telecomunicaciones como parte de los programas de actualización y seguros del teléfono. La gran cantidad de iPhones iCloud bloqueados legítimamente obtenidos ayuda a suministrar a la industria de reparación de teléfonos independientes piezas de repuesto que no se pueden obtener directamente de Apple. Pero, naturalmente, las empresas de reparación saben que un teléfono vale más desbloqueado que bloqueado, por lo que algunos de ellos se han metido en el hacking subterráneo para convertirse en clientes de compañías ilegales de desbloqueo de iCloud.

En la práctica, el "desbloqueo de iCloud", como suele llamarse, es un esquema que involucra una cadena de suministro compleja de diferentes estafas y ciberdelincuentes. Estos incluyen el uso de recibos y facturas falsos para engañar a Apple y hacerle creer que es el propietario legítimo del teléfono, usar bases de datos que buscan información en iPhones e ingeniería social en las Tiendas Apple. Incluso hay kits de phishing personalizados para la venta en línea diseñados para robar contraseñas de iCloud al propietario original de un teléfono.

¿Tienes un consejo? Puede comunicarse con Joseph Cox de forma segura en Signal al +44 20 8133 5190, chatear con OTR en jfcox@jabber.ccc.de o enviar un correo electrónico a joseph.cox@vice.com. Puede comunicarse con Jason Koebler de forma segura en Signal al 347-513-3688 o por correo electrónico: jason.koebler@vice.com.

Hay tres formas de eliminar una cuenta de iCloud de un iPhone:

    La contraseña del iCloud original del propietario se puede ingresar para eliminarla, que un pirata informático podría obtener a través del phishing.

    Un administrador de Apple Store puede anular iCloud. Los estafadores pueden engañar a los administradores de Apple Store para que desbloqueen un dispositivo que no les pertenece.

    La CPU del iPhone puede retirarse de la placa lógica y reprogramarse para crear lo que es esencialmente un dispositivo "nuevo" (esto requiere mucha mano de obra y es poco frecuente. Generalmente se realiza en laboratorios de restauración chinos e implica el robo de un número de identificación de teléfono "limpio" llamado un IMEI.)

Cada uno de estos métodos se usa para desbloquear dispositivos específicos y revenderlos, aunque algunos métodos son mucho más fáciles y más utilizados que otros.

"No todos los teléfonos con iCloud bloqueado son dispositivos robados", dijo a Motherboard RootJunky, un instructor de Phonlab, una compañía que enseña a los talleres de reparación de teléfonos inteligentes sobre problemas relacionados con el software en la industria. "Pero cada método para eliminar iCloud implica una actividad ilegal".

CUANDO LAS MANOS DE LADRONES SE ENCUENTRAN

Los iPhones son un blanco conveniente para los ladrones porque valen cientos de dólares, son abundantes y fáciles de transportar y ocultar. Pero los ladrones pueden encontrarse con varios obstáculos técnicos una vez que toman el teléfono. Muchos propietarios utilizan la función Buscar mi iPhone, que permite al cliente iniciar sesión en un sitio web de Apple y ver fácilmente la ubicación precisa de su teléfono en un mapa, así como bloquear de forma remota su dispositivo, lo que hace que sea mucho más difícil de revender y vale mucho menos que un teléfono desbloqueado, restablecido de fábrica. Aunque los agentes de la ley no siempre pueden actuar sobre esta información, Find My iPhone ha contribuido a los arrestos de ladrones de teléfonos. El Bloqueo de activación, una característica relacionada, significa que el teléfono solo puede borrarse, usarse o reactivarse al ingresar el código de identificación del dispositivo del propietario o su contraseña de iCloud.

Para que quede claro, el "bloqueo de iCloud" y el código de acceso de un dispositivo son dos cosas diferentes. La contraseña del iPhone desbloqueará la pantalla, mientras que la contraseña de iCloud se puede usar para eliminar funciones como Buscar mi iPhone, Bloqueo de activación y para asociar el teléfono con una nueva cuenta de Apple, que es fundamental cuando se revende un teléfono.

Hay muchos listados en eBay, Craigslist y sitios de venta al por mayor para teléfonos facturados como "iCloud bloqueado" o "para partes" o algo similar. Mientras que algunos de estos teléfonos casi seguro son robados, muchos de ellos no lo son. De acuerdo con tres profesionales en los negocios de reparación independiente y restauración de iPhone, los iPhones usados, incluidos algunos dispositivos bloqueados con iCloud, se venden en grandes cantidades en "subastas de operadores" privadas donde compañías como T-Mobile, Verizon, Sprint, AT&T y seguros de teléfonos celulares los proveedores venden su exceso de inventario (a menudo a través de compañías de procesamiento de terceros).

"Cada método para eliminar iCloud implica una actividad ilegal".

Cuando el propietario de un teléfono lo devuelve a su proveedor de telefonía celular como parte de una actualización del teléfono o un reclamo de seguro, el empleado que lo recolecta está capacitado para pedirle a ese cliente que retire iCloud del dispositivo, según los voceros de AT&T y T-Mobile. . Pero esto no siempre sucede, lo que significa que los operadores y las compañías de seguros se atascan con los teléfonos bloqueados con iCloud. La placa base no pudo determinar si alguna operadora tiene actualmente la capacidad de eliminar de forma independiente el bloqueo de iCloud de los iPhones o si Apple alguna vez ayuda a las operadoras a eliminar iCloud a escala. AT&T y T-Mobile ignoraron preguntas específicas sobre si tiene la capacidad de desbloquear teléfonos, y Sprint y Verizon no respondieron a una solicitud de comentarios. De acuerdo con dos fuentes en la comunidad de reacondicionamiento de iPhone que compraron teléfonos con iCloud bloqueados en subastas de telecomunicaciones, los operadores de telefonía móvil quieren la posibilidad de desbloquear teléfonos, pero Apple probablemente tenga pocos incentivos para alentar el mercado secundario de iPhones.

"Los transportistas venden una tonelada de dispositivos bloqueados", dijo a la placa madre un restaurador que compra teléfonos de subastas privadas. La placa madre acordó mantener el restaurador en el anonimato porque no querían perder el acceso a las subastas de los operadores privados.

Una vez que los dispositivos con iCloud bloqueados están de vuelta en el mercado, ya sea que se hayan obtenido legalmente o hayan sido robados, deben ser eliminados por partes o desbloqueados de alguna manera.

Ahí es donde entran los hackers.

Pesca de las nubes

“¿Qué país?”, Escribió un revendedor de iPad en un grupo de chat privado de piratas informáticos de iCloud en la aplicación de chat Telegram a la que Motherboard tenía acceso. El mensaje venía junto a la imagen de un dispositivo que muestra un mensaje: “Se ha perdido este iPad. Por favor llamame "mensaje.

Todos los días, los miembros de este chat grupal de 100 personas comparten sugerencias sobre cómo engañar a las víctimas para que entreguen las contraseñas de iCloud, suban fotos de sus desbloqueos exitosos y compartan etiquetas adhesivas con el tema de Apple. Aquí es donde muchos iPhones perdidos, robados o bloqueados terminan antes de que los piratas informáticos los desbloqueen y los dispositivos se vendan nuevamente. El grupo es una corriente casi constante de teléfonos de personas y mensajes dejados en la pantalla de bloqueo de su iPhone.

"Este teléfono es robado. Por favor entréguelo a la policía ", dice el mensaje que se muestra en un iPhone que se muestra en el grupo.

Los iPhones, iPads y ocasionales Apple Watch provienen de todo el mundo: Estados Unidos, Gran Bretaña, Europa, Sudamérica, Sudeste de Asia y Oriente Medio. Algunos hackers tienen docenas de objetivos a la vez, según las capturas de pantalla de los paneles de control compartidos en el chat de grupo. Los hackers también son globales: uno de ellos dijo en el chat que estaban en Filipinas, mientras que un desarrollador de herramientas de hacking indicó que estaban basados ​​en Europa del Este.
 
Al tratar de revender un iPhone robado o perdido, primero el desbloqueador debe comprender más sobre el teléfono que tiene en su poder. ¿Tiene habilitado Find My iPhone? ¿El dueño ya lo ha reportado como robado a Apple? Para responder a estas preguntas, los hackers a menudo usan el acceso a una herramienta que proporciona información sobre los teléfonos. La placa base no pudo confirmar la base de datos exacta que utilizan los estafadores, pero probó varios servicios en línea que devolvieron información precisa sobre un dispositivo de la placa base, incluso si se activó Buscar mi iPhone y si se reportó como perdido, robado o "limpio".

Si alguien que está tratando de desbloquear un teléfono no quiere pasar por la molestia de asegurar su propio acceso de búsqueda, también puede usar un sitio que proporciona información sobre dispositivos Apple por una tarifa. iFreeiCloud.co.uk puede proporcionar informes tales como si un dispositivo ha sido reportado como robado a un proveedor por 10 centavos cada uno.

Algunos piratas informáticos del grupo afirman tener acceso a Global Service Exchange, o GSX de Apple, una base de datos de reparación utilizada por la empresa y algunos proveedores de servicios y revendedores autorizados por Apple.

"GSX es el sitio web de Global Service Exchange utilizado por Retail y Apple Authorized Service Provides para acceder a recursos técnicos, desde guías de servicio de Apple y herramientas de solución de problemas hasta capacitación de técnicos de servicio", se lee en un documento interno de Apple que describe el servicio obtenido por Motherboard. Varios empleados diferentes en las tiendas de Apple, como los que trabajan en la barra Genius, tienen acceso automático a GSX, según lee otro documento interno de Apple.

La placa base encontró varios anuncios que ofrecen acceso a cuentas GSX o información relacionada en línea. Uno estaba en un foro centrado en bitcoins, otros eran anuncios en línea que pedían a clientes potenciales que los enviaran por correo electrónico; La placa base intercambió correos electrónicos con una persona que dice vender cuentas GSX por $ 199 por pieza. Varios usuarios de Twitter también afirmaron estar vendiendo acceso. (Sin embargo, algunas personas que anuncian cuentas GSX en Twitter parecen ser estafadores). La placa base también encontró publicaciones en el foro de los titulares de cuentas GSX legítimas que dicen que han recibido correos electrónicos de suplantación de identidad diseñados para robar sus datos de inicio de sesión GSX.

En una novedosa combinación de física y ciberdelito, estos revendedores de iPhone del mercado negro confían en los kits especiales de phishing de iCloud; conjuntos de herramientas que están diseñadas para engañar a una víctima para que entregue su contraseña de ID de Apple después de que los ladrones hayan robado el teléfono. Y estos kits están diseñados deliberadamente para ser fáciles de usar, reduciendo drásticamente la barrera de entrada para los ladrones y desbloqueadores de iPhone.
 
Davide Ferro, un investigador de seguridad independiente que ha seguido a la comunidad de suplantación de identidad de iCloud, dijo a Motherboard en un chat en línea que "AppleKit y ProKit en particular son una suite completa para principiantes, con soporte, video y servicio de venta de entradas". Ferro compartió docenas de Ejemplos de kits de phishing de iCloud con placa base durante varios meses, incluidas capturas de pantalla que muestran listas de cientos de objetivos de phishing. Como señaló la firma de ciberseguridad Trend Micro en un informe sobre el comercio clandestino de iPhone, AppleKit también es compatible con iPad, Mac y Relojes de Apple.

Mientras que un pirata informático puede utilizar más kits de phishing genéricos para diferentes propósitos, tal vez para robar datos bancarios, credenciales de correo electrónico o cuentas en línea en general, estos kits están diseñados específicamente para phishing en cuentas de iCloud. Los kits de suplantación de identidad de iCloud vienen con plantillas diseñadas para engañar a una víctima que encontró su iPhone. Estos kits le permiten a un pirata informático enviar mensajes SMS que parecen provenir de Apple que podrían engañar a una víctima para que renuncie a sus credenciales de iCloud, y los kits pueden incluso generar mapas falsos de donde aparentemente se ha descubierto el teléfono de la víctima para atraerlos aún más. Los kits mantienen un registro de la lista de objetivos de un pirata informático, proporcionan notificaciones sobre phishing exitosos, y algunos requieren casi ninguna configuración técnica, de acuerdo con videos tutoriales sobre cómo usarlos.

"Usted formula un recibo falso, lo lleva a la tienda de Apple y dice 'Oye, olvidé la información de mi ID de Apple, pero aquí hay un recibo'".

Una vez que los piratas informáticos obtienen las credenciales de inicio de sesión de iCloud, simplemente las ingresan en el iPhone, lo que lo convierte en un dispositivo totalmente funcional que se puede revender y se le agrega una nueva cuenta.

BlackViirus, el desarrollador detrás de ProKit, le dijo a Motherboard en un chat en línea que su producto cuesta $ 75, y utiliza una red de revendedores para distribuir aún más el kit de phishing. BlackViirus afirma tener más de 1,500 clientes. El phishing es una operación de escala, con algunos desbloqueadores de iCloud que afirman que procesan pedidos masivos. A menudo aceptan pagos mediante PayPal o Skrill, otro servicio de transferencia de dinero.

Algunos de los hackers que ejecutan estos kits de phishing no son necesariamente los hackers más brillantes del mundo. Mustapha Othman, el creador de AppleKit, previamente introdujo una contraseña en su kit de phishing, lo que significa que cualquiera podría arrancarlo de su código e iniciar sesión como administrador, viendo lo que estaba haciendo cada uno de sus clientes (Othman no respondió a una solicitud de comentario.) Ferro, el investigador de seguridad independiente, usó esto para iniciar sesión en los paneles de AppleKit y proporcionó capturas de pantalla de las listas de víctimas a la placa base.

 

(0) comments

Welcome to the discussion.

Keep it Clean. Please avoid obscene, vulgar, lewd, racist or sexually-oriented language.
PLEASE TURN OFF YOUR CAPS LOCK.
Don't Threaten. Threats of harming another person will not be tolerated.
Be Truthful. Don't knowingly lie about anyone or anything.
Be Nice. No racism, sexism or any sort of -ism that is degrading to another person.
Be Proactive. Use the 'Report' link on each comment to let us know of abusive posts.
Share with Us. We'd love to hear eyewitness accounts, the history behind an article.