Uma velha campanha de engenharia social voltou à atividade recentemente. Trata-se, segundo a ESET, de uma fraude que tenta roubar o ID e a senha do iCloud, além de tentar coletar informações pessoais da vítima, incluindo dados como documento de identidade e do cartão de crédito.
A campanha começa com um e-mail que faz referência a um aviso de segurança devido a uma suposta compra realizada por meio do dispositivo móvel. O assunto do e-mail traz a mensagem “Obrigado pela sua compra” e uma data. O detalhe da suposta aquisição faz referência a “Themes Guru – Lockscreen Themes & Wallpapers with Creative V1.1 (4+)”, o que, a julgar pelo nome, parece um pacote de imagens tipo papel de parede para usar como proteção de tela do celular.
A mensagem pretende causar preocupação ao usuário e cancelar a operação, uma vez que é claramente um erro em vista da vítima. No fórum de suporte da Apple, é possível encontrar relatórios desse mesmo golpe que datam de 2016.
E-mail recebido pela vítima
O primeiro fator que deveria causar dúvida ao usuário que recebe a mensagem é o remetente do e-mail, que não corresponde a um endereço oficial da Apple. Outro aspecto que deveria chamar atenção é que a mensagem não faz nenhum tipo de referência pessoal ao usuário que a recebe (uma mensagem legítima deste tipo inclui, pelo menos, o nome do destinatário).
Um terceiro detalhe: a redação da mensagem. Além de alguns aspectos gramaticais, em outros trechos não há coerência idiomática, pois há trechos em espanhol e outros em português.
Por fim, um ponto que deveria dar a certeza de que se trata de uma fraude é o link ao qual o e-mail convida o usuário a acessar. Para obter informações sobre a URL sem precisar acessá-la, basta passar o mouse sobre o trecho que possui o link. Caso o usuário esteja usando um dispositivo móvel, é só pressionar o dedo sobre a passagem por alguns segundos e o detalhe da URL vai aparecer, sem que seja dada a ordem para abrir o link.
No entanto, caso o usuário acesse o link, ele não será direcionado ao site oficial da Apple, e sim a um portal que imita quase que perfeitamente a página oficial, no qual são solicitadas informações de login. Se inseridas as credenciais de acesso, uma mensagem de alerta aparece para a vítima solicitando o desbloqueio da conta para fazer login. O objetivo é roubar mais informações pessoais, como endereço, país de residência e até dados financeiros.
Uma vez que os criminosos obtêm os dados do cartão de crédito da vítima e praticamente todas as informações pessoais dela, o sistema supostamente verifica e confirma a identidade do usuário.
