En la conferencia anual de hacking Black Hat Asia de este año, un equipo de investigadores de seguridad reveló cómo los ciberdelincuentes están utilizando de manera astuta tarjetas de crédito robadas y la opción de ‘Alguien más lo recogerá’ de la tienda en línea de Apple en un esquema que ha robado más de $400,000 en solo dos años.
9to5Mac Security Bite te es presentado en exclusiva por Mosyle, la única Plataforma Unificada de Apple. Hacer que los dispositivos de Apple estén listos para el trabajo y seguros en la empresa es todo lo que hacemos. Nuestro enfoque integrado único para la gestión y seguridad combina soluciones de seguridad específicas de Apple de vanguardia para un Endurecimiento y Cumplimiento totalmente automatizado, EDR de próxima generación, Confianza Cero impulsada por IA y Gestión de Privilegios exclusiva con el MDM de Apple más potente y moderno del mercado. El resultado es una Plataforma Unificada de Apple totalmente automatizada en la que confían actualmente más de 45,000 organizaciones para hacer que millones de dispositivos de Apple estén listos para el trabajo sin esfuerzo y a un costo asequible. Solicita tu PRUEBA EXTENDIDA hoy mismo y comprende por qué Mosyle es todo lo que necesitas para trabajar con Apple.
Según Gyuyeon Kim y Hyunho Cho del Instituto de Seguridad Financiera de Corea del Sur, en septiembre de 2022, ella y su colega descubrieron una serie de ciberataques contra más de 50 tiendas en línea legítimas, exponiendo importantes violaciones de datos que habían ocurrido. Sin embargo, al analizarlo más detenidamente, encontraron que los actores de amenazas estaban interesados en más que en un rápido robo de datos de usuarios.
Los ciberdelincuentes lograron manipular las páginas de pago de estas tiendas en línea para enviar información de tarjetas de crédito y personales a sus servidores, además de las legítimas, para ayudar a mantenerse ocultos.
“Estos grupos de amenazas emplearon diversas estrategias de evasión para evitar la detección de sus páginas de phishing por parte de los administradores del sitio y los usuarios, utilizando múltiples vulnerabilidades y herramientas”, afirmaron el dúo de seguridad en su presentación en Black Hat.
Sin embargo, robar tarjetas de crédito era solo una parte del plan.
Una de las principales formas en que los actores de amenazas obtenían ganancias era aprovechando la política de ‘Recogida de contacto’ de la tienda en línea de Apple, según el estudio. “El objetivo final de esta operación era obtener ganancias financieras”, explicó Kim.
El esquema comienza con la venta de nuevos productos de Apple a precios “rebajados” en tiendas en línea de segunda mano en Corea del Sur. Según lo describe la investigación, estos parecen ser el equivalente a un Craiglist o eBay. Cuando el comprador llega a un acuerdo con el vendedor, o en este caso, los actores de amenazas, se utilizan detalles de tarjetas de crédito previamente robados para comprar el producto real en la tienda de Apple.
El comprador acepta el monto, y luego el vendedor (actor de amenazas) envía el código QR para recoger el producto en la tienda de Apple.
Imagen vía Black Hat Asia/Gyuyeon Kim y Hyunho Cho
En lugar de enviarlo, los ciberdelincuentes configuran el artículo en la opción de ‘Alguien más lo recogerá’ en el sitio web de Apple. Esto permite que individuos autorizados recojan pedidos en línea en una tienda minorista de Apple presentando un documento de identidad con foto del gobierno y el código QR/número de pedido. El comprador de la tienda de segunda mano sería designado como la tercera parte capaz de recoger el producto que fue comprado sin saberlo con una tarjeta de crédito robada.
Solo después de que el comprador recoja el producto, pagan, presumiblemente a través de la tienda de segunda mano. El actor de amenazas podría perder si el comprador no envía la cantidad acordada.
Por ejemplo, un iPhone 15 nuevo con un valor de $800 podría estar listado por $700 en el mercado de segunda mano. El precio sería lo suficientemente bajo como para atraer interés pero lo suficientemente alto como para no parecer un fraude. Después de encontrar un comprador interesado, los delincuentes comprarían el dispositivo utilizando un número de tarjeta de crédito robado obtenido a través de sus operaciones de phishing y se quedarían con los $700 pagados por el comprador de la tienda de segunda mano.
El actor de amenazas designa al comprador de la tienda de segunda mano como la parte designada para recoger el producto.
Imagen vía Black Hat Asia/Gyuyeon Kim y Hyunho Cho
“Se utilizó una tarjeta robada para hacer un pago de $10,000 en una tienda de Apple, pero la negativa de Apple a cooperar debido a regulaciones internas ha dificultado la investigación”, citando la presentación de los investigadores en Black Hat Asia en un caso más extremo. “A pesar de los esfuerzos del Sr. Yoon por informar rápidamente sobre el incidente tanto a la compañía de la tarjeta como a la policía, la falta de cooperación de Apple ha provocado más de un mes de retrasos en la investigación. La negativa de Apple a proporcionar cualquier información, citando una política interna, ha generado críticas tanto a nivel nacional como en los Estados Unidos, a pesar de la énfasis de la empresa en la protección de la privacidad.”
Gyuyeon Kim y Hyunho Cho llaman al esquema “PoisonedApple”, el cual creen ha generado $400,000 en los últimos dos años. La actualidad se limita a Corea del Sur y Japón, pero no hay razón para que criminales en otros países, incluidos los Estados Unidos, puedan comenzar a hacer lo mismo.
¿Quién está detrás del esquema?
Los investigadores creen que los culpables se encuentran en algún lugar de China debido a que las páginas de phishing están registradas a través de un ISP chino. Milagrosamente, mientras revisaban foros de la dark web, también encontraron menciones en chino simplificado de la misma dirección de correo electrónico en el código fuente.
Consulta la presentación completa de Black Hat y la presentación aquí.
Más en esta serie
Sigue a Arin: Twitter/X, LinkedIn, Threads
FTC: Utilizamos enlaces de afiliados que generan ingresos. Más.