A Polícia Civil do Distrito Federal prendeu uma quadrilha conhecida por roubar smartphones, mas que operava um processo focado em iPhones muito mais sofisticado em relação aos outros aparelhos furtados em shows e eventos.

Chamado de “Tropa do Arranca”, segundo pesquisadores do Criminal IP e do Clandestine, o grupo tinha como objetivo lesar as vítimas depois que o furto do aparelho já havia ocorrido.

Como funcionava?

O golpe começava quando o usuário ativava o Bloqueio de Ativação, um recurso pensado para proteção de um iPhone no qual, sem a senha original do proprietário, o aparelho se torna praticamente inutilizável. Para desativar esse modo, é preciso ter acesso à Conta Apple da vítima. E é aí que entra o golpe.

Os criminosos desbloqueavam os iPhones através de uma tática de engenharia social que envolvia phishing com uma página que emulava o Buscar (Find My) da Apple. Com coordenadas reais apontando para a Avenida 23 de Maio na cidade de São Paulo (perto do Viaduto Jaceguai), a página exibia ainda uma suposta porcentagem da bateria do celular e solicitava o email e a senha da Conta Apple para seguir com o rastreio.

A ideia era ter uma página razoavelmente apresentável e crível para, em um momento de desespero, fazer com que a vítima acabe cedendo suas credenciais, fundamentais para a recuperação do acesso ao dispositivo. Em posse dessas informações, o grupo poderia desabilitar o Bloqueio de Ativação ganhar acesso irrestrito ao — o que pode incluir contas bancárias e até mesmo mídias armazenadas no smartphone.

Diversos endereços da web foram identificados como pertencentes à operação, todos tentando gerar a confiança de que se tratava do serviço oficial da Maçã (icloudbrasil.net, applerastreio.net, rastreioapple.net, icloudseguro.com ou icloudbuscar.net).

A investigação localizou, dentro do código HTML da página de login do iCloud, um valor no campo Conta Apple chamado kittropadoarranc_Tropa — assinatura que permitiu aos pesquisadores mapear toda a empreitada.

Como me proteger?

Em casos de furto, nunca compartilhe suas credenciais com qualquer pessoa ou site que entre em contato, já que a Apple não costuma pedir esse tipo de informação. Tratando-se da ferramenta Buscar, por exemplo, o endereço correto é appleid.apple.com. Ativar autenticação de duas etapas é também fundamental, pois inibe o acesso simples sem a verificação do próprio usuário.

via Canaltech, TecMundo