Cómo se Robaron las Fotos en iCloud de las Celebrities

Cómo se Robaron las Fotos en iCloud de las Celebrities

Compartir

Así sacaron las fotos de las celebrities en iCloud

Txema Alonso ha demostrado en el programa El Hormiguero un sencillo método de ingeniería social para demostrar como se robaron y de una forma muy fácil las fotos de iCloud de las celebrities .

Con un poco de picardía y unas herramientas básicas del “mundo hacker” casi cualquier persona con unos conocimientos mínimos podría burlar el sistema de iCloud y engañar a un tercero a revelar su cuenta y contraseña.

Basta un envío de email falso

En lo que se basa el método que ha explicado Txema en El Hormiguero, es en enviar un email falso a la víctima que queremos robarle la cuenta de iCloud. De esta forma y suplantando el remitente para que esta persona crea que el que le envía el correo electrónico es, en este caso Apple, llevará al destinatario a entrar en un página web exacta al login de My Appe ID donde se le solicitan sus datos más importantes: cuenta de usuario y contraseña.

robar-contrasenas-apple-icloud-1

Algo que nos ha impresionado de este método, es que tal y como ha formulado el sistema Txema Alonso, cuando el usuario pone su cuenta y contraseña, la página no devuelve ningún error, simplemente enlaza a la página web oficial de Apple para que el usuario se identifique correctamente y piense que habría metido mal la contraseña en un primer momento.

Explicación del método de robo

  1. En primer lugar el Hacker le envía un correo a la víctima, haciéndose pasar por Apple, y el remitente de ese email será por ejemplo “apple@apple.com”.
  2. Una pequeño fallo en la seguridad del correo de Apple, es que usa un sistema de filtrado llamado SoftFail (-s), de esta forma cuando se envía un correo con remitente falso, el servidor entrante puede aceptarlo como válido o desecharlo. En el caso de haber empleado el filtrado HardFail (-s), nuestro servidor de correo siempre enviaría a la carpeta Spam el email con datos falsos, por lo que sería más seguro.
  3. En el correo que el supuesto Hacker envía a la víctima, llevará en su interior un enlace Phishing a una web similar a la de Apple y un aviso de que alguien ha intentando acceder a la cuenta, ofreciéndonos visitar ese enlace para tomar medidas.robar-contrasenas-apple-icloud-2
  4. Al abrir por ejemplo la aplicación Gmail para iOS, no nos mostrará la barra de direcciones por el modo en la App WebView, por lo que la víctima realmente pensará que se encuentra en la web de Apple. Además otro bug de la aplicación de Gmail, es que al pinchar en un enlace, no nos aparece en pantalla el enlace, sino un texto con la web de Gmail.robar-contrasenas-apple-icloud-1
  5. Finalmente al poner nuestro usuario y contraseña de Apple, estos se enviarían al Hacker y una nueva pantalla, ahora la oficial, se mostraría en pantalla.

Ahora solo quedaría usar alguna aplicación que permita elegir los datos que el Hacker desea descargar, como por ejemplo, ElcomSoft Phone Password Breaker.

robar-contrasenas-apple-icloud-4

Podéis encontrar toda esta información de forma más ampliada, así como el video en el que Txema Alonso explica el método a Pablo Motos en El Hormiguero, en Un Informático en el Lado del Mal.

¿Estamos realmente protegidos ante ataques de este tipo, o somos algo incautos al ser engañados con estos métodos?