Esto es lo que Apple debería decirte cuando pierdes tu iPhone

Hace dos semanas, estaba de vacaciones en Turín, Italia e hice un boo boo. Olvidé mi teléfono en nuestro coche de alquiler para una visita de dos horas a un spa al aire libre local (¡ Acquajoy , muy divertido especialmente para los niños!). El resultado final fue desafortunado: cuando regresamos al automóvil, se rompió una ventana y se robo mi iPhone.

Inmediatamente hice las cosas obvias, es decir, usé el teléfono de mi esposa para llamar al mío (como era de esperar, se apagó), marqué el teléfono perdido en la aplicación Find my iPhone, ingresé un texto para mostrar en el teléfono en caso de que vuelva a aparecer en línea. hizo clic en todas las casillas de verificación "enviarme un correo electrónico cuando el teléfono regresa en línea" y condujo para almorzar. Nadie puede acceder a mis datos en el teléfono y, como está conectado a mi cuenta de iCloud, otros no pueden reactivar el teléfono por sí mismos.

Nos arregló la ventanilla del automóvil en cuestión de horas, luego compré un teléfono nuevo, etc., pero ayer, once días después de que me robaron el teléfono, sucedió lo más interesante: recibí un mensaje de texto y un correo electrónico notificándome que el teléfono ¡fue encontrado!

El correo electrónico se ve exactamente como debería ser un correo electrónico de Apple. El remitente es "Apple". Google Inbox, Apple Mail y el tradicional Gmail dejan pasar el correo electrónico como no sospechoso. Todos los enlaces en el pie de página llevan a los lugares correctos.

Por supuesto, corrí a la dirección en el enlace y luego comencé a escribir mis credenciales, pero luego de repente me detuve. Algo no estaba bien.

En este punto, probablemente sea mejor notar que soy una especie de profesional. Soy director general en una empresa que construye y admite sitios web a gran escala. Nos ocupamos de cosas de la web todo el día. Estoy bastante seguro de que muchas personas habrían ingresado su identificación y contraseña de Apple y solo entonces se preguntaron por qué el inicio de sesión no funciona.

Parece muy convincente, ¿no? Todos los enlaces funcionan, existen funciones de jQuery implementadas para una experiencia de usuario fluida, etc.

El momento de emoción

Déjame llevarte a la mente de una persona que ha perdido su teléfono por un tiempo. Por supuesto que estás cansado de que haya sido robado en primer lugar. Todos se culpan a sí mismos al menos un poco. Luego, configura todas las notificaciones para notificar si alguna vez encuentra su camino de regreso en línea. Finalmente, lo olvidas, y cuando finalmente llegan los mensajes que se encuentran, corres a toda velocidad para aprender sobre la aventura de tu querido teléfono.

Mirando la página de arriba, hubo dos cosas que me alarmaron. Primero, la dirección parecía un poco desalentada. No es realmente algo que Apple usaría, ¿verdad? Lo real, sin embargo, fue que la conexión al servidor no está encriptada; lo verías en la barra de direcciones, como en una página genuina de Apple a continuación:

El candado y el texto verde en la barra de direcciones muestran que la conexión es segura y el sitio realmente pertenece a Apple Inc.

Profundizando más, noté que el correo electrónico en realidad no era de Apple, sino de icloud.insideappleusa@gmail.com. El sitio web no está registrado en Apple, pero es una empresa inútil en Nassau. El "inicio de sesión de iCloud" hace un gran gesto de agitar al enviar las credenciales y dice que su nombre de cuenta o contraseña no son válidos. Por supuesto, enviando las credenciales "no válidas" a un archivo save.php para su futura explotación.

Vaya, ahí van mis datos.

¿Pero por qué?

Como se mencionó anteriormente, no puede activar un iPhone (o cualquier dispositivo con iOS) siempre que esté conectado a la cuenta de iCloud de otra persona. Sin embargo, cuando robas un teléfono, puedes perfeccionar el crimen robando la identidad del pobre bastardo también. Luego solo inicie sesión en Find my iPhone, desacople la cuenta del dispositivo, y poof, ¡tiene un teléfono desbloqueado!

Un intento elaborado

Hasta donde yo sé, esta fue la primera vez que fui atacado personalmente por un intento de robo de identidad. El estafador hizo muchas cosas muy bien y casi me obliga a renunciar a los detalles de mi cuenta. Tal vez si hubiera leído el correo electrónico antes de mirar el SMS (en el que la dirección extraña era un poco más prominente), me habrían atrapado.

Lo que más me impresiona es que todo parecía muy "correcto" y profesional. El correo electrónico y el contenido del sitio web se veían muy bien, mi teléfono realmente era un iPhone 6 e incluso tenían la zona horaria correcta en el correo electrónico.

El correo electrónico no generó alertas en ningún cliente de correo electrónico que utilice, incluidos Google Inbox, mail.google.com y Apple Mail. Ningún navegador web, móvil o de escritorio muestra ninguna alarma en el sitio falso. Google.com no sabe prácticamente nada sobre el sitio, la dirección de correo electrónico o el (probablemente falso) número de teléfono de los EE. UU. Del que era el SMS. Muy bien hecho.

Por lo que puedo adivinar (y si el teléfono no revela el correo electrónico de iCloud cuando lo enciende), usaron la función "Identificación médica" en el teléfono para ver a quién pertenece y gracias a mi extraño nombre me encontraron en wunderkraut.com junto con mi dirección de correo electrónico y número de teléfono (para enviar los mensajes) – de hecho, revisé el análisis del sitio y descubrí que mi perfil recibió un hit de Google al día siguiente de robo del teléfono.

Cualquiera que sea el método real, una persona real realmente hizo un esfuerzo para arruinarme.

Lo que se lleva

Por supuesto, está lo obvio: no deje objetos de valor en el automóvil. Luego está el material de protección de datos: si no tiene habilitada la contraseña en su dispositivo, actívela hoy. Además, recuerde hacer una copia de seguridad de todos los datos constantemente para no perderlos cuando, por cualquier motivo, pierda su dispositivo. Hay servicios simples y baratos basados ??en la nube disponibles en todos los ecosistemas móviles. Además, siempre que sea posible, utilice la autenticación de 2 factores (generalmente contraseña + un código en un mensaje SMS) para que una contraseña sola nunca sea suficiente para robar su identidad.

Luego, el nuevo, al menos para mí: si alguna vez pierde su iPhone, iPad o iPod, manténgase alerta ante futuros intentos de robo de identidad. Esto es lo que Google.com y Apple deberían haberme dicho hace 12 días cuando busqué qué hacer. La estafa era muy profesional, con un inglés perfecto y páginas web receptivas para dispositivos móviles que me considero afortunado de no haber regalado mi contraseña. Y como dije, soy una especie de profesional.

En retrospectiva, estoy bastante orgulloso de mí mismo por haber captado la estafa justo antes de haber infligido un daño irreparable y haberle dado mi contraseña al mismo gilipollas que tiene mi teléfono robado. También me alegro por "ser advertido" antes de que algo más grave pueda pasar. Contamos con un gran negocio y he leído historias de compañías de renombre que han perdido millones en robos de identidad en línea. Tomemos un momento para pensar en cómo podemos ser engañados.

Afortunadamente, esta publicación ayuda a evitar al menos una estafa en línea y, por lo tanto, no alimenta al creciente monstruo del fraude en Internet.

Hacker Noon es cómo los hackers comienzan sus tardes. Somos parte de la familia @AMI . Ahora estamos aceptando presentaciones y estamos felices de conversar sobre oportunidades de publicidad y patrocinio .

Si disfrutaste esta historia, te recomendamos que leas nuestras últimas historias tecnológicas e historias tecnológicas de tendencia . Hasta la próxima, ¡no des por sentado las realidades del mundo!