La Oficina de Seguridad de Internauta (OSI) ha publicado un mensaje, a través de su cuenta en X, alertando de una nueva campaña de ingeniería social: “Se ha detectado una campaña suplantando a @Apple indicando que tu cuenta Apple Pay ha sido bloqueada. No caigas, es un #phishing. #AvisosDeSeguridad #NextGenerationEU”.
El post va acompañado de una captura de pantalla de un correo electrónico en el que Apple anuncia: “ApplePay ha sido suspendido en el dispositivo. ApplePay ha sido suspendido en el dispositivo a las 22:41 del 21 de abril de 2024. El ID de Apple no puede ser utilizado para realizar pagos con Apple Pay hasta que sea reactivado. Reactiva el ID de Apple”, puede leerse en el correo. Junto a este mensaje, se facilita un enlace.
Sin embargo, se trata de una estafa. En el post de OSI se facilita, además, el link a la página web del Instituto Nacional de Ciberseguridad (INCIBE), donde se recoge toda la información la estafa de phishing de Apple.
Este correo para reactivar el ID de Apple no es oficial
En el cuerpo del email se insta a los internautas a pinchar en el botón que dice: “Reactiva el ID de Apple”. Este botón redirige a una página web falsa creada por los ciberdelincuentes que nada tiene que ver con la página oficial de Apple (https://www.apple.com/es/).
Según informa INCIBE, se trata de una página web fraudulenta. En primer lugar, se solicita al usuario que introduzca su Apple ID. Seguidamente, reclaman a la víctima que introduzca otros datos personales, como su nombre y apellidos, e información bancaria, como la tarjeta de crédito. Además, piden que se seleccione la moneda usada en su cuenta bancaria, y el último saldo conocido de la tarjeta. “Esta es una estrategia que utilizan las entidades bancarias para verificar que el usuario que accede es el propietario de la cuenta. Por lo que los ciberdelincuentes lo utilizan para dar más veracidad al fraude”, explica INCIBE.
“Tras pasar por todas las páginas los usuarios habrán ido capturando los datos introducidos y podrán utilizarlos para suplantar tu identidad en la plataforma real”, puntualizan desde el Instituto.
Cómo identificar correos electrónicos y mensajes fraudulentos
Tanto el correo electrónico como la página web fraudulenta imitan la imagen de la marca de Apple para darle mayor credibilidad. Por ejemplo, utiliza los colores corporativos y su logo. Sin embargo, el remitente no es el oficial, la dirección desde la que envían el correo (apple@webmail.es) no es la auténtica dirección de correo con la que Apple se dirige a sus usuarios por correo electrónico, (noreply@email.apple.com), otra pista que debe alertar de que estamos ante una estafa.
Apple advierte a los usuarios en su página web de que comprueben que la dirección de correo o el teléfono del remitente coincida con el nombre de la empresa a la que asegura pertenecer para no caer en la estafa. También indican a los clientes que sospechen si en el mensaje se solicita información personal, como un número de tarjeta de crédito o la contraseña de una cuenta.
Además, invitan a los usuarios a reenviar este tipo de mensajes a reportphishing@apple.com en caso de que duden de su autenticidad. Si fuera demasiado tarde, por ejemplo, si se hubiera introducido la contraseña u otra información personal en un sitio web fraudulento, recomiendan cambiar la contraseña del ID de Apple inmediatamente.
Si has caído en la trampa, contacta con tu entidad bancaria lo antes posible
Asimismo, INCIBE insiste en que, en caso de haber recibido el correo, pero no haber facilitado información, tratemos de eliminarlo lo antes posible. Si hemos caído en la trampa, “es crucial que te pongas en contacto con tu entidad bancaria y le comuniques la situación para que puedan emprender las medidas adecuadas, como cancelar la tarjeta que has proporcionado”, advierten.
También comparten una serie de pautas:
- Realiza un seguimiento regular de los movimientos de tu cuenta para que, en caso de que ocurra alguna transacción sospechosa, la canceles lo antes posible.
- Reúne todas las pruebas que estén a tu alcance, tales como correos electrónicos y capturas del proceso. Puedes apoyarte en testigos online para recopilar y almacenar estas evidencias.
- Establece comunicación con las Fuerzas y Cuerpos de Seguridad del Estado (FCSE), aportando todas las evidencias que hayas reunido, y procede a interponer una denuncia.
- Realiza egosurfing para comprobar si tu información personal o bancaria ha sido publicada, y en este caso, solicita su eliminación ejerciendo el derecho al olvido, conforme establece la Agencia Española de Protección de Datos (AEPD).
- Si recibes un correo electrónico del cual tienes dudas de su autenticidad, puedes reenviarlo al buzón de Apple para que te verifiquen si realmente se trata de un fraude. Para más información sobre estos fraudes que suplantan dicha compañía, visita su web orientada a ello.
Fuentes
‘Testigos online’ y obtención de pruebas. Te explicamos su utilidad
Reporte de fraude: Fuerzas y Cuerpos de Seguridad del Estado (FCSE)
Egosurfing : ¿Qué información hay sobre mí en Internet?
Agencia Española de Protección de Datos (AEPD): Derecho de supresión («al olvido»): buscadores de internet