Hola compañeros,
Ayer a mi novia le robaron el iPhone 6 Plus en un centro comercial, rápidamente pusimos la denuncia y yo accedí a su cuenta iCloud para poner el iPhone como "perdido", resulta que además configuré para que en caso de localizarlo llamaran a mi número. Una vez hecho esto a los 5 minutos me mandaron un SMS y me llamaron del siguiente número "+190090000" diciendo que se había localizado el iPhone, y también el siguiente SMS:
(http://i.imgur.com/McNCRJI.jpg)
Pues verán.. Creo que es un Phishing, tonto de mí introduci el ID de iCloud, y ahora accedo al iCloud y me parece que han quitado el dispositivo, además si me voy a la configuración de iCloud me dice que se ha registrado un inicio de sesión con iOS 8 (el iPhone tenía iOS 9) y que además el sistema operativo Yosemite (y no tenemos MAC), así que todo apunta a que los ladrones son bastante especializados en esto, porque primero han hecho una página falsa, en segundo lugar han sabido remover el dispositivo.
Os pido ayuda por si sabéis como puedo localizar el servidor o incluso autor de ese Fake ya que no tengo prácticamente nada para bloquear el disposito, solamente bloquearlo por IMEI.
(http://i.imgur.com/sHUDrSg.png)
Agradezco cualquier sugerencia, gracias!
Llama a Apple y a la compañía del teléfono, para que desactiven el móvil vía IMEI, respecto a encontrarlo, consultalo con el soporte de Apple, pero lo veo ya jodido.
Si te das cuentas el sms tiene fallos, pone IME, en lugar de IMEI, "se ha encontrado en 12..." y faltan más de la mitad de acentos.
Además en la web, se nota que es phishing, está algo mal hecha, y el dominio principal no tiene nada alojado: http://iclaimsupport.com/
El resto de enlaces de la web del phishing van a icloud.com (http://apple.iclaimsupport.com o http://iclaimsupport.com/apple/), por lo que se nota que es un claro ejemplo de phishing, al menos está bien hecho y comprueba de que la cuenta de icloud exista.
La web se hospeda en: https://www.qhoster.com/
En cuanto a los datos del whois, creo que son falsos (aunque, quizás el nombre de la persona si que sea cierto):
Registrant Name: david samuel
Registrant Street: 55 Rue Hanri Barbuss
Registrant City: paris
Registrant State/Province: Paris
Registrant Postal Code: 93200
Registrant Country: FR
Registrant Phone: +33.0033753415598
Registrant Email:
[email protected]Como dato curioso, parece ser que van cambiando de dominio o están comenzando con este tipo de actividades:
Fecha de creación del dominio: 2016-01-07Mi consejo es que denuncies, quizás con eso, aunque no recuperes el móvil, pillen a estos tios.
Saludos.
Hola Stiuvert,
Podrías probar con https://www.google.com/maps/timeline para ver si puedes localizar la ubicación física.
Por otro lado te dejo links oficiales de Iphone:
https://support.apple.com/kb/ph2700?locale=es_LA
https://support.apple.com/es-es/HT5668
Cualquier otro contenido que sea relevante lo iré agregando a mi post, espero tengas suerte y lo puedan recuperar.
Saludos.
Gn0m3
Gracias @blackdrake (https://underc0de.org/foro/index.php?action=profile;u=24972) y @Gn0m3 (https://underc0de.org/foro/index.php?action=profile;u=17035)
El phishing estaba muy bien hecho, iba a la desesperada y no me fije en nada y además no creía que esta gente fuera tan lista... Os cuento he llamado a otro operador y me han bloqueado el IMEI ya que el proveedor que tiene ella contratada no pueden bloquearlo ya que es un teléfono libre, y he llamado a Apple como habéis dicho y eso es lo que me dijieron, que llame a cualquier operador para bloquearlo.
Busqué también el whois, pero tu me sacaste más información black, gracias lo llevaré a la policia a ver que se puede hacer.
Respecto a lo del Google timeline lo usaré con la respectiva cuenta de Gmail, ya que imagino que aunque sea iPhone si tenia una cuenta Gmail se rastreará igual, no?
Por cierto, es posible que Apple me facilite las direcciones ip que han accedido al icloud? Porque han accedido...
Gracias y saludos
Por si te es util te dejo la lista de puertos que tiene abiertos la web, no he mirado el servicio que corre, pero puedes mirar a ver si hay algun exploit que pueda funcionar.
Si no me equivoco usa nginx, ahora no tengo tiempo, más tarde miraré a ver si se puede sacar algo.
He encontrado algo interesante:
https://iclaimsupport.com/
En los directorios no hay gran cosa (de momento), pero he encontrado otro dominio alojado en el mismo servidor:
http://www.bitsafecard.com/
https://www.bitsafecard.com/bsc/
Que se corresponde con https://iclaimsupport.com/bsc
Respecto al directorio bl4z3, es posible de que se trate de su nick.
Si encuentro algo más lo posteo, saludos.
Te lo agradezo @rollth (https://underc0de.org/foro/index.php?action=profile;u=30952)
Os cuento, he probado el timeline de Google y nada... Último registro en Diciembre del 2015, quizás se registran menos cosas al ser un iPhone. Seguiré buscando información para aportarla y sobre todo ver si la policia puede pedir un registro de accesos (direcciones IP) al iCloud así podre saber quienes han entrado al iCloud.
Gracias @blackdrake (https://underc0de.org/foro/index.php?action=profile;u=24972) hay un login en esa página. Sabes de que puede ser? Quizás donde almacenan ellos los ID's?
Saludos
No tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
Te lo agradezo @rollth (https://underc0de.org/foro/index.php?action=profile;u=30952)
Os cuento, he probado el timeline de Google y nada... Último registro en Diciembre del 2015, quizás se registran menos cosas al ser un iPhone. Seguiré buscando información para aportarla y sobre todo ver si la policia puede pedir un registro de accesos (direcciones IP) al iCloud así podre saber quienes han entrado al iCloud.
Gracias @blackdrake (https://underc0de.org/foro/index.php?action=profile;u=24972) hay un login en esa página. Sabes de que puede ser? Quizás donde almacenan ellos los ID's?
Saludos
Ni idea, es wordpress, respecto a su WHOIS, está protegido, así que no podemos obtener datos desde ahí.
Aqui un extra de los puertos y que corren:
PORT STATE SERVICE VERSION
20/tcp closed ftp-data
21/tcp open ftp Pure-FTPd
22/tcp closed ssh
25/tcp open smtp?
53/tcp closed domain
80/tcp open http nginx
110/tcp open pop3 Dovecot pop3d
143/tcp open imap Dovecot imapd
443/tcp open ssl/http Apache httpd
587/tcp open smtp Exim smtpd 4.86
993/tcp open ssl/imap Dovecot imapd
995/tcp open ssl/pop3 Dovecot pop3d
3306/tcp open mysql MySQL (unauthorized)
Device type: general purpose
Running: Linux 2.6.X|3.X
Saludos
Gn0m3
21/tcp open ftp Pure-FTPd
22/tcp closed ssh
Tentadores jajaja
Doy el tema por solucionado!
Mi novia tiene iPhone nuevo gracias a que el seguro de la vivienda le paga un % de su coste. Yo personalmente he redactado todas las pruebas del Phishing y he bloqueado el IMEI para que en cualquier operadora del mundo quede inutilizable, si algún día se llegará a realizar una llamada automáticamente le saldría a la policía.
Solamente queda esperar a que la unidad de investigación actué ya que gracias a vosotros he consigo las pruebas suficientes como para localizarlos, solo hace falta orden judicial por parte de la autoridad.
Gracias a todos!!!