Recentemente, um seguidor do site da https://cidadaospelaciberseguranca.com fez-nos chegar ao conhecimento uma situação para a qual assistimos na resolução:
No sábado, 1 de fevereiro de 2025, o utilizador recebeu uma série de emails vindos da Apple de uma Apple Account que já não usava desde 2017. As mensagens vinham ora em holandês ora em bahasa (indonésio) e eram, p.ex.:
“Beste KS9BquO,
Je Apple Account, <editado>@<editado>.pt, is zojuist gebruikt om een aankoop te doen vanuit PUBG MOBILE op een computer die of apparaat dat nog niet eerder is gebruikt. Mogelijk ontvang je deze e‑mail ook omdat je je wachtwoord sinds je laatste aankoop opnieuw hebt ingesteld.
Deze aankoop is gedaan vanuit China, vasteland.
Als je deze aankoop hebt gedaan of als je je Apple Account-wachtwoord opnieuw hebt ingesteld sinds je laatste aankoop, kun je deze e‑mail negeren.
Als je deze aankoop niet hebt gedaan of denkt dat iemand anders toegang heeft gehad tot jouw account, ga dan naar https://account.apple.com en wijzig je wachtwoord zo snel mogelijk.
Met vriendelijke groet,
Apple”
e ainda várias mensagens deste tipo com valores diferentes:
“Aankoopbevestiging
Je hebt op 1 februari 2025 3000 Unknown Cash gekocht en hebt bevestigd dat als je deze aankoop vanuit app binnen veertien dagen na aankoop downloadt of gebruikt, je deze aankoop niet meer kunt annuleren.”

Após análise foi identificado o problema: As credenciais (antigas) estavam protegidas, apenas, por autenticação simples por username(email) e password e como estavam num dos vários ficheiros de exfiltrações à venda na darkweb por algumas centenas de euros tinham sido exploradas e a conta vítima de uma tomada de controlo.

Para recuperar o controlo da conta é preciso ter acesso a um equipamento Apple (no caso foi usado um Apple Macbook) com um macOS actualizado (actualmente na versão 15.3).
Foi dado o Sign Out na conta actual e feito o acesso na conta comprometida, feito o reset da password para o email associado (que ainda estava sob controlo do utilizador atacado). Contudo, para prosseguir com o login o Apple Account pedia a resposta às questões de segurança (que era o método de recurso em 2017) sendo estas apresentadas em caracteres chineses (uma manobra por parte do cibercriminoso para dificultar a recuperação da conta):
Chinês:
“你的理想工作是什么？”
(Tradução: Qual é o seu trabalho dos sonhos?)

“你少年时代最好的朋友叫什么名字？”
(Tradução: Qual é o nome do seu melhor amigo na infância?)

Na falta destas respostas (mudadas pelo burlão) a solução passar por activar a autenticação MFA por SMS: após o que o login pelas perguntas de segurança deixa de ser necessário e se recupera o acesso total à conta hackeada.

Para ver o que foi adquirido em nome da conta hackeada:
Abra a “App Store” (no mesmo acesso foram alterados o email principal e o telemóvel associado em “Account Settings”).

No caso analisado as compras não foram feitas nem com o cartão de crédito associado à conta (e entretanto já expirado há vários anos) mas com “gift cards” provavelmente furtadas numa loja algures na Ásia (a conta parece ter sido usada em VPN na China a partir da Indonésia).

Neste caso as compras na App Store foram de créditos para o “PUBG MOBILE (PlayerUnknown’s Battlegrounds Mobile)” um jogo de batalha em tempo real disponível para dispositivos móveis iPhone e Android. No jogo, até 100 jogadores são lançados numa ilha, onde lutam até restar apenas um vencedor. Os jogadores recolhem armas, equipamentos e recursos enquanto a área jogável diminui gradualmente. O jogo é extremamente popular na Ásia e oferece uma experiência multiplayer, incluindo modos solo, em dupla ou em equipa. As compras dentro do aplicação, como a mencionada “6000 Unknown Cash”, permitem que os jogadores adquiram itens cosméticos, skins de armas, roupas e outros recursos no jogo.

Como em muitos casos semelhantes, estas tomadas de controlo ocorrem vários dias ou meses antes de serem usadas para compras e, quando o são, são realizadas a um fim-de-semana, para reduzir a possibilidade de resposta por parte do operador da conta hackeada.

Neste caso a língua foi alterada para Bahasa (indonésio), assim como o ano da data de nascimento (não o mês ou dia) para 1995 o que será, provavelmente, o ano de nascimento do cibercriminoso indonésio. De notar que o IMEI do telemóvel usado para a burla ficou exposto na operação mas como esta foi realizada a partir da Indonésia a utilidade desta informação é nula.

Após aceder a https://account.apple.com/account/manage foram alteradas todas as configurações removendo a língua por defeito (Bahasa: Indonésio, a localização na Holanda e um dispositivo associado à conta pelo cibercriminoso).

A morada associada, embora use um código postal na Holanda não existe e o nome associado “manant” parece ser “Manant” um termo antigo em francês que significa camponês ou plebeu.
Um dos nomes associados pelo cibercriminoso à conta parece ser uma versão de uma skin popular no jogo (semelhante ao PlayerUnknown’s Battlegrounds Mobile) “Rap Boy – Fortnite Skin” o que indica que foi (ou ainda é) um jogador activo nesta aplicação.
O carregamento foi feito a partir de um iPhone 7 (um modelo lançado em 2016) e consistiu num total de perto de 200 euros “investidos” neste jogo em vários carregamento realizados sábado e domingo.

Neste caso a conta foi recuperada e como não estava a ser usado um cartão Visa activo mas apenas “gift cards” furtados algures na Ásia não houve perdas financeiras decorrentes desta tomada de controlo de uma Apple Account.

Conselhos práticos para evitar ataques semelhantes:
1. Activar a autenticação de dois factores (MFA): Evita acessos não autorizados mesmo que a password seja comprometida (neste caso foi activada por SMS)
2. Utilizar passwords únicas e seguras: Nunca reutilizar senhas antigas e preferir gestores de passwords.
3. Verificar regularmente a actividade da conta: Monitorizar e-mails e acessos suspeitos (como sucedeu neste caso).
4. Remover contas antigas não utilizadas: Se não usa mais uma conta, considere eliminá-la para evitar exploração futura.
5. Evitar armazenar informações sensíveis em locais desprotegidos: Não guardar passwords em documentos simples ou não encriptados que estejam na Apple iCloud ou noutro local mas usar documentos seguros conservados em gestores de passwords com biometria.
6. Ser cauteloso com e-mails e links suspeitos: o Phishing é uma das principais formas de obtenção de credenciais.
7. Manter dispositivos e software sempre actualizados: As actualizações corrigem vulnerabilidades exploráveis por hackers.