Les malfaiteurs redoublent d’ingéniosité pour déverrouiller et revendre les iPhone volés. La majorité des iPhone sont protégés par un code ou Face ID/Touch ID, ce qui les rend inutilisables entre de mauvaises mains. Cependant, le service iServer promettait de les débloquer en piégeant leurs anciens propriétaires. Europol et plusieurs agences gouvernementales ont récemment annoncé l’avoir mis hors d’état de nuire, donnant au passage des explications sur comment ces campagnes visant entre autres les utilisateurs Apple fonctionnaient.
iServer était en place depuis 2018 : cette plateforme basée en Argentine offrait différentes techniques d’hameçonnage proposé clés en main pouvant passer par des mails, des SMS ou des appels. Elle hébergeait notamment un service destiné aux personnes disposant de beaucoup de téléphones volés ou perdus. Tout passait par une interface web permettant même aux moins technophiles de lancer des campagnes d’hameçonnage. La plateforme a été repérée par la firme de sécurité Group-IB, qui l’a signalé aux autorités.
iServer automatisait la création et la diffusion de campagne d’hameçonnage imitant des entreprises populaires comme Apple. Group-IB explique que les informations pour contacter les propriétaires peuvent généralement être retrouvées si celui-ci a activé le mode Perdu (numéro de téléphone, mail…). En pratique, le malfaiteur peut choisir un scénario d’attaque consistant par exemple à envoyer un SMS avec un lien malveillant à sa victime.
Une fois sur le faux site d’Apple, l’utilisateur ayant perdu son téléphone se trouve incité à entrer le code de son smartphone ainsi que différents codes de 2FA. De leur côté, les malfaiteurs reçoivent tout sur l’interface web. Ils peuvent ensuite faire en sorte de désactiver le mode Perdu avant de réinitialiser le téléphone.
Europol dénombre 483 000 victimes s’étant fait avoir par une telle technique à travers le monde. iServer aurait servi à déverrouiller plus d’1,2 million d’appareils. L'opération a été menée par une action commune des autorités policières et judiciaires d'Espagne, d'Argentine, du Chili, de Colombie, d'Équateur et du Pérou ayant commencé à enquêter en 2022. Le site a été débranché dans la foulée.
