Após o furto do meu iPhone, recebi mensagens no WhatsApp se passando por suporte da Apple, alegando que o aparelho havia sido localizado.

Os links levavam para páginas falsas de login imitando Apple/iCloud.

Em análise pública, identifiquei diversos domínios correlacionados,

• rditeam
• find-myiphone
• find-ios
• icloudsupport-findmy
• buscar-inc
• buscameu
• com-device

Uma evidência especialmente relevante estava disponível publicamente em um arquivo

Trechos observados:

• “robots txt para RDI Painel V7”
• “BLOQUEAR TODOS OS CRAWLERS (Evita detecção de phishing pelo Google)”
• caminho interno de servidor exposto

Além disso, o arquivo lista bloqueio explícito para mecanismos de busca.

E também diretórios internos

Interpretação técnica:

1. Há menção textual direta à intenção de evitar detecção por mecanismos antiphishing.
2. Existe exposição de estrutura interna do servidor.
3. O padrão sugere operação estruturada com painel administrativo.
4. Há tentativa deliberada de reduzir indexação, análise e descoberta pública.

As evidências já foram reportadas aos canais competentes.

Compartilho apenas informações públicas, sem acesso indevido.

Após o furto do meu iPhone, recebi mensagens no WhatsApp se passando por suporte da Apple, alegando que o aparelho havia sido localizado.

Os links direcionavam para páginas falsas de login imitando Apple / iCloud, com objetivo aparente de capturar Apple ID, senha e códigos de verificação.

Em análise pública (OSINT), identifiquei uma infraestrutura correlacionada com múltiplos domínios e subdomínios operando no mesmo contexto:

Domínio principal / núcleo da operação:

• rditeam.com
• www.rditeam.com
• https://rditeam.com/login
• https://rditeam.com/5Sd
• https://rditeam.com/robots.txt

Subdomínio administrativo / painel:

• cpanel.rditeam.com

Domínios temáticos de impersonação Apple:

• find-myiphone.com
• www.find-myiphone.com
• https://find-myiphone.com/login
• find-ios.com
• www.find-ios.com
• https://find-ios.com/login
• icloudsupport-findmy.com
• www.icloudsupport-findmy.com
• https://icloudsupport-findmy.com/login
• https://icloudsupport-findmy.com/robots.txt

Domínios auxiliares correlacionados:

• buscar-inc.com
• www.buscar-inc.com
• https://buscar-inc.com/login
• buscameu.com
• www.buscameu.com
• https://buscameu.com/login
• com-device.us
• www.com-device.us
• https://com-device.us/login

Evidência pública especialmente relevante: robots.txt

Arquivo acessível publicamente em:

• https://icloudsupport-findmy.com/robots.txt
• https://rditeam.com/robots.txt

Trechos observados:

• “robots.txt para RDI Painel V7”
• “BLOQUEAR TODOS OS CRAWLERS (Evita detecção de phishing pelo Google)”
• caminho interno exposto: /home/hzao/Downloads/V7-12-03/public_html/

Além disso, o arquivo determina bloqueio explícito para bots e ferramentas como:

• Googlebot
• Google-InspectionTool
• Bingbot
• DuckDuckBot
• LinkedInBot
• Twitterbot
• WhatsApp
• TelegramBot
• AhrefsBot
• SemrushBot

Também restringe diretórios internos:

• /admin/
• /config/
• /tmp/
• /logs/
• /vendor/
• /src/
• /script/
• /audios/
• /css/
• /js/
• /fonts/

Evidência adicional: painel administrativo

O subdomínio cpanel.rditeam.com possui nomenclatura típica de ambiente administrativo / gerenciamento de infraestrutura.

Somado ao texto “RDI Painel V7”, sugere backend centralizado para operação da campanha, possivelmente para:

• gestão de vítimas
• coleta de credenciais
• rotação de domínios
• dashboards operacionais
• administração de páginas fake

Interpretação técnica

Os indicadores públicos sugerem:

• campanha estruturada e não isolada
• múltiplos domínios rotativos
• impersonação direta de serviços Apple
• uso de engenharia social pós-furto de iPhone
• ocultação deliberada de indexação e scanners
• possível painel central de gerenciamento
• preocupação operacional com detecção antiphishing

Perguntas à comunidade

1. Alguém já viu o RDI Painel V7 em outras campanhas?
2. Existem IOC’s semelhantes ligados a furto/roubo de iPhone?
3. Outros pesquisadores já mapearam esse cluster?
4. Esse naming pattern “find-myiphone / find-ios / icloudsupport” já apareceu em outras operações?
5. O cpanel.rditeam.com já foi visto em feeds de threat intel?

Nota

Todas as informações acima foram obtidas por fontes públicas e navegação aberta, sem acesso indevido, exploração ou invasão.

As evidências já foram encaminhadas a canais competentes (abuse desks, registradores, provedores e autoridades).