- I phisher prendono di mira gli utenti Apple in una nuova truffa volta a rubare gli ID Apple.
- La truffa sfrutta email autentiche del Supporto Apple per ingannare le vittime.
- Verificate sempre contattando i canali ufficiali Apple e non fornite mai i vostri codici di autenticazione.
Ti fideresti di un interlocutore sconosciuto che afferma di chiamare da Apple se la sua telefonata coincidesse con avvisi autentici provenienti dal sito ufficiale di Apple? Tutto ciò crea un senso di fiducia ed è esattamente questa sensazione di autenticità che i truffatori stanno sfruttando in una campagna attiva che prende di mira gli utenti Apple, nel tentativo di rubarne i dettagli degli account.
Per l'utente Apple Eric Moret, questo rischio era fin troppo reale. Come descritto in un post sul blog Medium, Moret ha ricevuto all'improvviso un messaggio di testo contenente un codice di accesso per l'autenticazione a due fattori (2FA), anche se non stava tentando di accedere a nessuno dei suoi account. Un minuto dopo, ha ricevuto una chiamata automatizzata da Apple che recitava ad alta voce un codice 2FA. Era chiaro che qualcuno stava tentando di entrare nel suo account.
Poco dopo, Moret ha ricevuto una chiamata da un numero di Atlanta. L'interlocutore ha detto di essere del Supporto Apple, ha spiegato che l'account di Moret era sotto attacco e ha aggiunto che un altro rappresentante lo avrebbe richiamato presto. La richiamata è arrivata nel giro di dieci minuti, dando il via a una "truffa di 25 minuti" in cui il finto operatore ha guidato Moret attraverso il processo di ripristino della password di iCloud.
Ed ecco la parte più astuta: il truffatore ha creato un ticket di Supporto Apple autentico per Moret e, mentre erano in linea, gli ha fatto verificare che il messaggio provenisse da un indirizzo email Apple reale. L'interlocutore era calmo e professionale e tutto ciò ha rassicurato Moret sul fatto che la procedura fosse pienamente legittima.
A Moret è stato chiesto di resettare la password di iCloud, e l'interlocutore non gli ha mai chiesto di condividerla. Tuttavia, il passo successivo è stato decisivo: gli è stato comunicato che a breve avrebbe ricevuto un SMS "con un link per chiudere la pratica".
L'SMS è arrivato e conteneva un link a un sito web fraudolento: appeal-apple.com. La pagina indicava che il processo di messa in sicurezza dell'account di Moret era in corso e che tutto ciò che doveva fare era inserire un codice per chiudere la pratica. In quel momento, Moret ha ricevuto un codice di verifica a sei cifre tramite SMS, che ha subito digitato nel sito web.
Quello era il raggiro. Invece di chiudere la pratica, il numero che Moret aveva ricevuto era in realtà un codice 2FA utilizzato per accedere al suo account. Pochi secondi dopo averlo inserito, ha ricevuto un'e-mail che, a suo dire, "mi ha fatto gelare il sangue". L'e-mail in questione lo informava che il suo account era stato utilizzato per effettuare l'accesso su un Mac mini, sebbene non possedesse un tale dispositivo. Era ormai chiaro che i truffatori avevano ottenuto l'accesso al suo account e, con esso, alla sua "intera vita digitale", inclusi file, foto, e-mail e altro ancora.
Cercando di rassicurarlo, il finto operatore ha detto a Moret che tutto ciò era "previsto come parte della procedura di sicurezza", ma Moret non era convinto. Pensando rapidamente, ha resettato la sua password di iCloud una seconda volta; subito dopo, il Mac mini è scomparso dal suo account e il sito web fasullo ha iniziato a reindirizzare a Google. Era scampato al disastro, ma per un soffio.
Come proteggersi da attacchi come questo
L'attacco ha funzionato perché i truffatori sono rimasti calmi per tutto il tempo e non si sono affrettati né hanno fatto pressioni su Moret, cosa che altrimenti avrebbe potuto sollevare i suoi sospetti.
Ma il punto cruciale è stata l'email autentica del Supporto Apple, che ha sfruttato una falla nei sistemi Apple: chiunque può creare un ticket di Supporto Apple per chiunque altro, senza alcuna verifica. Ciò significa che gli aggressori potevano avviare una pratica utilizzando l'indirizzo e-mail di Moret e ricevere lì l'email del Supporto Apple, conferendo credibilità al loro piano.
Tuttavia, ci sono modi per proteggersi da attacchi come questo. Il più semplice è riagganciare se si riceve una chiamata inaspettata da qualcuno che afferma di lavorare per Apple, quindi chiamare direttamente Apple per verificare se si è effettivamente a rischio.
Oltre a ciò, fate attenzione ai codici 2FA e non forniteli mai a nessuno, anche se affermano di essere di Apple. Non comunicate mai questi codici al telefono né condividete "codici di conferma" con altre persone. E verificate sempre che un sito web sia un dominio Apple autentico, e non uno che utilizzi semplicemente il nome dell'azienda in mezzo ad altri elementi dell'URL, come hanno fatto i phisher in questo caso.
E se volete davvero stare al sicuro, utilizzate una chiave di sicurezza hardware. Queste richiedono di collegare fisicamente la chiave al computer per verificare la vostra identità, cosa che un phisher non sarà mai in grado di fare.
