Utenti iPhone, attenti a questo sofisticato attacco di phishing: potreste perdere tutto
Gli attacchi informatici sono un problema da cui non sempre è facile difendersi: anche chi pensa di aver imparato come difendersi dallo scam online, potrebbe cadere vittima di una truffa, specialmente quando si tratta di un tentativo di phishing così elaborato come quello in questione.
Nelle ultime settimane, molti utenti iPhone negli Stati Uniti hanno raccontato di un attacco molto elaborato, le cui dinamiche sono poi state ricostruite e raccontate approfonditamente da KrebsOnSecurity.
La truffa in questione ha l'obiettivo di rubare l'Apple ID delle vittime, bloccandole fuori dal proprio account e dai propri dispositivi.
L'attacco inizia con una lunga serie di richieste di cambio password: le persone che hanno parlato del tentativo di phishing, raccontano di centinaia di popup apparsi in pochissimo tempo che richiedono di approvare un reset della password. E poiché si tratta di un tentativo di reset dell'account Apple, i popup in questione appaiono su tutti i dispositivi associati all'account (iPhone, iPad, Apple Watch, Mac).
Cliccare per sbaglio anche una sola volta il tasto Allow, consentirebbe all'attaccante di resettare la password dell'Apple ID e rubare l'account all'utente.
Dopo aver rifiutato le centinaia di richieste di reset della password, gli utenti coinvolti hanno raccontato di aver ricevuto una chiamata dal truffatore, che si spacciava per il supporto ufficiale Apple.
Con le telefonate è relativamente facile mascherare e modificare il proprio numero, quindi sugli iPhone delle potenziali vittime appariva il reale numero dell'Apple Support.
Una volta risposto alla chiamata, il truffatore si presentava come un esperto di sicurezza Apple al corrente della situazione, che informava la vittima del tentativo di scam e della necessità di prendere precauzioni.
Nel caso raccontato da Patel Parth su X (vedi sopra), il truffatore aveva anche ottenuto molte informazioni sulla vittima (nome, numero di telefono, data di nascita, indirizzo di residenza, precedenti indirizzi), ottenuti cerando il nome sul database di un aggregatore di dati personali (People Data Labs, in questo caso).
Dopo aver provato a convincere la vittima di essere un dipendente Apple che voleva aiutarlo, il truffatore ha infine chiesto al telefono che gli venisse condiviso il codice OTP appena ricevuto via SMS (nonostante il messaggio che Apple invia dica esplicitamente di non condividere quel codice con nessuno).
Nel caso condiviso nei tweet qui sopra la truffa non è riuscita, perché Parth ha capito che si trattava di phishing.
Tuttavia, negli ultimi giorni ci sono state moltissime testimonianze simili, anche se al momento non ancora in lingua italiana.
Alla base di questa truffa c'è probabilmente un bug, che consente all'attaccante di inviare un numero spropositato di richiesta di reset password: il popup in questione richiede di compilare un form con email e numero di telefono per modificare la password, ma non dovrebbe essere possibile inviarlo più di una volta.
Al contrario, ricevere decine di popup identici, su più dispositivi, può ovviamente mettere in allarme l'utente, che sarà quindi più propenso a cadere nel phishing telefonico del finto supporto Apple.
Considerando che si tratta di una truffa relativamente nuova, vale la pena mettere in guardia gli utenti italiani, nel caso in cui qualcuno provasse a sfruttare lo stesso stratagemma: quel che bisogna fare è ovviamente annullare sempre la richiesta di cambio password via popup e non fornire mai a nessuno alcun codice OTP, ricordando anche che nessun dipendente Apple chiederebbe mai che un codice simile venga condiviso al telefono.