Quasi un anno fa, abbiamo parlato di una tecnica classica di phishng per svincolare un iPhone rubato dall’ID Apple della vittima. L’obiettivo era quello di rivenderlo come uno smartphone di seconda mano a tutti gli effetti, cosa che risulta molto più vantaggiosa rispetto a rivendere i pezzi di ricambio.
L’ultima volta, la fortuna è stata dalla parte degli scammer, che sono stati in grado di ottenere il nome utente iCloud e la password di cui avevano bisogno. Questa volta, indagheremo su una strategia più complessa per estrarre i dati confidenziali delle vittime del furto, includendo il piano B, che è quasi destinato a truffare chiunque riesca a eludere il piano A.
Passo 1: iPhone rubato
Tutto è cominciato come al solito, la mia collega Anna dimentica il telefono su una panchina nel parco. Al suo ritorno 20 minuti dopo, il telefono era sparito. Nessuno ha visto niente, e quando chiama il numero, non risulta disponibile. Senza esitare, Anna attiva la modalità Smarrito nell’applicazione Trova il mio iPhone utilizzando lo smartphone di un amico e fornendo un numero aggiuntivo su cui il ladro avrebbe potuto contattarla.
Il giorno dopo, la speranza di ricevere una chiamata dal ladro svanisce e il telefono, a giudicare dalle informazioni dal Trova il mio iPhone, è ancora offline. Opta quindi per l’opzione Inizializza iPhone.
Questa funzione cancella tutti i dati dal telefono e lo rende inutilizzabile non appena si connette a Internet. Ma sembra che il ladro o sia un mago dell’iPhone o, più probabilmente, un esperto nell’arte oscura di svincolare i dispositivi Apple dagli account iCloud dei loro proprietari. In ogni caso, dal momento in cui è stato perso, il telefono non è stato online neanche per un secondo, per cui eliminarlo e utilizzarlo sarebbe stato inutile.
Tra l’altro, anche se il dispositivo era protetto da Touch ID, di default gli accessi alla rete Wi-Fi e ai dati mobili possono essere disattivati senza sbloccare il telefono. Basta solo un passaggio sullo schermo di blocco per arrivare al centro di controllo, dove è possibile attivare la modalità aereo.
Durante i due giorni in cui la SIM del telefono è rimasta sbloccata, i truffatori hanno avuto il tempo di usarlo per trovare il numero di telefono di Anna. Il terzo giorno, la compagnia telefonica ha bloccato la SIM, e Anna ne ha introdotta una nuova nel suo nuovo telefono.
Passo 2: SMS di phishing
Il quarto giorno, i truffatori cercano di svincolare l’iPhone dall’ID Apple di Anna per fargli ottenere più valore di mercato. Per cominciare, effettuano alcune telefonate da un numero di telefono che sembra provenire dagli Stati Uniti, ma dall’altra parte c’è solo silenzio.
Lo scopo delle chiamate è di assicurarsi che la SIM sia stata reinserita e che il numero sia di nuovo attivo. Subito dopo l’ultima chiamata, Anna riceve un messaggio secondo il quale il suo telefono rubato si è connesso e che è stato localizzato.
Il messaggio di phishing sembra molto verosimile, tanto che Anna non sospetta di nulla, dato che il messaggio è stato inviato da un servizio in grado di sostituire “Apple” come mittente. Anche il link nel messaggio sembra molto convincente. Inserito manualmente, l’URL rimanda a una pagina inesistente, ma facendo clic sul link si viene reindirizzati a un sito di phishing. Dov’è il trucco?
Il dominio icloud.co.com esiste, e appartiene ad Apple. Ma nel link icIoud.co.com del messaggio, viene usata una “i” maiuscola, non una “l” minuscola. Cliccandoci sopra, Anna viene reindirizzata a una pagina di phishing molto credibile, nella quale si chiede di inserire il suo ID Apple e password in modo da trovare il telefono smarrito. Se però diamo un’occhiata più attenta alla pagina, possiamo vedere che l’indirizzo è cambiato e quindi inserire tali dati non è sicuro.
È interessante notare che la pagina sembra diversa a seconda del dispositivo e browser utilizzato. Molto probabilmente, i cybercriminali utilizzano questo sito per varie strategie di phishing su misura per diverse piattaforme.
Anna non compila il modulo perché si rende conto immediatamente che il servizio è falso. Inoltre, il suo telefono è ancora offline nell’app Trova il Mio iPhone e lo è sempre stato dal giorno del furto.
Ciò avrebbe potuto significare la fine della storia ma in questo modo i ladri non avrebbero guadagnato molti soldi dalla rivendita. Optano quindi per il piano B.
Step 3: Telefonata da un “amico”
Tre ore dopo il messaggio di phishing, quando è già chiaro che Anna non avrebbe inserito i suoi dati in una pagina falsa, riceve una telefonata. Il ladro si presenta come un dipendente del servizio clienti, menziona il tipo di modello e colore del telefono, e le chiede se lo avesse perso, esordendo poi dicendo che il telefono si trova nel centro di assistenza in un centro commerciale dall’altro lato della città, e la invita ad andarlo a prendere.
Con il tentativo di phishing ancora fresco nella mente, Anna inizia a fare delle domande lecite su come avesse ottenuto il suo telefono e il suo numero per accertarsi che questa persona non sia un truffatore. Lo sconosciuto risponde: “Se non vuoi il telefono, non venire.”
Aggiunge inoltre che le persone che avevano portato il telefono gli erano sembrate sospette, e che quindi aveva controllato nel database che il telefono era stato smarrito. Lo stesso (magico) database conteneva anche il numero di telefono di Anna. Per farla breve, aveva un’ora di tempo per andare a prendere il telefono prima che le persone che lo avevano trovato tornassero a prenderlo.
Facciamo una pausa per un paio di dettagli tecnici. Per sapere se un telefono è stato smarrito, per prima cosa dobbiamo accenderlo. Il telefono mostrerà una notifica sulla perdita e un numero di telefono per contattare il proprietario. Questo è un dettaglio importante, perché quando la sua vecchia SIM è stata rubata insieme al telefono, è stata inserita una nuova, e Anna ha fornito il numero di telefono di un amico invece del suo. Per cui, se qualcuno avesse utilizzato il numero che appariva nell’iPhone, sarebbe stato il numero fornito da Anna.
Inoltre, durante la conversazione con il presunto centro assistenza, Anna controlla che il suo telefono sia connesso. Vedendo che non è così, informa la persona della chiamata, la quale le rispose con prontezza che forse il telefono era già stato vincolato ad un altro ID Apple. Se riuscissimo a mettere da parte emozioni e pressioni psicologiche, questo potrebbe essere una prova schiacciante della truffa, ma vediamo cosa succede in realtà.
Successivamente, l’uomo che si spaccia per un addetto del servizio clienti dice ad Anna che non avrebbe potuto far aspettare altri clienti per lei, e che il telefono sarebbe stato restituito se e quando altre persone fossero venute a prenderlo, e di chiamare nel caso in cui non fosse riuscita ad arrivare al centro commerciale in un’ora. Qui viene il bello: il malintenzionato chiede ad Anna di portare la scatola originale e il suo documento d’identità. Il trucco funziona. Anna, accompagnata da degli amici per motivi di sicurezza, chiama un taxi e parte per la sua missione.
Durante il tragitto, Anna chiama il “servizio clienti” per avere un aggiornamento. L’uomo le chiese di aprire l’applicazione Trova il mio iPhone e la bombarda di domande: cosa vedi, di che colore è il puntino che appare vicino all’icona del telefono eccetera, come se stesse davvero investigando sul suo caso.
Quando Anna lo informa che sta arrivando, l’uomo le chiede di fare il login su iCloud per verificare se il telefono sia apparso, ed è allora che le chiede di premere il bottone Rimuovi e di riferire se il messaggio d’avviso contiene certe parole. Anna preme il bottone e gli comunica il messaggio di avviso, e allora l’uomo dice che è tutto chiaro: il telefono era stato svincolato dall’iCloud e per collegarlo di nuovo avrebbe dovuto confermare l’eliminazione per poi riconnetterlo.
Nonostante la situazione stressante, Anna non lo fa, perché ricorda che un telefono non si deve mai svincolare dall’account del proprietario. Risponde quindi che lo avrebbe risolto una volta stata nel centro.
Il truffatore chiama di nuovo qualche minuto dopo armato di una tecnica di ingegneria sociale molto efficace. Per fare pressione sula vittima, le dice che le persone che avevano trovato il telefono erano tornate, e che quindi doveva decidere in quel momento se restituire o no il telefono.
Di sottofondo si percepiscono i rumori tipici di un luogo pubblico, voci che chiedono “Allora?” e il truffatore dicendo “Un secondo ragazzi”, mentre continua ad insistere per far si che Anna elimini il telefono dal cloud. Anna risponde che era vicina e che aveva chiamato la polizia la quale stava già arrivando. L’uomo dice che le avrebbe dato tutte le registrazioni di sicurezza ma che non poteva più far aspettare gli altri clienti, avrebbe dato loro il telefono.
E come ci si aspettava, quando Ana arriva al centro commerciale, non trova nessun centro assistenza. Quando arriva la polizia, gli agenti le confermarono che non esisteva niente del genere, e che i truffatori erano soliti mandare le vittime a questo indirizzo e la informano a proposito della strategia che utilizzano, identica a quella vissuta da Anna.
Dopo ciò, i truffatori non si sono fatti più sentire, ma i messaggi di phishing continuano ad arrivare nei giorni successivi, nella speranza che Anna ceda.
Alla fine, Anna non riesce a riavere indietro il suo telefono, però almeno non è caduta nella trappola dei truffatori. Il telefono rubato è ancora vincolato all’ID Apple di Anna, e per tanto una volta connesso, si sarebbe cancellato tutto e il telefono sarebbe stato inutilizzabile. I ladri dovranno accontentarsi di rivenderlo pezzo per pezzo.
Che fare se si perde l’iPhone o se viene rubato?
Per concludere, ecco una serie di consigli che dovreste seguire nel caso in cui perdiate l’iPhone o ve lo rubino.
- Attivate immediatamente la modalità Smarrito nell’applicazione Trova il mio iPhone.
- Contattate il vostro operatore telefonico per bloccare la vostra SIM, soprattutto se non è protetta dal codice PIN (di default, questi codici sono disattivati o sono molto semplice, tipo 0000);
- Ricordate che gli SMS e persino le chiamate possono essere false. Se le informazioni contenute nei messaggi non coincidono con ciò che vedete in Trova il mio iPhone, è molto probabile che qualcuno stia cercando di prendersi gioco di voi;
- Cercate nella vostra e-mail messaggi autentici ricevuti da Trova il mio iPhone. Se non ne possedete nessuno, qualsiasi altro messaggio che ricevete a proposito del vostro telefono potrebbe essere fraudolento;
- Non accedete ai link che appaiono in un messaggio di testo, entrate invece su icloud.com manualmente (e con cautela) dal vostro browser e non introducete mai il vostro ID Apple e password in una pagina aperta attraverso un link;
- Mantenete la calma, è molto probabile che i cybercriminali cerchino di farvi prendere una decisione precipitata. È la loro strategia abituale, non datevi per vinti;
- Mai, e dico mai, rimuovere il telefono perso da Trova il mio iPhone, non importa quanto insistano i truffatori.