Apple Warning. Un attacco di phishing che… funziona come un ransomware

Da qualche tempo stiamo scrivendo alcuni articoli volti a contraddire uno dei più comuni miti metropolitani, ovvero il fatto che i dispositivi Apple (iPhone, iPad e sopratutto i Macbook) non necessitino di antivirus nè particolari attenzioni perché, fondamentalmente, inattaccabili.

Abbiamo già parlato di malware per Mac pensati per attivare la webcam e registrare audio e video a insaputa della vittima, di un malware particolare come MacDownloader e di alcuni ransomware per Mac, come Patcher.
In questi giorni però è stata scoperta una vera e propria truffa ai danni dei clienti Apple, particolarmente innovativa e inedita: un attacco di phishing che comporta il rapimento del dispositivo e, conseguentemente, una richiesta di riscatto per riaverne accesso.
 
Come funziona l’attacco
Si sono registrati svariati attacchi, sopratutto all’estero, ma l’Italia non è rimasta indenne. L’attacco comincia con la più classica delle email di phishing che viene confezionata per simulare una

comunicazione ufficiale di Apple. La mail avvisa che è stato registrato un accesso all’account iCloud dall’estero: viene quindi richiesto di modificare le credenziali di accesso tramite il link allegato nel corpo mail al fine di ripristinare la sicurezza dell’account stesso.

Ovviamente il link non punta al sito Apple originale, ma ad un clone (piuttosto ben fatto) gestito dagli attaccanti. Il sito richiede di inserire le credenziali di accesso per eseguire il login: inserire i dati comporta immediatamente la consegna degli stessi nelle mani degli attaccanti, consentendo quindi loro di poter accedere al profilo iCloud della vittima. Ovvero ai documenti, contatti, tutte le informazioni personali… ma come sappiamo dal profilo iCloud non solo si possono raccogliere informazioni, ma eseguire perfino azioni sul nostro iPhone.
Il phishing che si fa ransomware…
Ed è qui che un semplice attacco di phishing può diventare una sorta di ransomware. Una volta avuto accesso all’account iCloud gli attaccanti hanno la possibilità di accedere alla funzione Trova il mio iPhone, tramite la quale attivare la Modalità Smarrito. La modalità Smarrito consente di bloccare il dispositivo impostando un codice a 6 cifre attraverso iCloud. Gli attaccanti quindi attivano la modalità Smarrito, inseriscono il codice di 6 cifre e quindi esautorano completamente il proprietario del dispositivo dal poterlo utilizzare. Ovviamente questa operazione avviene dopo la modifica della password del profilo iCloud, così che il legittimo proprietario non possa avervi più accesso e provare a recuperare l’uso del dispositivo da remoto.
La richiesta di riscatto
A questo punto i criminali fanno pervenire la richiesta di riscatto alla vittima, talvolta inviando una email, talvolta invece sfruttando il fatto che la modalità Smarrito consente di visualizzare un messaggio nella schermata di blocco.
Una richiesta di riscatto

Fino ad ora l’ammontare del riscatto non è molto alto, oscillando tra i 50 e i 100 euro, da pagare ovviamente in Bitcoin. Probabilmente un ammontare così basso è dovuto al fatto che il blocco è aggirabile rivolgendosi al servizio di assistenza di Apple: cosa che però comporta la perdita dei dati memorizzati. Probabilmente una richiesta così bassa è volta a cercare un compromesso accettabile per la vittima.

Pagare o non pagare?

Molto semplicemente, meglio di no. Per vari motivi: il primo è che, ad una prima richiesta di denaro potrebbe seguirne un’altra fino a che la vittima non cede, rassegnandosi alla perdita dei dati. Oppure ancora al pagamento potrebbe non seguire lo sblocco del dispositivo. Oppure ancora bisogna tenere di conto che i criminali potrebbero cancellare i file in ogni caso.
La prevenzione è l’unica via…
e non è neppure così difficile. Ad esempio se si riceve un messaggio, sospetto o meno, che contiene il link di accesso al sito di Apple, per stare al sicuro basta collegarsi al sito digitandone l’indirizzo nel browser senza fare clic sul link allegato nel messaggio stesso. Oltre a ciò, bisogna assicurarsi di aver attivato il sistema di autenticazione a due fattori: ogni volta che verrà tentato un accesso al profilo iCloud da un dispositivo sconosciuto, il sito chiederà non solo la password di accesso, ma anche l’inserimento di un codice che Apple invia direttamente sull’iPhone (anche via SMS). A meno che l’attaccante non abbia il controllo di uno dei dispositivi associati  all’account, gli sarà impossibile entrare.