L’allarme arriva dal Centro Nazionale svizzero per la Cybersicurezza (NCSC): una campagna di phishing sofisticata e mirata sta prendendo di mira gli utenti che hanno smarrito o subito il furto del proprio iPhone.
La truffa, che sfrutta la speranza delle vittime di recuperare il dispositivo, ha un unico, preciso obiettivo: rubare le credenziali dell’ID Apple per aggirare il Blocco Attivazione.
No, Apple sta cercando il tuo iPhone
Perdere il proprio melafonino è un’esperienza frustrante e spesso angosciante. “Non solo il dispositivo è sparito, ma anche i dati personali potrebbero essere persi“, spiega l’NCSC nel suo avviso. “Superato il panico iniziale, la maggior parte delle persone si affida alla speranza che un onesto ritrovatore si faccia vivo“. È proprio su questa speranza che i criminali informatici hanno costruito la loro trappola.
Come funziona l’attacco?
Quando un utente perde il proprio iPhone, la prima azione consigliata è utilizzare l’app Dov’è (Find My) per attivare la “Modalità Smarrito“. Questa funzione blocca il dispositivo e permette di visualizzare un messaggio personalizzato sulla schermata di blocco, spesso contenente un numero di telefono alternativo o un indirizzo e-mail per essere ricontattati.
Paradossalmente, è proprio questa informazione, lasciata in buona fede, a diventare il vettore dell’attacco.
Secondo l’NCSC, i truffatori (che hanno fisicamente in mano il telefono rubato) utilizzano i dettagli di contatto presenti sulla schermata di blocco per inviare un messaggio di smishing (phishing via SMS o iMessage) alla vittima.
Il messaggio è studiato per essere estremamente convincente. Si presenta come una comunicazione ufficiale del team “Find My” di Apple e, per guadagnare credibilità, include dettagli specifici del dispositivo smarrito, come il modello esatto, il colore e la capacità di archiviazione (informazioni che i ladri possono leggere direttamente dal telefono bloccato).
Un tipico messaggio di truffa, segnalato dall’NCSC, recita:
“Siamo lieti di informarla che il suo iPhone 14 128GB Mezzanotte smarrito è stato localizzato con successo. Per visualizzare la posizione attuale del suo dispositivo, clicchi il link sottostante: [link fraudolento]“
Il messaggio aggiunge anche un finto avviso per aumentare l’urgenza e l’autenticità: “Se non ha avviato una segnalazione di dispositivo smarrito o ritiene che questo messaggio sia stato inviato per errore, la preghiamo di ignorarlo o di contattare immediatamente il nostro team di supporto“.
La trappola: il sito clone e il vero obiettivo
Il link contenuto nel messaggio non porta, ovviamente, al sito ufficiale di Apple. Reindirizza invece l’utente a una pagina di phishing perfettamente identica al portale di login di “Dov’è” o iCloud.
La vittima, speranzosa di vedere la posizione del proprio iPhone sulla mappa, è indotta a inserire le proprie credenziali: ID Apple e password. Non appena premuto “Invio”, quei dati vengono trasmessi direttamente ai cybercriminali, che ottengono così pieno accesso all’account.
L’obiettivo finale, spiega l’NCSC, non è rubare i dati nel cloud, ma sbloccare il telefono. L’interesse primario dei ladri è disattivare il Blocco Attivazione. Questa fondamentale misura di sicurezza collega l’iPhone all’ID Apple del proprietario e impedisce a chiunque altro di inizializzare, attivare o rivendere il dispositivo. Un iPhone con Blocco Attivazione attivo è, per un ladro, un fermacarte costoso.
Non esistendo metodi noti per aggirare tecnicamente questo blocco, l’unica strada per i criminali è l’ingegneria sociale: convincere la vittima stessa a fornire le chiavi.
Come difendersi: i consigli dell’NCSC
Il Centro Nazionale svizzero per la Cybersicurezza sottolinea una regola fondamentale: Apple non contatterà mai i clienti tramite SMS o e-mail per segnalare il ritrovamento di un dispositivo. Qualsiasi messaggio di questo tipo è da considerarsi fraudolento.
L’agenzia fornisce inoltre una serie di raccomandazioni chiave:
- Non cliccare mai su link contenuti in messaggi o e-mail non richieste che riguardano un dispositivo smarrito.
- Non inserire mai le proprie credenziali ID Apple su siti web raggiunti tramite link esterni. Effettuare il login solo tramite l’app ufficiale “Dov’è” su un altro dispositivo Apple o digitando manualmente l’indirizzo iCloud.com/find nel browser.
- Abilitare immediatamente la Modalità Smarrito tramite iCloud.com non appena ci si accorge della perdita.
- Se si decide di mostrare un recapito sulla schermata di blocco, utilizzare un indirizzo e-mail dedicato (creato appositamente per questo scopo) anziché il proprio numero di telefono principale o l’e-mail associata all’ID Apple.
- Assicurarsi che la propria scheda SIM sia protetta da un codice PIN. Questo impedisce ai ladri di estrarre la SIM, inserirla in un altro telefono e utilizzare il numero per altri scopi fraudolenti (o per scoprire il numero associato).
Agli utenti che ricevono messaggi di questo tipo, l’NCSC consiglia semplicemente di ignorarli ed eliminarli.
