Il fatto è che chiunque può creare un box che sembra quello ufficiale Apple con richiesta di immissione della password di iCloud. Se ne possono fare di due tipi: uno che mostri anche l’indirizzo mail dell’utente e un altro che richieda esclusivamente la password, ma di fatto sono entrambi praticamente indistinguibili dall’originale.
[related layout=”big” permalink=”https://www.melablog.it/post/207424/ios-12-sicurezza”][/related]
E come se non bastasse, il tutto si basa sull’uso di API e librerie messe a disposizione da Cupertino nel kit di sviluppo di iOS; dunque tutto ufficiale. C’è da dire che le possibilità di un attacco simile sono remote, per la semplice ragione che Apple passa al setaccio tutte le applicazioni dell’App Store, ma la minaccia è sempre teoricamente possibile. Dunque meglio esserne al corrente, anche perché individuarle è molto semplice.
Riconoscere il Tentativo di Phishing
Quando compare un pop-up di richiesta password, basta premere il pulsante Home (oppure eseguire il gesto di chiusura delle app su iPhone X): se l’app si chiude e il messaggio resta in prima vista, allora si tratta di un pop-up legittimo. Se invece si chiude assieme all’applicazione, era legato a quest’ultima e dunque non di sistema, fasullo. In alternativa, quando non sapete che pesci pigliare, annullate semplicemente il pop-up e immettete le credenziali direttamente in Impostazioni > iCloud. Quella è la prova del nove.
Altri Tentativi di Phishing
Proprio stamattina, chi scrive ha ricevuto un SMS sul proprio iPhone; il mittente è un generico “Servizio SMS” e il corpo del messaggio recita:
Gentile Cliente la tua carta Evolution e stata bloccata. Verifica il tuo conto e aggiorna la carta qui sotto: http://sicurezzaapp.myz.info/b/b.php
A parte il fatto che il sottoscritto non possiede una carta Evolution, quel che vedete qui sopra è la rappresentazione plastica di un tentativo di Phishing:
- Messaggio allarmistico, che invita a agire subito (puntano sul vostro panico)
- Nomina una carta parecchio diffusa (aumentano le probabilità che il destinatario ne abbia una)
- Indirizzo mail che punta a siti sconosciuti (.myz.info? Ma siete seri?)
È evidente che si tratti di una fregatura; in questi casi, cestinate immediatamente il messaggio incriminato, non tentate di aprire il link e -per l’amor di Tim Cook- non immettete le vostre credenziali o i numeri di carta di credito in un sito sconosciuto.
Se invece vi hanno indotto in inganno, cambiate immediatamente le password utilizzate, contattate il servizio bancario coinvolto, bloccate le carte se necessario, e infine fate una denuncia alla Polizia Postale. Nel dubbio, meglio attendere un giorno o due, e chiedere a chi ne sa di più.