giovedì 16 marzo 2017

Ti hanno rubato l'iPhone? Attenzione al phishing!


Ebbene si, i cyber-criminali ne hanno inventata un'altra delle loro: rubare le credenziali di accesso ad iCloud di coloro che hanno subito il furto del proprio iPhone. 

E' quanto ci racconta Brian Krebs, in un lunghissimo articolo che ricostruisce, passo per passo, l'intero sistema online pensato per truffare gli utenti della Apple. Con un nuovo trucco, ribattezzato da Krebs stesso come "iPhishing".  Si parla cioè di un vero e proprio "servizio" pensato per rubare al legittimo proprietario le credenziali di accesso agli account di iCloud e eseguire il reset delle stesse , così da poter rivendere l'account. 

Come è iniziata l'inchiesta di Krebs?
Da un suo conoscente: Krebs viene contattato qualche mese fa da un amico il cui figlio aveva subito il furto del proprio iPhone. Dopo qualche tempo infatti il padre aveva ricevuto uno strano SMS, apparentemente proveniente dalla Apple "in persona", in cui gli veniva comunicato il ritrovamento del telefono scomparso. Nell' SMS era presente un link che, a detta dell'SMS stesso, avrebbe permesso al legittimo proprietario di localizzare l'iPhone. 




Il clic al link rimanda ad una pagina terribilmente simile a quella di iCloud, peccato sia falsa: l'amico di Krebs si è insospettito proprio di fronte ai campi di login ed ha avviato una vera e proprio indagine sul sito.

Il falso iCloud...


Il falso sito fa riferimento ad un server russo, ma da indagini successive sono emersi legami con altri paesi, sopratutto Messico, Colombia, Ecuador, Argentina ecc...
Non solo: la cosa interessante è che il server comunica frequentemente con due siti,  imei24.com e imeidata.net,  che consentono di ottenere informazioni su qualsiasi dispositivo mobile partendo dal codice IMEI.

In particolare questi siti permettono perfino di sapere se la funzione "Trova il mio iPhone" sia stata attivata, se nell'iPhone sia attivo il blocco del dispositivo e perfino se sia stato o meno denunciato il furto del dispositivo.

iServer, il sito "nascosto"
Il link contenuto nell'SMS puntava alla pagina "login.php". E' bastato puntare su index.php, per trovarsi di fronte a quello che vedete in foto:


Una grafica accattivante organizzata intorno ad una reinterpretazione "infernale" del logo di Apple e con un pannello di login. Lo scopo? Semplice. Krebs e il suo amico si sono imbattuti in un vero e proprio servizio criminale online a pagamento: basta pagare la quota di abbonamento e si ottiene l'accesso al mondo delle truffe online. Ci guadagna chi offre il servizio, ci guadagna chi ne fa uso. 

La truffa è ancora in corso?
No ed è quasi divertente spiegare il perché: Krebs infatti è riuscito a estrarre alcune credenziali analizzando il codice della pagina e ne ha, diciamo indovinato, la password. Un semplice controllo sui dati conservati nel server ha fatto saltare fuori il nome dell'autore della cyber-truffa, che ingenuamente, dopo aver testato su di sé il servizio, si è dimenticato di cancellare le proprie informazioni dal server.  Così Krebs ha potuto accedere all'account iCloud del cyber-criminale e localizzarlo, in Ecuador, proprio attraverso la funzione "Trova il mio iPhone". 

Nessun commento:

Posta un commento