venerdì 21 dicembre 2018

Ondata di phishing bersaglia utenti Apple: i truffatori rubano l'Apple ID e l'identità delle vittime


E' stata segnalata ieri da svariati siti specializzati una campagna di phishing che sta bersagliando utenti Apple. Le email sono confezionate per sembrare conferme di acquisto dall'Apple App Store: contengono un allegato PDF che sembra essere una fattura di pagamento per un app acquistata dall'account dell'utente per 30 dollari statunitensi. Nel testo c'è anche un link da cliccare nel caso in cui la transazione non sia stata autorizzata. Se l'utente fa clic sul collegamento, il danno è fatto. 

La prima segnalazione è di Lawrence Abrams di Bleeping Computer, che ha spiegato di aver ricevuto lo scorso fine settimana svariate segnalazioni tutte molto simili: utenti che segnalavano appunto di aver ricevuto email apparentemente provenienti dall'App Store di Apple contenenti fatture relative ad acquisti che non sapevano di aver effettuato. 

L'email è molto insidiosa: non c'è, come accade solitamente nelle campagne di phishing, alcuna frase che inciti o indichi all'utente di aprire (magari urgentemente) l'allegato. Gli attaccanti si affidano alla vittima stessa, la quale, ricevuta la fattura di un acquisto mai effettuato, aprirà il PDF proprio per sapere di che si tratta. 

Fonte: bleepingcomputer.com

Quando l'utente apre il PDF, visualizzerà una fattura "targata" Apple: nel documento vi sono anche svariati link che l'utente può usare per segnalare un problema o che l'acquisto non è mai stato autorizzato. Questi link sono tutti in forma abbreviata, così che la vittima non possa conoscere l'URL reale della pagina verso la quale finisce reindirizzato. 

Fonte: bleepingcomputer.com

Il clic su uno dei link contenuti nel PDF porta direttamente ad una pagina che chiede di fare login con il proprio ID Apple. La pagina è praticamente identica, in tutto e per tutto, al portale legittimo di gestione degli Account Apple. 

Fonte: bleepingcomputer.com

Se l'utente inserisce le credenziali, verrà automaticamente reindirizzato ad una seconda pagina contenente un avviso: "questo ID Apple è stato bloccato epr ragioni di sicurezza. Devi sbloccare l'account prima di accedervi".

Fonte: bleepingcomputer.com

Il gioco è chiaro: l'utente che visualizza questo messaggio dopo aver ricevuto la fattura di un acquisto mai effettuato penserà immediatamente che il proprio account è stato violato. A questo punto molti saranno spinti a tentare di recuperare l'accesso al proprio account, cliccando su "Unlock Account". La pagina che viene visualizzata richiederà moltissimi dati sensibili, con la scusa della verifica dell'account. Tra questi dati, sono richiesti: nome e cognome, indirizzo, numero di telefono, data di nascita, informazioni di pagamento e la domanda di sicurezza ecc...

Fonte: bleepingcomputer.com

Inserite e inviate tutte le informazioni, la vittima verrà portata su una pagina temporanea nella quale si comunica che l'utente verrà automaticamente disconnesso per permettere il ripristino dell'accesso all'account stesso. 

Fonte: bleepingcomputer.com


A questo punto la pagina di phishing reindirizza l'utente sulla pagina legittima di gestione dell'account appleid.apple.com. Qui c'è il tocco di classe dei truffatori: il redirect avviene in maniera tale che il sito Apple mostri all'utente il messaggio "Questa sessione è scaduta per motivi di sicurezza". L'utente molto probabilmente vedrà questo avviso come una conferma del fatto che è in corso il recupero dell'accesso all'account: nello step precedente infatti viene comunicato alla vittima la necessità della disconnessione dell'account. 

La pagina legittima di Apple ID con l'avviso di sessione scaduta. 

Qui si chiude la truffa: se l'utente ha davvero inserito tutte le informazioni richieste, il truffatore ha concluso con successo un furto d'identità completo. Tutti i dati torneranno utili agli attaccanti per aprire account di banking online o per accedere ad altri account della stessa vittima oppure ancora falsificare documenti coi dati della vittima ecc...

Questa campagna di phishing desta allarme non solo perchè ben congeniata, ma anche perchè sta avendo una discreta diffusione ed è realmente difficile (se non ad un occhio esperto) cogliere differenze tra le pagine legittime di Apple e quelle fake. La condizione psicologica nella quale viene indotta la vittima non fa altro che renderla estremamente disponibile a "consegnare" i dati nelle mani dei cyber-ladri. L'unica debolezza più evidente di questa campagna è l'uso di URL sospetti: uno sguardo attento potrà facilmente cogliere che quei collegamenti non sono legittimi e quindi da evitare. 

Ricordiamo agli utenti di non aprire mai link contenuti in email strane o inaspettate, di analizzare l'URL prima di fare clic e di accertarsi di trovarsi in un sito legittimo o meno. 

Nessun commento:

Posta un commento