La sicurezza in ambito informatico non è mai cosa certa ma è sicuramente uno dei temi più discussi e dibattuti sul web, specie quando accadono eventi importanti come i gruppi di hacker che attaccano server di grosse compagnie per rubare le identità dei clienti. Spesso però ci sono metodi molto più semplici e alla portata per rubare identità molto importanti. Come l’Apple ID, un account che molti pensano sia sicuro ma così, ahimè, non è.
Le schermate che vedete sopra sono state prese dal sito di Felix Krause, così come tutto l’articolo. Le schermate a sinistra sono gli avvisi ufficiali che Apple invia al dispositivo per chiedere la password dell’Apple ID. Sicuramente se avete un iPhone o iPad l’avrete incontrata periodicamente. Le schermate a destra invece sono un metodo perfetto per rubare la password dell’Apple ID (phishing).
Già, perché se le schermate sembrano perfettamente identiche, in realtà così non è. O meglio, sono sì uguali esteticamente ma sotto nascondono due cose diverse. Se la richiesta di Apple è quella di inserire periodicamente la propria password, quella dei siti e app phishing ha il solo fine di rubare la password.
Nessuno sospetterebbe niente, visto che iOS richiede periodicamente l’inserimento della propria password per sicurezza, per esempio dopo un aggiornamento del sistema ma non solo. Quindi gli utenti sono ormai abituati a vedere quella schermata e non ci penserebbero due secondi ad inserire la propria password. Nemmeno un utente esperto si accorgerebbe che quella schermata non ha niente a che vedere con quella ufficiale.
In alcuni casi lo sviluppatore potrebbe non conoscere la vostra e-mail. Beh, in quei casi il pop-up malevolo potrebbe comparire comunque, come nella schermata qui sotto.
Come proteggersi da questo attacco
I metodi sono semplici e dobbiamo tenerli ben a mente.
1. Premere il pulsante Home dell’iPhone:
– se sia l’app che il pop-up che richiede la password si chiudono, allora si trattava di un attacco phishing mirato a rubarvi la password
– se sia l’app che il pop-up che richiede la password non si chiudono e sono ancora visibili, allora nessun problema. Si tratta in questi casi di richieste effettuate direttamente dal sistema e quindi da Apple.
2. Non immettere le credenziali nel pop up, piuttosto chiudilo ed immettile direttamente nelle Impostazioni manualmente.
3. Se cominci a scrivere la password, quell’app creata da malintenzionati stanno già registrandola e anche se clicchi su “cancella” la frittata è fatta. In poche parole non digitare niente, chiudi premendo il pulsante Home e stop.
Cosa potrebbe fare Apple?
Secondo l’autore del post Felix Krause le soluzioni sono tre e semplici:
– Quando viene richiesto l’Apple ID, si potrebbe richiedere di andare nelle impostazioni invece che poterla inserire direttamente nell’avviso pop-up.
– Richiedere la password ogni tot è comunque una cosa che potrebbe essere inutile, o meglio, anche noiosa per molti. In effetti anche secondo noi ci sono altri metodi per aumentare la sicurezza, sicuramente questo non è uno di quelli.
– I pop-up provenienti dalle app potrebbero avere un’icona indicando che provengono appunto da un’app e non dal sistema principale.
Ma se ho la 2FA attiva?
Apple ha finalmente obbligato tutti ad attivare la verifica in due passaggi (2FA) con iOS 11. Peccato però che questi malintenzionati potrebbero comunque riuscire a fare in modo che il codice che vi arriva venga prelevato e inserito nei loro sistemi prima che voi lo facciate.
Difficile? Si, speriamo, almeno per il momento. Ma non impossibile. Più facile invece che voi utilizziate la stessa password anche per altri siti, quindi gli hacker potrebbero provarla su vari siti finché non riescono ad accedere.
Perché Apple accetta queste app nel suo AppStore?
In realtà Apple non accetta questo genere di app e non lo farebbe mai visti i controlli serrati. Il problema è che questa modifica non richiede l’approvazione di Apple. Vi spiego meglio. Potrei fare un’app perfettamente in linea con le richieste minime di Apple, che quindi me l’approverà e inserirà nel suo AppStore. Poi però posso andare a modificarla in modo tale da renderla in grado di rubare i dati degli utenti nel modo prima esposto. Non vado nel tecnico, ma per chi di voi vuole approfondire la questione può leggere il post di Felix Krause.
Fonte: Felix Krause
Reply