Di recente ha scatenato timori tra gli utenti iOS una campagna di phishing basata su email ed SMS volta a rubare le credenziali dell’ID Apple. Come? Attraverso un messaggio d’allarme scritto in modo così convincente da far cadere nella trappola coloro che non prestano attenzione a quei particolari che, nella maggior parte dei casi, rendono inutile il tentativo di attacco.
Considerato ciò, il gigante di Cupertino ha deciso di redigere e condividere un nuovo documento di supporto che include diversi suggerimenti per aiutare gli utenti a difendere il proprio account da email, chiamate o messaggi sospetti. «L’ingegneria sociale è un tipo di attacco mirato che si basa su impersonificazione, inganno e manipolazione per accedere ai tuoi dati personali. In questo tipo di attacco, gli utenti malintenzionati fingono di essere rappresentanti di un’azienda o entità di fiducia per telefono o attraverso altri metodi di comunicazione. Spesso usano tattiche sofisticate per convincerti a fornire dettagli personali come credenziali di accesso, codici di sicurezza e informazioni finanziarie», esordisce Apple.
I consigli di Apple per non cadere nella trappola
Tra gli strumenti utilizzati dai truffatori ci sono email fraudolente e altri messaggi che sembrano provenire dalle aziende reali, finestre a comparsa fuorvianti, telefonate o messaggi vocali fraudolenti, promozioni false e inviti e abbonamenti indesiderati nel calendario. Per evitare frodi basate su questi mezzi, la società statunitense consiglia di:
- Non condividere mai dati personali o informazioni di sicurezza come password o codici di sicurezza e non accettare mai di inserirli in una pagina web a cui qualcuno indirizza.
- Proteggere il proprio ID Apple usando l’autentificazione a due fattori, proteggere e aggiornare sempre le proprie informazioni di contatto e non fornire mai a nessuno la password dell’ID Apple o i codici di verifica. Questo perché Apple non richiede mai queste informazioni per fornire assistenza.
- Non usare mai le Gift Cards Apple per effettuare pagamenti ad altre persone.
- Scaricare software solo da fonti completamente affidabili.
- Non seguire mai i link e non aprire gli allegati contenuti in messaggi sospetti o non richiesti.
- Non rispondere a telefonate o messaggi sospetti da qualcuno che afferma di chiamare per conto di Apple.
Segnali di un attacco di ingegneria sociale
Ecco alcuni segnali che potrebbero indurre l’utente a capire di essere l’obiettivo di un attacco di ingegneria sociale, che si basa sull’impersonificazione e la manipolazione.
- Spoofing: un utente malintenzionato può chiamare da un numero di telefono che sembra essere legittimo per Apple o un’altra azienda di fiducia. Se la chiamata sembra sospetta, è consigliabile riagganciare e comporre personalmente il numero verificato e approvato dell’azienda.
- Citando informazioni personali, i malintenzionati provano a creare fiducia e apparire legittimi. Possono fare riferimento a informazioni che considerate private, come l’indirizzo di casa o il luogo di lavoro.
- Spesso i malintenzionati comunicheranno il desiderio di aiutare a risolvere un problema immediato, come addebiti non autorizzati utilizzando Apple Pay.
- Generalmente l’utente malintenzionato crea un forte senso di urgenza per non dare il tempo di riflettere e per dissuaderti dal contattare Apple direttamente.
- Alla fine gli utenti malintenzionati chiedono le informazioni dell’account o i codici di sicurezza. In genere invitano a visitare un sito web fasullo che sembra una vera pagina di accesso Apple e insisteranno per far verificare al malcapitato la sua identità.
- A volte, gli utenti malintenzionati potrebbero chiedere di disabilitare funzionalità di sicurezza come l’autenticazione a due fattori o la Protezione per dispositivi rubati. Sosterranno che questa operazione è necessaria per fermare un attacco o per poter riprendere il controllo del tuo account.
Email e messaggi sospetti: come identificarli
Come già sottolineato in apertura, i truffatori provano a replicare nella forma e nei toni i messaggi di testo inviati dalle aziende legittime. Ecco gli elementi che indicano che fanno crollare l’affidabilità di una email o di un SMS:
- L’indirizzo email o il numero di telefono del mittente non corrisponde al nome dell’azienda da cui sembrano provenire.
- L’indirizzo email o il numero di telefono usato per ricevere avvisi è diverso da quello fornito all’azienda in questione.
- Un link in un messaggio sembra corretto, ma l’URL non corrisponde a quello del sito web dell’azienda legittima.
- Il messaggio sembra molto diverso dagli altri ricevuti dalla stessa azienda.
- Il messaggio richiede informazioni personali, come il numero della carta di credito o la password di un account.
- Il messaggio non è stato richiesto e contiene un allegato.