Aggiornamenti recenti Dicembre 12th, 2025 2:01 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Apple interviene su due zero-day sfruttati attivamente in attacchi mirati
- Misterioso guasto satellitare: centinaia di Porsche “bloccate” in Russia
- Patch Tuesday, Microsoft risolve una vulnerabilità già sfruttata e due zero-day
- Prompt injection, un problema che potrebbe non venire mai risolto. La visione dell’NCSC
- React2Shell: più di 160.000 indirizzi IP vulnerabili, oltre 30 organizzazioni già colpite
iPhone rubato? Attenzione al phishing!
Un gruppo di cyber-criminali ha messo a punto un sistema per rubare le credenziali ai proprietari degli iPhone rubati.
Un vero business che punta a rubare le credenziali di accesso al servizio iCloud di chi ha subito il furto di un dispositivo mobile Apple. È questo il panorama che emerge da un’inchiesta pubblicata dal giornalista Brian Krebs, che nel suo articolo ricostruisce passo per passo la scoperta di un sistema online pensato per truffare gli utenti Apple e che Krebs ha battezzato “iPhishing”.
Stando alla ricostruzione, si tratterebbe, in pratica, di un “servizio” pensato per consentire ai racket criminali che sono in possesso di un dispositivo rubato di rubare le credenziali per accedere all’account iCloud del legittimo proprietario ed eseguire il reset, in modo da poterlo rivendere.
Il giornalista racconta la vicenda come gliel’ha riportata un conoscente, di cui Krebs non rivela l’identità e che identifica con il nome fittizio di “John”.
Tutto cominciò quando John venne contattato da un amico il cui figlio, qualche mese prima, aveva subito il furto di un’iPhone. A distanza di tempo il genitore aveva ricevuto uno strano SMS, apparentemente inviato da Apple, in cui gli veniva notificato il ritrovamento del telefono. Il messaggio conteneva anche un link che avrebbe dovuto permettere al legittimo proprietario di localizzare l’iPhone.
Look professionale e terribilmente simile al sito originale. Peccato che sia una copia.
Una volta aperto, il collegamento conduceva a una falsa pagina di iCloud con i campi di login. John partì da lì per capire che cosa ci fosse dietro.
Il sito, come verificò in seguito John, faceva in realtà riferimento a un server russo. Indagini successive, però, gli permisero di individuare dei collegamenti con altri paesi e, in particolare, con Messico, Colombia, Ecuador e Argentina.
La cosa più interessante, però, era che il server in questione comunicava con una certa frequenza con due siti: imei24.com e imeidata.net, che offrono la possibilità di ottenere informazioni su qualsiasi dispositivo mobile partendo dal codice identificativo IMEI.
In particolare, i siti consentono di sapere se il dispositivo in questione consente di sapere se la funzione “Trova il mio iPhone” è attiva e addirittura se sia stato attivato il blocco del dispositivo o ne sia stato denunciato il furto.
Una volta chiarito senza ombra di dubbio che si trattava di una truffa, John decise di approfondire la questione e concentrò l’attenzione sul sito e, in particolare, su quanto si potesse nascondere tra le sue pieghe.
Il collegamento ricevuto dall’amico, per esempio, puntava alla pagina “login.php”. Cosa ci sarà mai stato nella pagina iniziale “index.php”?
La curiosità venne premiata in una manciata di secondi, quando sullo schermo comparve una pagina di login impreziosita da una veste grafica piuttosto esplicita: una “reinterpretazione” del logo Apple in cui la mela era sostituita da un teschio con le proverbiali ossa incrociate.
I pirati che hanno messo in piedi il sito si sono preoccupati di dargli anche un aspetto accattivante. E, bisogna ammetterlo, ci sono riusciti.
Quello in cui John si era imbattuto, quindi, non era un semplice server utilizzato per coordinare gli attacchi, ma un vero e proprio servizio online che forniva un servizio a pagamento accessibile a chiunque volesse fare il suo ingresso nel magico mondo delle truffe online.
Analizzando il codice della pagina, John riuscì anche a estrarre alcune delle credenziali e a “indovinarne” la password.
Da lì John proseguì la sua indagine (nell’articolo di Brian Krebs ci sono tutti i dettagli) fino a individuare il presunto gestore del servizio. Come? Come scrive Krebs, nel modo “più ironico e ridicolo possibile”.
L’autore della truffa, infatti, aveva commesso un errore madornale: per provare l’efficacia del sistema, lo aveva usato su sé stesso, dimenticando però di cancellare le informazioni conservate sul server.
Insomma: John ha potuto accedere al suo account iCloud e fare piena luce sull’identità del pirata informatico (che è risultato essere un giovane residente in Ecuador) arrivando addirittura a localizzarne la posizione attraverso… la funzione “Trova il mio iPhone”.
Condividi l'articolo
PetrWrap: ecco la versione “piratata” del ransomware Petya
Ricercatore decripta un ransomware e i pirati lo attaccano
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Prompt injection, un problema che potrebbe non venire mai... Secondo il National Cyber Security Centre (NCSC),... -
Iniezione indiretta di prompt: a rischio le informazioni... Lakera, società di Check Point, ha pubblicato una ricerca... -
Gli LLM malevoli aiutano i piccoli cybercriminali, ma non... Dopo l’esplosione di ChatGPT e degli LLM, nel mondo... -
Codice formattato, ma migliaia di secret esposti: il... I ricercatori di watchTowr Labs hanno individuato migliaia... -
DeepSeek R1 produce codice vulnerabile con prompt... Analizzando DeepSeek R1, un potente LLM dell’omonima...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Apple interviene su due zero-day sfruttati attivamente in... Apple ha rilasciato degli aggiornamenti di sicurezza... -
Misterioso guasto satellitare: centinaia di Porsche... Panico in Russia: centinaia di Porsche sono rimaste... -
Patch Tuesday, Microsoft risolve una vulnerabilità già... Nel bollettino del Patch Tuesday di dicembre Microsoft ha... -
Prompt injection, un problema che potrebbe non venire mai... Secondo il National Cyber Security Centre (NCSC),...
-
React2Shell: più di 160.000 indirizzi IP vulnerabili,... React2Shell, una vulnerabilità di React che consente...
Ransomware: la serie
No posts found.