iPhone rubato? Attenzione al phishing!

Mar 14, 2017 Marco Schiaffino Attacchi, In evidenza, News, Phishing, RSS 0

Un gruppo di cyber-criminali ha messo a punto un sistema per rubare le credenziali ai proprietari degli iPhone rubati.

Un vero business che punta a rubare le credenziali di accesso al servizio iCloud di chi ha subito il furto di un dispositivo mobile Apple. È questo il panorama che emerge da un’inchiesta pubblicata dal giornalista Brian Krebs, che nel suo articolo ricostruisce passo per passo la scoperta di un sistema online pensato per truffare gli utenti Apple e che Krebs ha battezzato “iPhishing”.

Stando alla ricostruzione, si tratterebbe, in pratica, di un “servizio” pensato per consentire ai racket criminali che sono in possesso di un dispositivo rubato di rubare le credenziali per accedere all’account iCloud del legittimo proprietario ed eseguire il reset, in modo da poterlo rivendere.

Il giornalista racconta la vicenda come gliel’ha riportata un conoscente, di cui Krebs non rivela l’identità e che identifica con il nome fittizio di “John”.

Tutto cominciò quando John venne contattato da un amico il cui figlio, qualche mese prima, aveva subito il furto di un’iPhone. A distanza di tempo il genitore aveva ricevuto uno strano SMS, apparentemente inviato da Apple, in cui gli veniva notificato il ritrovamento del telefono. Il messaggio conteneva anche un link che avrebbe dovuto permettere al legittimo proprietario di localizzare l’iPhone.

Look professionale e terribilmente simile al sito originale. Peccato che sia una copia.

Una volta aperto, il collegamento conduceva a una falsa pagina di iCloud con i campi di login. John partì da lì per capire che cosa ci fosse dietro.

Il sito, come verificò in seguito John, faceva in realtà riferimento a un server russo. Indagini successive, però, gli permisero di individuare dei collegamenti con altri paesi e, in particolare, con Messico, Colombia, Ecuador e Argentina.

La cosa più interessante, però, era che il server in questione comunicava con una certa frequenza con due siti: imei24.com e imeidata.net, che offrono la possibilità di ottenere informazioni su qualsiasi dispositivo mobile partendo dal codice identificativo IMEI.

In particolare, i siti consentono di sapere se il dispositivo in questione consente di sapere se la funzione “Trova il mio iPhone” è attiva e addirittura se sia stato attivato il blocco del dispositivo o ne sia stato denunciato il furto.

Una volta chiarito senza ombra di dubbio che si trattava di una truffa, John decise di approfondire la questione e concentrò l’attenzione sul sito e, in particolare, su quanto si potesse nascondere tra le sue pieghe.

Il collegamento ricevuto dall’amico, per esempio, puntava alla pagina “login.php”. Cosa ci sarà mai stato nella pagina iniziale “index.php”?

La curiosità venne premiata in una manciata di secondi, quando sullo schermo comparve una pagina di login impreziosita da una veste grafica piuttosto esplicita: una “reinterpretazione” del logo Apple in cui la mela era sostituita da un teschio con le proverbiali ossa incrociate.

I pirati che hanno messo in piedi il sito si sono preoccupati di dargli anche un aspetto accattivante. E, bisogna ammetterlo, ci sono riusciti.

Quello in cui John si era imbattuto, quindi, non era un semplice server utilizzato per coordinare gli attacchi, ma un vero e proprio servizio online che forniva un servizio a pagamento accessibile a chiunque volesse fare il suo ingresso nel magico mondo delle truffe online.

Analizzando il codice della pagina, John riuscì anche a estrarre alcune delle credenziali e a “indovinarne” la password.

Da lì John proseguì la sua indagine (nell’articolo di Brian Krebs ci sono tutti i dettagli) fino a individuare il presunto gestore del servizio. Come? Come scrive Krebs, nel modo “più ironico e ridicolo possibile”.

L’autore della truffa, infatti, aveva commesso un errore madornale: per provare l’efficacia del sistema, lo aveva usato su sé stesso, dimenticando però di cancellare le informazioni conservate sul server.

Insomma: John ha potuto accedere al suo account iCloud e fare piena luce sull’identità del pirata informatico (che è risultato essere un giovane residente in Ecuador) arrivando addirittura a localizzarne la posizione attraverso… la funzione “Trova il mio iPhone”.

Condividi l'articolo