L’iPhone di Apple si distingue nel panorama tecnologico per alcune funzionalità esclusive, come SharePlay e AirDrop, che arricchiscono notevolmente l’esperienza dell’utente all’interno dell’ecosistema Apple. Tuttavia, uno degli aspetti più celebrati dell’iPhone è la sua sicurezza ritenuta superiore. Nonostante la grande base di utenti renda questi dispositivi bersagli appetibili per hacker e truffatori, Apple è universalmente riconosciuta per la sua posizione ferma sulla privacy e sulla protezione dei dati.
Recentemente, è stata segnalata una crescita delle truffe legate alle credenziali degli utenti iPhone, con un focus particolare su figure di rilievo come CEO e fondatori di startup. Parth, attraverso un post sulla piattaforma X, ha rivelato di essere stato bersaglio, insieme ad altri imprenditori, di un attacco phishing sofisticato. Questo tentativo di frode mirava a compromettere il loro Apple ID, mettendo potenzialmente in pericolo le loro attività commerciali collegate e altri account personali.
Last night, I was targeted for a sophisticated phishing attack on my Apple ID.
This was a high effort concentrated attempt at me.
Other founders are being targeted by the same group/attack, so I’m sharing what happened for visibility.
🧵 Here’s how it went down:
— Parth (@parth220_) March 23, 2024
Come funziona la truffa del reset della password su iPhone
Il processo di autenticazione a più fattori è considerato molto sicuro perché richiede all’utente di presentare almeno due modalità di verifica prima di poter eseguire determinate azioni. Normalmente, questo comporta l’approvazione di una notifica inviata al proprio telefono o la conferma di una password monouso ricevuta sul proprio numero di telefono. Anche il processo di reset della password dell’Apple ID segue un procedimento simile: iniziando dal portale iForgot di Apple, inserisci la tua email o numero di telefono, verifichi un captcha fornito e poi approvi la richiesta inviata al tuo dispositivo Apple collegato.
Questo significa che chiunque abbia accesso al tuo account email può teoricamente iniziare il processo di reset della password. La notifica sul tuo iPhone offre le opzioni “Consenti” o “Nega”, e scegliendo quest’ultima, la richiesta verrà annullata. L’attacco phishing consiste nel bombardare il dispositivo Apple dell’utente con decine o centinaia di tali prompt, impedendo l’uso del dispositivo finché non si sono negate manualmente tutte le richieste.
Nonostante la scelta corretta di rifiutare le richieste, Parth ha riferito che lo scammer lo ha poi contattato telefonicamente, apparentemente dalla linea ufficiale del supporto Apple. Il “rappresentante” ha insistito affinché Parth verificasse una password monouso inviata al suo telefono. Utilizzando informazioni ottenute da People Data Labs, lo scammer è stato in grado di confermare i dettagli personali della vittima, inclusi indirizzo di casa e data di nascita.