L’ultima tendenza tra i truffatori di criptovalute è sfruttare TestFlight – l’applicazione di Apple che consente di installare e testare applicazioni over-the-air ancora in versione beta – per distribuire app per ingannare gli utenti iPhone.
Lo riferisce Sophos – azienda specializzata in sicurezza – spiegando che le frodi denominate “CryptoRom” sfruttano vari elementi, combinando social-media, app di incontri e criptovalute per truffare gli utenti, sottraendo non solo denaro ma anche dati personali.
La truffa è in atto da tempo è l’ultima evoluzione consiste nello sfruttare la piattaforma TestFlight per inviare presunte versioni beta di app agli utenti, release che, in quanto beta, non vengono esaminate a fondo da Apple come accade per le app distribuite ufficialmente sull’App Store. I truffatori invitano le loro vittime a installare TestFlight e fare click su un link in modo da caricare un’app malevola su dispositivo target.
L’uso di TestFlight è facile e rende più semplice truffare gli utenti ignari dei pericoli che comporta l’installazione di app da fonti sconosciute.
Sophos riferisce di avere parlato con alcune vittime di imbrogli di questo tipo e queste sarebbero state convinte a scaricare finte versioni di app BTCBOX per lo scambio di criptovalute giapponese; sono stati inoltre individuati siti che propongono app di mining per le criptovalute e altre ancora, tutte proposte con il meccanismo che prevede prima lo scaricamento di TestFlight.
Ovviamente il consiglio è di non installare app che sconosciuti propongono mediante TestFlight; stesso discorso per sconosciuti che propongono di installare app con profili di configurazione Device Management (soluzioni usate normalmente in ambito aziendale o scolastico).
In precedenza Sophos ha riferito che le vittime di questo tipo di truffe hanno perso migliaia di dollari e che uno degli indirizzi bitcoin di un truffatore conteneva un totale di 1,38 milioni di dollari, ai quali vanno sommati tutti gli altri indirizzi sconosciuti. La truffa era stata già notata in passato ma sta diventando sempre più diffusa, grazie a tecniche di ingegneria sociale che permette loro prima di guadagnare la fiducia di utenti ingenui e poi truffarli.
In un caso segnalato, una vittima si è vista addebitare 625.000 dollari prima di potersi riappropriare del milione investito in un finto servizio di trading di criptovalute raccomandato da uno sconosciuto con cui la vittima era entrata in contatto su una piattaforma di incontri online.
Questo “amico” aveva dichiarato di aver investito anche denaro proprio per portare l’investimento congiunto a 4 milioni di dollari. Secondo i truffatori, questo investimento aveva quindi reso 3,13 milioni dando luogo a una tassa sulle plusvalenze del 20%, o 625.000 dollari, da versare prima di poter tornare ad accedere al conto per ritirare i fondi. In realtà né l’investimento congiunto né i guadagni erano reali, e l’“amico” online era un complice della frode.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.