Il mercato nero per la compra-vendita di device rubati è florido e gli smartphone sono dispositivi molto ambiti, in particolare gli iPhone che, essendo molto ricercati dagli utenti, sono particolarmente presi di mira.
Rubare e rivendere un iPhone non è ad ogni modo semplice: se sul dispositivo è attiva l’opzione “Trova il mio iPhone”, è impossibile ripristinarlo da zero per rivenderlo e i ladri sono costretti a tentare diverse strade prima di riuscire a vendere illegalmente il telefono. Ne ha parlato qui il collega Matteo Discardi spiegando in dettaglio i vari tentativi dei ladri di prendere possesso del suo telefono. Kseniya Turova di Kasperky (azienda specializzata in software antivirus) racconta una vicenda analoga a quella del nostro Matteo ma raccontando anche di essere caduta nella trappola dei ladri che, alla fine, sono riusciti a sboccare il suo iPhone: in pratica è come se avessero rubato due volte il suo telefono.
Kseniya racconta che era in un bar affollato nel centro di Mosca per assistere a una partita ma che a un certo punto si rende conto di non avere più il suo iPhone. Prima prova a sentire la sicurezza del locale, poi ricorda la possibilità di usare la funzionalità “Trova il mio iPhone”, attivando (da un diverso dispositivo) la Modalità Smarrito e rintracciare il dispositivo.
Se qualcuno ruba un iPhone bloccato con codice PIN, può chiedere un riscatto o può rivendere i componenti. Si può rivendere un iPhone per interno solo se sbloccato, in altre parole senza codice. Nel caso dell’iPhone X di Kseniya per sbloccarlo c’è bisogno del riconoscimento facciale o del codice PIN.
Dopo vari tentativi di sblocco non andati a buon fine, l’iPhone obbliga ad aspettare un’ora prima di poter riprovare e, dopo ulteriori tentativi, non si può più fare nulla. Se l’iPhone viene rubato o smarrito, l’app Find my iPhone può essere utile: è possibile bloccare il dispositivo e attivare la Modalità Smarrito aggiungendo anche un messaggio del tipo: “Questo iPhone è stato smarrito. Per favore, chiamare il numero [telefono]”.
Non solo, se non è stata disattivata l’opzione è anche possibile vedere dove si trova fisicamente il telefono in una mappa. Kseniya ha utilizzato i servizi dell’app chiedendosi, visto che era attiva, se ladro avesse intenzione di chiedere un riscatto o se non fosse in qualche modo in grado di disattivarla.
I ladri sfruttano il phishing psicologico
La situazione comincia a farsi interessante dopo circa un’ora. Kseniya riceve un messaggio sul numero di telefono che è possibile indicare nelle informazioni di contatto da far comparire nella schermata di blocco “Modalità Smarrito” di iPhone.
Leggendo attentamente il messaggio, racconta la donna nel blog dell’azienda, appare qualcosa di anomalo: l’URL del sito non è quella ufficiale, senza contare che le aziende di solito non indicano il copyright negli SMS. “E poi, a pensarci bene, perché Apple manderebbe un messaggio di testo invece di una notifica sull’app Find my iPhone? Insomma, si tratta di phishing, anche se ben fatto. I cybercriminali sanno benissimo come fare: il messaggio viene inviato proprio quando la vittima sta tentando in tutti i modi di recuperare il dispositivo smarrito e si trova in una situazione di stress emotivo importante”.
“Ed è proprio come mi sono sentita io. Sì, lavoro per Kaspersky Lab, dove i casi di phishing sono all’ordine del giorno. È vero, praticamente ogni giorno scrivo riguardo gli ultimi trucchi e le truffe dei cybercriminali. Eppure, in quel momento sono andata nel pallone e vedevo così vicina la possibilità di riavere indietro il mio smartphone, da non pensare a cosa stessi facendo esattamente.
Quando il malaugurato SMS arriva sul telefono del mio ragazzo (il numero che avevo indicato), ci trovavamo già in commissariato. Sporgiamo denuncia e la polizia ci aiuta subito. Se avessi potuto dare loro informazioni sull’ubicazione del telefono, ci sarebbero state maggiori possibilità di ritrovarlo”.
“E così clicco con il dito sul link senza pensarci e mi appare l’interfaccia iCloud a me famigliare dove digito username e password. Al primo tentativo mi dice che la password non è corretta. Provo di nuovo, non ho fortuna. Sono sicura che la password sia quella, non posso essermi sbagliata due volte”.
“Torno alla app Find my iPhone, entro nell’account senza alcun problema e… il mio telefono non c’è più. È semplicemente scomparso dalla localizzazione e dall’elenco dei dispositivi. Dò di nuovo un’occhiata ai messaggi in entrata e capisco la dinamica del piano”.
“L’SMS di phishing mi ha reindirizzato su un sito falso di iCloud, dove ho consegnato le mie credenziali di accesso ai cybercriminali che, con questi dati, hanno disattivato immediatamente la funzionalità di ricerca sul mio dispositivo. Attraverso iCloud hanno potuto cancellare tutte le informazioni che conteneva (avevano bisogno solo di username e password, che io avevo appena dato loro) e, dopo aver resettato tutto, hanno ottenuto un iPhone X praticamente nuovo a cui riassegnare un nuovo codice PIN e da rivendere a una bella somma”.
“Naturalmente ho cambiato subito la password di iCloud ma era ormai troppo tardi. Avevo perso il mio telefono e qualsiasi speranza di recuperarlo. In base a quanto mi ha detto il servizio di Assistenza Tecnica di Apple, l’unico modo per rintracciare un dispositivo perduto è attraverso Find my iPhone e, una volta disattivato, il dispositivo non può più essere localizzato”.
Ovviamente se Kseniya non avesse cliccato sul link di phishing e non avesse digitato le sue credenziali di accesso, il piano messo in atto dai criminali non avrebbe funzionato. Nessuno è comunque immune e lo stress psicologico può portare anche persone esperte ad abboccare facilmente. L’autenticazione a due fattori per iCloud (qui spieghiamo che cos’è e come si attva, ndr) avrebbe potuto salvare la situzione, anche se fosse caduta nella trappola del phishing: vrebe rivelato username e password ai cybercriminali, ma non questi non avrebbero potuto utilizzare i dati perché avrebbero avuto bisogno di un altro dispositivo in suo possesso dove avrebbero ricevuto il codice di autenticazione. Morale della favola, racconta ora Kseniya, attivate sempre l’autenticazione a due fattori quando è possibile.