Aggiornamenti recenti Novembre 21st, 2024 2:11 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
- Le falle di sicurezza nei toolkit ML più diffusi
iPhone rubato? Attenzione al phishing!
Un gruppo di cyber-criminali ha messo a punto un sistema per rubare le credenziali ai proprietari degli iPhone rubati.
Un vero business che punta a rubare le credenziali di accesso al servizio iCloud di chi ha subito il furto di un dispositivo mobile Apple. È questo il panorama che emerge da un’inchiesta pubblicata dal giornalista Brian Krebs, che nel suo articolo ricostruisce passo per passo la scoperta di un sistema online pensato per truffare gli utenti Apple e che Krebs ha battezzato “iPhishing”.
Stando alla ricostruzione, si tratterebbe, in pratica, di un “servizio” pensato per consentire ai racket criminali che sono in possesso di un dispositivo rubato di rubare le credenziali per accedere all’account iCloud del legittimo proprietario ed eseguire il reset, in modo da poterlo rivendere.
Il giornalista racconta la vicenda come gliel’ha riportata un conoscente, di cui Krebs non rivela l’identità e che identifica con il nome fittizio di “John”.
Tutto cominciò quando John venne contattato da un amico il cui figlio, qualche mese prima, aveva subito il furto di un’iPhone. A distanza di tempo il genitore aveva ricevuto uno strano SMS, apparentemente inviato da Apple, in cui gli veniva notificato il ritrovamento del telefono. Il messaggio conteneva anche un link che avrebbe dovuto permettere al legittimo proprietario di localizzare l’iPhone.
Look professionale e terribilmente simile al sito originale. Peccato che sia una copia.
Una volta aperto, il collegamento conduceva a una falsa pagina di iCloud con i campi di login. John partì da lì per capire che cosa ci fosse dietro.
Il sito, come verificò in seguito John, faceva in realtà riferimento a un server russo. Indagini successive, però, gli permisero di individuare dei collegamenti con altri paesi e, in particolare, con Messico, Colombia, Ecuador e Argentina.
La cosa più interessante, però, era che il server in questione comunicava con una certa frequenza con due siti: imei24.com e imeidata.net, che offrono la possibilità di ottenere informazioni su qualsiasi dispositivo mobile partendo dal codice identificativo IMEI.
In particolare, i siti consentono di sapere se il dispositivo in questione consente di sapere se la funzione “Trova il mio iPhone” è attiva e addirittura se sia stato attivato il blocco del dispositivo o ne sia stato denunciato il furto.
Una volta chiarito senza ombra di dubbio che si trattava di una truffa, John decise di approfondire la questione e concentrò l’attenzione sul sito e, in particolare, su quanto si potesse nascondere tra le sue pieghe.
Il collegamento ricevuto dall’amico, per esempio, puntava alla pagina “login.php”. Cosa ci sarà mai stato nella pagina iniziale “index.php”?
La curiosità venne premiata in una manciata di secondi, quando sullo schermo comparve una pagina di login impreziosita da una veste grafica piuttosto esplicita: una “reinterpretazione” del logo Apple in cui la mela era sostituita da un teschio con le proverbiali ossa incrociate.
I pirati che hanno messo in piedi il sito si sono preoccupati di dargli anche un aspetto accattivante. E, bisogna ammetterlo, ci sono riusciti.
Quello in cui John si era imbattuto, quindi, non era un semplice server utilizzato per coordinare gli attacchi, ma un vero e proprio servizio online che forniva un servizio a pagamento accessibile a chiunque volesse fare il suo ingresso nel magico mondo delle truffe online.
Analizzando il codice della pagina, John riuscì anche a estrarre alcune delle credenziali e a “indovinarne” la password.
Da lì John proseguì la sua indagine (nell’articolo di Brian Krebs ci sono tutti i dettagli) fino a individuare il presunto gestore del servizio. Come? Come scrive Krebs, nel modo “più ironico e ridicolo possibile”.
L’autore della truffa, infatti, aveva commesso un errore madornale: per provare l’efficacia del sistema, lo aveva usato su sé stesso, dimenticando però di cancellare le informazioni conservate sul server.
Insomma: John ha potuto accedere al suo account iCloud e fare piena luce sull’identità del pirata informatico (che è risultato essere un giovane residente in Ecuador) arrivando addirittura a localizzarne la posizione attraverso… la funzione “Trova il mio iPhone”.
Condividi l'articolo
PetrWrap: ecco la versione “piratata” del ransomware Petya
Ricercatore decripta un ransomware e i pirati lo attaccano
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato... -
Le falle di sicurezza nei toolkit ML più diffusi La sicurezza dei toolkit ML continua a essere minacciata...
Ransomware: la serie
No posts found.
