iPhone 12, occhio alla truffa

Hai vinto un iPhone 12!

Con l'avvicinarsi del lancio del nuovo iPhone 12, cresce l'attesa e la frenesia per il prodotto di punta della casa di Cupertino. Ma sulla scia dell'"hype" si sono inseriti anche i Criminal Hacker, pronti ad approfittarne. Chi non vorrebbe avere accesso allo smartphone più famoso del pianeta, in anteprima e senza spendere un euro?

Sarebbe troppo bello per essere vero. Ed è proprio con questo "miraggio" che un gruppo di criminali informatici senza scrupoli stanno cercando di estorcere denaro a qualche vittima inconsapevole o troppo distratta dalla promessa di un iPhone "regalato".

È stata infatti rilevata negli ultimi giorni una nuova campagna di Smishing (sms phishing, ovvero il messaggio truffa via cellulare) che impersona una chatbot di Apple per offrire una fantomatica prova in anteprima dello Smartphone.

Come funziona la truffa

La campagna è molto avanzata.Inizia tutto con un messaggio in cui l'esca per far abboccare la vittima è una notifica di spedizione. Qualcosa che ricorda molto: "Gentile Mario Rossi, abbiamo la sua spedizione pronta per l'invio presso Via Roma 1…" alla fine del messaggio, come da script, viene inserito un link.

Questo messaggio è stato creato per sembrare che sia stato inviato al numero sbagliato, perché il nominativo è completamente di fantasia e non corrisponde all'utente che riceve il messaggio.Il tutto nella speranza che la curiosità prenda il sopravvento sulle vittime. Cliccando sul link non si viene, però, indirizzati su un dominio malevolo in cui c'è un form da compilare che viene utilizzato per sottrarre password mail o dati della carta di credito – come nella maggior parte dei casi di Smishing. Invece questo, se cliccato, da inizio ad una lunga chat con un fantomatico "Apple chatbot". Un programma automatico che "dialoga" via messaggio con chi apre il collegamento. Un passaggio in più, sinonimo di maggiore sofisticazione nell'approccio da parte dei criminali; proprio per cercare di fare abbassare ulteriormente la guardia alla vittima.

Il "chatbot di Apple" cerca di convincere l'utente della grandissima opportunità che gli è stata offerta e la conversazione solitamente termina con un link che – finalmente - porta l'utente ad aprire il suo browser. Lì, alla persona viene chiesto di fornire nome e indirizzo completi (quelli inseriti nell'sms di consegna "sbagliato"), presumibilmente per "verificare" che faccia effettivamente parte del gruppo di prova ufficiale della Apple pre-release. Ovviamente questi dati non sono assolutamente necessari per accedere, sono solo stati aggiunti per inerire una minima connessione di plausibilità con il primo messaggio di phishing indirizzato al mittente sbagliato.

Un gioco psicologico abbastanza sofisticato, di fatto ci fanno credere di essere in procinto di "fregare" Apple, chiedendo dati e verifiche, mentre ad essere raggirati siamo noi!

E la pantomima non finisce qui, il sito truffa propone un sondaggio, sempre per aggiungere verosimiglianza a un reale programma Apple. Dopo aver cliccato su sei domande come "possiedi qualche prodotto Apple", alla vittima viene detto che le loro informazioni sono in fase di verifica (e una sezione "commenti" nella parte inferiore dello schermo mostra presunte reazioni da parte di chi non è stato scelto e qualcuno che dice di aver pensato che fosse uno scherzo fino a quando non ha ricevuto il telefono). Per finire il sito annuncia trionfalmente: "Congratulazioni! Sei stato scelto per il gruppo test iPhone12". Fatto questo chiede alla persona di cliccare per confermare le sue informazioni - e dopo aver inserito un indirizzo e-mail, viene visualizzata una schermata di pagamento che spiega che c'è una "tassa di consegna del corriere" per il telefono, tipicamente tra i 2 e i 3 euro. Si finisce su un modulo di pagamento con carta di credito che è ospitato su quello che sembra un sito web di "offerte speciali" con un nome abbastanza credibile.

Naturalmente, se si cerca di pagare la modesta spesa di consegna, abbiamo di fatto consegnato i nostri dati personali ai truffatori, compreso il numero completo della carta e il codice di sicurezza.

Come fare a non "cascarci"

La truffa è abbastanza convincente in sé e per sé e l'uso degli sms offre diversi vantaggi. Il formato può aiutare a nascondere errori grammaticali o di forma che spesso emergono nei messaggi di phishing via mail.Inoltre, gli URL abbreviati, come appaiono in questo caso, sono comuni nei testi di aziende legittime, per cui i truffatori possono più facilmente anche la destinazione del link.Il sistema operativo del nostro telefono riconoscerà facilmente quando il testo di un SMS assomiglia a un URL e lo renderà automaticamente cliccabile per noi. Di conseguenza, i messaggi di testo che contengono una breve frase tagliata che non sembrerebbe giusta in un'e-mail, e che contengono link deliberatamente camuffati che potremmo sospettare in qualsiasi altro format... sembrano sorprendentemente naturali quando appaiono in un SMS.

Per evitare comunque di finire intrappolati in questo schema complesso per rubarci la carta di credito è sufficiente rispettare il vecchio adagio che dice che le cose che sembrano troppo belle per essere vere, spesso lo sono. Se tutto quello che deve essere comunicato è un codice di accesso a 6 cifre o una notifica del tipo "il tuo Deliveroo è ora a 2 minuti di distanza" gli SMS hanno ancora un ottimo senso commerciale per le aziende.Purtroppo, però, ciò che funziona per le aziende legittime funziona quasi sempre anche per i Criminal Hacker, quindi, ci sono moltissimi truffatori che usano ancora gli SMS per il phishing.

Quindi il mantra deve rimanere: Non abbassiamo la guardia!