iOS: attenzione al phishing di password

Un nuovo proof of concept mostra un tentativo avanzato di phishing ai danni degli utenti iOS: fortunatamente, è molto semplice difendersi.
iOS: attenzione al phishing di password
Un nuovo proof of concept mostra un tentativo avanzato di phishing ai danni degli utenti iOS: fortunatamente, è molto semplice difendersi.

Giunge un nuovo allarme phishing per la piattaforma iOS e, sebbene al momento si tratti unicamente di un proof of concept, potrebbe in futuro colpire molti utenti. Un attacco eventualmente ben orchestrato ai danni dei consumatori, i quali potrebbero essere tratti in inganno nel diffondere le proprie credenziali Apple ID. Così come illustra l’esperto Felix Krause, potrebbe essere semplice per un malintenzionato ricreare un’interfaccia fittizia in tutto e per tutto indistinguibile da quella originale di Cupertino.

Come gli utenti ben sanno, di tanto in tanto iOS richiede l’inserimento del proprio nome utente, della password o di entrambi per eseguire alcune funzioni. È il caso, ad esempio, di un’acquisto su App Store, oppure del primo accesso su iCloud e tanto altro ancora. Per farlo, Apple propone una più che conosciuta pop-up bianca, con dei campi vuoti adibiti all’inserimento delle informazioni necessarie.

A quanto sembra, sarebbe davvero semplice inserire all’interno di un’applicazione di terze parti, oppure di un sito web, delle pop-up in tutto e per tutto identiche a quelle di Cupertino, tali da renderle di primo acchito indistinguibili. Inserendo i propri dati in una finestra non ufficiale, tuttavia, si rischia che da remoto le credenziali vengano trafugate, per poi avere accesso illecito a tutti i servizi Apple correlati, dalla sincronizzazione su iCloud ai contatti, passando per le opzioni di pagamento. Il gruppo californiano ha tempo lanciato un sistema di autorizzazione a due fattori per concedere l’accesso a questi servizi, ma con tecniche affinate e avanzate hacker e cracker potrebbero comunque ottenerne facile copia.

[embed_twitter]https://twitter.com/WebDivaDev/status/918454232914808832[/embed_twitter]

Fortunatamente, difendersi da questo tentativo di phishing è molto semplice. Innanzitutto, se si dispone di un device abilitato a Touch ID, raramente Apple richiede l’inserimento di nome utente e password, preferendo invece la scansione delle impronte digitali. Ancora, vi è un velocissimo modo per verificare se la finestra apparsa a schermo sia legittima oppure un tentativo di truffa. È sufficiente premere il tasto Home: se la richiesta è veritiera, la pop-up rimarrà visualizzata a schermo, poiché proveniente dal sistema operativo. Al contrario, in caso scomparisse insieme all’app passando in background, è evidente si tratti di una richiesta fasulla incorporata all’interno della stessa applicazione malevola o del sito web visitato.

Ti consigliamo anche

Link copiato negli appunti