AttualitàInternet

Attenzione ai truffatori con falsi messaggi iCloud

Alcuni truffatori stanno utilizzano lo scandalo delle foto rubate da iCloud per indurre le persone a inserire il loro ID Apple e la password in una schermata di login falsa. Gli esperti di sicurezza hanno scoperto e-mail e SMS che sembrano essere di Apple, avvertendo gli utenti sull’accesso non autorizzato ai loro account. L’ultima minaccia per gli account delle persone è quindi arrivata e l’FBI e la stessa Apple hanno detto che stanno studiando il link.

Si tratta di email di phishing, progettate per indurre le persone a rivelare le loro credenziali di accesso. I truffatori sono quindi in grado di rubare i dati per ottenere l’accesso a iCloud dell’utente, e ciò significa anche l’accesso al proprio account iTunes e i dati personali.

‘Se iCloud è stato o meno il punto di compromesso in questo incidente, i truffatori sono stati interessati a rubare le credenziali’, ha spiegato Satnam Narang della società di sicurezza Symantec. ‘Queste e-mail contengono link a siti di phishing che cattureranno le vostre credenziali Apple ID e le invieranno di nuovo agli attaccanti. Oltre a truffe e-mail, alcuni utenti potrebbero essere i destinatari di SMS proveniente da Apple Protection o un altro gruppo di privacy o sicurezza all’interno di Apple. Il testo afferma che è stato rilevato un tentativo non autorizzato di login su iCloud e vi chiedono di rispondere con il vostro ID Apple e la vostra password’.

Questo tipo di truffa è ciò che è noto come SMSishing, o SMS/text phishing.

immagine-phishing

Apple ha ammesso che sta ‘attivamente indagando’ su un difetto della funzione ‘Find My iPhone‘ del suo servizio iCloud, che potrebbe aver aiutato gli hacker a rubare le foto nude di Jennifer Lawrence e 100 altre celebrità. Quasi 24 ore dopo la pubblicazione delle immagini domenica sera, Apple ha rilasciato una dichiarazione ma non ha detto come si sia verificata la presunta violazione, così come non ha offerto alcuna garanzia per i suoi centinaia di milioni di clienti in tutto il mondo che il servizio è sicuro da usare.

‘Prendiamo molto sul serio la privacy degli utenti e stiamo attivamente studiando questo rapporto,’ ha detto la portavoce di Apple Nat Kerris. Tuttavia, pur non ammettendo che l’errore è stato causato dai loro sistemi, il gigante tecnologico ha rilasciato una patch per sistemare il presunto bug su ‘Find My iPhone’, il quale secondo alcuni è il responsabile della falla di sicurezza.

L’hacker sostiene di essere entrato negli account iCloud delle star, compresi quelli dell’attrice di Hunger Games, di Kate Upton e di Rihanna, prima di pubblicarli su 4chan, noto forum di condivisione di immagini. Un elenco delle presunte vittime – 101 in totale – è stato pubblicato on-line; ma la maggior parte di essi non hanno nemmeno visto le fotografie pubblicate dall’hacker.

In una dichiarazione rilasciata nel pomeriggio di Lunedi, l’FBI ha confermato di aver iniziato un’inchiesta. ‘L’FBI è a conoscenza delle accuse riguardanti intrusioni informatiche e il rilascio illegale di materiale che coinvolge individui di alto profilo, e sta affrontando la questione. Ogni ulteriore commento sarebbe inopportuno in questo momento’.

Kirsten Dunst è diventata la prima celebrità a criticare pubblicamente Apple lunedi quando ha postato un messaggio sarcastico su Twitter. La star di Spiderman ha twittato ‘Grazie iCloud’, il giorno dopo che le sue foto nuda sono state pubblicate on-line. Lanciato nell’ottobre 2011, il servizio iCloud è oggi utilizzato da oltre 320 milioni di persone in tutto il mondo, ciò significa che le informazioni sono protette dagli hacker mentre vengono inviate ai dispositivi e memorizzate online. Una possibile violazione suggerisce che gli hacker sono stati in grado di ottenere le credenziali di accesso degli account, e quindi fingere di essere l’utente, al fine di aggirare questa crittografia.

Ieri, The Next Web ha trovato del codice sul sito di sviluppo software Github denominato iBrute, che avrebbe permesso agli utenti malintenzionati di utilizzare attacchi a forza bruta per ottenere la password di un account su iCloud di Apple, in particolare sfruttando il servizio Find My iPhone. Apple ha rilasciato un fix per il bug. ‘Fine del divertimento, Apple ha appena patchato,’ si legge in un aggiornamento.

Attacchi a forza bruta

Un attacco a forza bruta è un metodo usato per ottenere password di testo da dati crittografati. Proprio come un criminale potrebbe penetrare in una cassaforte provando tante combinazioni possibili, un tentativo di attacco a forza bruta passa attraverso tutte le possibili combinazioni di caratteri in sequenza. In un attacco di sei lettere, l’hacker inizierà con ‘aaaaaa’ e terminerà con ‘zzzzzz’, tentando tutte le combinazioni nel mezzo.

Owen Williams di The Next Web, che ha scoperto il bug, ha detto: ‘Lo script Python trovato su GitHub sembra aver permesso a un utente malintenzionato di indovinare ripetutamente le password con Find My iPhone senza allertare l’utente o bloccando l’attaccante. Con pazienza, se la falla di sicurezza non viene chiusa l’aggressore potrebbe utilizzare dizionari di password per indovinare rapidamente le password comuni. Molti utenti utilizzano password semplici per diversi servizi quindi è possibile indovinare le password utilizzando uno strumento come questo.

‘Se l’attaccante ha avuto successo e ottiene una corrispondenza con la password di Find My iPhone, sarebbe in grado, in teoria, di usarle per accedere a iCloud e sincronizzare l’iCloud Photo Stream con un altro Mac o iPhone in pochi minuti, di nuovo senza la conoscenza dell’utente attaccato. ‘Non possiamo essere sicuri che questo sia legato alle foto trapelate, ma i tempi suggeriscono una possibile correlazione.’ Il gruppo che per primo ha pubblicizzato la falla, chiamato HackApp, ha chiesto scusa per questo. ‘Ci dispiace davvero che averne parlato un paio di giorni fa abbia avuto conseguenze così brutte,’ hanno detto in un comunicato. ‘A parziale giustificazione possiamo solo dire che abbiamo descritto soltanto il modo per ottenere gli AppleID, rubarli per pubblicare contenuti privati è al di fuori dei nostri interessi’.

Quando attivato, memorizza automaticamente foto, email, documenti e altre informazioni degli utenti sul cloud, permettendo loro di sincronizzare i dati in una vasta gamma di piattaforme come iPhone, iPad e MacBook. Gli utenti possono quindi accedere alle informazioni da qualsiasi dispositivo connesso a Internet utilizzando un nome utente e una password. Il servizio protegge i dati grazie alla crittografia quando vengono inviati attraverso il web, e li memorizza in un formato crittografato sul server utilizzando token sicuri per l’autenticazione.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Le guide più interessanti