Phishing con blocco iPhone o Mac e riscatto in bitcoin per utenti Apple

In questo caldo agosto, in tanti hanno sperimentato il blocco improvviso del proprio iPhone, iPad, iMac o Macbook che mostra la richiesta d’inserire un codice di 4 o 6 cifre e un messaggio che invita a contattare l’indirizzo email apple.pass@mail.com.

Dispositivo Apple bloccato da phishing e ransomware

L’effetto è quello di un ransomware, questa volta per sistemi Apple, ma in realtà non si tratta di un software, bensì di un attacco di phishing con cui i criminali rubano le credenziali iCloud e le utilizzano per accedere al pannello di controllo dell’utente e attivare la funzione fornita da Apple per i casi di furto o smarrimento dei propri dispositivi. Con la promessa, una volta pagato un riscatto in bitcoin, di disattivare il blocco e ripristinare l’iPhone o il Macbook reso inutilizzabile.

Questo attacco è noto da diverso tempo, in particolare all’estero, ma da alcuni giorni diversi utenti italiani hanno segnalato questa situazione e sono arrivati alla conclusione di essere stati vittime di phishing quando si sono resi conto che il loro iPhone, iPad, iMac o Macbook non era bloccato da ransomware, cryptovirus o trojan bensì da una funzione di Apple stessa, chiamata “Modalità Smarrito(Lost Mode per gli angolofoni), che permette ai proprietari dei dispositivi con la mela di Cupertino di bloccare i propri computer, tablet o smartphone persi o rubati in modo che chi ne entri in possesso non li possa utilizzare, a meno d’inserire un codice di sblocco noto soltanto a chi ha attivato il blocco.

Il dispositivo Apple bloccato

Il primo sintomo del problema è proprio il trovarsi uno o più dei propri dispositivi Apple (iPhone, iPad, iMac o Macbook) bloccati con la richiesta d’inserimento di un codice a 4 o 6 cifre e l’invito a contattare un indirizzo di posta elettronica. Non serve riavviare, inserire il proprio PIN o la password di accesso al proprio Macbook. Il dispositivo è infatti in modalità Lost Mode, una funzione offerta da Apple che permette di bloccare un prodotto Apple tramite la funzione Trova il mio iPhone perso o rubato inserendo un messaggio per chi lo dovesse ritrovare.

Lo sblocco può essere eseguito soltanto inserendo il codice corretto, scelto in fase di blocco, oppure direttamente da iCloud o dall’App “Trova il mio iPhone”. Ovviamente, quando le credenziali iCloud sono state sottratte, non è possibile connettersi al proprio account Apple online per disattivare il blocco.

La richiesta di riscatto in bitcoin

In molti, prima di rendersi conto di cosa è effettivamente successo, hanno contattato l’indirizzo email apple.pass@mail.com indicato nel messaggio ricevendo sul proprio indirizzo di posta una richiesta di riscatto:

Hello!
Your device is locked. To activate the device.
Pay 50$ to the Bitcoin Address: 1PwddSoBysxSvdRXS6w3GsLmPLAhGUbmPz
Buy bitcoins: https://localbitcoins.net
How to buy bitcoins? https://localbitcoins.net/guides/how-to-buy-bitcoins
After payment inform us, we will send passcode your device.
If payment is not received within 24 hours, your device will be blocked.

Diversi segnalatori indicano di aver letto sul ulteriori indirizzi di posta da contattare per richiedere il codice di sblocco del proprio dispositivo Apple: recovery.icloud95@gmail.com, apple.help@gmx.com, help.apple.us@gmail.com, help.apple@gmail.com o helpappledevice@gmail.com. Alcuni di questi indirizzi email sono disattivati ma la maggior parte funzionano e, a qualunque tipo di richiesta, rispondono con un autoresponder che contiene le istruzioni circa il riscatto richiesto per lo sblocco dell’iPhone, che va dai 50 ai 300 dollari in base all’indirizzo utilizzato.

Richiesta di riscatto in bitcoin per il ransomware degli iPhone

Alcuni delinquenti minacciano la cancellazione di tutti i dati memorizzati su iCloud, altri di raddoppiare la richiesta di riscatto o persino di bloccare tutti gli altri dispositivi sincronizzati con l’account iCloud.

Hello! Your device is blocked for activation of the device:
Pay 50$ for a bitcoin address: 19FHZjdTSB6uts9DsLB4QrbarEvVTvB6G7
Buy bitcoins online: blockchain. info
For purchase of bitcoins you need to be registered on the specified website.
Inform us about the payment and we will send the access code.
The payment is given 24 hours if payment is not received during this time, then all your devices will be blocked.
All your photos and all data are erased in the iCloud until payment is received.

Gli indirizzi bitcoin utilizzati dai delinquenti vengono riciclati per diverse vittime e cambiano a rotazione, il che è un chiaro segno che i criminali non hanno modo di capire se la vittima ha pagato il riscatto e quindi sbloccare il suo PC o iPhone. Ovviamente possono farlo, interagendo con la vittima per chiederle l’ID della transazione bitcoin, così come avviene per altri ransomware che fanno uso di medesimi indirizzi bitcoin per vittime diverse.

I messaggi con la richiesta di riscatto sono simili ma non identici, tutti inviati automaticamente e istantaneamente tramite autoresponder dall’indirizzo dei criminali nel momento in cui li si contatta tramite posta elettronica.

Hello! Your device is locked. To continue using your device
Pay 300$/0.18 BTC on the Bitcoin Address: 1AQtRCX15YrXzPUZic7FbMotrqLemzjnRi
Online purchase of bitcoins: coinbase . com
Through a credit card you buy. Before you start, register on the site.
After payment, attach a screenshot or tell us the time of payment, we will send your password from your device within an hour.

If you do not pay within 24 hours, the amount will be increased to 600$

Osservando gli indirizzi bitcoin sui quali vengono richiesti i riscatti per lo sblocco degli iPhone, si osservano numerosi pagamenti, alcuni risalgono persino a maggio 2017, in tutto i criminali sembrano aver incassato diversi bitcoin, alcuni wallet contengono infatti più di 100 d’indirizzi che hanno incassato oltre 6 bitcoin nel tempo, cioè al valore attuale oltre 20.000 euro, per quanto alcuni indirizzi sembrano aver incassato singolarmente meno.

Indirizzo bitcoin 1AQtRCX15YrXzPUZic7FbMotrqLemzjnRi per il pagamento del riscatto del blocco ransomware Apple

Se pago il riscatto ottengo lo sblocco del mio iPhone?

Per questo tipo di ransomware, o meglio, di ricatto basato sul phishing, anche pagando il riscatto è difficile che si ottenga alcun codice di sblocco: abbiamo verificato che alcuni degli indirizzi indicati nel blocco non interagiscono con le vittime lasciando che questi paghino il riscatto, anche piuttosto modesto per la maggior parte dei casi, senza ottenere nulla.

Per questo motivo, anche nel caso in cui per motivi lavorativi o sentimentali aveste davvero bisogno del vostro dispositivo Apple e quindi foste costretti a cedere a compromessi, non pagate il riscatto, arricchirete solamente i delinquenti senza ottenere nulla.

Cosa posso fare per sbloccare il dispositivo?

Per sbloccare il proprio iPhone, iPad, Macbook o iMac potete recarvi presso un centro Apple Store o contattare l’assistenza online, dimostrando di essere i proprietari del vostro dispositivo e account iCloud. Con la prova d’acquisto e con il vostro Mac o iPhone, i tecnici Apple potranno sbloccare il dispositivo e restituirvi l’accesso.

Se avete l’App “Find My Phone” o “Trova il mio iPhone” sincronizzata con qualche dispositivo non ancora bloccato, potete provare a utilizzarla per tentare lo sblocco autonomamente.

Altra possibilità, quella di tentare di rientrare nell’account iCloud tramite il servizio di recupero della password dell’ID iCloud fornito da Apple, sempre se i criminali non hanno modificato le domande di sicurezza e l’indirizzo email di recupero.

Le varie esperienze riportate online non sono tutte positive, ci sono casi nei quali le vittime sono riuscite a riprendere il controllo dei dispositivi perdendone però il contenuto: tramite l’Assistenza Apple sono in fatti riusciti a sbloccare gli iPhone e i Macbook provvedendo però al reset e ripristino dei dati originari, perdendo quindi tutti i propri documenti.

Al momento stiamo facendo verifiche per capire se sia possibile ripristinare i propri iDevice senza dover perdere i propri dati.

Come sono entrati nel mio account iCloud?

In genere, questo tipo di attacchi di phishing vengono lanciati tramite dei falsi alert che arrivano sulle caselle di posta delle vittime e che indicano un presunto accesso all’account iCloud avvenuto da un paese estero, precisando che se non si è gli autori dell’accesso, è sufficiente loggarsi all’indirizzo fornito e cambiare le credenziali di accesso. Non si tratta di un alert di Apple bensì di un messaggio di phishing di quelli che girano da anni: se l’utente clicca sul link e inserisce le proprie credenziali (username e password) di accesso ad iCloud, le fornisce in realtà ai criminali che entro pochi minuti od ore le useranno per loggarsi sul profilo iCloud, cambiare la password e bloccare i dispositivi.

C’è anche la possibilità che, in alcuni casi, come accaduto in altre occasioni non si sia trattato di phishing ma di tentativi fatti dai delinquenti con credenziali riutilizzate identiche in altri servizi di cui sono usciti leak in passato, come ad esempio MySpace, Linkedin, Badoo, Yahoo, DropBox, etc..

Come posso difendermi da questo tipo di attacchi?

Innanzitutto, mai cliccare sui link presenti nelle mail, anche se sembrano provenire da Apple. Se proprio si teme di aver subito un accesso abusivo al proprio account, collegarsi all’indirizzo ufficiale di Apple o iCloud e cambiare la password da lì, meglio se si fa tutto da un computer invece che da tablet o cellulare, è più facile scovare i raggiri.

Detto questo, è essenziale in ogni caso configurare sul proprio account iCloud l’autenticazione a due fattori, che vi permette di proteggere il vostro profilo da accessi indesiderati anche nel caso in cui la vostra password venga compromessa. Sarà infatti necessario, oltre la password, inserire un codice ricevuto sul proprio numero di cellulare oppure su uno degli altri dispositivi Apple in proprio possesso.

 

 

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *