Negli ultimi giorni alcuni utenti hanno segnalato di aver ricevuto una notifica email che parlava di modifiche al proprio account Apple e di un presunto acquisto di un iPhone pagato con PayPal. Chi ha analizzato il caso ha notato che l’avviso è apparso nella casella come proveniente da [email protected] e che, in un caso pubblico, l’email è stata registrata il 14 aprile. Nonostante l’intestazione sembrasse autentica, la comunicazione è un tentativo di phishing volto a indurre la vittima a contattare un numero telefonico o a fornire dati sensibili.
È importante ricordare che Apple invia legittime notifiche su cambiamenti al profilo e sugli ordini; proprio questa aspettativa è sfruttata dai malintenzionati. I criminali hanno affinato la tattica sfruttando funzionalità del servizio per far apparire l’avviso come genuino: il risultato è una mail che supera i controlli di autenticazione, ma che contiene un messaggio fraudolento.
In questo articolo spieghiamo la tecnica, i rischi e le misure pratiche per difendersi da phishing e malware.
Tecnica usata dai truffatori
I malintenzionati hanno creato account all’interno dell’ecosistema Apple e hanno inserito il testo di phishing nei campi anagrafici del profilo, anziché falsificare l’indirizzo mittente. Per esempio hanno usato un nome come “User 899 USD iPhone Purchase Via” e un cognome come “Pay-Pal To Cancel 18023530761”, quindi hanno modificato l’indirizzo di spedizione per generare la notifica automatica di cambiamento. Poiché le email di sistema includono i campi nome e cognome dell’account, il messaggio finale appare così: “Dear User 899 USD iPhone Purchase Via Pay-Pal To Cancel 18023530761”, inducendo confusione e panico nel destinatario.
Modalità di distribuzione e diffusione
La mail è stata originariamente recapitata ad un account iCloud e poi inoltrata o distribuita tramite una mailing list, come mostrato dalle intestazioni. L’intestazione mostra un destinatario originale diverso dall’indirizzo di consegna finale, un dettaglio che indica l’uso di elenchi di distribuzione per raggiungere più vittime contemporaneamente. Questo metodo permette ai criminali di amplificare la campagna senza dover compromettere i server di posta di terzi.
Perché l’email sembra autentica nonostante i controlli
Molti si chiedono come sia possibile che un messaggio del genere passi i filtri. I protocolli di autenticazione come SPF, DKIM e DMARC rilevano lo spoofing dell’indirizzo mittente, ma non proteggono i contenuti inseriti dai legittimi utenti all’interno di un servizio. Qui non c’è stato spoofing dell’header: la mail è stata effettivamente inviata dalle infrastrutture Apple perché proviene da un account registrato sulla piattaforma.
Di conseguenza, le protezioni di autenticazione risultano inefficaci contro questo tipo di abuso funzionale dei campi profilo.
Dettagli tecnici che fanno la differenza
Analizzando le intestazioni si nota che la sorgente è interna e che il percorso di consegna include passaggi che spiegano l’inoltro a più destinatari. Questo genere di abuso si basa sul fatto che le notifiche automatiche includono dati testuali del profilo: i criminali inseriscono il testo fraudolento dove verrà mostrato dall’email di sistema, aggirando così i segnali tradizionali di allarme. Il rischio principale non è tanto l’email in sé, quanto le azioni che il messaggio sollecita.
Rischi concreti e obiettivi degli attaccanti
Lo scopo ultimo di questa campagna è sottrarre informazioni personali e finanziarie, installare un tool di accesso remoto o distribuire malware.
Il messaggio invita a chiamare un numero (ad esempio il codice inserito nel cognome: 18023530761) o a seguire istruzioni di cancellazione dell’ordine che in realtà portano a fornire credenziali e dati bancari. È fondamentale non chiamare il numero indicato, non aprire allegati e non rispondere con informazioni sensibili: queste azioni sono esattamente quelle che i truffatori vogliono ottenere.
Cosa fare se ricevi la comunicazione
Se ricevi una mail simile, verifica direttamente dal sito o dall’app ufficiale di Apple lo stato dei tuoi ordini e delle impostazioni del tuo Apple ID. Non usare i link o i numeri presenti nella mail. Cambia la password del tuo account se hai dubbi e abilita la verifica in due passaggi o l’autenticazione a due fattori se non è attiva. Segnala la mail tramite i canali ufficiali Apple e cancella l’email dopo aver raccolto eventuali intestazioni come prova.
Segnalazione e conservazione delle prove
Conserva l’email originale e le intestazioni per eventuali segnalazioni: questi elementi contengono header e informazioni utili per analisi forensi. In caso di perdita di dati sensibili, avvisa la banca e valuta il blocco delle carte interessate. La documentazione aiuta le forze dell’ordine e i team di sicurezza a ricostruire la catena dell’attacco e a prevenire ulteriori vittime.
Consigli pratici per proteggersi
Per ridurre il rischio di essere vittima di campagne simili, usa password uniche e un gestore di password, attiva l’autenticazione a due fattori, monitora regolarmente gli estratti conto e diffida delle comunicazioni che richiedono azioni urgenti. Impara a riconoscere i segnali di social engineering e insegna ai familiari le stesse precauzioni: la prevenzione individuale è la prima linea di difesa contro il phishing.
