Analizziamo questo nuovo phising che mi è appena arrivato, che prende di mira Apple per rubarti i dati della carta di credito e le credenziali di accesso allo store di Apple.
L’email arriva da Store Apps . <[email protected]>
e già è strano che il mittente non sia apple.com ma inquiries-play.com ma potresti pensare che Apple si avvale di qualche sito esterno per comunicazioni del genere. Procediamo col resto, ecco l’email
Payment Confirmed
AppleID Store
Order # 68JMOTA576 in Iphone 5S – Thanks For Purchase.Date: 20 Jul 2017 10:42:45
Transaction: M8F5S7MM7
Order number: #34596973Q4
Browser: AppStoreIf you have not recently purchased a product or application on a Iphone 5S”With your AppIe ID and think of your access account,
Please read our link and follow to insure instuction your account.Sincerely,
AppIe department accountCopyright © 1998-2017. 2211 N 1st St, San Jose, USA All rights reserved
Analisi del phishing
Gli elementi che ti fanno capire che è un phishing sono:
- Il fatto che è in inglese, mentre sai benissimo che Apple comunica nella lingua del paese in cui hai fatto l’acquisto che, nel nostro caso, è l’italiano
- Degli errori ortografici che sicuramente Apple non farebbe mai.
- Il fatto che ti ringrazino per l’acquisto dal tuo iPhone 5S. Magari non hai iPhone o se lo hai non è un 5S.
- Il fatto stesso che ti dicano che hai acquistato un App, cosa che magari non hai fatto.
- Il copyright buttato lì a caso. Non c’è scritto Apple, fa riferimento a un indirizzo a San Jose mentre Apple è a Cupertino e cosa significa ©1998?
All’email è allegato un file pdf normalissimo con questo contenuto
Sembra, ma non lo è, una fattura Apple che ti dice che con Clash of Clans – che magari non hai neppure installato – hai fatto degli acquisti in app.
Se però tutti i punti dubbiosi non lo sono perché hai un iPhone 5S, hai Clash of Clans e hai fatto degli acquisti in app, allora il trucco è quello di farti allarmare in modo che tu clicchi sull’unico link visibile che ti dice di cliccare lì se tu non hai autorizzato questo pagamento.
Clicchi sul link e, magia, arrivi a quello che potrebbe sembrare il sito Apple, solo che l’url è completamente differente
e, anche se è comunque preceduto da https, è quantomeno fantasioso e non fa certo pensare di avere a che fare con un sito Apple che, come vedi nell’immagine qui di seguito, è abilmente contraffatto
Io sono curioso e inserisco dei dati a caso, do invio e mi appare questo avvertimento
che il mio account è stato bloccato perché ho provato più volte con password sbagliate. Ma se l’ho fatto una volta sola con dei dati finti per giunta?!
Non contento, clicco su Unlock Account perché voglio vedere dove vado a finire. Fino a questo momento, se avessi inserito il mio ID Apple reale, potrebbero avermi rubato quello, e già sarebbe un problema visto che con quello potrebbero fare degli acquisti in un modo o nell’altro.
Ma ora viene il bello. Ecco dove mi chiedono di nuovo tutti i miei dati e anche quelli della carta di credito!
È inutile continuare a questo punto. Come vedi il disegno è sempre quello; farti credere che stai facendo tutto in modo corretto e indurti a lasciare in un modo o nell’altro dei tuoi dati sensibili.