Apple si è scusata con i suoi utenti cinesi, che si sono visti prima rubare le credenziali dell'App Store e poi addebitare acquisti mai fatti. "Ci scusiamo profondamente per l'inconveniente causato ai nostri clienti da queste truffe di tipo phishing", recita una nota diffusa dall'azienda.
I fatti risalgono a qualche giorno fa, quando diversi clienti Apple in Cina hanno notato e denunciato addebiti sospetti. Un problema che riguarderebbe un "piccolo numero" di persone, stando sempre alla nota ufficiale diffusa dall'azienda.
Il furto è avvenuto tramite gli strumenti di pagamento digitale Alipay e WeChat. I criminali prima hanno rubato i dati di accesso - a clienti che non usavano l'autenticazione a due fattori (2FA) - e poi li hanno usati per fare spese a proprio piacimento tramite i servizi citati.
Il sistema è del tutto simile a come funzionano Apple Pay o Google Pay in Italia. Si attiva il servizio, si associa la carta di credito e si può spendere. Nella fattispecie è però possibile associare come strumento di pagamento un servizio terzo sul quale è già registrata una carta di credito, come appunto l'account associato all'App Store di Apple. Un po' come se si attivasse Apple Pay associando Pay Pal; cosa che realmente non si può fare, ma valga come esempio.
L'azienda californiana non ha specificato il numero di persone coinvolte o le cifre in gioco, limitandosi a suggerire a tutti i propri clienti di attivare la 2FA per evitare problemi simili in futuro. Non è stato reso nodo in che modo i criminali sono riusciti a impossessarsi delle credenziali, anche se gli attacchi di phishing seguono tutti uno schema simile.
In genere si riceve una comunicazione che riguarda un problema sul proprio account; di Apple in questo caso, ma può essere quello bancario, quello di Google, Facebook e così via. Il messaggio contiene sempre un link con un invito a cliccare, tipo "clicca qui per riattivare il tuo account". Si arriva così a una pagina che imita molto bene quella autentica; la vittima crede di essere sul sito giusto, e inserisce utente e password, che vengono registrati. Et voilà, il furto è completo, ma potrebbe esserci persino una seconda pagina creata per raccogliere ulteriori dati personali.
È un tipo di attacco molto comune e i clienti Apple non sono certo gli unici a essere presi di mira. Né si può accusare direttamente l'azienda, che a ben guardare non ha alcun ruolo in un attacco del genere. Eppure Apple ha deciso di scusarsi pubblicamente, forse per rispondere alla sensibilità del pubblico e dei media cinesi, molto attenti a questo tipo di formalità. O forse per mettere le mani avanti nell'ipotesi di una possibile indagine; una possibilità più che concreta, considerato che i criminali hanno avuto accesso agli account Apple in questione, quindi alle fotografie, alle app, ai file su iCloud Drive e altri dati personali. Una contestazione sul tema della privacy è sicuramente possibile.
Quale che sia la ragione, che un'azienda del genere presenti scuse formali ai propri clienti non è proprio cosa di ogni giorno. Che cosa ne pensate?
Sapevi che gli attacchi phising si chiamano così perché vuol dire andare a pesca. Dimentica la cyberguerra e vai a pescare per davvero!