Cosa succede se – pensandosi al sicuro da minacce, perché utenti Apple – non si installa alcuna soluzione antimalware, non si presta attenzione a una notifica push iCloud in una lingua inintelligibile e non si fa un back-up dei propri dati a ricorrenza ravvicinata? Per gentile concessione dell’utente, G DATA racconta il caso dell’account iCloud violato e le conseguenze di tale abuso.
IL CASO – Italiano, imprenditore, impiega sistemi Apple per lo svolgimento di tutte le attività aziendali, tra cui l’elaborazione di importanti progetti, anche di design, per una clientela business particolarmente esigente, soprattutto lato riservatezza delle informazioni e puntualità nella fornitura dei rendering. Lavorando spesso in mobilità, i dispositivi mobili (iPhone e iPad non jailbreakkati) sono utilizzati in modo intensivo, sfruttando molto spesso hotspot aperti per accedere ad internet, leggere le email, inviare documenti e, di quando in quando, sincronizzare i propri file con iCloud.
Come la stragrande maggioranza degli utenti Apple, l’imprenditore non si avvale di alcuna soluzione antimalware, né sui dispositivi mobili, né su iMac. Per accedere ai propri server, ai file archiviati su iCloud o alla posta elettronica non impiega VPN, né teme il fatto che gli hotspot aperti siano fondamentalmente un colabrodo, attraverso cui eventuali cybercriminali possono tracciare tutto il traffico da e verso determinati host. Non si preoccupa infine di password sicure (attegiamento che – va detto – si riscontra presso un’ampissima fetta di utenti, indipendentemente dal dispositivo o sistema operativo in uso), bensì ne usa una per tutti i suoi sistemi, in azienda come a casa, e, pur evitando di aprire email “strane” poiché informato su quanto succede agli utenti Windows in termini di ransomware e phishing, non considera comunque possibile che sui dispositivi Apple si possa accedere ai dati o alle password in uso tramite codice malevolo.
CERTO DI ESSERE AL SICURO – Questa incrollabile percezione della sicurezza “di fabbrica” dei sistemi Apple ha radici storiche ed è condivisa dalla stragrande maggioranza degli utenti Apple, che guardano ad eventuali minacce con noncuranza o adottano, nei casi più virtuosi, misure di sicurezza purtroppo inadatte e insufficienti per la salvaguardia dei propri dati. In questo “mal comune”, il “mezzo gaudio” (anzi intero!) è tutto appannaggio dei cybercriminali, che, a causa della falsa percezione della sicurezza degli utenti Apple (tra password insicure o addirittura assenti e nessuna soluzione antimalware installata), hanno gioco facile: di rado sono necessari codici malevoli di nuova generazione particolarmente articolati per carpire informazioni riservate e cancellare le proprie tracce e spesso i dispositivi Apple presenti in reti “miste” fungono da tramite per infettare server e client con altri sistemi operativi.
LA REALTA’ – Probabilmente è tramite un attacco mirato su uno degli hotspot di cui si è avvalso, volto a carpire quante più credenziali di accesso possibili da rivendere al miglior offerente, che l’imprenditore ha “condiviso” ignaro i propri dati iCloud. Valutando le possibili cause di quanto è successo, lo stesso imprenditore non esclude neanche l’ipotesi, di essere incappato senza saperlo su un sito che possa aver iniettato un cavallo di troia sui suoi dispositivi o un codice che abbia aperto specifiche porte sul dispositivo per il tempo sufficiente a sniffare la password di iCloud, come neanche la possibilità che invece si tratti di un attacco ad hoc, visto il tipo di clientela seguita dal professionista, abbastanza noto nel suo ambiente e quindi papabile per un attacco tailor-made. Certamente comunque l’attacco è stato operato da professionisti, che hanno eliminato le proprie tracce non appena carpite le informazioni desiderate.
CONSEGUENZE – La conseguenza pratica della violazione dell’account dell’utente è stata in primis una notifica iCloud su iPhone, scritta in una lingua inintelligibile, in merito all’esaurimento dello spazio di archiviazione. Non percependo la notifica come minaccia e pensando si trattasse di un errore, l’imprenditore attende il rientro in ufficio, dove riceve una nuova notifica push, stavolta su iMac, proveniente dall’autorità di certificazione di Apple. Gli viene richiesto di rinnovare la password di iCloud per ipotesi di compromissione del suo account. L’imprenditore avvia immediatamente la procedura, al termine della quale riscontra che i suoi dispositivi mobili (iPhone e iPad) sono completamente bloccati. Tramite iMac procede tempestivamente allo sblocco degli stessi e constata che tutti i dati ivi archiviati, tra cui foto di location, documenti e altri file prodotti nei due mesi dall’ultimo back-up sono scomparsi. L’utente si rivolge quindi immediatamente al servizio clienti Apple negli Stati Uniti, dettagliando quanto successo al fine di consentire all’assistenza tecnica di rintracciare attacco e attaccanti e possibilmente di aiutarlo a ripristinare i file apparentemente scomparsi. Dopo due ore di tentativi congiunti la situazione non è cambiata. File scomparsi, attacco non tracciabile.
Lasciamo ai lettori la valutazione del danno economico in cui è incorso l’utente a causa della – oggigiorno ormai pericolosa – certezza di avvalersi di dispositivi a prova di malware e o attacco.
UN AVVISO – Oggi l’imprenditore è sereno utente delle soluzioni G DATA per MacOS e iOS e ci ha permesso di condividere la sua storia quale monito per gli utenti Apple, passibili di incorrere nello stesso tipo di rischio, poiché sicuri di essere al sicuro, sebbene non sia così, specie in un momento, come quello attuale, in cui le minacce per Apple stanno aumentando esponenzialmente.
Comunicato stampa G DATA