Anche il "bunker" dorato di Apple è fallibile: truffa bitcoin da oltre un milione di euro

15 Ottobre 2021 39

Un'indagine di Sophos, azienda canadese che si occupa di sicurezza, ha documentato come siano stati truffati centinaia, se non migliaia, di utenti iOS rastrellando oltre 1,2 milioni di euro. Il meccanismo messo in piedi dai truffatori ha fatto leva su una delle più grandi debolezze dell'uomo, l'amore. Le vittime, americane ed europee, sono state adescate su social come Facebook ma anche su app di incontri come Tinder, Grindr, Bumble e compagnia, e convinte ad investire denaro in criptovalute attraverso un'app per iOS sviluppata ad hoc.


Allettate dal profitto ottenuto con la prima transazione e dalla possibilità di ritirare il gruzzolo guadagnato, i truffatori hanno ottenuto la fiducia delle vittime spingendoli finalmente ad investire somme maggiori per massimizzare i profitti. Peccato che a questo punto la finta app di investimenti ha rivelato la sua natura, negando loro la possibilità di ritirare il denaro.

E non finisce qui, perché alle rimostranze dell'adescato, l'adescatore tenta di convincerlo ad investire una somma maggiore per "sbloccare" il ritiro o, al più, di pagare una tassa per farlo. Chi ha rifiutato di scegliere una delle due strade ha visto svanire del tutto il proprio "investimento", insieme alle speranze di riavere qualcosa indietro.


Alcune storie dei truffati attraverso il metodo CryptoRom hanno fatto notizia: una vittima inglese ha riferito che la sua "storia d'amore" con un truffatore gli è costato un ammanco sul conto in banca di quasi 75 mila euro. I ricercatori di Sofos hanno appurato che all'indirizzo bitcoin associato alla truffa oggi è stato destinatario di oltre 1,2 milioni di euro, ed è altamente probabile che non sia l'unico indirizzo utilizzato dai malviventi, per cui l'ammontare complessivo potrebbe essere ben maggiore.

ECCO COME IL 'BUNKER' DORATO DI APPLE HA CEDUTO AI TRUFFATORI

È curioso che questo sia accaduto all'interno della gabbia dorata di Apple, dove si respira un profumo talmente ammaliante da avere la sensazione che non possa succedere nulla di spiacevole. La chiave della truffa sembra essere stata l'abuso del programma Enterprise di Apple, che ha consentito ai criminali di non passare dal processo di revisione dell'App Store per distribuire app false (comunque non pubblicate su App Store, ma in passato anche lo store di Apple è stato "bucato").

Il programma Enterprise Signature di Apple - scrive Sophos - può essere utilizzato per distribuire app senza l'approvazione dell'App Store di Apple, semplicemente utilizzando un profilo Enterprise Signature e un certificato. Le app firmate con certificati Enterprise devono essere distribuite all'interno dell'organizzazione per i dipendenti o i tester delle applicazioni, e non devono essere utilizzate per distribuire app ai consumatori.

Buona parte delle vittime - per grandissima parte clienti Apple con iPhone - è stata indotta a scaricare un profilo ad hoc da un sito internet che di fatto ha trasferito il controllo dello smartphone nelle mani dei criminali.

Quando un utente iOS visita uno dei siti utilizzati per queste truffe, viene scaricato sull'iPhone un profilo di provisioning MDM firmato con un certificato Enterprise. L'utente viene spinto a fidarsi del profilo così il truffatore ottiene la gestione del dispositivo da remoto. L'organizzazione, potenzialmente, può raccogliere dati personali, aggiungere/rimuovere account e installare/gestire app. Quando l'utente torna nuovamente sul sito messo su ad hoc con il profilo installato, gli viene chiesto di installare un'app da una pagina che assomiglia all'App Store di Apple, completa di recensioni (positive, ndr) fittizie. L'app malevola in questione somiglia in tutto e per tutto all'applicazione per il trading di criptovalute Bitfinex.


Sophos afferma di aver inviato ad Apple tutto quello che è stato raccolto, ma anche di non aver ricevuto ancora alcuna risposta da Cupertino.

Il migliori Smartphone Apple? Apple iPhone 12, in offerta oggi da Mister Shop King a 735 euro oppure da Unieuro a 789 euro.

39

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Everything in its right place.

Eh ma la puoi comunque disattivare. Non è che è impossibile.

Pino

No,puoi scegliere c'è un'opzione che ti fa disattivare l'installazione da fonti sconosciute

Everything in its right place.

Beh però mi sembra a livello di installare un apk da fonti esterne. Su Android se clicchi accetta va bene te lo fa fare.

Everything in its right place.

Ok ma chi è il proprietario dell'ID apple associato a quei certificati? Non è un profilo sviluppatore (per cui mi sembra che serva il cavo per l'installazione), ste robe dovrebbero essere molto più blindate.

alex-b

quindi se qualcuno si fa adescare su un app di messaggistica è sempre colpa dello store? ma che razzo di articolo!

Mattmoon

Perso la parola? Ridicolo.

Cristiano Gardoni

banda di idioti...

EdEddy

Hater di Apple e Bitcoin, dove siete?

Mattmoon

No vax? Eh?

Bannato!

In attesa del 18 Ottobre 2021 ore 19:00

Steve

utente apple e novax, altri disagi ne hai?

Matteo Rossi

Confermo ma che articolo ridicolo è?

Mattmoon

Neanche con questo articolo di basso livello e volutamente flame siete riusciti a generare tanti commenti, urge una nuova notizia sul green pass!

T. P.

beh ma anche la tempesta di emozioni nello scoprire di essere stati truffati non la vuoi considerare???

che vita intensa! :)

Alcmaeon

La soluzione è chiudere di più il sistema, ovviamente. Bisogna lasciare solo telefono, torcia e calcolatrice made in Apple, il resto è dannoso per l'utente.

Ansem The Seeker Of Lossless

Non è colpa di ios, se l'utente clicka avanti ignorando ogni avviso di sicurezza Apple non ci può fare nulla, come nessun os.

Ansem The Seeker Of Lossless

Infatti la prima parte del post era seria. Far credere all'utente che se usi un certo dispositivo non ci siano problemi vuol dire creare una falla gigantesca, e infatti cascano anche in cose così semplici

Pino

Si però il sistema non dovrebbe permettere di installare dei profili così a caso,almeno da fonti che non siano sicure,su Android non esiste

CAIO MARIOZ

Questa è una sorta di sideloading che esiste da tantissimi anni su iOS.
Lo usavo nel 2013, per poter accedere ad una rete dell’Università ad accesso limitato.

iOS è anche troppo aperto se accadono queste cose

CAIO MARIOZ

Questa è una sorta di sideloading che esiste da tantissimi anni su iOS.
Lo usavo nel 2013, per poter accedere ad una rete dell’Università ad accesso limitato.

iOS è anche troppo aperto se accadono queste cose…

momentarybliss

La falla del sistema sta nel consentire l'installazione di profili fake, unita allo sfruttamento della cieca fiducia dell'utente in iOS e App Store indotta dal marketing di Apple

Matteo
Roberto

think different

ErCipolla

Frecciatine a parte, è assolutamente vero quel che dici: sbandierare di continuo il fatto che il tuo sistema è sicuro "per natura" da all'utente un falso senso di sicurezza e di "spavalderia" che lo può spingere a non farsi troppe domande in merito ("tanto ci pensa il sistema a tenermi protetto") e fare cose che lo espongono a rischi evitabili se fosse un po' più sospettoso/paranoico

Rick Deckard®

Perché bandile?
Servono alle truffe, è una truffa, la gente lo sa ma cercano tutti di eludere il sistema...
Giochi con i soldi, una volta vinci, una volta perdi, ma non è un furto

Roby One

Non capisco perche' la chiamate truffa. Questi vendono un emozione. Prima di accorgersi che sono stati truffati sicuramente avranno passato del bel tempo in compagnia virtuale.
E vogliamo metterci quanto costa studiare tirar su una storia simile?

Researchspace

Se la sono cercata.. come ho scritto poc'anzi.. che sia Apple o Android non possono farci nulla contro l'ignoranza delle persone..

Researchspace
Cid

Sono indeciso su quale sia la difesa di ufficio in questi casi.. forse un classico "ma allora Android!11" oppure qualcosa del tipo "se la sono cercata". Seguo per curiosità.

Scemo 3.0

Apple lo fa per il vosto bene, state zitti.

Mark-

il bitcoin serve solo alle truffe!11!!111!1 bandiamo le criptovalute!11!111!

spino1970

Ricordatevelo la prossima volta :D

Ansem The Seeker Of Lossless

Avrà installato uno di quei virus famosi.. Stadia o come si chiama! Oppure usato siti truffa tipo fdroid!

Ansem The Seeker Of Lossless

Niente grida "sicurezza" quanto far credere ai tuoi utenti che non correranno mai alcun rischio.
A che servono anni di sviluppo di firewall, antivirus, antispam, bug fix? A nulla! Ci pensa apple per voi :D fidatevi ciecamente!

Walter

Si patatine e birra fresca a garganelle

Researchspace

Preparasti sarà una serata lunga... hater e fanboy a volontà! chi più ne ha, più ne metta!

https://media2.giphy.com/me...

JJ
Scottyy Wiz

esatto, apple non centra niente con la stupiditá della gente

Roy Rogers

In questo caso non è colpa di ios.
In tutti gli altri casi è colpa di Android.

Recensione Apple MacBook Pro 14 con M1 Pro, che goduria!

Ho trasformato la casa in palestra: la mia recensione di Apple Fitness+

Nuovi MacBook Pro con M1 Pro e Max, perchè comprarli e perchè no

Recensione Apple AirPods 3, ad un passo dalle Pro