Ecco perché sul vostro iPhone non dovreste mai utilizzare l’ID Apple di qualcun altro

14 Dic 2018

Gli utenti di qualsiasi dispositivo Apple devono essere in possesso di un ID Apple, una sorta di passaporto digitale per esplorare e vivere il mondo Apple. Per entrare, avete bisogno di un ID Apple che vi conferisce una serie di diritti e, come un vero passaporto, non deve essere prestato a nessuno o non dovete farvelo prestare.

Il primo punto di vista è piuttosto intuitivo: se date a qualcun altro il vostro ID Apple perdereste l’accesso ai vostri dispositivi, ai dati, agli abbonamenti a cui siete iscritti etc. Il dubbio potrebbe sorgere quando vi sconsigliamo di inserire l’ID Apple di qualcun altro sul vostro iPhone o iPad. Analizziamo la storia di Marcie come caso di studio.

Vendere un iPhone usato

Dopo un anno di amore con il suo telefono, Marcie decide di vendere il suo iPhone X. Marcie vuole semplicemente passare a un modello più nuovo, un XS o almeno un XR. All’inizio pensa di venderlo su eBay, aggiungendo un annuncio su Craigslist per sicurezza.

Il passo successivo riguarda il prezzo. Il telefono è in buone condizioni, per cui decide di puntare a un buon prezzo di vendita. In un anno praticamente aveva preso polvere, e non c’era neanche un graffio! Sicuramente ci vorrà un po’ di tempo per trovare un acquirente, ma Marcie non ha fretta.

Per sua sorpresa, il giorno successivo qualcuno si fa avanti. Una donna molto gentile le scrive che suo marito vorrebbe davvero comprare un iPhone ma è sempre molto occupato e non ha possibilità di accordare un appuntamento se non alla fine di quella settimana. Tuttavia, apprezza molto il fatto che il dispositivo sia in perfette condizioni, per questo vorrebbe pagare in anticipo il telefono per poi ritirarlo successivamente. Per verificare che il telefono sia funzionante in tutto e per tutto, la donna chiede a Marcie di inserire l’ID Apple di suo marito sul dispositivo. Se tutto le sembra a posto, la signora avrebbe effettuato immediatamente il bonifico per il pagamento del prezzo del telefono.

Marcie è entusiasta, pensava che ci avrebbe messo almeno un paio di settimane per venderlo, e invece 24 ore dopo, è tutto fatto. La signora invia e-mail e password dell’ID Apple di suo marito e Marcie si domanda come certa gente riveli senza batter ciglio informazioni così importanti a una perfetta sconosciuta. In ogni caso, non è un problema suo, per cui digita i dati sul suo smartphone e conferma alla signora che è tutto pronto per verificare il funzionamento dell’iPhone.

A questo punto accade qualcosa che Marcie non si aspetta lontanamente. Appare un messaggio sullo schermo secondo il quale il telefono è stato bloccato e qualcuno a quel certo indirizzo e-mail verrà contattato per sbloccarlo. E non c’è modo di andare oltre la schermata nera con questo spiacevole messaggio, il telefono è stato bloccato, punto.

La “gentile signora” (ovvero un account fake) non risponde più ai messaggi di Marcie, la quale manda un’e-mail al famoso indirizzo e le viene risposto che, per riavere indietro il telefono, dovrebbe fare un bel versamento in criptomonete.

Marcie si ferma un attimo a pensare e capisce che non ha alcuna garanzia che non venga raggirata anche questa volta. Il suo iPhone è lì sul tavolo, un mattoncino inutile e totalmente indifferente alle tribolazioni di Marcie. E nonostante abbia ancora il dubbio se pagare o meno il riscatto, si arrabbia con se stessa per essersi fatta raggirare in questo modo.

Attenzione agli sconosciuti e ai loro ID Apple

Nel momento in cui permettete che qualcuno inserisca il proprio ID Apple sul vostro dispositivo, a tutti gli effetti il dispositivo non è più in vostro possesso. E se ad impossessarsene sono dei cybercriminali, non sarà per niente facile riaverlo indietro: dopo aver ingannato la vittima, i cybercriminali bloccano il dispositivo mediante la funzionalità su iCloud “Find my iPhone”.

Questa funzionalità è stata creata per evitare che uno sconosciuto possa sbirciare ciò che contiene il dispositivo ritrovato; in ogni caso, sullo schermo saranno visualizzati i contatti così chi ha trovato il telefono potrà mettersi in contatto con il legittimo proprietario.

In questo caso, naturalmente, il dispositivo non è stato smarrito; tuttavia, non appena la vittima inserisce l’ID Apple di un’altra persona, il telefono viene aggiunto immediatamente all’elenco dei dispositivi associati all’iCloud di questa persona, e da lì non si torna più indietro. Insomma, una funzionalità utile si trasforma in qualcosa di dannoso se lo scopo cambia: i cybercriminali utilizzano il Find my iPhone per bloccare iPhone e iPad per poi richiedere un riscatto.

Se dovete vendere un dispositivo usato, tenete gli occhi ben aperti e non solo per il caso appena descritto.  Una tecnica di ingegneria sociale molto utilizzata è quella di raggirare gli utenti dei forum che riguardano il mondo Apple, chiedendo loro di poter inserire il proprio ID Apple usando pretesti tipo “il mio telefono è morto, tutti i miei contatti sono su iCloud, devo chiamare urgentemente il mio capo, per favore datemi una mano”, o cose del genere.

A pensarci bene, se capitasse una situazione simile e se si avessero e-mail e password dell’ID Apple, non basterebbe soltanto collegarsi alla versione web di iCloud e mettere tutto a posto? E invece no. L’account del cybercriminale è protetto dall’autenticazione a due fattori per cui, quando ci si collega su iCloud, bisogna inserire anche il codice inviato a uno dei dispositivi. E, naturalmente, solo i cybercriminali vi hanno accesso, per cui essere a conoscenze del solo ID Apple non è sufficiente.

Morale della favola: non inserite mai l’ID Apple di qualcun altro sul vostro dispositivo. Anche se ve lo chiedono per favore.