Attacchi hacker ai MacBook: come capire se il tuo Mac è stato compromesso

I Mac possono essere compromessi?

Spesso si dice che i Mac non possano essere compromessi, ma purtroppo non è così. Sebbene i Mac vengano compromessi con una frequenza minore rispetto ai PC Windows, si contano diversi casi di attacchi hacker destinati ai Mac, con programmi fasulli o exploit delle vulnerabilità. La verità è che i Mac possono essere compromessi e non sono immuni alle minacce malware.

Uno dei motivi principali per cui i PC Windows vengono colpiti con una frequenza maggiore rispetto ai MacBook è rappresentato dalla quota di mercato. La quota di mercato globale di Windows nel 2022 è del 76% nei sistemi operativi per il mercato desktop, rispetto al 15% circa dei macOS. Dal momento che i cybercriminali sono spinti principalmente dal fattore economico, si concentrano di più dove le opportunità di guadagno sono maggiori. Questo rende senz'altro gli utenti Windows un obiettivo più redditizio, ma non vuol dire che gli utenti Mac siano immuni ai rischi.

In un'ottica di consapevolezza del fattore di rischio, Apple si impegna per ostacolare gli hacker che desiderano accedere ai Mac. Ecco alcune funzionalità di sicurezza di macOS:

• Gatekeeper, per consentire l'esecuzione nei Mac esclusivamente dei software provenienti da fonti attendibili. Quando si tenta di eseguire o installare un software che non proviene da App Store, Gatekeeper lo verifica e chiede all'utente se desidera procedere o meno.
• Le funzionalità Secure Enclave delle serie di chip M1 e M2 e dei chip T1 e T2, come criptaggio e avvio sicuro.
• XProtect, l'anti-virus integrato di Apple che ha l'obiettivo di rilevare il malware e impedirne l'esecuzione.

La combinazione di queste funzionalità rappresenta un ostacolo significativo per gli hacker dei Mac. Nonostante queste misure di protezione, a volte gli hacker rilevano tuttavia vulnerabilità di sicurezza che possono essere utilizzate per attaccare i Mac. Tali vulnerabilità sono note come backdoor o vulnerabilità zero day. Quando i ricercatori di sicurezza o gli hacker white hat le identificano, in genere informano Apple per consentire all'azienda di implementare le relative patch prima che le vulnerabilità vengano sfruttate.

Anche se di solito Apple risponde tempestivamente alle vulnerabilità, di tanto in tanto è stata accusata di non aver reagito con la dovuta velocità, consentendo così agli autori degli attacchi di continuare a sfruttare le vulnerabilità e lasciando gli utenti senza protezione.

Per i Mac è comune subire attacchi?

Anche se gli attacchi hacker ai danni dei MacBook sono relativamente rari, esistono evidenze di attacchi andati a buon fine. Tra gli esempi ad alto profilo sono inclusi:

Nel 2022 agli utenti Apple è stato raccomandato di aggiornare i MacBook (così come gli iPhone e gli iPad) con la massima urgenza per proteggersi da due vulnerabilità di sicurezza che consentivano agli autori degli attacchi di assumere il controllo completo dei loro dispositivi. Apple aveva ricevuto report credibili sul fatto che gli hacker stessero sfruttando le vulnerabilità per attaccare gli utenti. Uno dei punti deboli del software riguardava il kernel, che rappresenta il livello più profondo del sistema operativo. L'altro interessava WebKit, la tecnologia alla base del browser Web Safari.

Nel 2021 lo studente Ryan Pickren ha identificato una vulnerabilità pericolosa relativa ai MacBook, che ha segnalato a Apple. La vulnerabilità consentiva agli hacker di ottenere il controllo della fotocamera di un utente Mac. Apple ha risolto il problema in macOS Monterey 12.0.1, dando allo studente una ricompensa di 100.000 dollari.

Nel 2019 un ricercatore di cybersicurezza di nome Filippo Cavallarin ha segnalato a Apple una vulnerabilità di Gatekeeper. Se non fosse stata rilevata, questa vulnerabilità avrebbe consentito al malware di eludere la funzionalità di sicurezza di Gatekeeper. Dal momento che la vulnerabilità non è stata risolta entro 90 giorni, Cavallarin ha divulgato i dettagli.

Nel 2018 sono uscite notizie sulle vulnerabilità Spectre e Meltdown che sfruttavano le falle presenti nei processori ARM e Intel. Apple ha confermato che tutti i sistemi Mac e i dispositivi iOS erano interessati, sebbene nessun exploit noto avesse colpito i clienti. Apple ha mitigato il rischio aggiornando il sistema operativo e bloccando l'accesso alle aree esposte.

Tipologie di attacchi hacker per MacBook

Alcuni esempi di violazioni ai danni dei MacBook sono:

Cryptojacking:

Si verifica quando il processore e la RAM del Mac vengono utilizzati per il mining delle criptovalute. Questo tipo di attacco può causare considerevoli rallentamenti del MacBook.

Ransomware: 

Il ransomware impedisce all'utente di accedere a programmi o file nei propri dispositivi fino al pagamento di un riscatto. Un esempio è KeRanger, con cui gli hacker hanno criptato i file nei Mac chiedendo denaro per il decriptaggio. Fortunatamente i ricercatori di cybersicurezza hanno identificato KeRanger prima che iniziasse a infettare i Mac e diventasse una minaccia di grave entità.

Spyware: 

Si riferisce agli hacker che tentano di raccogliere dati sensibili sugli utenti, ad esempio i dettagli di accesso. A tale scopo possono ad esempio avvalersi dei keylogger che, registrando ciò che gli utenti digitano, offrono tutte le informazioni di cui gli hacker hanno bisogno per accedere agli account. Lo spyware OSX/OpinionSpy, ad esempio, ha rubato i dati dai Mac infetti per poi venderli nel Dark Web.

Botnet: 

È il caso in cui il computer diventa una macchina spam gestita in remoto. Ad esempio, la botnet Trojan horse OSX.FlashBack ha infettato oltre 600.000 computer Mac.

Proof-of-concept: 

A volte la minaccia non si manifesta concretamente ma è un proof-of-concept basato su una falla o una vulnerabilità nel codice Apple. Ad esempio, il team Project Zero di Google ha progettato un proof-of-concept noto come Buggy Cow in grado di ottenere l'accesso parziale a macOS a causa di un bug nello strumento di gestione della memoria. Anche se il proof-of-concept non è una vera e propria minaccia, potrebbe essere sfruttato dai criminali se Apple non risolve la vulnerabilità in modo tempestivo.

Exploit delle porte:

Le violazioni non dipendono necessariamente dal download di malware nel Mac. I Mac possono essere compromessi tramite la porta USB e Thunderbolt, motivo per cui bisogna sempre fare attenzione a ciò che si collega ed evitare di lasciare il Mac incustodito. Nell'exploit checkm8 del 2019 è ad esempio possibile che gli hacker dei Mac abbiano ottenuto l'accesso al chip T2 collegando un cavo USB-C modificato. Analogamente, nel caso di Thunderspy, un metodo di attacco scoperto nel 2020, una grave vulnerabilità della porta Thunderbolt potrebbe aver consentito a un hacker di accedere a un Mac.

Rootkit:

I rootkit consentono all'hacker di ottenere segretamente l'accesso a un dispositivo. 

Come capire se il tuo Mac è stato compromesso

Ecco alcuni indicatori di compromissione di un MacBook:

Il Mac è lento? Questo potrebbe essere dovuto alla presenza di malware o all'utilizzo del computer per il mining delle criptovalute o il lancio di attacchi DDoS.

La ventola è più rumorosa del solito? Anche questo potrebbe essere un indicatore di malware, che causa il surriscaldamento dei sistemi e affatica il sistema meccanico.

Hai notato nuove barre degli strumenti o componenti aggiuntivi del browser? Se noti componenti aggiuntivi che non hai installato, è possibile che il tuo Mac sia stato compromesso e cerchi di reindirizzarti a siti dannosi di terze parti.

Visualizzi più pop-up del solito? L'abbondanza di pubblicità potrebbe essere un indicatore di adware. Sebbene non sia così pericoloso, questo tipo di malware genera profitti attraverso i clic sulle pubblicità.

La tua pagina iniziale è cambiata? Questo potrebbe indicare una violazione di sistema, generalmente finalizzata a indirizzare a siti Web pericolosi per arrecare ulteriori danni al sistema operativo.

Vieni reindirizzato a browser di ricerca diversi? Anche questo potrebbe essere un segnale di compromissione del sistema, anche stavolta con l'obiettivo di rimandare a siti Web dannosi in cui le informazioni sono soggette al furto e potrebbero verificarsi ulteriori danni.

Non riesci più ad accedere ai tuoi file personali? La causa potrebbe essere un Trojan Horse o un ransomware. Se ricevi un messaggio di avviso o riscatto, sei vittima di ransomware, cioè un software dannoso utilizzato a scopo di estorsione.

I tuoi amici ricevono spam dai tuoi account? Se i tuoi contatti segnalano di aver ricevuto messaggi di spam da parte tua tramite e-mail o social media, il tuo Mac potrebbe essere stato infettato da un malware che tenta di diffondersi o di diffondere altri programmi dannosi agli utenti.

Le tue password non funzionano più? Se noti che le password o le domande di sicurezza sono cambiate, il tuo Mac potrebbe essere stato compromesso.

Nel tuo dispositivo si verificano blocchi o arresti anomali? I malware o i virus possono affaticare il sistema operativo di un computer, causando di conseguenza blocchi o arresti anomali.

Ricevi avvisi di sicurezza senza eseguire la scansione del Mac? In tal caso, potrebbe trattarsi di scareware, un tipo di malware che ti induce a installare altri malware.

La tua webcam si comporta in modo insolito? Se noti file audio o video che non hai registrato nel computer o se la spia della webcam si accende da sola, potrebbe trattarsi di una violazione (continua a leggere per ulteriori dettagli).

La webcam di un Mac può essere compromessa?

Se ti stai chiedendo se la webcam del Mac può essere compromessa, la risposta è sì. Un caso degno di nota si è verificato nel 2020, quando un ricercatore nell'ambito della cybersicurezza ha identificato una vulnerabilità macOS che consentiva ai truffatori di compromettere la webcam delle vittime che facevano clic su un singolo collegamento dannoso. Anche se questa vulnerabilità specifica è stata eliminata, è possibile che i cybercriminali ne scoprano di nuove altrettanto minacciose. Ecco alcuni indicatori di compromissione della fotocamera del Mac:

La spia della webcam si accende in modo imprevisto

Se l'indicatore luminoso della webcam del Mac si accende, anche la webcam sarà accesa. Se la luce della fotocamera si accende o lampeggia, potrebbe essere a causa di un malfunzionamento hardware o software o di una compromissione.

Noti foto o video sospetti nella cartella della webcam  

Se noti video che non hai registrato o foto che non hai scattato, la tua webcam potrebbe essere stata compromessa. La posizione più probabile per i file multimediali sospetti è la raccolta Photo Booth. Ecco come eseguire un controllo:

• Nel menu Finder seleziona "Vai" e fai clic su "Vai alla cartella"
• Immetti il seguente percorso e fai clic su "Vai": ~/Pictures/Photo Booth Library/Pictures
• Fai clic sulla cartella "Libreria di foto"
• Fai clic sulla cartella "Libreria di foto" e cerca eventuali foto o video che non riconosci

I cybercriminali possono tuttavia archiviare foto e video anche in altre cartelle del Mac. Di conseguenza, anche se non trovi contenuti multimediali sospetti nella cartella Libreria di foto, non puoi avere la certezza che il dispositivo non abbia subito attacchi hacker.

Picchi improvvisi nel traffico di rete  

Se il traffico di rete aumenta in modo imprevisto, è possibile che il feed della tua webcam venga trasmesso in Internet. Per controllare il traffico di rete:

• Nella cartella Applicazioni fai clic su "Utility"
• Avvia Monitoraggio Attività e fai clic sulla scheda "Rete"
• Cerca eventuali attività con un elevato utilizzo di rete sospetto

Ricevi un avviso di estorsione

Dopo aver compromesso la webcam del tuo Mac, i cybercriminali potrebbero inviarti un messaggio e-mail con un avviso di estorsione o lasciarne uno nel dispositivo. In genere richiedono una somma in denaro per non divulgare foto e video registrati. Chiediti innanzi tutto se la tua webcam è davvero stata compromessa. Aspetta prima di rispondere o di pagare la somma richiesta. Spesso i cybercriminali fanno credere agli utenti di essere stati spiati anche se , in realtà, non hanno affatto compromesso la fotocamera.

iCloud può essere violato?

Gli utenti Apple generalmente utilizzano iCloud per il backup dei file importanti. Come la maggior parte dei prodotti Apple, iCloud è considerato molto sicuro ma questo non vuol dire che i singoli account siano immuni agli attacchi hacker. In fin dei conti, per ottenere l'accesso all'account iCloud basta scoprire la password. Alcuni dei modi utilizzati dagli hacker sono:

Attacchi di phishing: vengono creati siti Web di phishing che somigliano a iCloud.com per indurre gli utenti a divulgare i dettagli personali in modo che gli hacker possano poi utilizzarli.

App dannose: Apple prende molto sul serio il malware e dimostra un grande impegno per tenere al sicuro App Store. Ma come per Play Store di Google, le app infette da malware di tanto in tanto riescono a infiltrarsi e possono essere utilizzate per il furto delle password.

Computer compromessi: se usi un account iCloud in dispositivi non Apple, potresti esporti a rischi. I malware sono relativamente rari nei dispositivi Apple, mentre sono più comuni nei dispositivi che eseguono Windows.

Keylogger e Trojan di accesso remoto: possono essere usati entrambi per rubare la password iCloud al momento dell'accesso.

Hotspot Wi-Fi pubblici non criptati: la connessione a una rete Wi-Fi pubblica non criptata implica potenziali rischi per l'account iCloud. Un rischio è rappresentato dagli attacchi man-in-the-middle, in cui gli hacker intercettano la password dopo che è stata immessa nel dispositivo ma prima che raggiunga l'account iCloud. Un altro rischio è il dirottamento della sessione, in cui viene rubato il cookie utilizzato per mantenere l'accesso alla sessione iCloud. Gli hacker possono quindi utilizzare questo cookie per accedere all'account in un altro dispositivo.

Utilizzo delle stesse credenziali di accesso per più account: se in uno dei siti si verifica una violazione dei dati, le credenziali che usi per l'account iCloud saranno accessibili in modo definitivo. Gli hacker possono inoltre usare programmi software per effettuare tentativi ripetuti di violare sia le password iCloud che le domande di sicurezza.

Come capire se iCloud è stato compromesso

In base all'obiettivo dell'attacco hacker, qualcuno potrebbe ottenere l'accesso al tuo account iCloud a tua insaputa. Ecco alcuni segnali a cui prestare attenzione:

• Ricevi un messaggio e-mail da Apple in cui vieni informato che qualcuno ha effettuato l'accesso al tuo account utilizzando un dispositivo sconosciuto o che la password è stata modificata.
• La password non funziona più.
• I dettagli dell'account sono stati modificati.
• Scopri che sono stati effettuati acquisti su iTunes o App Store che non riconosci.
• Il dispositivo Apple è bloccato o è stato messo in Modalità smarrito.

Se temi che iCloud sia stato compromesso, devi:

• Provare ad accedere al tuo account iCloud. Se non è possibile, prova a reimpostare la password o a sbloccare l'account utilizzando le domande di sicurezza.
• Se riesci ad accedere, cambia subito la password. È importante scegliere una password complessa.
• Se hai collegato una carta di credito al tuo account iCloud, bloccala al più presto per impedire ai cybercriminali di effettuare addebiti aggiuntivi.
• Controlla le informazioni associate all'account. Aggiorna tutti i dati che possono essere stati modificati. Rivedi le domande di sicurezza per assicurarti che non siano facilmente indovinabili.
• Se il tuo account iCloud è stato compromesso, il problema potrebbe essere dovuto all'indirizzo e-mail associato. Verifica l'account e-mail per vedere se è stato compromesso e modifica la password, se necessario.
• Se non usi già l'autenticazione a 2 fattori (2FA), configurala subito.

Dato il numero di utenti di iCloud, non sorprende che l'archivio venga preso di mira dagli hacker. È infatti una fonte di preziose informazioni che gli hacker mirano a sottrarre a scopo di lucro.

Come proteggere il Mac dagli hacker

Per ridurre il rischio che il tuo MacBook venga compromesso, ecco alcuni consigli da seguire:

Collega il Mac a un router invece che a un modem a banda larga

Se colleghi il Mac direttamente a un modem a banda larga, il computer riceverà un indirizzo IP pubblico dal modem. Questo lo renderà vulnerabile a scansioni casuali tramite Internet. Collegarlo a un router è un'opzione più sicura perché il router utilizza la traduzione dell'indirizzo di rete per assegnare un indirizzo IP al Mac che può essere raggiunto solo dall'interno della rete domestica.

Usa il criptaggio per evitare che gli hacker accedano alla tua rete wireless

Il criptaggio maschera le trasmissioni wireless come dati spazzatura che possono essere riportati alla forma originale con la chiave ASCII selezionata. La crittografia WPA2 richiede una quantità significativa di tempo, impegno e potenza di elaborazione per individuare la chiave di criptaggio.

Imposta il Mac per il download automatico degli aggiornamenti di sistema

A tale scopo:

• Fai clic sul logo Apple nell'angolo superiore sinistro dello schermo e seleziona "Preferenze di Sistema".
• Nella finestra "Preferenze di Sistema" fai clic sul riquadro App Store.
• Seleziona le caselle "Automatically Check for Updates" (Verifica automaticamente la presenza di aggiornamenti) e "Download Newly Available Updates in the Background" (Scarica i nuovi aggiornamenti disponibili in background).
• Seleziona "Install OS X Updates" (Installa aggiornamenti OS X) per impostare l'installazione automatica degli aggiornamenti. In questo modo ti assicurerai che il computer riceva gli aggiornamenti di sicurezza non appena vengono rilasciati.

Abilita il firewall software integrato nel Mac

Apri il menu "Preferenze di Sistema" e fai clic sull'icona "Sicurezza e privacy" sotto "Personale". Seleziona la scheda "Firewall" nella parte superiore della finestra e fai clic sul pulsante "Start" (Avvia) per abilitare il firewall. Fai clic sul pulsante "Advanced" (Avanzate) per selezionare i programmi e i servizi che desideri consentire tramite firewall.

Usa un account utente con limitazioni anziché un account amministratore

In questo modo impedirai l'installazione automatica del software nel computer senza autorizzazione, operazione per cui sarà invece necessario inserire manualmente la password dell'amministratore.

Segui le best practice di igiene informatica quando utilizzi il Mac

Ad esempio, evita di fare clic sui collegamenti presenti nei messaggi e-mail e leggi recensioni affidabili prima di scaricare software sconosciuti. Quando visiti un sito Web che richiede dettagli sensibili degli account, digita sempre l'URL direttamente nel browser o utilizza un segnalibro. Cerca indicatori di sicurezza come un certificato SSL, in cui l'URL deve riportare HTTPS e non HTTP.

Usa un anti-virus di buona qualità

Un anti-virus robusto e aggiornato per i Mac proteggerà attività di esplorazione, pagamenti, chat e dati con una sicurezza che assicura prestazioni ottimali del Mac. Controllerà inoltre ciascun sito Web visitato per tutelarti dalle cyberminacce come gli attacchi di phishing.

Prodotti correlati:

• Kaspersky Antivirus for Mac

Articoli successivi:

• Confronto tra sicurezza per Mac e PC
• Come rimuovere un virus da un iPhone
• I Mac hanno bisogno di un anti-virus?