Phishing evoluto contro Apple ID: caso finto, email autentica e la trappola del codice

Una sofisticata operazione di phishing, al momento segnalata negli Stati Uniti, sta imitando in modo convincente il supporto clienti Apple e spingendo molti utenti a credere che i propri account siano sotto attacco. Il meccanismo sfrutta elementi genuini dell’ecosistema Apple: notifiche autentiche, telefonate sincronizzate al millisecondo, email reali di apertura caso e perfino un portale web con certificato valido. L’obiettivo è sottrarre il codice 2FA e prendere il controllo dell’Apple ID.

La storia viene raccontata direttamente dalla vittima, Eric Moret, su Medium: tutto inizia con una raffica di avvisi di autenticazione a due fattori su iPhone, iPad e Mac. Sono notifiche legittime, provenienti dai server Apple, e creano immediatamente la sensazione di un tentativo d’intrusione in corso. Pochi istanti dopo arriva una chiamata automatica che detta un ulteriore codice di verifica: un tempismo così preciso che sembra confermare l’esistenza di un intervento coordinato da parte dell’azienda.

A seguire, un numero di Atlanta contatta l’utente. Il primo interlocutore, con tono controllato e professionale, si presenta come addetto del supporto e annuncia il passaggio di consegne a un collega. La seconda telefonata coincide con l’arrivo di una vera email di apertura caso da dominio Apple, un elemento che rende la messinscena particolarmente difficile da riconoscere, poiché tutto sembra allineato ai protocolli ufficiali.

L’operatore guida quindi l’utente nel reset della password direttamente dalle Impostazioni, senza mai chiedere codici o dati sensibili. È un dettaglio che rafforza ulteriormente l’illusione di trovarsi davanti a un flusso di assistenza autentico, dove nulla appare fuori posto o eccessivamente pressante.

La svolta arriva con un SMS contenente un link al sito “appealle.com”. Il portale espone un certificato valido, accetta il numero reale della pratica e mostra aggiornamenti plausibili in un’interfaccia che richiama un ambiente interno aziendale. L’aspetto è talmente curato da sembrare un vero strumento Apple. L’ultimo passaggio è la richiesta del classico codice a sei cifre. Nel medesimo istante l’utente riceve un vero SMS di verifica Apple: la simultaneità trasforma la pagina fasulla nell’anello “logico” della procedura.

Convinto di completare una pratica di sicurezza, l’utente inserisce il codice sul sito, consegnando di fatto l’account agli aggressori. Pochi secondi dopo arriva l’email di accesso da un Mac mini sconosciuto, spiegato al telefono come un passaggio previsto.

A questo punto Moret si insospettisce e reimposta nuovamente la password dalle Impostazioni. La chiamata si interrompe bruscamente, il Mac mini sparisce dall’elenco dei dispositivi e il sito di phishing reindirizza a Google, segno che la finestra operativa del gruppo si è chiusa, questa volta senza successo.

L’episodio mostra quanto sia sottile il confine tra un flusso di sicurezza legittimo e una messa in scena credibile. L’efficacia dell’attacco non dipende da tecniche particolarmente avanzate, ma dal tempismo e dall’uso sistematico di segnali autentici dell’ecosistema Apple: notifiche vere, email genuine, toni pacati che lasciano che siano i meccanismi ufficiali a costruire fiducia.

Resta un punto cruciale: la 2FA funziona, ma basta digitare il codice nel contesto sbagliato per vanificarla. Per questo è fondamentale non affidarsi a chiamate inattese, anche quando sembrano coerenti con notifiche reali. La procedura più sicura è aprire autonomamente una pratica dall’app Supporto Apple o dal sito ufficiale, sottraendo al telefono qualunque margine di manipolazione.

È altrettanto importante verificare sempre il dominio, che deve terminare in apple.com. Il lucchetto del certificato non basta: un sito può essere tecnicamente “sicuro” e al tempo stesso fraudolento, soprattutto quando richiede inserimenti sensibili come il codice 2FA. In caso di avvisi di accesso sconosciuto, intervenire immediatamente può bloccare l’escalation. Le chiavi di sicurezza fisiche, infine, aggiungono una barriera che non può essere bypassata da un sito falso, rendendo molto più difficile la riuscita di attacchi di questo tipo.