Nel mondo del cyber crimine, le metodologie per raggirare gli utenti evolvono a ritmi preoccupanti. Una recente indagine condotta dagli esperti dell'azienda di sicurezza informatica Catalyst ha portato alla luce un fenomeno inquietante: le "iPhone farms", vere e proprie batterie di dispositivi Apple utilizzate per inviare oltre 100.000 messaggi fraudolenti al giorno attraverso iMessage. Questi sistemi, controllati principalmente da gruppi criminali cinesi, stanno rivoluzionando il mercato delle truffe digitali, rendendo quasi impossibile il filtraggio automatico dei tentativi di phishing.
La particolarità di questa nuova strategia risiede nell'utilizzo strategico di iMessage anziché degli SMS tradizionali. Il servizio di messaggistica proprietario di Apple, grazie alla crittografia end-to-end, impedisce ai gestori telefonici di analizzare i contenuti trasmessi, annullando l'efficacia dei tradizionali filtri anti-spam. Questo vantaggio tecnico viene sfruttato dal gruppo criminale XinXin, che ha sviluppato Lucid, una sofisticata piattaforma di Phishing-as-a-Service (PhAAS).
Lucid non è solo uno strumento per inviare messaggi indesiderati, ma un ecosistema completo per la frode digitale. Gli utenti malintenzionati che si abbonano al servizio ottengono accesso a template professionali che replicano siti web di aziende legittime, particolarmente focalizzati su servizi postali, aziende di corrieri espresso, sistemi di pedaggio stradale e agenzie per rimborsi fiscali. Si tratta di un business strutturato che consente a chiunque, anche senza competenze tecniche, di orchestrare campagne di phishing su vasta scala.
La diffusione di questo servizio criminale è testimoniata dai numeri: un gruppo Telegram dedicato alla vendita di attacchi PhAAS conta oltre 2.000 membri attivi, segno della domanda crescente per questo tipo di strumenti fraudolenti.
Le truffe più comuni perpetrate attraverso questi sistemi includono false richieste di pagamento per pedaggi stradali non versati, presunti costi di spedizione necessari per sbloccare pacchi di valore trattenuti dalla dogana, e avvisi fittizi relativi a tasse non pagate. Il comune denominatore è sempre lo stesso: creare un senso di urgenza nella vittima, spingendola ad agire rapidamente senza verificare l'autenticità della richiesta.
La piattaforma Lucid, secondo quanto riportato dai ricercatori, ha già preso di mira 169 entità in 88 Paesi in tutto il mondo. Il modello scalabile basato su abbonamento consente ai criminali informatici di condurre campagne di phishing su larga scala, finalizzate principalmente all'acquisizione di dati di carte di credito per frodi finanziarie. L'efficacia di questi attacchi è notevolmente amplificata dall'uso combinato di iMessage di Apple e della tecnologia RCS di Android, che aggirano i filtri anti-spam tradizionali, aumentando significativamente i tassi di consegna e successo.
La principale difesa contro questi attacchi sofisticati rimane la prudenza: non cliccare mai su link ricevuti via email o messaggio, indipendentemente da quanto possano sembrare autentici. Utilizzare sempre i propri segnalibri per accedere ai servizi online o digitare manualmente URL conosciuti è la pratica più sicura per evitare di cadere in trappola.
È fondamentale ricordare che la falsificazione dell'identità del mittente è estremamente semplice nel mondo digitale. Per questo motivo, è necessario essere particolarmente sospettosi di fronte a messaggi che invitano ad agire rapidamente per evitare sanzioni o la restituzione di pacchi al mittente. Questi elementi di pressione psicologica sono tipicamente utilizzati dai truffatori per indurre decisioni affrettate.