I sistemi di accesso ai servizi on line diventano sempre più sicuri. Ormai le cifrature delle password hanno una complessità tale da richiedere milioni di anni per essere scardinati. Gli unici due elementi più efficaci da parte degli hacker sono due:
- Usare una password facile e banale, come “password” oppure “123456”.
- Cadere nel fenomeno del phishing, vale a dire credere di essere in un sito vero, ma in realtà cedere i propri dati a dei malfattori.
In effetti la via più facile per aprire una cassaforte è farsi dare il codice di accesso. Un problema che diventa sempre più reale, considerando che gli hacker stanno imparando a trarci in inganno.
Per esempio il ricercatore Jan Soucek di Ernst and Young ha realizzato un sistema di phishing demo, per evidenziare la presenza di un bug in Mail di iOS.
Il sistema funziona con il classico invio di una email di phishing. In questo caso, però, non c’è un link da cliccare per finire in un falso sito. L’email, una volta aperta, riesce a richiamare del codice HTML e CSS dall’esterno facendo apparire al centro del messaggio, il cui fondo si scurisce all’occorrenza, un pop-up che imita quello di immissione della password di iCloud.
Se di solito usate il Touch ID forse siete più a sicuro, ma è anche vero che appena appare quel banner, in tante altre occasioni, siamo spinti subito ad immettere nome utente e password.
Ora, di solito quando il pop-up originale appare ha già il nome utente immesso nel campo di login, mentre nel finto pop-up vi viene chiesto l’inserimento anche di quel valore. Al momento questo è l’elemento principale per distinguere il falso dall’originale.
Apple dovrebbe colmare il bug molto presto, per evitare l’uso di questa tecnica. Nel dubbio fate attenzione quando vi vengono chiesti i dati di iCloud.