Il Push Bombing sta mandando in tilt diversi dispositivi Apple. La sicurezza installata, e in continuo aggiornamento, all’interno di iPhone, Mac e iPad sta cercando di arginare la minaccia, ma non sempre riesce nell’intento. Ma facciamo un passo indietro: cos’è il Push Bombing? Anche se il termine inglese può suonare distante, si parla in realtà di una condizione che potrebbe coinvolgere il dispositivo Apple di potenzialmente chiunque. Si tratta di ricevere decine su decine di notifiche di sistema che richiedono, insistentemente, di cambiare password.
Il tranello però è dietro l’angolo, perché le notifiche non possono essere sorvolate. Se si vuole riprende una normale navigazione sul proprio device si dovrà scegliere se cliccare su “Consenti” o su “Non consentire”. La raccomandazione, quando ci si trova “bombardati” da avvisi di reimpostazione di determinati codici di sicurezza (come ad esempio quello per l’accesso alla Mail) è quella di non fornire il consenso di svolgere alcun tipo di modifica. Tuttavia, cadere nel tranello, potrebbe essere più facile di quanto si possa credere.
A fornire diretta testimonianza di Push Bombing ci ha pensato Parth Patel, imprenditore nell’ambito dell’IA generativa, che ha voluto condividere su X (ex Twitter) ogni singolo passaggio della ben escogitata truffa. Per sua fortuna, e furbizia, Patel è riuscito a sfuggire al meticoloso inganno, denunciando poi l’accaduto sui social, mettendo in guardia gli utenti. Stando a quanto sostenuto da Parth, gli impostori avrebbero reperito i suoi dati su piattaforme usate nel quotidiano, come sui social media e sul web, nonché potenziali “forzieri di informazioni personali” per chi vorrebbe lucrarci sopra.
Il telefono dello sfortunato protagonista è andato nel pallone. Nonostante abbia sempre premuto sulla scritta “Non consentire”, a Patel sono arrivate circa 100 notifiche di reimpostazione password. Un’anomalia che non si è fermata qui. Se il piano “A” non è riuscito, ecco subentrare quello “B”. L’uomo è stato poi chiamato da un presunto supporto Apple. Perché “presunto”? Gli attaccanti, astutamente, sono riusciti a replicare (quasi) alla perfezione un numero di telefono che fosse riconducibile all’azienda statunitense di cui Parth è cliente, con l’obiettivo di sottrargli più info possibili.
Accesso alla mail, numero di telefono e dati sensibili. La truffa sembrava essere ad un passo dal compimento fin quando l’utente contattato si è mostrato insospettito da un aspetto. Gli era stato chiesto di condividere con il presunto operatore il codice monouso OTP. Patel, però, conoscendo la regola non scritta del “mai condividere la cifra dell’OTP” ha capito che stava rischiando di essere frodato. Avesse abboccato avrebbe perso tutto: dati, foto, file. Tutto in frantumi. La raccomandazione, l’ennesima nelle ultime settimane, è quella di prestare massima attenzione nel fornire eventuali consenti, specialmente laddove si ricevono telefonate allarmanti, Mail/Sms sospetti o, come nel caso di Patel, continue richieste di aggiornamento di codici di sicurezza.