Questa settimana voglio presentarvi cosa accade se uno scammer, di qualsiasi livello e foggia, entra in possesso del nostro account iTunes e di come Apple gestisca questo genere di imprevisti.
I requisiti sono:
- un account iTunes registrato a nostro nome
- una carta di credito (preferibilmente ricaricabile) sempre a nostro nome
- un sistema di SMS alert che ne riporta gli acquisti effettuati
- un sito di phishing, un computer infetto o semplicemente una password stupida dell’account iTunes
- un utente cinese (o equivalente) che volteggia sul nostro account per carpirne username e password
Funzionamento:
All’indirizzo http://myinfo.apple.com/ è possibile accedere al proprio account e modificare totalmente i dati immessi.
Questo significa che una volta inserita la password corretta è possibile:
- cambiare ID Apple/login nel sistema (che comunemente coincide con la mail di riferimento)
- cambiare l’email di riferimento
- cambiare le generalità (nome, cognome), l’indirizzo e la data di nascita
- cambiare il numero di telefono
- cambiare la domanda segreta
Questo significa che uno scammer a conoscenza dei nostri username e password di accesso può “plasmare” a suo piacimento i dati del nostro account, rendendoli praticamente irrintracciabili senza l’aiuto del customer care.
Tutto inizia quando il sistema di SMS alert ci avverte di un acquisto, presso iTunes Euro Luxembourg, di circa 1 euro di applicazioni o canzoni che non abbiamo effettivamente eseguito: ci siamo, è lo scammer che sta verificando se i dati immessi sono ancora validi e se effettivamente l’account è buono.
Superata questa fase, il manigoldo si attiva e porta a termine la seguente procedura:
- esegue il login nella pagina di modifica dell’account (dal sito http://myinfo.apple.com)
- modifica login, password e mail di riferimento secondo i propri gusti
- modifica le generalità del proprietario (nome, cognome, indirizzo) per renderlo non rintracciabile dal customer care e dai sistemi di recupero password
- mette la lingua in cinese (o equivalente) per complicare ulteriormente le cose, guadagnando tempo prezioso per piazzare le Gift Card rubate
- torna su iTunes con username e password precedentemente scelti
- compra quante più Gift Card possibili prima che la carta di credito vada in blocco (o venga bloccata da noi)
- torna su http://myinfo.apple.com, cancella tutti i dati e abbandona l’account nell’oblio
Questo processo in una manciata di minuti ci può far trovare in questa situazione:
- un iPhone che, se prova a fare il login nell’account iTunes/App Store, risponde con ideogrammi cinesi d’errore
- l’impossibilità di recuperare l’account da questo link perché tutti i meccanismi di recupero sono compromessi (generalità e mail)
- l’impossibilità di accedere al proprio storico ordini
- la perdita fin quando il customer care non ne viene a capo di tutte le app comprate e installate (nel caso si colleghi l’iPhone al computer per aggiornarlo)
- l’impossibilità di conoscere con esattezza l’entità del denaro sottratto e il numero di ordini in attesa di essere pagati (perché inviati ad una mail fittizia)
Serve ovviamente un tempestivo blocco della carta di credito (preferibilmente quando si pensa di aver raggiunto l’importo desiderato tramite gli SMS di avviso) e l’abilità nel parlare con il supporto Apple che risponde (rigorosamente via posta elettronica) in un inglese piuttosto stentato e poco chiaro.
Come si conclude la procedura?
- innanzitutto occorre intrattenersi con un secondo operatore del customer care e spiegargli che il nostro account adesso parla cinese e non ci riconosce più
- farsi riattivare l’account (ma questa fase ancora non l’ho superata), nella lingua giusta e soprattutto con le generalità corrette
- tornare ad intrattenersi con il primo operatore del settore “Billing” e scoprire l’entità degli ordini portati a segno dallo scammer (compresi quelli non andati a buon fine)
- concordare con lui il pagamento tramite Gift Card delle fatture pendenti, denaro che ci verrebbe successivamente rimborsato e messo “a credito” sul nostro account
…Per i più audaci c’è anche la possibilità di guadagnarci, o quantomeno coprire le spese sostenute per farsi ridare una nuova carta di credito.
Si tratta infatti di acquistare delle Gift Card sul “mercato nero”, ovvero quei numeri di serie spediti soltanto per posta elettronica che offrono un controvalore superiore all’importo effettivamente pagato, ma trattandosi di un’azione illegale (e che spesso porta al ban del proprio account iTunes) il gioco difficilmente vale la candela.
Voglio quindi mettere in guardia tutti coloro che, per pigrizia o per negligenza, hanno lo username dell’account iTunes analogo alla propria casella di posta elettronica e una password che (dovendo essere digitata tramite cellulare) è troppo corta e troppo poco sicura.
Il rischio è di ritrovarsi a dover rifare la carta di credito, combattere con il customer care Apple e dover anticipare dei soldi che qualcuno ci ha rubato dall’altra parte del mondo.
…Chiudo con una domanda: è possibile che il più grande negozio di musica al mondo abbia una gestione degli account così poco intelligente? Oppure, oltre all’ID Apple, mi sono perso qualcos’altro?