Apple ha reso più sicura l’autenticazione a due fattori tramite SMS, così da proteggere gli utenti da eventuali tentativi di phishing.
Quando ad esempio tentavi di accedere al tuo ID Apple da un dispositivo ancora sconosciuto, in precedenza Apple inviava un messaggio come questo:
Il tuo codice ID Apple è 123456. Non condividerlo con nessuno.
A partire da qualche settimana, i codici appaiono in questo formato:
Il tuo codice ID Apple è: 123456. Non condividerlo con nessuno. @apple.com #123456 %apple.com
Apple è quindi passata da un semplice codice di verifica SMS, a uno che fornisce una protezione aggiuntiva contro il phishing. In pratica, adesso il messaggio in arrivo fornisce un dominio di destinazione e altri dati rispetto agli SMS più semplici inviati in passato. Questa modifica migliora l’integrità dei sistemi operativi quando viene offerta la compilazione automatica del codice tramite un suggerimento nella barra QuickType in iOS e iPadOS, oltre che su macOS.
Apple ha presentato questa modifica come un modo per scoraggiare il phishing quando si tenta di intercettare e reindirizzare i codici di verifica. Nella maggior parte degli attacchi di phishing, la vittima viene indirizzata a un sito fasullo che chiede loro di inserire le proprie credenziali. Il sito prende tali credenziali e le inoltra silenziosamente per accedere al sito legittimo. Alcuni aggressori preferiscono però l’autenticazione a due fattori. Se il sito invia un codice via SMS come metodo predefinito, la vittima riceve un SMS con il codice. Il malintenzionato richiederà quindi quel codice per poi poter accedere al reale account della vittima.
iOS, iPadOS e macOS offrono la compilazione automatica dei codici ricevuti via SMS, e questo rendeva troppo facile la vita per i truffatori. Tuttavia, con il nuovo tipo di messaggio ideato da Apple, i sistemi operativi a partire da iOS 15, iPadOS 15 e macOS 11 Big Sur offrono la compilazione automatica solo sui siti che corrispondono al nome di dominio. La sicurezza non è perfetta, ma viene rafforzata sensibilmente.
L’arma migliore per difendersi rimane quella di non fornire codici a siti di dubbia provenienza.