Mac bloccati in remoto dagli hacker: c’è un solo modo per difendersi

24 settembre 2017 ore 08:54 | di | 40 commenti

Mac ransom Trova il mio Mac

Se avete attivato Trova il mio Mac sul vostro computer Apple, la funzione che come per l’iPhone permette di localizzare il Mac in caso di smarrimento o furto, e di bloccarlo a distanza, o di inizializzarono, allora è bene che sappiate alcune cose.

Online si legge sempre più spesso di utenti che si sono ritrovati il Mac (che era collegato ad Internet) bloccato su una schermata grigia dove bisogna inserire un codice di blocco che però non si conosce, e un messaggio che chiede un riscatto in denaro per sapere il codice con l’invito a contattare un indirizzo e-mail.

Riavviare il computer non risolve il problema, e non è neppure possibile eseguire l’avvio dalla partizione di recupero o da un’unità esterna per inizializzare l’hard disk. Che cosa è successo?

Un pirata informatico è riuscito a sapere la password del vostro account Apple (ID Apple o icloud.com è la stessa cosa), ha eseguito il login dalla pagina icloud.com/find che non richiede il codice di sblocco previsto dall’autenticazione in due fattori (se precedentemente attivata), ed ha attivato l’opzione “Blocca Mac”, che permette di impostare la “Password firmware”, uno speciale livello di sicurezza che impedisce l’avvio del Mac da una unità esterna o dalla partizione di recupero. Per ottenere il codice di sblocco impostato dal cyber criminale viene richiesto un riscatto in Bitcoin di alcune centinaia di Euro.

Trova il mio Mac Blocca

Naturalmente non conviene pagare perché non è sicuro che il pirata informatico manterrà la promessa di inviarvi il codice di sblocco, e quindi l’unica soluzione è recarsi presso il Genius Bar di un Apple Store (è necessario prenotarsi online) portando con se la ricevuta d’acquisto del Mac, e il personale di Cupertino provvederà ad inizializzare il computer con una speciale procedura, che anche se comporta la cancellazione di tutti i dati, vi permetterà di tornare ad utilizzare il computer.

Come difendersi?

La password del vostro Apple ID può essere scoperta in due modi:

1) Con il brute force, cioè un software che permette di provare tutte le possibili combinazioni di una password, ma Apple da tempo ha preso delle contromisure che rendono quasi impossibile utilizzare questo metodo. Naturalmente, se avete impostato 123456, password o la vostra data di nascita come password per il vostro account, avete facilitato e non poco il lavoro del pirata informatico. Per impostare una password sicura click qui

2) Tramite una “email phishing” con un indirizzo che vi invita a fare click su un link che porta ad una pagina Web di iCloud. Però, osservate la barra degli indirizzi di Safari dell’immagine qui sotto.

Pagina fake iCloud

Ora prestate attenzione alla barra degli indirizzi di Safari di quest’altra schermata.

Pagina vera icloud

Apparentemente le due pagine sono identiche anche nell’URL, ma la prima è falsa, realizzata dall’hacker per rubare le vostre credenziali, ed è facile accorgersi che si tratta di una truffa perché manca l’Extended Validation Certificate, il lucchetto e la scritta Apple Inc a sinistra dell’URL, uno speciale certificato per i siti Web che viene rilasciato solo se una serie di rigorosi criteri di identificazione sono soddisfatti. 

Lo stesso discorso vale anche per la pagina di gestione dell’ID Apple, quella autentica ha sempre l’Extended Validation Certificate.

lExtended Validation Certificate

Approfondimenti: , , ,

Argomento: Mac

Commenti (40)

RSS commenti

  1. Carlo ha detto:

    Ancora una volta questa è la dimostrazione che il pericolo maggiore è l’utente!

    • Power Geek ha detto:

      Però deve essere veramente un utente imbranato. Lo sa anche il mio pesciolino rosso che non bisogna cliccare i link nelle email “sospette”.

      • Alessandro ha detto:

        Intanto, il problema sembra molto diffuso, quindi sono un bene articoli come questi.

      • ender11 ha detto:

        Molti utenti sono giovani oppure, a prescindere dall’età, poco esperti. Sono in molti quelli che si fanno abbindolare dalle email di phising.
        D’altronde se c’è ancora chi si fa fregare dalle email del principe nigeriano che deve trasferire il denaro in Italia…

  2. filippo carlini ha detto:

    Ottimo articolo non tutti sono esperti quindi ben vengano queste notizie,come sempre ottimo lavoro Spider Mac

  3. Andrea ha detto:

    La password firmware si può aggirare rimuovendo e poi reinstallando l’hard disk o la RAM.

    • Stefano Donadio ha detto:

      Per la RAM è vero (se non è saldata). Per l’hard disk, lo puoi sostituire con un altro, ma quello originale rimane inutilizzabile.

      • Andrei Roberto ha detto:

        La rimozione della RAM non risolve il problema. A sto punto basterebbe staccare la corrente e premere il pulsante di avvio ripetutamente, scaricando i condensatori e lasciando la RAM priva di carica (che per la sua natura volatile perderebbe i dati).

        La password del firmware verrà impostata sul chip EFI e l’unico modo fisico per rimuoverla è sostituire il chip con un altro flashato per il modello del Mac posseduto (sui Mac è saldato a differenza di altri computer, ma l’operazione non è complicata per chi se la cava con l’elettronica … poi potrebbe essere riflashato anche direttamente sulla scheda ma non entro nei dettagli). In alternativa, il blocco sul chip EFI è superabile via software attraverso il codice alfanumerico unico che genera tramite una combinazione di tasti che ora non ricordo. Con quel codice rivolgendosi alla Apple è possibile sbloccarlo, previa verifica della legittima proprietà del computer. È anche possibile richiedere il servizio a terzi (AASP o riparatori indipendenti) oppure acquistare il dongle con gli algoritmi di sblocco (attenzione però, quest’ultima soluzione è illegale!).

        L’hard disk non c’entra niente, il blocco via iCloud non lo codifica (purtroppo!). Poi anche se fosse codificato sarebbe utilizzabile, la codifica di un hard disk non ne impedisce il riutilizzo (dopo la formattazione) bensì ne cripta i dati contenuti (con standard algoritmici più o meno forti).

        Gli utenti dovrebbero seguire i tuoi consigli per evitare il problema e per chi invece è stato “colpito” consiglio caldamente di rivolgersi alla Apple. Ai tempi in cui fu introdotta questa funzione io feci una prova, sbloccando poi il mio Macbook. Stranamente però la password è rimasta nell’EFI e dopo quasi 6 mesi quando ho dovuto fare un avvio dalla partizione bootcamp, ho avuto la sorpresa che il firmware era bloccato (e io non ricordavo la password !!) … ovviamente questo fu un bug (che spero abbiano risolto). Mi sono rivolto alla Apple prima di procedere per conto mio, e dopo aver dimostrato loro di essere il legittimo proprietario me l’hanno sbloccato gratis. Gli AASP e i riparatori indipendenti chiedono in media 130-150 euro per questa operazione …

  4. Marco ha detto:

    Se ho già impostato io la mia password del firmware sono protetto?

  5. Tonino ha detto:

    Alla fine possono creare solo un danno: l’HD e la RAM. Certo, è un costo (e una seccatura). Ma se devo scegliere se pagare il riscatto o sostituire l’HD, scelgo sicuramente quest’ultima opzione e poi re-importo i dati da CCC o Time Machine. Oppure non è così semplice?

  6. davide ha detto:

    Tutti i miei amici con computer mac sono impazziti, ho telegram che è incandescente! consigli pure di cambiare tutte le password dei vari siti? siccome alcune sono simili, magari, conviene usarle tutte diverse. in apple store ci hanno detto di non usare app come 1password, ma di tenere tutto dentro il portachiavi di apple ( beh ovvio ) e di cambiare tutte le password di ogni sito, anche se onestamente non so nemmeno come fare. magari eliminando completamente Portachiavi e rifacendolo nuovo?

  7. Roberto ha detto:

    La copia di backup su Time Machine rimane utilizzabile o viene anch’essa compromessa?

  8. Raffaele ha detto:

    Quindi quando accade si presuppone che non si riesce più ad accedere ad iCloud… Se invece si riesce ad accedere non si può resettare il codice di sblocco?

    • Stefano Donadio ha detto:

      Se hai impostato l’autenticazione a due fattori, l’hacker non è in grado di accedere alle Impostazioni di icloud.com e quindi a modificare la password dell’account.

      Sapendo la password, l’hacker può accedere solo alla speciale pagina Trova il mio iPhone/Mac che ha questo particolare indirizzo: icloud.com/find

  9. Massimiliano ha detto:

    Lo stesso può accadere con l’iPhone?

    • Stefano Donadio ha detto:

      No. Attivando la “Modalità smarrito” l’iPhone viene bloccato con il codice di blocco impostato dall’utente al momento della configurazione del telefono.

      Solo se l’iPhone non ha il codice di blocco, allora attivando la “Modalità smarrito” verrà richiesto di digitarne uno in remoto.

  10. powertheking ha detto:

    Purtroppo non riesco ad inserire gli screenshot nei commenti ma volevo segnalare che accedendo a https://www.icloud.com/#find appena effettuato l’accesso mi è arrivata una notifica sull’iPhone (con iOs 11) che diceva che il mio id era stato utilizzato per accedere ad icloud nei pressi di (località). Aprendo la notifica compare la schermata di accesso all’id Apple da cui si può selezionare “consenti” o “non consentire”. Facendo consenti ti dice di inserire il codice che compare nel dispositivo da cui vuoi accedere (autenticazione in 2 passaggi) ma questo non sortisce effetti sulla pagina di find my iphone su icloud in cui si sta navigando. Invece selezionando “non consentire” ti manda alla procedura per cambiare la password di icloud.
    Quindi insomma… anche se sarebbe meglio poter bloccare subito l’accesso non avviene proprio tutto a nostra insaputa, almeno per chi utilizza iphone.

  11. Icio ha detto:

    ma scusa, allora disabilito Trova il mio Mac e risolvo il problema, al limite uso altri programmi come Undercover o Prey, giusto?

  12. soloun2014 ha detto:

    Il problema rimane anche ripristinando da Carbon Copy Cloner su un Hd non collegato ?

  13. Gabriele ha detto:

    Stefano, ho notato che, se apro icloud.com, non appare più il lucchetto verde con la scritta Apple Inc. ma il semplice lucchetto grigio. Mi succede anche con altri siti, non vedo mai il lucchetto verde. Cosa può voler dire?

  14. Antonio P ha detto:

    Grazie. Una piccola domana. Perchè mamma Apple non taglia la testa al toro e mette l’autenticazione a due fattori anche alla pagina indubbiamente pericolosa.

  15. Enrico ha detto:

    Ciao a tutti,
    la password EFI purtroppo (o per fortuna) non si può eliminare in autonomia, togliere disco o ram nn serve a niente. Per i dati invece non ci sono problemi (non so se è perché AppleStore inizializzi, non è necessario)!
    Lo sblocco ad ogni modo è possibile anche presso qualsiasi centro di assistenza autorizzato, fattura di acquisto obbligatorio!

    • Titans ha detto:

      Veramente io avevo il computer bloccato (MacBook late 2009) da luglio perché l’Apple Store più vicino ce l’ho a 150km e al Medstore volevano 80€… con il sistema della RAM ho risolto! Anche se il blocco in qualche modo era rimasto, ho risolto accedendo al DVD di recupero, cambiando la password del firmware, inizializzando il disco, e reinstallando Snow Leopard

  16. Emanuele ha detto:

    Ma non sarebbe meglio evitare di usare queste funzionalità automatiche come il “trova il mio mac” e fare attenzione fisicamente al nostro mac?

    La mania per questi automatismi non fa che spostare il problema dell’attenzione aumentando solo l’ansia. Abbiamo il coraggio di dire che certe volte ci propinano solo inutili e dannose funzionalità

    • Stefano Donadio ha detto:

      “Trova il mio Mac” non è altro che un antifurto satellitare, e francamente mi sembra eccessivo definirlo “inutile e dannoso”, anche perchè si può scegliere di non attivarlo/utilizzarlo.

Aggiungi un commento