Arriva nella casella email con il logo di iCloud, il tono formale delle comunicazioni Apple e un messaggio che punta dritto all’istinto: lo spazio di archiviazione è esaurito, i backup sono bloccati, le foto verranno eliminate. In alcuni casi l’oggetto recita semplicemente “Pagamento Rifiutato!” e il corpo del messaggio avvisa che il metodo di pagamento è scaduto e il cloud è stato disabilitato. Il finale è sempre lo stesso: un pulsante, un link, la richiesta di inserire i dati. Ed è lì che inizia il problema.
Una nuova campagna di phishing sta colpendo gli utenti iCloud in modo capillare. L’allarme è stato segnalato dal Guardian e poi rimbalzato su media di tutta Europa: i criminali informatici hanno affinato le tecniche al punto da rendere queste email indistinguibili, a un primo sguardo, dalle comunicazioni ufficiali di Apple. Logo autentico, grafica coerente, tono professionale: tutto è stato replicato con cura. Eppure, a guardare bene, i segnali ci sono.
Come funziona la truffa, passo dopo passo
Lo schema segue una progressione precisa. L’utente riceve una prima email in cui viene segnalato che lo spazio iCloud è quasi esaurito. Il messaggio è allarmante ma non ancora catastrofico: si parla di backup a rischio, di impossibilità di salvare nuovi contenuti, di un intervento necessario a breve. Poco dopo può arrivare un secondo messaggio, più pressante. Qui compaiono formule come “Il tuo account è stato Bloccato!”, “Ultimo avviso: tutte le tue foto e video saranno eliminati oggi!“, “Il tuo Cloud è stato Disabilitato.” L’obiettivo è generare panico e spingere l’utente ad agire senza pensare.
Cliccando sul pulsante presente nell’email, la vittima viene indirizzata a una pagina che imita quella ufficiale Apple con una fedeltà visiva capace di ingannare anche chi usa il servizio da anni. Qui viene richiesto di inserire i dati della carta di credito per acquistare spazio aggiuntivo o aggiornare il metodo di pagamento. A volte viene chiesto anche l’Apple ID e la password, accompagnati dal codice di autenticazione a due fattori. Una volta forniti, quei dati finiscono direttamente nelle mani dei cybercriminali, che possono accedere all’account, scaricare foto e documenti, bloccare l’utente fuori dal proprio profilo e svuotare i metodi di pagamento collegati.
La truffa funziona perché si inserisce in un contesto reale: moltissimi utenti ricevono regolarmente notifiche legittime da Apple quando lo spazio iCloud è pieno. La somiglianza con le comunicazioni autentiche abbassa la guardia.
Carta di credito: attenzione al phishing
I segnali che tradiscono l’inganno
Nonostante la cura nella costruzione del messaggio, esistono dettagli che permettono di identificare il phishing prima che sia troppo tardi. Il primo da controllare è sempre l’indirizzo email del mittente: le comunicazioni ufficiali Apple provengono esclusivamente da domini come @apple.com o @email.apple.com. I messaggi fraudolenti usano indirizzi grotteschi, con domini lunghi, casuali, spesso con estensioni straniere. In un caso documentato il mittente risultava essere legato ad un dominio assolutamente e visibilmente falso, senza alcun elemento riconducibile ad Apple, ma il logo in testa all’email faceva il suo lavoro.
Il secondo segnale è il tono di urgenza estrema: frasi come “eliminati oggi”, “ultimo avviso”, “account bloccato” non corrispondono al registro comunicativo di Apple, che non usa questo tipo di pressione nelle sue notifiche. Il terzo, spesso sottovalutato, è la genericità del saluto: le comunicazioni legittime includono il nome dell’utente, quelle fraudolente usano formule come “Gentile utente” o “Caro cliente”. Il quarto è la presenza di errori grammaticali o frasi che suonano come traduzioni automatiche, anche minimi, in testi che si presentano come ufficiali.
Un elemento che caratterizza alcune varianti recenti della truffa è la presenza di siti intermedi apparentemente legittimi: il link nell’email non porta direttamente a una pagina falsa, ma transita attraverso piattaforme reali usate come copertura, rendendo il percorso ancora più difficile da riconoscere.
Cosa fare se si è già cliccato
Chi ha già fornito dati personali o bancari attraverso uno di questi link deve agire senza ritardi. Il primo passo è cambiare immediatamente la password dell’Apple ID dal sito ufficiale di supporto Apple, accedendovi manualmente dal browser senza usare alcun link ricevuto via email. Il secondo è contattare la propria banca per segnalare l’accaduto e bloccare eventuali transazioni non autorizzate. Il terzo è attivare l’autenticazione a due fattori sull’account Apple, se non è già abilitata, e modificare le password di altri account che condividono le stesse credenziali.16
Le email sospette possono essere segnalate direttamente ad Apple all’indirizzo reportphishing@apple.com. La regola d’oro, valida per ogni comunicazione che genera urgenza e richiede dati sensibili, resta una sola: Apple non chiede mai di inserire informazioni di pagamento tramite email. Se arriva una notifica di questo tipo, la cosa più sicura è aprire manualmente il sito o le impostazioni del dispositivo e verificare lo stato dell’account da lì, ignorando qualsiasi link nel messaggio.
