Passa ai contenuti principali

Mai rubare l’iPhone alla fidanzata di un hacker. La gang che rivendeva smartphone rubati smantellata grazie a un ricercatore di sicurezza

Un furto di smartphone avvenuto a Barcellona si è trasformato in un’indagine tech che ha portato alla luce — e al collasso parziale — di una complessa rete internazionale che rubava telefoni, li inviava all’estero e poi cercava di “sbloccarli” con truffe mirate per depredare la vita digitale delle vittime. La vicenda è emersa dopo che il ricercatore di sicurezza Martín Vigo ha scoperto SMS e siti fraudolenti collegati al furto del cellulare della sua compagna e ha documentato le tecniche usate dagli autori; la sua analisi si è incrociata con un’operazione congiunta di polizia che ha portato a diversi arresti in Spagna e in paesi latinoamericani.

Come funzionava l’organizzazione (passo-passo)
- Sottrazione: i telefoni venivano rubati (idealmente sbloccati, ma anche bloccati possono essere preziosi) in contesti affollati come concerti.

- Messa fuori rintraccio: i dispositivi spesso vengono isolati (es. avvolti in foglio metallico) per bloccare il segnale GPS e poi accumulati in “depositi” prima di essere spediti all’estero (Marocco, Cina e altre destinazioni citate). Questo evita che gli operatori europei li inseriscano in liste nere basate su IMEI.

- Phishing mirato per sbloccare: gli investigatori hanno ricostruito una campagna massiva di SMS fraudolenti che imitavano avvisi di Apple (o messaggi «Find My») e contenevano link con un identificatore univoco per ogni telefono: il primo clic consentiva ai criminali di capire quale vittima avesse reagito; un secondo SMS rimandava a una copia perfetta del sito iCloud dove veniva chiesto il PIN o le credenziali. Una volta ottenuto il PIN (o le credenziali), si poteva cambiare la password Apple, rimuovere le informazioni biometriche dell’utente e aggiungere le proprie per accedere ad app bancarie o wallet.

Le dimensioni dell’operazione e gli arresti
Secondo le autorità e gli approfondimenti giornalistici, l’operazione — coordinata tra forze di polizia in Spagna e in diversi paesi dell’America Latina — ha comportato decine di perquisizioni e l’arresto di soggetti collegati alla piattaforma di phishing. Europol e media specializzati riferiscono di centinaia di migliaia di vittime coinvolte nelle attività collegate alla piattaforma e di centinaia di dispositivi e altri materiali sequestrati durante i blitz. I numeri citati nella ricostruzione includono centinaia di migliaia di vittime intercettate e una piattaforma che avrebbe utilizzato migliaia di siti fasulli per automatizzare l’inganno.

Dettagli tecnici
- Link con identificatore: la tecnica sfrutta link con ID univoci per correlare il comportamento della vittima al dispositivo rubato e quindi indirizzare l’azione del singolo criminale che detiene quel telefono. Questo è il dettaglio che ha permesso a ricercatori come Vigo di mappare la catena.

- Il PIN come chiave master: il PIN del dispositivo (o i codici di sblocco) sono determinanti perché permettono di reimpostare credenziali o aggiungere nuovi metodi biometrici. Per questo gli attaccanti puntano a sottrarre proprio quei numeri.

- “Sblocco hardware” e cambio IMEI: se non è possibile accedere con credenziali/PIN, molti dispositivi vengono comunque inviati in mercati dove è possibile smontarli, sostituire componenti o manipolare l’IMEI per rimetterli in circolazione — una catena che richiede competenze hardware e un mercato nero già consolidato.

Cosa dicono le autorità e quali numeri circolano
Le comunicazioni ufficiali (e le ricostruzioni giornalistiche) parlano di un’operazione transnazionale che ha portato a decine di arresti in più paesi e al sequestro di centinaia di dispositivi, server e materiale connesso alle attività fraudolente; alcune fonti parlano di centinaia di migliaia di vittime che hanno ricevuto SMS di recupero e di milioni di tentativi di sblocco attraverso migliaia di siti falsi. È importante notare che i numeri (vittime, dispositivi “sbloccati”, siti falsi) vengono forniti da diverse indagini e comunicati e possono variare per ambito e definizione.

Perché certe giurisdizioni facilitano il riciclaggio dei dispositivi
In Europa gli operatori condividono blacklist IMEI che rendono difficile rimettere in funzione un telefono rubato; quando i telefoni vengono spediti in paesi dove non esistono questi meccanismi condivisi, o dove esistono laboratori che possono alterare l’IMEI, il valore sul mercato nero torna ad alzarsi. Questo spiega la scelta delle rotte internazionali dei criminali.

Cosa può fare chi subisce il furto (checklist rapida)
  1. Denuncia immediata alla polizia locale: serve anche per eventuali iter assicurativi.
  2. Contattare l’operatore mobile e chiedere il blocco/blacklist dell’IMEI e la sospensione della SIM.
  3. Cambiare subito la password Apple ID e tutte le credenziali collegate (e disconnettere dispositivi da iCloud se possibile). Apple fornisce informazioni su Activation Lock e su come usare i servizi di iCloud/Find My per mitigare i danni. 
  4. Attivare l’autenticazione a due fattori (preferibilmente con app di autenticazione o chiavi hardware, non con SMS quando possibile).
  5. Segnalare l’evento alla banca e revocare eventuali carte salvate nel wallet; monitorare movimenti sospetti.
  6. Non cliccare mai link ricevuti via SMS che promettono la localizzazione o il recupero del telefono: rivolgersi sempre ai canali ufficiali del produttore o dell’operatore.
Implicazioni per la sicurezza e per le policy
Questa vicenda ribadisce alcuni punti chiave: le misure anti-furto integrate nei dispositivi (Activation Lock, Find My) funzionano ma possono essere aggirate se la vittima fornisce volontariamente credenziali o il PIN; la criminalità si è professionalizzata e ha creato “servizi” (phishing-as-a-service) che scalano l’inganno; e infine che la lotta a questo fenomeno richiede cooperazione transnazionale tra forze dell’ordine, operatori di telefonia e produttori hardware/software. Le operazioni recenti coordinate da Europol e partner mostrano però che la cooperazione può colpire efficacemente queste reti.

Se gestite incident response per utenti o clienti, tenete in conto la catena completa: furto fisico → comunicazione via SMS/telefono → phishing per credenziali/PIN → escalation verso bancarie/servizi. Preparare playbook che includano azioni immediate (revoca sessioni, reset credenziali, comunicazione a fornitori terzi) e checklist legali/forensi è ormai imprescindibile. L’analisi di casi come quello documentato da Martín Vigo è una miniera di indicatori (domini, URL, pattern di SMS, artefatti server) da integrare nei canali di threat-intelligence.

Il “giorno dopo” di un furto di smartphone può essere molto più grave del furto materiale: la porta d’ingresso alla vita digitale apre la strada a frodi, ricatti e furti d’identità. La storia partita dal furto dell’iPhone alla fidanzata di un ricercatore mostra come competenze tecniche, attenzione e collaborazione internazionale possano smantellare pezzi di queste reti; ma è anche un monito: la prevenzione (PIN, 2FA, attenzione ai link) e procedure chiare per rispondere a un furto rimangono la miglior difesa.
Tag:

Commenti

Posta un commento

Popolari

CTF, talento e gioco di squadra. Il Team Italy pronto alla sfida europea

A Torino è stata presentata la squadra nazionale italiana di cybersicurezza, il Team Italy 2025-2026, composta da dieci studenti selezionati tra licei, istituti tecnici e università chiamati a rappresentare l’Italia nelle prossime competizioni nazionali e internazionali. La squadra parteciperà, a ottobre, allo European Cybersecurity Challenge che si terrà a Varsavia: una vetrina importante dove i giovani talenti mettono alla prova tecniche di difesa e attacco in scenari simulati e controllati. Alla base della preparazione c’è un approccio pratico e collettivo: training e addestramento gratuiti organizzati dal Cybersecurity National Lab del CINI, che trasformano il gioco in formazione concreta per professionisti di domani. Questo percorso mostra come il mondo delle CTF (capture the flag) non sia solo svago ma una palestra fondamentale per allenare competenze applicabili alla protezione di infrastrutture strategiche come ospedali, scuole e aeroporti. Le CTF vanno celebrate: offrono scena...
Posta un commento
Continua a leggere »

Il fantasma di Stuxnet. Quanto siamo pronti a fermare un attacco simile nel 2025

Quindici anni dopo la scoperta di Stuxnet, il malware che nel 2010 dimostrò la possibilità concreta di sabotare un impianto industriale attraverso il codice, la domanda sul ripetersi di un’operazione simile è più attuale che mai. All’epoca, la combinazione di zero-day Windows, driver firmati con certificati contraffatti e la manipolazione dei PLC Siemens che controllavano le centrifughe iraniane segnarono una svolta epocale: per la prima volta un’arma informatica aveva prodotto un effetto fisico su larga scala, nascosta dietro feedback falsificati che trassero in inganno gli operatori. Non era un malware generico, né un ransomware, ma una vera e propria operazione militare digitale disegnata per un obiettivo specifico. Dal 2010 al 2025 lo scenario è cambiato radicalmente. Le infrastrutture industriali sono sempre più connesse con reti IT e servizi cloud, ampliando una superficie d’attacco che un tempo era confinata in ambienti isolati. Le tecniche offensive si sono evolute: non solo ma...
Posta un commento
Continua a leggere »

iPhone 17 Pro, la nuova frontiera della sicurezza Apple

Apple ha presentato con la serie iPhone 17 (incluse le versioni Pro) una delle sue evoluzioni più importanti in ambito sicurezza, puntando esplicitamente a contrastare spyware sofisticati e vulnerabilità di memoria – tipico punto di ingresso per attacchi mirati. Ecco cosa cambia davvero, cosa resta da fare e perché queste novità sono rilevanti per chi si occupa di sicurezza informatica. Quando si parla di sicurezza sui nuovi iPhone 17 Pro, le innovazioni più significative sono: - Memory Integrity Enforcement (MIE): nuova protezione hardware/software “always-on” che combina vari meccanismi per impedire exploit basati su bug di memoria. - Enhanced Memory Tagging Extension (EMTE): è il “cuore” della protezione, su cui si basa la gestione più sicura della memoria, con tagging, confidenzialità dei tag, e allocatori di memoria più robusti. - Applicazione difensiva su aree sensibili del sistema, incluso il kernel e più di settanta processi “userland” considerati ad alto rischio. - MIE avrà ef...
Posta un commento
Continua a leggere »