Sono stato il bersaglio di una sofisticata violazione del mio ID Apple che ha causato un significativo tributo emotivo e finanziario. Il mio background di imprenditore tecnologico significava che conoscevo l'importanza dell'autenticazione a più fattori e i segnali di allarme degli scambi di SIM e avevo adottato precauzioni. Nonostante questa vigilanza, una sera di gennaio dell’anno scorso sono stato vittima di un audace attentato, dimostrando dolorosamente che può capitare a chiunque.
Ho il mio ID Apple da quando è stato inventato. Ho comprato decine di migliaia – forse centinaia di migliaia – di software, film, programmi TV e hardware per un valore di dollari. All'improvviso mi sono stati informati di 15.000 tentativi di accesso. Era letteralmente "Boom, boom, boom". Ho premuto “Non consentire, non consentire, non consentire
Poi, mi ha telefonato qualcuno che affermava di lavorare per il supporto tecnico Apple. Avevano informazioni approfondite su quanti dispositivi possedevo e quando sono stati utilizzati l'ultima volta, anche da dove provenivano i tentativi di accesso. Molte vittime ignare avrebbero trovato credibile questa chiamata, ma qualcosa non mi quadrava. Ha detto: "Ti manderò un codice" e io ho risposto: "Non te lo darò".
Successivamente i codici sono stati inviati al mio telefono, esattamente dallo stesso numero utilizzato da Apple per inviare i codici di verifica in passato. Ho deciso di chiamare direttamente Apple per capire cosa stava succedendo, ma l'incubo era appena iniziato. L'aggressore era riuscito ad accedere al mio account.
Ho spiegato cosa stava succedendo, ma la donna della Apple in pratica mi ha detto: “Accetta le tue perdite”. Mi scusi? Cosa intendi? Sono tecnicamente esperto: sapevo che il mio ID Apple era potenzialmente scomparso per sempre. Ciò non significa che non ci fossero cose più grandi in gioco. Avevo gettoni non fungibili (NFT) e immagini che avevo conservato per due anni. Ho avuto accesso a molti conti aziendali, conti di intermediazione e ogni genere di cose. E continuava a ripetere "Accetta la tua perdita, accetta la tua perdita, accetta la tua perdita".
Un esempio del Wall Street Journal del 2023 mostrava come gli account Apple potrebbero essere violati se gli aggressori fossero in possesso della password di un iPhone. Fonte: Wall Street Journal
Ero in una corsa contro il tempo per proteggere i miei beni e ho iniziato a spostare la mia valuta fiat in un luogo sicuro, ma le mie criptovalute erano già state trasferite in un portafoglio fuori dal mio controllo e liquidate. Poi ho ricevuto una chiamata anonima da qualcuno che utilizzava un modulatore vocale con un messaggio agghiacciante: "Controlla il tuo Telegram".
Sono stati inviati messaggi in cui si diceva che il mio ID Apple e le mie risorse sarebbero stati restituiti se fossero stati consegnati i numeri di telefono e gli indirizzi e-mail di altre tre persone. Ma mi sono rifiutato, dicendo all'aggressore che aveva scelto la persona sbagliata.
Ho iniziato a twittare sulla situazione e l'hacker è andato nel panico. Ha minacciato di far trapelare le foto di mia figlia di quattro mesi, quindi ho cancellato il tweet.
Hanno continuato a mandarmi messaggi e poi mi è stato detto che avrei riavuto il mio ID Apple a patto che non avessi postato online per 48 ore. Ma tre giorni dopo, i paletti erano stati spostati ancora una volta. Ora l'aggressore chiedeva 50.000 dollari.
"Normalmente quello che faccio è trovare persone che hanno relazioni extraconiugali, fanno qualcosa di sbagliato o hanno informazioni sensibili per le quali estorco loro," mi ha detto il criminale informatico.
Mesi di terrore
Per i tre mesi successivi, l’aggressore ha cercato di estorcermi e terrorizzarmi, uno stress che ho dovuto nascondere a mia moglie e mia figlia. A peggiorare le cose, i miei limiti di prelievo Amex e Chase sono stati ridotti e il mio rating creditizio è crollato.
Imperterrito, ho continuato a scambiare messaggi e chiamate con l'uomo che mi aveva rubato l'identità, accumulando gigabyte di prove.
Non sapevo che le mura si stavano già chiudendo intorno all'aggressore. Il criminale era già nel radar delle forze dell'ordine dopo essere stato incriminato per uno scambio di SIM - e gli investigatori presto si resero conto che questa era la punta dell'iceberg. Poiché i fondi rubati erano stati utilizzati su Cash App e Venmo, gli investigatori sono stati in grado di collegare i punti e identificarmi come vittima. Quando un agente dell'FBI mi ha chiamato, ho potuto fornire una descrizione dettagliata della persona responsabile, ed è stato sufficiente per ottenere un mandato. Sono andati e hanno fatto irruzione in casa sua. Il ragazzo era sul mio ID Apple.
L'indagine ha poi rivelato che c'erano circa altre 20 vittime. La maggior parte di loro erano donne. Avrebbe costretto molti di loro a fare cose sessuali. Ho ricevuto una chiamata dall'ufficiale giudiziario che non sapeva che fosse una cosa del genere. Ha detto che ha avuto a che fare con serial killer, assassini... persone cattive, e non ha mai avuto una sensazione peggiore che quella di interagire con questa persona.
Sono stata l'unica vittima che non ha avuto paura di parlare apertamente e ha fornito una dichiarazione scritta alla corte. La forza di quelle parole ha portato il giudice a raddoppiare la pena a otto anni senza condizionale, anche se l'hacker si era dichiarato colpevole e aveva fatto la spia ai suoi soci. Un caso federale è pendente, quindi resterà in prigione per un po'. È uno spreco di vita.
Proteggi la tua identità digitale
È stata una delle esperienze più traumatiche della mia vita.
Nel frattempo, innumerevoli milioni di persone in tutto il mondo continuano a dipendere dai propri ID Apple nella vita di tutti i giorni, beatamente ignari del danno causato da un attacco hacker. Prendi il mio numero di previdenza sociale, non prendere la mia identità digitale. Non ho realizzato che Apple fosse la mia identità digitale finché non è stato troppo tardi.
L’aggressore faceva parte di uno schema più ampio e sofisticato, in cui i truffatori pubblicizzavano sfacciatamente offerte di lavoro per unirsi a loro. Si uniscono quindi persone che pensano di lavorare veramente per il supporto Apple, quando sono involontariamente coinvolte in crimini finanziari.
Sono urgentemente necessarie nuove soluzioni di riconoscimento vocale per proteggere meglio il pubblico, soprattutto perché la voce di qualcuno può essere ricreata e abusata in meno di 30 minuti.
Le identità digitali saranno il fondamento del Web3. Senza di loro, non possiamo davvero verificare con chi stiamo parlando. Il nostro stack di comunicazione come società, come civiltà è imbarazzante in questo momento. Una vera identità digitale ti permette di custodire i tuoi dati e le tue soluzioni. Ora posso prendere informazioni dal mio medico e conservarle nel mio archivio. Posso proteggere le mie informazioni finanziarie. Posso sopportare tutto questo.
Voglio assicurarmi che questo non accada mai a nessun altro. Sto per ricevere un rimborso da Apple per tutti gli acquisti che ho effettuato negli ultimi 20 anni a titolo di risarcimento e vorrei condividere questi suggerimenti importanti per altre vittime:
Mantieni una tempistica rigorosa e prendi appunti rigorosi
Assicurati che anche il funzionario delle forze dell'ordine con cui parli prenda appunti
Annota la data e l'ora della chiamata, nonché il nome e i dettagli
Contatta la polizia locale e racconta loro cosa ti è successo
Presenta un rapporto IC3 dettagliato, poiché ciò aiuta le autorità federali ad arrestare i criminali
Dopo aver sperimentato l'impatto rovinoso del furto della mia vita digitale in un batter d'occhio, credo che ci sia solo una risposta: identità decentralizzate in cui i dati personali sono completamente crittografati e archiviati in un portafoglio sicuro.
Amro Shihadah è editorialista ospite di Cointelegraph ed ex direttore delle operazioni di Nillion, ed è un professionista finanziario con esperienza nella finanza tradizionale, nella blockchain e nelle tecnologie di intelligenza artificiale. Ha conseguito una laurea in finanza e amministrazione aziendale presso l'American University e sta completando un executive MBA presso la Kellogg School of Management della Northwestern University.
Questo articolo ha scopo informativo generale e non è inteso e non deve essere considerato una consulenza legale o di investimento. I punti di vista, i pensieri e le opinioni espressi qui sono esclusivamente dell'autore e non riflettono o rappresentano necessariamente i punti di vista e le opinioni di Cointelegraph.