Negli ultimi giorni è emerso un raggiro particolarmente insidioso che sfrutta in modo creativo e pericoloso i codici di verifica Apple. Il meccanismo parte da una serie di tentativi ripetuti di accesso all’account della vittima, con l’effetto di generare una valanga di notifiche 2FA su iPhone, iPad e Mac. L’utente crede che qualcuno stia realmente tentando di violare l’account, e di fatto è così. Il truffatore forza i server a inviare un codice dopo l’altro, destabilizzando la persona proprio nel momento in cui dovrebbe mantenere lucidità.
Truffa codici verifica Apple: come riconoscerla e quali segnali non ignorare
Poco dopo arriva la seconda fase dell’inganno. Si tratta di una telefonata apparentemente da Apple Support. Il tono è professionale, la voce conosce il nome della vittima e parla con sicurezza di un “accesso anomalo” in corso. Le indicazioni fornite all’inizio sono corrette: cambiare la password e verificare lo stato dell’account. Tutto questo serve solo a consolidare la fiducia. Il passaggio decisivo avviene quando viene inviato un link per chiudere un presunto ticket di supporto. Il sito è credibile, ha un certificato HTTPS e mostra una struttura grafica che imita perfettamente quella ufficiale. Solo dopo aver inserito il codice a sei cifre richiesto, il raggiro si compie. Il codice è reale è generato da Apple, ma viene digitato sul sito truffa, permettendo agli impostori di entrare nell’account.
Chi è incappato nella truffa ha riportato di aver visto comparire immediatamente un login non autorizzato, spesso da un Mac mini sconosciuto. A quel punto tutto diventa chiaro e l’unica soluzione è interrompere la chiamata, scollegare il dispositivo sospetto e reimpostare la password direttamente da appleid.apple.com. La truffa dei codici verifica Apple punta proprio su una reazione istintiva. La pressione del momento e l’apparente professionalità di chi chiama possono portare a un gesto automatico, come inserire un codice appena ricevuto senza porsi domande.
La regola da seguire è semplice ma imprescindibile. I codici 2FA vanno inseriti solo ed esclusivamente su siti Apple ufficiali o sui propri dispositivi, mai altrove. Nessun operatore telefonico di Apple chiederà mai quel codice, né invierà link esterni per “verificare” un accesso. Anche la presenza del lucchetto HTTPS non basta, certificati validi non sono garanzia di autenticità.
