Una nuova ondata di raggiri sfrutta la funzione “Calendari sottoscritti” di Apple per inondare iPhone, iPad e Mac di notifiche persuasive con link-trappola.
Dalle false schermate di verifica alle sottoscrizioni via webcal, ecco come operano i truffatori e quali segnali riconoscere prima di cascarci.
È ufficialmente arrivata la “truffa del calendario” che sta colpendo gli utenti Apple: un raggiro tanto semplice quanto efficace, che sfrutta la fiducia nelle notifiche di sistema per veicolare link fraudolenti e spingere le vittime verso pagine di phishing, numeri di assistenza falsi o servizi in abbonamento indesiderati.
Il meccanismo alla base è subdolo: invece di tentare di infettare i dispositivi con malware, gli attaccanti puntano a farci compiere un gesto apparentemente innocuo — accettare l’iscrizione a un calendario online — per poi inviare eventi e promemoria a raffica, ognuno con il suo banner di allerta e il suo collegamento “urgente”.
Come funziona l’exploit spiegato da Vice: webcal, iscrizioni “furbe” e persistenza
Come ricostruito da Vice, il cuore tecnico dell’abuso è il protocollo iCalendar (ICS) e, in particolare, le sottoscrizioni “webcal://”. Le pagine usate dai truffatori sono ottimizzate per far scattare sui dispositivi Apple il prompt di iscrizione a un calendario esterno: basta un tocco su un pulsante mascherato (per esempio “Continua”, “Verifica”, “Consenti”) perché Safari apra un link webcal. A quel punto iOS/macOS mostrano la finestra nativa di sottoscrizione; se l’utente conferma, il calendario malevolo viene aggiunto tra i “Calendari sottoscritti”.
Da quel momento l’attaccante controlla un feed remoto che può programmare eventi a orari strategici (anche in diversi fusi orari) per massimizzare la visibilità, allegare URL a ogni evento, sfruttando messaggi allarmistici nei titoli e nelle note, modificare in blocco il palinsesto, così da far comparire notifiche in momenti inaspettati, generare decine di alert al giorno, creando saturazione cognitiva e inducendo l’errore.
Vice evidenzia come questa dinamica sia particolarmente insidiosa perché sfrutta un canale “fidato” con pochi contrassegni di rischio. Le notifiche del calendario hanno lo stesso aspetto di quelle legittime e non passano dai server di posta o dalle piattaforme di messaggistica dove i filtri antispam sono maturi. In più, la disinstallazione non è intuitiva: molti utenti cancellano singoli eventi, che però riappaiono perché provengono da un’unica sorgente remota ancora attiva. La persistenza è una caratteristica intrinseca di ICS: finché la sottoscrizione resta, gli eventi continuano ad arrivare.
Secondo le analisi riportate, i truffatori monetizzano in vari modi: phishing delle credenziali Apple ID o di carte di credito attraverso pagine che imitano il design di Apple, numeri di “assistenza” che portano a finti operatori pronti a vendere servizi di supporto o a carpire dati, reindirizzamenti ad abbonamenti-trappola, lotterie e app di “ottimizzazione” con costi nascosti.
