La prima difesa contro lo spear-phishing è ridurre la superficie d’attacco sul lock screen e nelle app di comunicazione. Imposta le anteprime delle notifiche su “Mostra anteprime: se sbloccato”, così i messaggi non rivelano testo o link quando il telefono è appoggiato sul tavolo. In Messaggi abilita “Filtra mittenti sconosciuti”: gli SMS e gli iMessage non presenti in rubrica finiscono in una scheda separata e non disturbano. In Telefono attiva “Silenzia chiamanti sconosciuti” e usa Live Voicemail per leggere al volo la trascrizione senza interagire con il chiamante. In Mail attiva “Protezione attività Mail” e disabilita il caricamento di immagini remote, perché pixel di tracciamento e link travestiti sono il grimaldello preferito dei truffatori. In Safari mantieni l’avviso siti fraudolenti, nascondi l’IP ai tracker e, davanti a qualunque URL in chat o mail, tocca e tieni premuto per vedere l’indirizzo completo prima di aprirlo: il controllo visivo frena molti errori impulsivi.
Profili e permessi: zero configurazioni sospette, identità sotto controllo
I profili di configurazione non richiesti sono porte laterali. Vai in Impostazioni > Generali > VPN e gestione dispositivo e rimuovi qualunque profilo che non riconosci; se ti serve davvero un MDM aziendale, installalo solo da canali ufficiali e con istruzioni del reparto IT. Disattiva l’aggiunta automatica di contatti da app sconosciute, evita scorciatoie non firmate e, quando ricevi inviti a calendari o promemoria da indirizzi mai visti, rifiutali e verifica offline l’identità del mittente. Proteggi lo sblocco con Face ID o Touch ID, usa un codice alfanumerico lungo e attiva la richiesta di biometria per autofill password e acquisti. Se viaggi o lavori su dossier sensibili, prepara un profilo di Focus “Lavoro” che consenta chiamate e messaggi solo da gruppi specifici: meno rumore, meno rischi di cadere in esche ben confezionate.
Password, passkey e chiavi hardware: blindare l’account prima del messaggio
Lo spear-phishing mira a rubare credenziali; neutralizzalo rendendo inutile il furto del solo username e password. In Impostazioni > Password abilita le verifiche di sicurezza, lascia che il portachiavi generi password uniche e lunghe e, dove possibile, passa alle passkey: eliminano le password e autenticano con biometria, riducendo clamorosamente gli attacchi di phishing. Per l’Apple ID attiva l’autenticazione a due fattori e, se il tuo profilo lo consente, registra due chiavi di sicurezza FIDO come secondo fattore: anche se qualcuno ti induce a cliccare, non potrà entrare senza il token fisico. Sposta gli OTP dalle SMS alle app integrate in Password o a un autenticatore affidabile; gli SMS restano intercettabili con tattiche sociali o problemi di rete. Per i servizi critici aggiungi un contatto di recupero e verifica che l’email secondaria sia davvero tua e sicura.
Identità dei contatti e canali “puliti”: verifica prima di fidarti
Il bersaglio è la relazione, non la tecnologia. Se un “collega” ti scrive per la prima volta da un numero nuovo con urgenza di pagamento o allegati insoliti, sposta l’interazione su un canale già stabilito: richiama il numero salvato in rubrica, apri il thread email storico, usa un canale interno verificato. In Messaggi abilita, se disponibile, la verifica delle chiavi dei contatti iMessage e confronta l’avviso quando parli con fonti sensibili: se la conversazione cambia chiavi senza motivo, è un segnale da non ignorare. “Nascondi la mia e-mail” crea alias usa-e-getta per iscrizioni e test, così se un indirizzo finisce in liste sospette puoi chiuderlo senza toccare l’account principale. Per file e link usa solo servizi con autenticazione forte e scadenza: un documento senza contesto, anche se arriva “da dentro”, è da considerare ostile finché non lo verifichi.
Routine quotidiana e settimanale: igiene digitale che regge nel tempo
Ogni giorno dedica un minuto al triage: apri la scheda “Mittenti sconosciuti”, cancella ciò che è spazzatura, salva i contatti legittimi e segnala i numeri malevoli. Rispondi ai messaggi urgenti solo dopo averli verificati su un canale separato e, se ti serve accettare un link, fallo da Safari in modalità privata per ridurre persistenze. Ogni settimana rivedi i dispositivi connessi al tuo Apple ID, esci da sessioni che non riconosci, controlla le autorizzazioni delle app a Calendario, Contatti, Fotocamera e Microfono e rimuovi ciò che non serve. Aggiorna iOS e le app principali appena possibile, perché molte correzioni chiudono proprio i varchi usati negli attacchi mirati. Se il tuo rischio è elevato, aggiungi alla routine la Lockdown Mode durante viaggi o incontri delicati e rimuovila al rientro, dopo aver controllato segreteria e messaggi filtrati.
Cosa fare quando sospetti un attacco: calma, prove e canali ufficiali
Se ricevi un messaggio che ti chiede codici, firme digitali o trasferimenti urgenti, fermati. Non toccare link né allegati, scatta uno screenshot, annota data e ora e conserva la trascrizione o la segreteria. Contatta l’organizzazione coinvolta partendo dall’app ufficiale o dal numero sul sito e inoltra loro il materiale per verifica. Se hai cliccato, cambia subito la password dal portachiavi, revoca sessioni e token attivi, forza il logout da tutti i dispositivi e, se hai visto schermate anomale, esegui un controllo rapido delle impostazioni di reindirizzamento in Mail e dell’inoltro in eventuali app di messaggistica. Quando tutto è tornato normale, chiediti quale elemento ti ha fatto abbassare la guardia e aggiungi una regola pratica al tuo profilo: meno anteprime in lock screen, più passkey, più canali verificati. È così che un singolo episodio diventa un miglioramento permanente della tua difesa.
Lascia un commento