Hoții fură telefoanele iPhone, parolele de acces și mii de dolari din conturile bancare ale victimelor, relatează Wall Street Journal. Unul dintre hoții care au ajuns acum la închisoare a explicat cum s-a folosit de o vulnerabilitate a software-ului utilizat de Apple ca să pună la cale o schemă prin care a furat cel puțin 300.000 de dolari.
Aaron Johnson și gașca lui umblau noaptea prin barurile din Minneapolis, SUA, acolo unde se împrieteneau cu diverși tineri, le aflau parolele și le furau telefoanele mobile. Folosind codul de acces al telefoanelor iPhone pe care le furau, hoții le blocau victimelor accesul la propriile lor conturi și furau mii de dolari prin aplicațiile bancare. Într-un final, hoții vindeau telefoanele furate.
Johnson pusese la cale o schemă elaborată și oportunistă care exploata sistemul Apple și îi viza pe proprietarii naivi de iPhone care credeau că singura lor pagubă era telefonul furat.
Apple a introdus săptămâna trecută o funcție (Stolen Device Protection) care îi va proteja cel mai probabil pe cei care au iPhone de aceste infracțiuni comise cu ajutorul parolei de acces, dar întotdeauna se găsesc alte scheme pentru că cea mai vulnerabilă componentă a sistemului suntem chiar noi, oamenii.
Johnson nu este un criminal cibernetic sofisticat. El a povestit că a început ca hoț de buzunare pe străzile din Minneapolis. „Nu aveam casă. Am început să fac copii și aveam nevoie de bani. Nu am putut să îmi găsesc de lucru.”
În scurt timp a realizat că telefoanele pe care le fura puteau fi mult mai valoroase – dacă reușea să intre în ele. Johnson spune că nimeni nu l-a învățat trucul cu parola. A stat într-o zi până noaptea târziu încercând diverse metode până când a găsit un mod de a folosi parola de acces a telefonului pentru a debloca mai multe servicii protejate.
„Parola este diavolul”
„Parola este diavolul”, a spus Johnson. „Poate fi Dumnezeu, uneori, sau poate fi diavolul.”
Potrivit mandatului de arestare folosit de poliția din Minneapolis, Johnson și alți 11 membri ai găștii de hoți au furat aproape 300.000 de dolari. Potrivit lui Johnson, suma reală ar fi cel mai probabil și mai mare.
Iată cum decurgea operațiunea de noapte a hoților, potrivit interviurilor cu Johnson, polițiștii implicați și unele dintre victime:
Prima dată, hoții identifică victima. Barurile sunt locații ideale pentru ei pentru că sunt locuri întunecate și pline de oameni. Țintele preferate: bărbați tineri. „Sunt deja beți și nu își dau seama ce se întâmplă cu adevărat”, povestește Johnson. Femeile, spune el, tind să fie mai rezervate și mai atente la un comportament suspect.
Obținerea parolei. Victimele lui Johnson l-au descris ca fiind o persoană prietenoasă și plină de energie. Unora dintre ei le-a oferit droguri. Alții au spus că Johnson se prefăcea că este un cântăreț de rap și că vrea să îi adauge în Snapchat.
După ce vorbea cu ei un timp, aceștia îi dădeau telefonul gândindu-se că Johnson își va introduce datele de contact și că le va da telefonul înapoi.
„Eu ziceam: 'Hei, telefonul tău e blocat. Care e parola?' Și ei ziceau '2-3-4-5-6' sau ceva de genul. Și apoi îl țineam minte”, descris Johnson. Uneori îi înregistra pe cei care își introduceau singuri parolele.
Odată ce telefonul ajungea în mâinile lui, pleca cu el sau îl dădea mai departe unei alte persoane din gașca sa de hoți.
Accesul victimei la propriul telefon este blocat. În doar câteva minute după ce fura telefonul, Johnson intra în setări ca să schimbe parola Apple ID. Apoi, folosea noua parolă ca să dezactiveze funcția „Find My iPhone” pentru ca victimele să nu se poată loga de pe un alt telefon sau calculator pentru a descoperi unde se găsește – sau pentru a șterge – dispozitivul furat.
Hoții fură banii. Johnson folosea apoi funcția Face ID a telefonului pentru că „atunci când aveai fața ta acolo, aveai cheia pentru tot”. Autentificarea biometrică îi permitea lui Johnson să obțină rapid accesul la parolele salvate în iCloud Keychain.
Economii, cecuri, aplicații pentru criptomonede – hoții căutau să transfere sume de bani cât mai mari. Iar dacă întâmpina probleme pentru a intra în aplicațiile cu bani, Johnson căuta alte informații personale în fișierele telefonului și în galeriile cu poze.
Până dimineața următoare, hoții transferau toți banii la care victima avea acces prin telefon. Cu acești bani, hoții mergeau la magazin să cumpere diverse lucruri folosind Apple Pay. Folosea și dispozitivele furate pentru a cumpăra și mai multe, inclusiv iPad-uri de 1.200 de dolari, pe care le vindea apoi pentru bani cash.
Telefonul este vândut. În final, Johnson ștergea memoria telefonului furat și îl vindea lui Zhongshuang „Brandon” Su, care, la rândul său, vindea telefonul în străinătate.
Johnson a furat și câteva telefoane Android, dar cel mai des fura iPhone-uri pentru că le putea revinde la un preț mai ridicat. Pe un singur telefon Pro Max obținea și 900 de dolari.
Într-un weekend profitabil, Johnson spune că vindea până la 30 de iPhone-uri și iPad-uri pentru care primea 20.000 de dolari – fără a include banii pe care îi fura din aplicațiile bancare ale victimelor, prin Apple Pay și alte metode.
Cum să ne protejăm telefonul și banii
Odată cu noul update pe care îl va lansa Apple, un hoț va avea nevoie de scanările biometrice Face ID și Touch ID ca să obțină parola de acces a telefonului – în alte cuvinte, are nevoie de fața ta și amprenta ta. Procesul de schimbare a parolelor va fi de asemenea mai lent, ceea ce nu le va mai permite hoților să fure banii imediat.
Un infractor ar putea în continuare să fie motivat să răpească o persoană cu mulți bani ca să treacă de toate aceste metode de securitate, dar hoții care vor să fure telefonul și să fugă de la locul faptei va fi descurajat de noile măsuri de protecție.
Totuși, există destule alte vulnerabilități pe care hoții le pot exploata, în special în cazul aplicațiilor care nu sunt protejate cu alte parole sau coduri PIN.
Așadar, se recomandă ca utilizatorii să folosească parole diferite pentru fiecare aplicație, să își șteargă orice poză sau document care include informații personale și să folosească parole de acces mai complexe, compuse din litere și cifre.
Sfatul lui Johnson? Fiți mai atenți la ce se întâmplă în jurul vostru și nu dați nimănui parola. Acest caz ne-a învățat că un singur dispozitiv oferă acum acces la întreaga noastră viață – amintirile noastre, banii noștri și multe altele. Este de datoria noastră să ni le protejăm.