27/08/2019

Jak skradziono mi iPhone’a. Część 2

Zagrożenia

Prawie rok temu opisaliśmy schemat klasycznego oszustwa phishingowego, którego celem jest odłączenie skradzionego iPhone’a od konta Apple ID ofiary. A wszystko po to, aby możliwe było sprzedanie telefonu nie na części, ale jako w pełni sprawny smartfon używany, dzięki czemu można dostać za niego więcej pieniędzy.

Ostatnim razem szczęście sprzyjało oszustom: udało im się wyłudzić nazwę użytkownika i hasło w systemie iCloud. Tym razem mieliśmy do czynienia ze znacznie bardziej skomplikowanym wyłudzaniem poufnych danych ze skradzionego telefonu, który obejmował również Plan B.

Krok 1. Kradzież iPhone’a

Wszystko zaczęło się dość nietypowo: moja koleżanka z pracy, Anna, zostawiła swój telefon na ławce w parku. Gdy wróciła po 20 minutach, telefonu już nie było. Nikt nic nie widział, a gdy zadzwoniła na swój numer, był on niedostępny. Bez wahania aktywowała więc tryb Utracony w aplikacji Znajdź mój iPhone poprzez smartfon znajomego, podając dodatkowy numer, pod którym mógłby skontaktować się z nią ewentualny znalazca.

Dzień później wiedziała już, że nie ma co czekać na telefon od znalazcy, a według informacji wyświetlanych w usłudze Znajdź mój iPhone urządzenie pozostawało offline. Postanowiła więc skorzystać z opcji Wymaż.

To bardzo przydatna funkcja, która wymazuje z telefonu wszystkie dane i sprawia, że staje się on bezużyteczny, dopóki nie zostanie połączony z internetem. Jednak złodziej albo był czarodziejem iPhone’ów, albo — co bardziej prawdopodobne — potrafił odłączać urządzenia firmy Apple od kont iCloud ich właścicieli. Od chwili utracenia telefonu nie pojawił się on online nawet na sekundę, więc wymazanie i zablokowanie urządzenia nie wchodziło w grę.

Nawiasem mówiąc, nawet jeśli urządzenie jest zabezpieczone przy użyciu czytnika Touch ID, dostęp do sieci Wi-Fi i danych mobilnych może zostać wyłączony bez konieczności odblokowania telefonu. Wystarczy przesunąć w górę ekran blokady, aby uzyskać dostęp do Centrum sterowania, skąd można włączyć Tryb Samolot.

W trakcie dwóch dni, gdy karta SIM telefonu była odblokowana, oszuści mieli czas na poznanie numeru telefonu Anny. W trzecim dniu stara karta SIM została zablokowana przez operatora telekomunikacyjnego, a nowa — z tym samym numerem — została włożona do nowego aparatu Anny.

Krok 2. Phishingowe SMS-y

W czwartym dniu oszuści postanowili sprawić, aby skradziony iPhone można było sprzedać. W tym celu podjęli próbę odłączenia go od należącego do Anny Apple ID. Najpierw wykonali kilka połączeń z numeru telefonu rzekomo ze Stanów Zjednoczonych. Gdy druga strona odebrała telefon, nie słyszała nic.

Celem wykonywania takich połączeń było sprawdzenie, czy karta SIM została wydana ponownie, a numer był znów aktywny. Po ostatnim połączeniu Anna otrzymała wiadomość tekstową, że je skradziony telefon pojawił się online i został zlokalizowany.

Wiadomość phishingowa była przygotowana bardzo sprytnie. Aby Anna nie wyczuła podstępu, wiadomość została wysłana z usługi umożliwiającej wstawianie wyrazu „Apple” w polu nadawcy. Łącze phishingowe również nie wzbudzało podejrzeń — kliknięcie go kierowało do strony wyłudzającej dane, jednak gdy adres internetowy został wprowadzony ręcznie, wyświetlał się komunikat, że dana strona nie istnieje.

W rzeczywistości domena icloud.co.com istnieje i należy do firmy Apple, ale link w tekście kierował do icIoud.co.com — w nazwie domeny znajdowało się duże I, a nie małe L. Po kliknięciu go Anna została przekierowana na przekonująco wyglądającą stronę phishingową, na której została poproszona o wprowadzenie swojego loginu i hasła do Apple ID w celu odnalezienia skradzionego telefonu. Gdyby przyjrzała się uważnie stronie, zobaczyłaby, że adres został zmieniony, więc wprowadzanie danych nie jest bezpieczne.

Co ciekawe, strona wyglądała inaczej w zależności od urządzenia i przeglądarki. Najprawdopodobniej atakujący użyli tej strony do realizacji różnych schematów phishingowych dopasowanych do różnych platform.

Anna nie wypełniła formularza phishingowego, ponieważ dość szybko zorientowała się, że strona jest fałszywa. Co więcej, według aplikacji Znajdź mój iPhone jej telefon był offline od samego początku kradzieży.

Bez odłączenia telefonu od należącego do Anny konta Apple ID złodzieje nie sprzedaliby urządzenia za tyle, za ile planowali. Postanowili więc zrealizować Plan B.

Krok 3. Połączenie od „znajomego”

Trzy godziny po wysłaniu wiadomości phishingowej, gdy oszuści wiedzieli już, że Anna nie poda swoich danych konta na stronie phishingowej, kobieta otrzymała telefon. Osoba po drugiej stronie przedstawiła się jako pracownik centrum serwisowego, podała dokładny model i kolor telefonu, a potem zapytała naszej bohaterki, czy go zgubiła. Następnie mężczyzna powiedział, że telefon jest w centrum handlowym po drugiej stronie miasta, i zapytał, czy Anna chciałaby odebrać go osobiście.

Pamiętając wciąż o oszustwie phishingowym, które chwilę wcześniej rozpoznała, Anna zadała mężczyźnie kilka celnych pytań odnośnie tego, w jaki sposób zdobył jej telefon i numer, sprawdzając tym samym, czy osoba dzwoniąca była oszustem. W odpowiedzi usłyszała, że jeśli nie potrzebuje telefonu, nie musi przychodzić.

Mężczyzna dodał, że osoby, które przyniosły telefon do centrum serwisowego, wydawały się podejrzane, więc wyszukał go w bazie danych i zobaczył, że znajduje się na liście zgubionych. Ta sama (oczywiście magiczna) baza danych zawierała również numer telefonu Anny. Mówiąc w skrócie, miała godzinę na odebranie stamtąd telefonu, zanim wrócą po niego znalazcy.

A teraz kilka informacji technicznych. Aby dowiedzieć się, czy telefon został zgubiony, najpierw trzeba go włączyć. Wówczas telefon wyświetli powiadomienie o tym, że został on zgubiony, a także numer telefonu umożliwiający skontaktowanie się z właścicielem. Anna pamiętała, że jej stara karta SIM została skradziona wraz z telefonem, a wydana została nowa karta, dlatego podała numer telefonu znajomego, a nie jej własny. A skoro tak, jeśli ktoś użył numeru podanego do kontaktu, zadzwoniłby pod ten, który wskazała Anna.

Co więcej, podczas rozmowy z rzekomym centrum serwisowym Anna sprawdziła, że jej telefon ani przez chwilę nie pojawił się online. Poinformowała o tym rozmówcę, na co sprytnie odpowiedział, że być może telefon został właśnie połączony ponownie, ale z innym kontem Apple ID. Gdyby można było odciąć emocje oraz presję psychologiczną, które wiążą się z taką sytuacją, rozpoznanie oszustwa byłoby pestką.

Mężczyzna udający przedstawiciela serwisu powiedział Annie, że sklep nie będzie dla niej powstrzymywał dalszych klientów i telefon zostanie zwrócony, gdy zgłosi się po niego ktoś inny. Poprosił także Annę, aby zadzwoniła, jeśli nie zdąży dostać się do centrum handlowego w ciągu godziny. Powiedział także, aby przyniosła oryginalne opakowanie od telefonu oraz swój dowód osobisty. Sztuczka zadziałała. Zabierając ze sobą kilku przyjaciół ze względów bezpieczeństwa, Anna zadzwoniła po taksówkę i wyruszyła w drogę. Sklep był oddalony 30 minut jazdy samochodem.

Podczas podróży Anna zadzwoniła do „centrum serwisowego”. Mężczyzna poprosił ją, aby otworzyła aplikację Znajdź mój iPhone i zaczął pytać ją, co tam widzi, jaki kolor kulki znajduje się obok ikony telefonu itp., tak jakby naprawdę zajął się jej sprawą.

Gdy Anna powiedziała, że jest już prawie na miejscu, mężczyzna poprosił ją o ponowne zalogowanie się do serwisu iCloud i sprawdzenie, czy urządzenie się pojawiło, a następnie poprosił ją, aby kliknęła przycisk Usuń i powiedziała, czy w wiadomości ostrzegawczej znajdowały się określone słowa. Anna kliknęła przycisk i poinformowała, co zawierała wiadomość z ostrzeżeniem. Mężczyzna z radością oświadczył, że wszystko jest już jasne: telefon został odłączony od konta iCloud, a w celu ponownego połączenia go należało najpierw potwierdzić odłączenie.

Anna, oczywiście tego nie zrobiła — mimo stresu, jaki wywołała w niej ta sytuacja, pamiętała, że w żadnym wypadku nie można odłączać telefonu od konta właściciela. Odpowiedziała więc, że załatwi to na miejscu, w centrum.

Kilka minut później oszust zadzwonił znów, tym razem skorzystał z najskuteczniejszej techniki socjotechniki. Aby wywołać na ofierze presję, poinformował, że powrócili znalazcy telefonu, więc musi zdecydować, czy oddać im telefon.

W słuchawce Anna słyszała typowe odgłosy z centrum handlowego, osoby pytające „No i?” oraz oszusta odpowiadającego „Jeszcze chwila”. Mężczyzna nalegał, aby Anna usunęła telefon z chmury, na co kobieta odpowiedziała, że już dojeżdża na miejsce. Ponadto przyznała, że zadzwoniła na policję, która również już jedzie. Nieznajomy powiedział, że udostępni całe nagranie z monitoringu, ale nie będzie już dłużej zwodził klientów. Oświadczył, że ma zamiar dać im telefon.

Po dotarciu na miejsce Anna nie znalazła żadnego centrum serwisowego, a przybyła na miejsce policja przyznała, że takie miejsce nie istnieje i że oszuści często kierują do niego ofiary. Co więcej, taki schemat działania jest im dobrze znany.

Mężczyzna nie skontaktował się ponownie, chociaż wiadomości phishingowe z prośbą o podanie hasła przychodziły jeszcze w kolejnych dniach.

Ostatecznie Anna nie odzyskała swojego iPhone’a, jednak nie dała się nabrać również na sztuczki oszustów. Skradziony telefon nadal był powiązany z jej Apple ID, a tryb Wymaż iPhone był nadal aktywny — gdyby urządzenie połączyło się z internetem, wszystkie znajdujące się na nim dane zostałyby wymazane i stałoby się ono bezużyteczne. W efekcie złodzieje musieliby pozostać przy opcji sprzedaży na części.

Co zrobić, gdy iPhone zostanie zgubiony lub skradziony

Poniżej znajdziesz kilka wskazówek, co zrobić, gdy Twój iPhone zostanie zgubiony lub skradziony.

  • Niezwłocznie włącz tryb Utracony w aplikacji Znajdź mój iPhone.
  • Skontaktuj się z dostawcą sieci, aby zablokować kartę SIM, zwłaszcza jeśli telefon nie był zabezpieczony kodem PIN (domyślnie jest on wyłączony lub ustawiona jest prosta kombinacja, taka jak 0000).
  • Gdy zorientujesz się, że telefon do Ciebie nie wróci, aktywuj tryb Wymaż iPhone.
  • Pamiętaj, że wiadomości SMS i połączenia głosowe mogą być oszukańcze. Jeśli informacje w wiadomościach są inne niż te, które widzisz w aplikacji Znajdź mój iPhone, ktoś prawdopodobnie próbuje Cię oszukać.
  • Sprawdź, czy w poczcie e-mail masz jakieś oryginalne wiadomości z usługi Znajdź mój iPhone. Jeśli nie, wszystkie wiadomości tekstowe, które nadeszły w związku z utratą telefonu, prawdopodobnie są oszukańcze.
  • Zamiast klikać łącze w wiadomości tekstowej, ręcznie wprowadź w przeglądarce adres icloud.com. Pamiętaj, aby nigdy nie wprowadzać swojego loginu i hasła do Apple ID na stronie, która otworzy się po kliknięciu takiego łącza.
  • Zachowaj spokój i przygotuj się na to, że oszuści prawdopodobnie będą próbowali pospieszyć podjęcie przez Ciebie decyzji. To klasyczna sztuczka — nie daj się nabrać.
  • Nigdy nie odłączaj zgubionego telefonu od aplikacji Znajdź mój iPhone — i nie ważne, jak bardzo ktoś na to nalega.