Jak skradziono mi iPhone’a

Miejsce: Moskwa, Rosja. Czas: pięć minut przed meczem piłki nożnej Rosja-Hiszpania podczas tegorocznych Mistrzostw Świata. Okoliczności: właśnie weszłam do baru, aby dopingować naszych piłkarzy. Wówczas skradziono mi iPhone’a.

Niniejsza historia nie nadawałaby się na blog, gdyby nie sprytna sztuczka wykorzystana do kradzieży iPhone’a, którą zastosowali oszuści.

A było to tak:

• 17:00: Rozpoczęcie meczu.
• 17:01: Wchodzę do zatłoczonego baru w centrum Moskwy z nadzieją, że znajdę miejsce, ściskając w dłoni swojego iPhone’a — obiecałam dać znać koleżance, gdzie jestem.
• 17:07: Mój chłopak prosi mnie, abym zadzwoniła do koleżanki, a wówczas z przerażeniem odkryłam, że… nie mam już swojego telefonu.

Pierwszym odruchem było zadzwonienie na swój numer z innego aparatu. Niestety — sygnał urwał się po kilku chwilach. Wtedy do mnie dotarło, że to nie ja zgubiłam swój iPhone, ale ktoś mi go ukradł. Nie miałam pojęcia, jak to się mogło stać: przez cały czas trzymałam go w rękach, ale być może włożyłam go na chwilę do kieszeni. Postanowiłam odszukać ochronę i dowiedzieć się, czy w barze nie ma jakiegoś policjanta na służbie. Nagle olśniło mnie, że mogę skorzystać z aplikacji Znajdź mój iPhone — musiałam tylko włączyć tryb Utracony i znaleźć utracone urządzenie.

Jeśli ktoś ukradnie iPhone’a zabezpieczonego kodem PIN, może za niego jedynie żądać okupu lub sprzedać go na części. Aby urządzenie można było sprzedać w całości, musi być odblokowane. W przypadku mojego iPhone’a X odblokowanie wymagało pokazania mojej twarzy lub podania kodu PIN. Co więcej, po kilku nieudanych próbach odblokowania iPhone zostaje zablokowany na godzinę, a po kilku kolejnych — staje się bezużyteczny. W ten sposób Apple dba o bezpieczeństwo.

Jeśli iPhone zostanie zgubiony lub skradziony, aplikacja Znajdź mój iPhone pomoże go odzyskać. Ponadto dzięki niej można zablokować urządzenie i włączyć tryb Utracony, w którym wyświetlany jest komunikat: Ten iPhone został zgubiony. Zadzwoń do mnie. [numer telefonu]. Ponadto właściciel urządzenia może zobaczyć go na mapie (o ile nie został wyłączony). Użyliśmy więc aplikacji — może złodziej chciał pieniędzy za telefon lub był na tyle nierozsądny, że go włączył?

Phishing psychologiczny

Wtedy zrobiło się ciekawie. Godzinę później na numer wyświetlający się na moim zablokowanym telefonie przyszła wiadomość o następującej treści.

Powiadomienie iCloud FMI: Twój iPhone X 64GB Space Gray został zlokalizowany 1 lipca 2018 r. o godz. 17:54. Numer karty SIM został zidentyfikowany. Kliknij łącze, aby poznać geolokalizację iPhone’a. Najnowsza lokalizacja iPhone’a oraz informacje o właścicielu zainstalowanej w nim karty SIM będą dostępne w ciągu 24 godzin. Copyright 2018 Apple Inc.

W wiadomości dziwne wydaje się kilka rzeczy: adres strony nie jest oficjalny; firmy zwykle nie wspominają o prawach autorskich w wiadomościach SMS; i wreszcie: dlaczego Apple wysłałoby wiadomość tekstową zamiast powiadomienia w aplikacji Znajdź mój iPhone? Mówiąc krótko, to był phishing, choć całkiem nieźle przygotowany. Cyberprzestępcy dobrze wiedzą, co robią: wiadomość została wysłana w sytuacji, gdy ofiara dramatycznie poszukuje swojego telefonu, jest zestresowana i podatna na psychologiczne manipulacje.

Muszę przyznać, że tak się właśnie czułam. Tak, pracuję w Kaspersky Lab, a incydenty z wykorzystaniem phishingu są dla mnie codziennością. Tak, codziennie piszę o najnowszych zagrożeniach i oszustwach w cyberprzestrzeni. Ale w tamtym momencie spanikowałam i byłam gotowa skorzystać z każdej możliwości odzyskania telefonu, nie zastanawiając się zbytnio, czy dobrze postępuję. Kiedy ten nieszczęsny SMS przyszedł na telefon mojego chłopaka (podałam jego numer do kontaktu),zgłaszaliśmy incydent policji. Wiedziałam, że gdybym mogła podać im informacje o lokalizacji telefonu, z pewnością znacznie zwiększyłoby to szanse odzyskania telefonu.

Kliknęłam więc łącze bez namysłu, a moim oczom ukazał się znany mi interfejs usługi iCloud. Wprowadziłam swój login i hasło. Po pierwszej próbie pojawił się komunikat, że podane hasło jest nieprawidłowe. Spróbowałam ponownie — to samo. Wiedziałam, że to na pewno jest to hasło, zatem nie ma mowy, abym pomyliła się dwukrotnie.

Otworzyłam ponownie aplikację Znajdź mój iPhone, zalogowałam się do swojego konta bez problemu, i… mojego telefonu tam nie było. Zniknął z mapy i listy urządzeń. Spojrzałam jeszcze raz na odebraną wiadomość i zdałam sobie sprawę, co się stało.

Phishingowa wiadomość SMS zwabiła mnie na fałszywą stronę usługi iCloud, na której wręczyłam swoje dane logowania cyberprzestępcom. Dzięki nim mogli oni natychmiast wyłączyć funkcję wyszukiwania na moim telefonie. Korzystając z usługi iCloud, mogli również wymazać wszelkie znajdujące się na nim informacje (potrzebowali jedynie loginu i hasła do usługi iCloud, które sama im podałam). Po twardym resecie mogli praktycznie wyczyścić mojego iPhone’a X, przypisać mu nowy kod PIN i sprzedać.

Oczywiście natychmiast zmieniłam swoje hasło do usługi iCloud, jednak było już za późno. Straciłam zarówno swój telefon, jak i nadzieję na odzyskanie go. Według pomocy technicznej firmy Apple aplikacja Znajdź mój iPhone to jedyny sposób na znalezienie utraconego urządzenia, a jeśli zostanie ona wyłączona, nic nie da się już zrobić.

Co by mnie wtedy uratowało?

• Oczywiście gdybym nie kliknęła łącza phishingowego i nie wprowadziła swoich danych logowania, schemat nie zadziałałby. Jednak, jak pokazuje mój przypadek, nikt nie jest odporny: znam wszystkie rodzaje zagrożenia, a jednak złapałam przynętę.
• Autoryzacja dwuetapowa dla usługi iCloud pomogłaby mi, nawet gdyby padła ofiarą phishingu. Tak, dałabym oszustom swój login i hasło, ale nie mogliby z nich skorzystać — potrzebowaliby innego mojego urządzenia, aby otrzymać kod autoryzacji. Morał tej historii jest dobitny: włączajcie dwuetapowe uwierzytelnianie wszędzie tam, gdzie tylko można.