Użytkownicy urządzeń z systemem Apple muszą posiadać Apple ID. To coś w rodzaju cyfrowego paszportu umożliwiającego podróżowanie po Applelandzie. Identyfikator Apple ID jest potrzebny do uzyskania dostępu do świata Apple i daje określone możliwości. Powinien być traktowany jak paszport: nie wolno go nikomu pożyczać ani pożyczać go od kogoś.
Pierwsze stwierdzenie wydaje się oczywiste. Pożyczenie komuś swojego Apple ID oznacza utratę dostępu do własnych urządzeń, danych czy subskrypcji. Jednak zastanawiające jest, dlaczego nigdy nie wolno wprowadzać czyjegoś Apple ID na swoim iPhonie czy iPadzie. Opowiemy to na przykładzie historii, która wydarzyła się pewnej kobiecie o imieniu Marcie.
Sprzedaż iPhone’a
Po roku użytkowania swojego iPhone’a X Marcie zdecydowała się go sprzedać. Chciała kupić nowszy model: XS albo XR. Pomyślała o umieszczeniu ogłoszenia w serwisach typu eBay i Craigslist.
Zaczęła zastanawiać się nad ceną. Telefon był w dobrym stanie, więc postanowiła sprzedać go za odpowiednio wysoką kwotę. W końcu nie na darmo dbała o niego przez cały rok — nie miał ani jednej rysy! Wiedziała, że znalezienie kupca nie będzie wcale takie łatwe, ale nie spieszyło się jej.
Ku zaskoczeniu Marcie chętny pojawił się na drugi dzień. Jakaś miła kobieta napisała, że jej mąż bardzo chciał kupić tego iPhone’a, ale jest bardzo zajęty i nie uda mu się po niego podjechać do końca tygodnia. Bardzo się cieszy, że urządzenie jest w idealnym stanie, więc chce zapłacić zaliczkę i odebrać go później. Kobieta stwierdziła, że chciałaby sprawdzić, czy telefon naprawdę jest w idealnym stanie — poprosiła więc Marcie o wprowadzenie na urządzeniu danych Apple ID należących do jej męża. Jeśli wszystko zadziała, przeleje zaliczkę od razu.
Marcie ucieszyła się — myślała, że będzie musiała poczekać kilka tygodni, a tymczasem kupiec pojawił się po 24 godzinach. Potencjalna kupująca wysłała Marcie dane Apple ID swojego męża (czyli jego e-mail i hasło). Marcie zastanawiała się, dlaczego ludzie ci tak beztrosko udostępniają tak cenne dane całkowicie obcej osobie. Jednak ze swojej strony nie widziała w tym problemu, więc wprowadziła informacje w telefonie i poinformowała kobietę, że może wszystko sprawdzić.
Wtedy stało się coś, czego Marcie całkowicie się nie spodziewała. Na ekranie iPhone’a pojawiła się informacja, że urządzenie zostało zablokowane, a w celu jego odblokowania wymagany jest kontakt ze wspomnianego adresu e-mail. Marcie nie udawało się w żaden sposób wyłączyć komunikatu; telefon był zablokowany na dobre.
„Miła kobieta” (czytaj: fałszywe konto) przestała odpowiadać na wiadomości Marcie. Dlatego postanowiła ona samowolnie wpisać otrzymany adres e-mail — wtedy też dowiedziała się, że aby odblokować swój telefon, musi przesłać sporą kwotę pod postacią kryptowaluty.
Marcie zaczęła się zastanawiać — nie miała gwarancji, że nie zostanie oszukana po raz drugi. Sam iPhone leżał na stoliku jak bezużyteczny przedmiot, całkowicie obojętny na całe zamieszanie. Oprócz braku pewności co do tego, czy należy zapłacić, była na siebie zła, że dała się tak łatwo oszukać.
Uwaga na obcych wykorzystujących Apple ID
Gdy na swoim urządzeniu Apple wprowadzisz czyjeś dane logowania Apple ID, automatycznie rezygnujesz z dostępu do niego. A jeśli trafisz na cyberprzestępcę, łatwo go nie odzyskasz: mając ofiarę w garści, z pewnością zablokuje on urządzenie przy użyciu funkcji „Znajdź mój iPhone” dostępnej w usłudze iCloud.
Celem tej funkcji jest uniemożliwienie osobie obcej, która znajdzie czyjś telefon, przeglądania jego zawartości. W takiej sytuacji na ekranie wyświetlany jest numer, pod którym znalazca może się skontaktować z właścicielem i zwrócić telefon.
Oczywiście w tym przypadku urządzenie nie zostało zgubione. Gdy ofiara wprowadziła dane Apple ID należące do osoby obcej, iPhone natychmiast został dodany do jej listy urządzeń powiązanych z serwisem iCloud, dzięki czemu mogła zrobić z nim wszystko, co tylko przyszło jej do głowy. W taki właśnie sposób przydatna funkcja może czasami posłużyć do niecnych zamiarów: cyberprzestępcy mogą jej użyć, aby zablokować iPhone’y i iPady i żądać za nie okupu.
Z tego względu nie wolno o tym zapominać, gdy mamy zamiar sprzedać używane urządzenie — ale nie tylko wtedy. Cyberprzestępcy często wykorzystują swój ulubiony trik socjotechniczny na forach poświęconych tematyce Apple, gdzie proszą użytkowników o wprowadzenie konkretnych danych logowania Apple ID pod różnymi pretekstami typu „mój telefon przestał działać, kontakty mam zapisane w chmurze iCloud, muszę pilnie zadzwonić do szefa, pomoże ktoś?” lub coś w ten deseń.
Ktoś może pomyśleć: ale przecież skoro znam należące do cyberprzestępców e-mail i hasło jako identyfikatory Apple ID, mogę zalogować się przez przeglądarkę do platformy iCloud i wszystko odkręcić. Niestety tak to nie działa. Konto oszustów jest chronione mechanizmem autoryzacji dwuetapowej, więc aby zalogować się do niego w serwisie iCloud, musisz także wprowadzić kod wysłany na jedno z ich urządzeń. Naturalnie tylko oni mają dostęp do tych urządzeń, więc posiadanie samych danych logowania nie wystarczy.
Morał tej historii warto zapamiętać: nigdy nie wprowadzaj czyjegoś Apple ID na swoim urządzeniu. Nawet jeśli ktoś bardzo o to prosi.