«Он воровал айфоны. И теперь рассказывает как». Репортаж Wall Street Journal.
В системе iOS 17.3 появятся дополнительные функции защиты телефона в случае кражи. Сегодня слишком многое можно сделать с ним, зная код-пароль от экрана блокировки. Настолько много, что в Штатах в последние годы наблюдается всплеск числа краж айфонов, связанных еще и с социальной инженерией: воры сперва так или иначе узнают код-пароль устройства, а уж потом умыкают его и стремительно потрошат личные данные. Первым об этом рассказало весной издание Wall Street Journal и весьма символично, что закрывает историю оно же рассказом об Аароне Джонсоне — одним из тех злодеев, который промышлял этими кражами, делал до 30 тысяч долларов за выходные, а сейчас отбывает срок в тюрьме. Крайне интересное чтиво, позволяющее взглянуть на ситуацию с другой стороны.
Прежде чем охранники пропустят вас через ограду из колючей проволоки и стальные двери исправительного учреждения в Миннесоте, вы должны оставить свой телефон в камере хранения. Не такое уж и большое неудобство, если вы находитесь там, чтобы навестить известного похитителя айфонов.
Но я не боялась, что Аарон Джонсон украдет мой iPhone. Я пришла узнать, как он это сделает.
«Я уже отбываю свой срок. И просто чувствую, что должен быть на другом конце и стараться помогать людям», — говорит мне 26-летний Джонсон в интервью, которое мы снимали в тюрьме строгого режима, где ему предстоит провести следующие несколько лет.
В течение последнего года мы с моей коллегой Николь Нгуен расследовали общенациональный всплеск краж, когда воры сперва наблюдают за тем, как владельцы iPhone вводят код-пароли в свои устройства, а затем крадут телефоны своих жертв и ломают их финансовые и цифровые жизни.
Джонсон вместе с командой других людей действовал в Миннеаполисе в 2021 и 2022 годах. В ночное время в барах и на улице он заводил знакомства с молодыми людьми, хитростью узнавал их пароли и забирал телефоны. Используя полученный код-пароль, он блокировал доступ к учетной записи Apple и похищал тысячи долларов из их банковских приложений. Наконец, потом продавал сами телефоны.
Это была тщательно продуманная, беспринципная схема, которая использовала экосистему Apple и была направлена на доверчивых владельцев iPhone, которые считали, что украденный телефон — это просто украденный телефон.
На прошлой неделе Apple анонсировала функцию Stolen Device Protection, которая, вероятно, защитит от этих преступлений с использованием знания пароля.
Однако даже с этой функцией, которая должна появиться в iOS 17.3, останутся лазейки. Самая большая лазейка? Мы. Узнав, как Джонсон сделал то, что сделал, мы сможем научиться лучше защищать устройства, в которых хранится так много наших жизней.
Как он начал
Джонсон не является искушенным киберпреступником. По его словам, он начал свою карьеру, промышляя карманничеством на улицах Миннеаполиса. «Я был бездомным», — говорит он. — «У меня появились дети, и мне нужны были деньги. Я не мог найти работу. Вот я и занялся этим».
Вскоре он понял, что телефоны, которые он вылавливал, могли бы стоить гораздо больше — если бы только у него был способ проникнуть в них. По словам Джонсона, никто не учил его трюку с паролем, он просто засиделся допоздна, возился с телефоном и понял, как использовать пароль, чтобы разблокировать множество защищенных сервисов.
«Этот код — настоящий дьявол», — говорит он. — «Иногда это может быть Бог, а иногда — дьявол».
Согласно ордеру на арест, выданному полицейским департаментом Миннеаполиса, Джонсон и 11 других членов предприятия якобы заработали около 300 тысяч долларов на краже разных устройств. По его словам, скорее всего, больше.
«У меня была тяга к большим суммам за один раз», — сказал он. — «Я просто слишком увлекся».
В марте Джонсон, ранее судимый за грабежи и кражи, признал себя виновным в рэкете и был приговорен к 94 месяцам. Он сказал судье, что сожалеет о содеянном.
Как он это делал
Вот как проходили ночные операции, согласно интервью с Джонсоном, сотрудниками правоохранительных органов и некоторыми жертвами.
Вычислить жертву. Тускло освещенные и полные людей бары стали для него идеальным местом. Идеальной мишенью стали мужчины студенческого возраста. «Они уже пьяны и не понимают, что происходит на самом деле», — говорит Джонсон. Женщины, по его словам, обычно более осторожны и внимательны к подозрительному поведению.
Узнайте код доступа. Дружелюбный и энергичный — так жертвы описывали Джонсона. Некоторые рассказывали, что он подходил к ним, предлагая наркотики. Другие рассказывали, что Джонсон говорил им, что он рэпер и хочет добавить их в Snapchat. Поговорив немного, они передавали телефон Джонсону, думая, что он просто введет свои данные и вернет его обратно.
Я говорю: «Эй, твой телефон заблокирован. Какой код? Они говорят: «2-3-4-5-6″ или что-то в этом роде. И тогда я просто запоминаю его», — описывает Джонсон. Иногда он записывал, как люди набирают свои коды.
Как только телефон оказывался у него в руках, он уходил с ним или передавал его кому-нибудь другому из команды.
Заблокировать их быстро. Через несколько минут после того, как Джонсон забирал айфоны, он входил в меню настроек и менял пароль Apple ID. Затем он использовал новый пароль для отключения функции Find My iPhone, чтобы жертвы не могли войти в систему с другого телефона или компьютера, чтобы удаленно найти и даже стереть украденное устройство.
Джонсон менял пароли быстро — «быстрее, чем вы можете сказать «суперкалифрагилистикэкспиалидосиус», — говорит он. — «Приходится доводить мышей до сыра».
Возьмите деньги. По словам Джонсона, после этого он вводит свое лицо в Face ID, потому что «когда у вас есть лицо, у вас есть ключ ко всему». Биометрическая аутентификация дала Джонсону быстрый доступ к паролям, сохраненным в iCloud Keychain.
Сбережения, счета, криптовалютные приложения — он хотел перевести большие суммы денег. А если ему не удавалось войти в эти приложения, он искал дополнительную информацию, например номера социального страхования, в приложениях «Заметки» и «Фото».
К утру деньги будут переведены. Тогда он отправлялся в магазины, чтобы купить вещи с помощью Apple Pay. Он также использовал украденные устройства Apple, чтобы купить еще больше устройств Apple, чаще всего iPad Pro за 1200 долларов, и продать их за наличные.
Продать телефоны. Наконец, он стирал телефон и продавал его Чжуншуану «Брэндону» Су, который, согласно ордеру на арест, продавал их за границу.
Хотя Джонсон украл несколько телефонов на базе Android, он охотился за айфонами из-за их высокой стоимости при перепродаже. В барах он выискивал модели iPhone Pro с характерным трио камер. По его словам, Pro Max с терабайтом памяти можно было продать за 900 долларов. Су также покупал приобретенные Джонсоном айпады.
Су признал себя виновным в получении краденого имущества и был приговорен к 120 дням в исправительном учреждении для взрослых в округе Хеннепин, штат Миннесота. Ни Су, ни его адвокат не ответили на просьбы о комментарии.
По словам Джонсона, в удачные выходные он продавал Су до 30 iPhone и iPad и зарабатывал около 20 000 долларов — не считая денег, которые он брал из банковских приложений жертв, Apple Pay и прочего.
Как вы можете предотвратить это
Через неделю после моей поездки в Миннесоту Apple анонсировала функцию Stolen Device Protection. Эта настройка безопасности, вероятно, предотвратит большинство трюков Джонсона, но она не будет включаться автоматически.
Если вы не включите ее, вы будете уязвимы, как и прежде. Включение этой функции добавляет линию защиты вашему телефону вдали от привычных мест, таких как дом или работа.
Чтобы изменить пароль Apple ID, вору понадобится биометрическое сканирование Face ID или Touch ID, то есть вашего лица или пальца. Один только код доступа не подойдет. К тому же этот процесс требует часовой задержки, за которой следует еще одно биометрическое сканирование. Такой же медленный процесс требуется для добавления нового Face ID и отключения функции Find my iPhone.
Некоторые функции, например доступ к сохраненным паролям в iCloud Keychain или стирание iPhone, доступны без задержки, но все равно требуют Face ID или Touch ID.
У преступника все еще может быть стимул похитить айфон человека с «большими деньгами», а затем медленно прорваться через эти уровни безопасности. Однако защита, скорее всего, отпугнет воров, которые просто хотят схватить телефон и скрыться с места преступления.
Так какие же лазейки остаются? Вор, узнавший код доступа, все равно сможет покупать товары с помощью Apple Pay. И любое приложение, которое не защищено дополнительным паролем или PIN-кодом — например, ваша электронная почта, Venmo, PayPal и другие — также уязвимо.
Вот почему вам также следует:
— Добавить отдельный код доступа к денежным приложениям, таким как Venmo и Cash App.
— Удалите все заметки или фотографии, содержащие личную информацию, например пароли или номера социального страхования. Храните их в защищенных записях в сторонних менеджерах паролей, таких как Dashlane или 1Password.
— Создайте более надежный пароль для iPhone — тот, в котором используются буквы и цифры.
— Наиболее очевидным является совет Джонсона: Следите за своим окружением и не говорите никому свой пароль.
Если это преступление чему-то и научило нас, так это тому, что одно устройство теперь содержит доступ ко всей нашей жизни — нашим воспоминаниям, нашим деньгам и многому другому. Мы обязаны их защитить.