Пароль, який розблокує ваш телефон, може надати злодіям доступ до ваших грошей і даних; «це як скринька зі скарбами»
НЬЮ-ЙОРК. У перші години вихідних на День подяки Рейхан Аяс виходила з бару в центрі Манхеттена, коли чоловік, якого вона щойно зустріла, поцупив її iPhone 13 Pro Max.
За кілька хвилин 31-річна дівчина, старший економіст стартапу з розвідки робочої сили, більше не могла отримати доступ до свого облікового запису Apple і всього прикріпленого до нього матеріалу, включаючи фотографії, контакти та нотатки. За її словами, протягом наступних 24 годин з її банківського рахунку зникло близько 10 000 доларів.
Подібні історії накопичуються в поліцейських відділках по всій країні [США]. Використовуючи надзвичайно нетехнологічний трюк, злодії спостерігають, як власники iPhone підбирають їхні паролі, а потім викрадають телефони своїх цілей — і їхнє цифрове життя.
- Злодії використовують просту вразливість у програмному забезпеченні понад мільярда iPhone, активних у всьому світі. Він зосереджений на паролі, короткому рядку цифр, який надає доступ до пристрою; і паролі, як правило, коротші буквено-цифрові комбінації, які служать логіном для різних облікових записів.
Маючи лише iPhone і його пароль, зловмисник може за кілька секунд змінити пароль, пов’язаний з Apple ID власника iPhone. Це заблокує жертву з її облікового запису, який включає все, що зберігається в iCloud. Злодій також часто може пограбувати фінансові програми телефону, оскільки код доступу може розблокувати доступ до всіх збережених паролів пристрою.
«Коли ти залізеш у телефон, це як скринька зі скарбами», — сказав Алекс Аргіро, який розслідував гучну групу крадіжок як детектив поліції Нью-Йорка до виходу на пенсію восени минулого року.
ЯК ЗАХИСТИТИ ДАНІ СВОГО IPHONE ВІД ЗЛОДІЇВ
- Прикривайте екран на людях
- Зміцніть свій пароль
- Видаліть сканування конфіденційної інформації
- Прочитайте наш посібник із додатковими порадами, як уберегти хижака від викрадення вашого цифрового життя.
За його словами, за останні два роки в місті сталися сотні подібних злочинів. “Це зростає”, – сказав він. «Це такий опортуністичний злочин. У всіх є фінансові програми».
Компанія Apple Inc. рекламує себе як лідера у сфері цифрової конфіденційності та безпеки, продаючи своє тісно інтегроване обладнання, програмне забезпечення та веб-сервіси iCloud як найкращий захист даних своїх клієнтів.
«Дослідники безпеки сходяться на думці, що iPhone є найбезпечнішим споживчим мобільним пристроєм, і ми щодня невтомно працюємо, щоб захистити всіх наших користувачів від нових і нових загроз», — сказала речниця Apple.
«Ми співчуваємо користувачам, які мали такий досвід, і дуже серйозно ставимося до всіх атак на наших користувачів, якими б рідкісними вони не були», — сказала вона, додавши, що компанія вважає, що ці злочини є рідкісними, оскільки вони вимагають крадіжки пристрою та пароля. . «Ми продовжуватимемо вдосконалювати засоби захисту, щоб захистити облікові записи користувачів».
Дослідження недавньої серії крадіжок виявило можливу прогалину в броні Apple. Захист компанії побудований на типових сценаріях атак: хакер в Інтернеті намагається використати облікові дані людини або злодій на вулиці, який хоче поцупити iPhone для швидкого продажу.
Вони не обов’язково пояснюють туман нічного бару, повного молоді, де хижаки дружать зі своїми жертвами та маневрують, щоб вони розкрили свої паролі. Коли злодії володіють і паролем, і телефоном, вони можуть скористатися функцією, яку Apple навмисно створила для зручності: дозволити забудькуватим клієнтам використовувати свій пароль для скидання пароля облікового запису Apple.
«Це було лише питанням часу, коли зловмисник застосує плечовий серфінг або соціальну інженерію», — сказав Адам Авів, ад’юнкт-професор комп’ютерних наук Університету Джорджа Вашингтона. Покладатися на телефон як на надійний пристрій у таких випадках не вдається, додав він.
Крадіжка
Усі жертви, опитані The Wall Street Journal, сказали, що їхні iPhone вкрали, коли вони були вночі та спілкувалися. Деякі казали, що телефони вихопив з їхніх рук хтось, з ким вони щойно познайомилися. Інші сказали, що на них чинили фізичний напад і залякували, щоб вони віддали свої телефони та коди доступу. Кілька сказали, що вважають, що вони під дією наркотиків. Наступного ранку вони прокинулися без телефонів і не пам’ятали минулої ночі.
- У всіх випадках власники iPhone були заблоковані в своїх облікових записах Apple. Потім вони виявили фінансові крадіжки на тисячі доларів, включаючи певну комбінацію стягнень Apple Pay, злиття банківських рахунків, пов’язаних із телефонними додатками, і гроші, вилучені з Venmo PayPal Holdings Inc. та інших програм для надсилання грошей.
Подібна вразливість існує в мобільній операційній системі Google Android. Однак, за словами представників правоохоронних органів, вища вартість перепродажу iPhone робить їх набагато більш поширеною ціллю.
«Наш вхід і відновлення облікового запису – ми намагаємся знайти баланс між дозволом законним користувачам зберігати доступ до своїх облікових записів у реальних сценаріях і запобіганням зловмисникам», – сказав представник Google.
Увечері 22 січня 2022 року Ріс Томпсон, арт-директор креативного агентства в Гайавате, штат Айова, випивав зі своєю дівчиною під час відвідування центру Міннеаполіса, коли його iPhone 12 Pro зник з бару. Наступного ранку, коли він спробував увійти у свій обліковий запис Apple з іншого пристрою, пароль облікового запису було змінено. Тисячі доларів були списані з його кредитних карток через Apple Pay, а 1500 доларів було вкрадено з його рахунку Venmo, сказав він.
Прокуратура Міннесоти каже, що 42-річний пан Томпсон став жертвою групи крадіжок, яка зібрала майже 300 000 доларів США, викравши iPhone та їхні паролі щонайменше у 40 жертв. Згідно з ордером на арешт одного з членів передбачуваної групи, Альфонса Стакі, група нападала на відвідувачів барів зі смартфонами Apple, швидко грабувала облікові записи, доступні через ці пристрої, а потім перепродавала телефони. Відтоді пан Стакі визнав себе винним за одним пунктом звинувачення в рекеті та отримав 57 місяців ув’язнення. Ще одинадцяти підозрюваним у справі висунули звинувачення в рекеті.
- 23-річний містер Стакі, який раніше скоював проступки, сказав, що не буде коментувати, доки йому не виплатять компенсацію. Його адвокат відмовився від коментарів.
За словами сержанта, групи з двох-трьох злодіїв ходили в бар і заводили друзів з жертвами, часто просячи їх відкрити Snapchat або будь-яку іншу платформу соціальних мереж, каже Роберт Іллечко, головний слідчий у справі.
Під час цієї взаємодії вони намагалися спостерігати, як жертва розблоковує iPhone за допомогою пароля, сказав він. Якщо вони спочатку не вловили код доступу, вони могли спробувати змусити жертву передати їм телефон для фото, а потім непомітно вимкнути його, перш ніж віддати назад, додав він. Після перезавантаження iPhone для його розблокування потрібен пароль.
«Це так само просто, як спостерігати, як ця людина кілька разів вводить свій пароль у телефон», — сказав сержант Іллечко, додавши, що іноді злодії таємно знімали жертв, щоб вони могли бути впевнені, що вловили правильну послідовність. «Є багато прийомів, щоб змусити людину ввести код».
Подібні випадки були зареєстровані в Остіні, Денвері, Бостоні та Лондоні.
У Нью-Йорку одним із перших відомостей про масштаби цієї нової хвилі злочинів, яке отримала поліція, стала незрозуміла смерть.
У п’ятницю, 27 травня, під час візиту з Вашингтона, округ Колумбія, Джон Амбергер вирушив на ніч на Манхеттен, закінчивши вечір у барі в районі Hell’s Kitchen. Через п’ять днів 33-річного директора дипломатії та політичних програм Американського центру права та справедливості знайшли мертвим у квартирі, де він жив, із порожнім гаманцем і без iPhone.
Спочатку поліція підозрювала, що це було звичайне передозування наркотиками. Потім його родина виявила, що тисячі доларів були вилучені з його банківських рахунків, рахунків PayPal і Venmo разом із підозрілими стягненнями з кредитної картки, за словами матері пана Умбергера, Лінди Клері. Вона вважає, що пароль облікового запису Apple її сина змінили.
Містер Аргіро, детектив Нью-Йорка, який брав участь у розслідуванні смерті пана Умбергера перед тим, як вийти на пенсію у вересні, сказав, що влада прийшла до висновку, що він став жертвою групи злодіїв, які нападають на відвідувачів нью-йоркських барів, відмиваючи гроші через програми. а потім перепродати телефони. Вважається, що саме ця група несе відповідальність за понад 30 інцидентів, додав він.
За словами людей, знайомих із розслідуванням, окружна прокуратура Манхеттена збирає справу для розгляду великого журі.
Метод
Теоретично, останні інновації безпеки від Apple повинні усунути вразливість перехопленого пароля. Речниця Apple вказала на Face ID і Touch ID як на способи, які взагалі обмежать потребу вводити код доступу.
Проте в Нью-Йорку деякі органи влади запропонували Face ID як можливу точку входу в телефони. Управління нічного життя міста, зв’язкове між мерією та індустрією гостинності, прийняло доповідача, який рекомендував відвідувачам бару вимкнути розпізнавання обличчя на основі теорії, що обличчям недієздатної людини можуть скористатися злодії.
Анатомія нападу
Злодій спостерігає, як ви вводите свій пароль, а потім краде ваш iPhone. З пристроєм і паролем,
злодій може вкрасти…
Відповідно до звітів Журналу та тестування на пристрої, найбільш імовірним сценарієм є злам пароля. Щоб змінити чийсь пароль Apple ID на iPhone, сканування обличчя буде недостатньо: потрібен пароль. Після завершення зміни пароля програмне забезпечення пропонує можливість змусити інші пристрої Apple, наприклад комп’ютери Mac або iPad, вийти з облікового запису Apple, щоб жертва не могла звернутися до цих пристроїв, щоб відновити доступ. Програмне забезпечення ніколи не вимагає від користувача введення старого пароля перед встановленням нового. Репортери журналу змогли зробити все це менш ніж за хвилину.
- Прес-секретар Apple сказала, що система розроблена, щоб допомогти користувачам, які забули пароль свого облікового запису. Вона додала, що для цього потрібні два фактори: фізичний пристрій і пароль пристрою.
З новим паролем злодій може вимкнути функцію «Знайти мій iPhone», яка інакше дозволить жертвам знаходити їхні телефони та навіть віддалено стерти їх, щоб захистити свої дані. Відключення Find My iPhone також дозволяє злодієві перепродати iPhone.
Apple нещодавно представила можливість використовувати апаратні ключі безпеки, маленькі USB-ключі, для захисту Apple ID. Під час тестування журналу ключі безпеки не запобігали змінам облікового запису, використовуючи лише пароль, і пароль навіть можна було використовувати для видалення ключів безпеки з облікового запису.
Пошкодження
Тейлор Еші, керівник відділу продажів нью-йоркської технічної компанії, сказав, що в ніч на 10 грудня 2021 року в нью-йоркському барі його підсадили наркотиками. Він не пам’ятає, як у нього забрали телефон. Все, що він знає, це те, що той, хто взяв його, отримав доступ до його банківського додатку, зареєстрував дебетову картку свого банку в Apple Pay і відкрив кредитну картку Venmo та кредитну картку Apple на своє ім’я.
- Департамент поліції Нью-Йорка відмовився надати подробиці того, як, на їхню думку, злодії отримують доступ до телефонів своїх цілей.
Пан Еші, який переказав понад 10 000 доларів США зі свого банківського рахунку, сказав, що він зберіг паролі до цих облікових записів у менеджері паролів Apple iCloud Keychain. Ця функція автоматично заповнює інформацію для входу після успішного сканування Face ID або Touch ID або введення коду доступу iPhone, згідно з тестуванням Journal. У справі пана Еші та інших банківське шахрайство сталося після того, як біометричні дані жертв стали недоступні для злодіїв.
- Якщо додатки вимагають коди текстових повідомлень як частину свого входу, метод безпеки, відомий як двофакторна автентифікація, повідомлення надсилаються на iPhone — той самий, який мав би злодій.
Після входу в банківські додатки за допомогою коду доступу журнал зміг додати цифрові дебетові картки до Apple Pay, не потребуючи фізичних карток або їхніх PIN-кодів. Гроші можна надсилати з дебетових карток на Apple Cash, яку можна використовувати для надсилання грошей або здійснення безконтактних платежів у магазинах.
- Декілька постраждалих сказали, що на їх ім’я була відкрита кредитна картка Apple. Картки швидко накопичили витрати на тисячі доларів. Додатки Apple Card, які доступні через програму Apple Wallet, автоматично заповнюватимуть інформацією, яка може зберігатися на iPhone, як-от ім’я власника, адреса та дата народження.
Форма Apple Card вимагає від заявників введення останніх чотирьох цифр свого номера соціального страхування. Один із постраждалих, Девід Віджіланте, вважає, що злодії знайшли цю інформацію прямо в додатку «Фотографії» на його iPhone XS Max.
Після викрадення телефону в піцерії в Нижньому Іст-Сайді на Манхеттені рано вранці 23 жовтня 30-річний менеджер із продукції в компанії з даних про нерухомість зрозумів, що хтось намагався стягнути 15 000 доларів з його кредитної картки через Apple Pay і що на його ім’я була відкрита нова кредитна картка Apple. Коли через кілька днів він повернувся до свого облікового запису Apple, він знайшов раніше зроблені ним фотографії конфіденційних документів — паспорта, водійських прав, форми прямого внеску зарплати та документів про медичне страхування — зібрані в новому фотоальбомі.
- Такі програми, як Apple Photos, iCloud Drive і Google Drive, тепер пропонують можливість пошуку тексту в зображеннях і документах. Під час тестів Журналу пошук у додатку Apple Photos за «SSN» (номер соціального страхування) та «INN» (ідентифікаційний номер платника податків) одразу створив фотографію податкової форми 1099 із інформацією про соціальне страхування, яка зберігалася на телефоні. .
Більшість постраждалих, з якими спілкувався журнал, подали заяви в поліцію. Один подав заяву про крадіжку особистих даних до Федеральної торгової комісії. Більшість їхніх банків і фінансових програм повернули гроші, які вважалися втраченими через шахрайство.
Деякі люди, у яких вкрали iPhone, не можуть отримати доступ до своїх облікових записів Apple. За допомогою пароля можна змінити резервну електронну адресу та номер телефону Apple ID, а також увімкнути функцію безпеки під назвою ключ відновлення. В останніх випадках злодії змінювали контактну інформацію облікового запису Apple і вмикали ключ відновлення, блокуючи жертвам можливість використовувати службу відновлення облікових записів для тих, хто забув свій пароль Apple ID.
- Речниця Apple сказала, що політика відновлення облікових записів існує для захисту користувачів від доступу зловмисників до їхніх облікових записів.
Рейхан Аяс втратила близько 10 000 доларів і доступ до свого облікового запису Apple після того, як її iPhone 13 Pro Max викрали біля бару на Манхеттені.
- Ті, хто залишаються заблокованими у своїх облікових записах Apple, часто втрачають щось незамінне.
Відразу після того, як її iPhone вкрали біля нью-йоркського бару, пані Айас, яка має ступінь магістра економіки Прінстонського університету, спробувала увійти в свій ідентифікатор Apple ID і отримати доступ до Find My iPhone. На той момент злодій уже змінив свій пароль. Через кілька місяців і численних дзвінків у службу підтримки Apple вона все ще не може повернутися до свого облікового запису, оскільки злодій також увімкнув ключ відновлення.
Згідно з політикою Apple, компанія не дозволяє користувачам відновлювати доступ до свого облікового запису, якщо ключ відновлення активований і вони не можуть його створити.
«Я переходжу до свого додатка «Фотографії» і прокручую вгору, сподіваючись побачити знайомі обличчя, фотографії мого тата та моєї сім’ї — їх уже немає», — сказала пані Аяс. «Мені назавжди казали, що я втратив усі ці спогади, було дуже важко».
Корділія Джеймс, Ліза Шварц і Неллі Гівен зробили свій внесок у цю статтю.
Джоанна Стерн, wsj.com