Skazany na 94 miesiące (prawie 8 lat) amerykański złodziej Johnson nie był zwyczajnym złodziejem. Mężczyzna zdobywał hasła dostępu i podstępem kradł iPhone'y, a następnie wykradał oszczędności życia swoich ofiar. Wszystko z powodu luki, która pozwalała mu błyskawicznie zmienić PIN do telefonu Apple. Złodziej - już w więzienia - ze szczegółami wyjaśnił metody swojego działania w opublikowanym właśnie wywiadzie dla "Wall Street Journal".
30 iPhone'ów w jeden weekend. Amerykański złodziej miał jeden cel
Złodziej - jak sam tłumaczy - na swoje ofiary najczęściej polował w barach w piątkowe, sobotnie i niedzielne wieczory. Wybierał na nie głównie młodych mężczyzn, posiadaczy stosunkowo nowych iPhone'ów Pro lub Pro Max, bo te są warte zdecydowanie więcej od podstawowych wersji. Wdawał się ze swoimi ofiarami w rozmowę, zachęcał do wzięcia narkotyków, próbował nawiązać znajomość lub prosił, by odnaleźć się w mediach społecznościowych. Liczył na to, że ofiara wyciągnie telefon, ale po ciemku nie będzie mogła odblokować go poprzez Face ID.
W takich przypadkach mężczyzna podglądał i zapamiętywał sześciocyfrowy kod blokady, a następnie - korzystając z nieuwagi najczęściej pijanych ofiar - kradł telefon i natychmiast wchodził w ustawienia, aby wyłączyć funkcję lokalizowania skradzionego telefonu i zmienić hasło do usługi iCloud. Twierdzi w wywiadzie, że na zmianę tych ustawień potrzebował maksymalnie 10 sekund, a chwilę później urządzenie przekazywał jednemu z członków grupy, z którymi współpracował. W ciągu jednej nocy Amerykanin kradł w taki sposób ok. 10 iPhone'ów, z których następnie próbował wykraść możliwie najwięcej pieniędzy.
Po zmianie zarejestrowanej w usłudze Face ID twarzy mógł już korzystać z kradzionego iPhone'a, jak ze swojego. Korzystając z przejętego konta Apple, próbował logować się do wszystkich możliwych aplikacji bankowych i finansowych na smartfonie oraz wyprowadzał wirtualne monety z portfeli kryptowalutowych. Jeśli właściciel telefonu nie korzystał z funkcji zapamiętywania haseł, złodziej często znajdował je zapisane w notatniku.
Jak twierdzi, zazwyczaj do godz. 5 nad ranem wyprowadzał środki ze wszystkich możliwych kont należących do okradzionych tej samej nocy osób. Jednocześnie wyprowadzał pieniądze z kart kredytowych. Kupował drogie ubrania, buty i elektronikę (głównie od Apple) za tysiące dolarów, a płacił za to wszystko kradzionym iPhonem przy pomocy Apple Pay. Kupione smartfony, tablety lub komputery sprzedawał najczęściej razem ze skradzionym iPhonem. W taki sposób wykradał nie tylko oszczędności życia swoich ofiar, ale często i zadłużał je na ogromne kwoty.
Kradł iPhone'y, zarobił na tym fortunę. Dziesiątki tysięcy dolarów w weekend
W akcie oskarżenia przeciwko Johnsonowi śledczy oszacowali, że w latach 2021-2022 ukradł on w Minneapolis i okolicznych miasteczkach tysiące iPhone'ów, powodując szkody na kwotę ponad 300 tys. dolarów. "WSJ" uważa jednak, że ta kwota jest mocno niedoszacowana. Sam złodziej opowiada, że od piątku do niedzieli był w stanie ukraść ok. 30 telefonów, które - po wyczyszczeniu danych - sprzedawał za kwotę ok. 20 tys. dolarów. Za używanego, stosunkowo nowego iPhone'a Pro Max z pamięcią 1 TB dostawał - jak mówi - ok. 900 dolarów.
Do tego doliczyć trzeba tysiące lub nawet dziesiątki tysięcy dolarów z wyczyszczonych kont bankowych, lub pochodzące ze sprzedaży kupionych przy pomocy kart ofiar urządzeń. Sam przestępca nie wie ile, dokładnie ukradł, ale przyznaje w wywiadzie, że kwota ta mieści się zapewne w przedziale od miliona do dwóch milionów dolarów.
Apple załatało lukę w iPhonie. Będzie trudniej wyprowadzić pieniądze z iPhone'a
"WSJ" zaznacza, że Apple na szczęście wprowadziło w zeszłym tygodniu odpowiednią aktualizację, która uniemożliwia wykorzystania metod złodzieja iPhone'ów. W aktualizacji do iOS 17.3 (na razie dostępnej jeszcze w wersji beta) Apple dodało funkcję Stolen Device Protection (Ochrona przed kradzieżą urządzenia). O ile tylko włączymy ją zawczasu, bo domyślnie funkcja pozostaje wyłączona, o czym warto pamiętać.
Funkcja uniemożliwia zmianę hasła do konta Apple lub twarzy zapisanej w Face ID, gdy iPhone znajduje się poza domem lub miejscem pracy. Do zmiany hasła trzeba w takiej sytuacji wykorzystać Face ID, a następnie - po odczekaniu godziny - ponownie potwierdzić całą procedurę zabezpieczeniem biometrycznym. Funkcja blokuje też możliwość podejrzenia zapisanych haseł przy pomocy samego kodu PIN do telefonu. Wciąż jednak złodziej może wykorzystać iPhone'a, aby zrobić zakupy przy pomocy Apple Pay.
