Hoe mijn iPhone dubbel werd gestolen, deel 2

september 25, 2019
Er is een nieuwe manier van oplichting waarbij een gestolen iPhone wordt losgekoppeld van het Apple ID van het slachtoffer zodat deze meer geld oplevert.

Bijna een jaar geleden schreven we over een klassieke phishing-truc bedoeld om gestolen iPhones los te koppelen van het Apple ID-account van het slachtoffer. Het doel was niet om de losse onderdelen van de telefoon te verkopen, maar juist als een volwaardige tweedehandse smartphone die veel meer waard is.

De vorige keer zat het de oplichters mee en konden ze de iCloud-gebruikersnaam en het wachtwoord dat ze nodig hadden achterhalen. Dit keer onderzoeken we een wat complexer plan om vertrouwelijke gegevens te achterhalen van de slachtoffers van een gestolen telefoon, inclusief het Plan B, waardoor bijna iedereen die niet voor Plan A gevallen is, alsnog slachtoffer wordt.

Stap 1: diefstal van iPhone

Het begon allemaal heel gewoon, toen mijn collega Anna haar telefoon op een bankje in het park liet liggen. Toen ze 20 minuten later terugkeerde, was haar telefoon weg. Niemand had iets gezien, en toen ze het nummer belde, was dit niet langer beschikbaar. Anna activeerde zonder aarzelen de Verloren-modus in de Zoek mijn iPhone-app via de smartphone van een vriend, en gaf een nummer door waarop de vinder van haar iPhone haar kon bereiken.

Een dag later was de hoop om inderdaad door de vinder gebeld te worden vervaagd, en de telefoon bleek op basis van de informatie van Zoek mijn iPhone nog altijd offline. Ze maakte zich op voor de optie ‘iPhone wissen’.

De telefoon staat nog steeds op de “Wissen in behandeling”-modus

Deze handige optie wist alle data van de telefoon en zorgt ervoor dat hij onbruikbaar wordt zodra hij met het internet verbonden wordt. Maar het lijkt erop dat de dief ofwel een iPhone-wonder was, of, en dit is waarschijnlijker, hulp kreeg van een expert van de duistere kunst van het loskoppelen van Apple-apparaten van de iCloud-accounts van de gebruiker zelf. Hoe dan ook, vanaf het moment dat de telefoon weg was, kwam hij niet meer online, dus hem wissen en zo onbruikbaar maken was geen optie.

Hoewel het apparaat beschermd was met Touch ID, kunnen de toegang tot wifi en mobiele gegevens worden uitgeschakeld zonder de telefoon te ontgrendelen. Je hoeft alleen maar het vergrendelingsscherm omhoog te vegen om naar het Bedieningspaneel te gaan, waar je de telefoon op Vliegtuigmodus kan zetten.

Bedieningspaneel kan worden geopend vanuit het vergrendelingsscherm

Het Bedieningspaneel is standaard toegankelijk vanuit het vergrendelingsscherm

De simkaart van de telefoon bleef gedurende twee dagen gedeblokkeerd, en de oplichters hadden de tijd om hem te gebruiken en Anna’s telefoonnummer te achterhalen. Op dag drie was de oude simkaart geblokkeerd door de telefoonmaatschappij en werd er een nieuwe simkaart, met hetzelfde nummer, in Anna’s nieuwe telefoon gedaan.

Stap 2: Phishing-sms

Op dag vier begonnen de oplichters met het interessanter maken van de gestolen iPhone voor eventuele kopers door te proberen hem los te koppelen van Anna’s Apple ID. Om te beginnen belden ze een aantal keer vanaf een telefoonnummer dat uit de V.S. afkomstig leek. Bij het opnemen van de telefoontjes bleef het stil aan de andere kant van de lijn.

Test-telefoontjes van de oplichters

Test-telefoontjes van de oplichters. Nummervervanging is eenvoudig met IP-telefonie

Het doel van deze telefoontjes was om zich ervan te verzekeren dat de simkaart opnieuw was uitgegeven en het nummer weer actief was. Onmiddellijk na het laatste telefoontje ontving Anna een sms-bericht dat haar gestolen telefoon online was gekomen en gevonden was.

Phishing-berichten die van Zoek mijn iPhone afkomstig lijken

Phishing-bericht dat de gestolen iPhone online was gekomen en gevonden kan worden

Het phishing-bericht was slim. Om ervoor te zorgen dat Anna geen onraad zou ruiken, was het bericht verzonden vanaf een dienst die “Apple” als de verzender kon weergeven. De phishing-link in het bericht zag er ook geloofwaardig uit. Bij het handmatig invoeren van de URL, leidt deze naar een niet-bestaande pagina. Maar door op de link te klikken, werd de gebruiker omgeleid naar een phishing-website. Wat is het geheim?

Het domein ic  bestaat daadwerkelijk en is eigendom van Apple, maar de link in de tekst verwees door naar ic  — met een hoofdletter I, en geen kleine L. Door erop te klikken, werd Anna omgeleid naar een overtuigende phising-pagina, waar ze werd gevraagd haar Apple ID en wachtwoord in te voeren om haar verloren telefoon terug te vinden.  Bij een zorgvuldige blik op de pagina, is te zien dat het adres veranderd is en dat het invoeren van gegevens daarom ook niet veilig is.

De phishing-pagina gelinkt in het bericht (mobiele versie)

Zo ziet de phishing-pagina eruit in een mobiele browser

Het is interessant om te zien dat de pagina er verschillend uitziet afhankelijk van het apparaat en de browser die worden gebruikt om hem te bekijken. De aanvallers gebruiken deze website hoogstwaarschijnlijk voor verschillende phishing-activiteiten die aangepast zijn op verschillende platformen.

De phishing-pagina gelinkt in het bericht (desktop-versie)

Desktop-versie van dezelfde phishing-pagina

Anna vulde haar gegevens niet in omdat ze onmiddellijk doorhad dat deze dienst niet echt was. Haar telefoon was bovendien nog altijd offline in de Zoek mijn iPhone-app, zoals dat altijd al was geweest sinds hij was gestolen.

Dat had het einde van het verhaal kunnen zijn, maar zonder de telefoon los te koppelen van Anna’s Apple ID, zouden de dieven nooit zo veel geld kunnen krijgen voor de doorverkoop ervan. Ze stapten over op Plan B.

Stap 3: Telefoontje van een “vriend”

Drie uur nadat het phishing-bericht was verzonden, toen duidelijk was dat Anna haar gegevens niet zou gaan invoeren op een phishing-pagina, ging haar telefoon over. De beller stelde zichzelf voor als medewerker van een servicecentrum, vermelde het precieze model en de kleur van de telefoon en vroeg haar vervolgens of ze die was kwijtgeraakt. Hij vertelde vervolgens dat de telefoon bij het centrum was, dat zich in een winkelcentrum bevond aan de andere kant van de stad, en nodigde Anna uit om hem op te komen halen.

Met de phishing-poging nog vers in haar geheugen, vroeg Anna hem een aantal redelijke vragen over hoe hij de telefoon had gevonden en hoe hij achter haar nummer was gekomen, om zo uit te zoeken of de beller zelf een oplichter was. Het antwoord van de vreemde beller was kort: “Als je je telefoon niet nodig hebt, kom dan maar niet.”

Hij voegde hieraan toe dat de mensen die de telefoon naar het centrum hadden gebracht er enigszins verdacht uitzagen, dus hij had de telefoon opgezocht in de database en zag dat deze als verloren was opgegeven. Dezelfde (duidelijk magische) database bevatte ook Anna’s telefoonnummer. Lang verhaal kort: ze had een uur om haar telefoon op te halen voor de vinders ervan terug zouden komen.

Laten we eerst even naar een aantal technische details kijken. Om erachter te komen of een telefoon verloren is, moet men deze eerst aanzetten. De telefoon toont vervolgens een notificatie waaruit blijkt dat hij kwijt is geraakt, met een telefoonnummer om contact op te nemen met de eigenaar. Onthoud dat omdat haar oude simkaart samen met de telefoon gestolen was en een nieuwe kaart zou worden uitgegeven, Anna had besloten om het nummer van een vriend te gebruiken in plaats van haar eigen nummer. Dus als iemand het contactnummer zou gebruiken, zou het telefoontje naar de vriend van Anna gaan.

Bovendien had Anna tijdens het gesprek met het zogenaamd servicecentrum gecontroleerd of haar telefoon weer online was gekomen. Aangezien dit niet het geval was, zei ze dit tegen de beller, waarop deze luchtig zei dat de telefoon wellicht al opnieuw gekoppeld was aan een ander Apple ID. Als we de emoties en psychologische druk uit deze situatie weg konden nemen, zou dit een overduidelijk “zie de zwendel”-moment zijn. Maar laten we eens kijken hoe de situatie zich in werkelijkheid ontvouwde.

 De man van het zogenaamde servicecentrum vertelde Anna dat de winkel geen andere klanten voor haar kon ophouden, en dat de telefoon zou worden teruggegeven als de oorspronkelijk vinders ervoor terugkwamen. Hij vroeg Anna ook om te bellen als ze niet binnen een uur naar het winkelcentrum kon komen. Toen kwam het klapstuk: hij vroeg haar tevens om de originele verpakking van de telefoon en haar ID mee te nemen. De truc werkte. Voor extra veiligheid nam Anna wat vrienden mee en belde ze een taxi om op pad te gaan. Het winkelcentrum was met de auto in 30 minuten te bereiken, en dus ruim op tijd.

Onderweg belde Anna het “servicecentrum” voor een update. De man vroeg haar om de Zoek mijn iPhone-app te openen en vuurde allerlei vragen op haar af over wat ze daar zag, welke kleur het balletje was naast het pictogram van haar telefoon, enzovoorts, alsof hij haar geval echt aan het onderzoeken was.

Toen Anna zei dat ze er bijna was, vroeg hij haar om opnieuw in te loggen op de iCloud en te controleren of het apparaat verschenen was, en vroeg haar vervolgens om op de “Verwijderen”-knop te drukken en hem te vertellen of het waarschuwingsbericht bepaalde woorden bevatte. Anna drukte op de knop en vertelde wat er in het waarschuwingsbericht stond. De man antwoordde toen vrolijk dat alles duidelijk was: de telefoon was losgekoppeld van iCloud, en om hem weer opnieuw te koppelen was er nog één klik vereist om de verwijdering te bevestigen, waarna hij opnieuw verbonden zou worden.

Anna deed dit uiteraard niet, ondanks de stressvolle situatie, en herinnerde zich dat een telefoon een geen geval losgekoppeld mocht worden van het account van de eigenaar. Dus ze antwoordde dat ze het bij het centrum zouden oplossen.

Een aantal minuten later belde de oplichter opnieuw, nu gewapend met de meest effectieve social engineering-techniek die er is. Om de druk op het slachtoffer te verhogen, beweerde hij dat de vinders waren teruggekeerd voor de telefoon, en dat hij daarom gelijk moest besluiten of hij de ze de telefoon terug zou geven.

Terwijl Anna het typische achtergrondgeluid van een openbare plek hoorde, inclusief stemmen die vroegen: “En?”, en de oplichter die zei: “Een momentje, jongens,” terwijl hij er bij Anna op bleef aandringen dat ze de telefoon van de iCloud moest loskoppelen, zei Anna dat ze er nu aankwam en dat ze tevens de politie had gebeld die onderweg was. De man zei dat hij alle beelden van de bewakingscamera’s zou vrijgeven, maar dat hij zijn klanten niet langer kon laten wachten. Hij zei dat hij ze de telefoon terug zou geven.

Zoals verwacht vond Anna toen ze bij het winkelcentrum aankwam geen servicecentrum. Een plaatselijke politieagent verzekerde haar later ook nog eens dat die plek niet bestond, en dat oplichters hun slachtoffers vaker naar die locatie lieten komen, en hij vertelde haar over gevallen die exact overeenkwamen met wat ze bij Anna hadden geprobeerd.

Vervolgens namen de oplichters geen contact met haar op, maar de phishing-berichten bleven nog een aantal dagen binnenkomen, duidelijk in de hoop dat Anna zou bezwijken en alsnog haar wachtwoord zou invoeren.

Test-telefoontjes van de oplichters

De phishing-berichten bleven nog een tijdje komen

Uiteindelijk kreeg Anna haar iPhone niet terug. Maar ze trapte ook niet in de val van de oplichters. De gestolen iPhone bleef gekoppeld aan haar Apple ID en de modus iPhone wissen was nog altijd geactiveerd, dus zodra hij online zou gaan, zou hij gewist worden en onbruikbaar zijn. Uiteindelijk moesten de dieven de telefoon dus toch in losse onderdelen verkopen.

Wat te doen in het geval van een gestolen of verloren iPhone

Tot slot hebben we hier een aantal tips met wat u kunt doen als uw iPhone gestolen is of kwijtgeraakt.

  • Schakel onmiddellijk de Verloren-modus in via de Vind mijn iPhone-app.
  • Neem contact op met uw provider om de simkaart te blokkeren, vooral als deze niet beveiligd is met een pincode (pincodes zijn normaal gesproken standaard uitgeschakeld of zijn iets eenvoudigs, zoals 0000).
  • Activeer de iPhone wissen-modus onmiddellijk als duidelijk wordt dat u de telefoon niet terugkrijgt.
  • Onthoud dat sms-berichten en vooral telefoontjes altijd nep kunnen zijn. Als de informatie in de berichten niet overeenkomt met wat u in de Zoek mijn iPhone-app ziet, is het waarschijnlijk dat iemand u probeert op te lichten.
  • Controleer uw e-mail voor eventuele echte berichten van Zoek mijn iPhone. Als u hier niets ziet, is het waarschijnlijk dat tekstberichten over uw telefoon frauduleus zijn.
  • Ga handmatig (en voorzichtig) naar icloud.com in uw browser in plaats van een link te volgen in een sms-bericht, en voer nooit uw Apple ID en wachtwoord in op een pagina die via een link is geopend.
  • Blijf rustig. Oplichters proberen u waarschijnlijk te haasten om snel een beslissing te nemen. Dat is een standaard truc, maar trap hier niet in.
  • Verwijder absoluut nooit de verloren telefoon van de Zoek mijn iPhone-app, ongeacht hoe de oplichters u onder druk zetten.