Hoe mijn iPhone twee keer achter elkaar werd gestolen

augustus 1, 2018

Locatie: Moskou, Rusland. Tijdstip: Vijf minuten voor de wereldbekerwedstrijd Rusland-Spanje. Scenario: Net een café binnengestapt om het team aan te moedigen en mijn iPhone wordt gestolen.

Dit verhaal zou een blogpost niet waardig zijn als de oplichters geen slimme steel een iPhone trucjes zouden hebben.

Het pakte als volgt uit:

  • 5:00 uur: De wedstrijd begint.
  • 5:01 uur: Ik betreed een druk café in het centrum van Moskou, in de hoop op een plekje, met mijn iPhone vast in mijn hand; Ik moet mijn vriendin laten weten waar ik ben.
  • 5:07 uur: Mijn vriend vraagt of ik mijn vriendin kan bellen, waarna ik me realiseer dat ik geen telefoon heb.

Mijn eerste reactie is om mijn telefoon te bellen vanuit een ander apparaat. Helaas – hij gaat een paar keer over voordat de verbinding verbreekt. Op dat moment dringt tot me door dat mijn iPhone niet alleen kwijt is, hij is gestolen. Ik heb geen idee hoe dat heeft kunnen gebeuren: ik heb hem de hele tijd vastgehouden, maar misschien heb ik hem onbewust even in mijn zak gestopt. De volgende stap is op zoek gaan naar beveiliging en de politieagent in dienst aanspreken in het café. Dan zie ik een lichtpuntje: de Zoek Mijn iPhone app – Ik hoef alleen maar de verloren-modus in te schakelen en het vermiste apparaat zoeken.

Als iemand jouw iPhone met een PIN steelt, dan kunnen ze alleen óf losgeld ervoor vragen of losse onderdelen verkopen. Om de iPhone als eenheid te verkopen, moet het ontgrendeld zijn. In het geval van mijn iPhone X is daarvoor of mijn gezicht of mijn PIN nodig. Sterker nog, na enkele mislukte pogingen om het apparaat de ontgrendelen, kun je het pas opnieuw na een uur proberen – en na nog meer mislukte pogingen verandert de telefoon in een pompoen, a-la Assepoester. Zo werkt de beveiliging van Apple.

Als je iPhone zoekraakt of gestolen wordt, dan helpt de Zoek Mijn iPhone app je om het terug te krijgen. De app is handig, omdat je de telefoon kunt blokkeren en de verloren-modus aan kunt zetten met het bericht: Deze iPhone is kwijtgeraakt. Bel me alsjeblieft op [telefoonnummer]. En dit niet alleen, je kunt de telefoon volgen op een kaart (als deze niet uit is gezet). We gebruiken de app – misschien wil de oplichter losgeld voor de telefoon of is die persoon stom genoeg om het apparaat aan te zetten?

Psychologische phishing

Vanaf dat moment wordt het interessant. Een uur later wordt het volgende bericht gestuurd naar het nummer in mijn verloren-modus schermnotitie.

Alt: iCloud FMI melding: Uw iPhone X 64 GB Space Gray is gelokaliseerd op 1 juli 2018 om 17:54 uur. Het simkaartnummer is geïdentificeerd. Volg de link om de locatie van de iPhone te volgen. De meest recente locatie van uw iPhone en informatie over de eigenaar van de geïnstalleerde simkaart zal binnen 24 uur beschikbaar zijn. Copyright 2018 Apple Inc.

Kijk nog eens goed. Valt je iets raars op? Dat zou wel moeten: de URL van de site is niet de officiële; bedrijven vermelden normaalgesproken geen copyright in een sms-bericht; en waarom zou Apple een sms sturen in plaats van een melding in de Zoek Mijn iPhone app? In andere woorden, het is phishing, en nog vaardig ook. De cybercriminelen weten wat ze doen: het bericht wordt precies op dat moment gestuurd dat het slachtoffer wanhopig probeert het verloren apparaat terug te krijgen, en gestrest en kwetsbaar is.

Ik geef toe: zo voelde ik me op dat moment. Ja, ik werk bij Kaspersky Lab, en phishing is routne voor mij. Ja, ik schrijf iedere dag over de laatste cybertrucjes en oplichterij. Maar op dat moment was ik in paniek en greep ik iedere kans aan om mijn iPhone terug te krijgen, zonder na te denken. Toen het gevreesde bericht op de telefoon van mijn vriend verscheen (dit was het gespecificeerde nummer), waren we op het politiebureau. Het aangifteverslag was al opgeslagen en de politie was bereid te helpen. Als ik hen informatie over de locatie van de telefoon kon geven, dan zou dat de kans vergroten om mijn telefoon terug te krijgen.

En daarom klikte ik zonder na te denken op de link, ik zag de bekende iCloud interface en voerde mijn login en wachtwoord in. Op de eerste poging volgde een onjuist wachtwoordbericht. Ik probeerde het nog een keer, tevergeefs. Het wachtwoord was in mijn geheugen gegrift, en ik weet zeker dat ik het goed had ingevoerd.

Ik ging terug naar de Zoek Mijn iPhone app, logde in in mijn account, zonder enige moeite, en.. mijn iPhone stond er niet tussen. Het was simpelweg verdwenen van de kaart en de apparatenlijst. Toen keek ik nog een keer naar het sms-bericht en begreep ineens wat er was gebeurd.

De phishing-sms stuurde me naar een nep iCloud-website, waar ik mijn inloggegevens heb weggegeven aan cybercriminelen. Met deze informatie hebben zij onmiddellijk de zoekfunctie op mijn apparaat uitgeschakeld. Door middel van iCloud konden zij ook alle informatie op het apparaat wissen (hiervoor hadden ze alleen de login en wachtwoord nodig die ik hen zojuist had gegeven). Na een harde reset, hadden ze een schone iPhone X waar een nieuw wachtwoord was in te stellen, en waarmee die doorverkocht kon worden voor een flink bedrag.

Natuurlijk veranderde ik onmiddellijk mijn iCloud wachtwoord, maar het was te laat. Ik was zowel mijn iPhone als mijn hoop om hem terug te vinden, kwijt. Volgens Apple Support, is de Zoek Mijn iPhone app de enige optie om een verloren apparaat terug te vinden, en als dit is uitgeschakeld, dan komt het apparaat niet meer terug.

Waarmee was de situatie te redden geweest?

  • Als ik natuurlijk niet op de phishing-link geklikt zou hebben of mijn inloggegevens had ingevoerd, dan zouden de oplichters niet hebben gezegevierd. Maar zoals mijn situatie laat zien, is niemand immuun: Ik ben bekend met allerlei soorten fraude, maar toch hadden ze me beet.
  • Authenticatie op basis van twee factoren voor iCloud zou me geholpen hebben, zelfs als ik in de phishing truc getrapt zou hebben. Klopt, ik zou de oplichters nog steeds mijn login en wachtwoord hebben gegeven, maar die zouden onbruikbaar zijn geweest – zij zouden nog een apparaat van mij moeten hebben om de authenticatiecode te kunnen ontvangen. De moraal van dit verhaal is: schakel authenticatie op basis van twee factoren altijd en overal in.