Waarom je nooit de Apple ID van iemand anders moet invoeren in jouw iPhone

Hoe cybercriminelen Marcies iPhone blokkeerden, en hoe je zelf zoiets kunt vermijden.

Gebruikers van Apple-apparaten zijn verplicht een Apple ID te hebben. Het is een soort digitaal paspoort om te kunnen reizen in Apple-land en het verschaft verschillende rechten. En het verdient dezelfde zorg als een paspoort: je leent het niet uit en je gebruikt geen Apple ID van iemand anders.

Het eerste punt is vanzelfsprekend.  Als je iemand toegang geeft tot jouw Apple ID, verlies je de toegang tot je eigen apparaten, jouw data, je aanmeldingen, etc. Maar er zijn vaak vragen over waarom je nooit de Apple ID van iemand anders op je iPhone of iPad moet toelaten. Laten we het verhaal van Marcie gebruiken als casestudy.

Een iPhone verkopen

Na een jaar goed gezorgd te hebben voor haar nieuwe iPhone X, besloot ze het apparaat te verkopen. Het was tijd het nieuwe model XS, of op zijn minst de XR, want die van haar was alweer zo oud.

De volgende kwestie was het bepalen van de prijs. Het apparaat was in goede staat, dus de streefprijs moest hoog zijn. Ze had tenslotte niet voor niets zo goed gezorgd voor haar iPhone, en het had geen enkel krasje! OK, het zal waarschijnlijk even duren voordat de eerste koper zich zou melden, maar Marcie had geen haast.

Tot haar verbazing was er de volgende dag al een koper. Een aardige vrouw die zei dat haar man erg geïnteresseerd was, maar dat hij het erg druk had en pas aan het einde van de week langs kon komen. Hij was vooral geïnteresseerd vanwege de goede staat van het apparaat, dus hij wilde vooruitbetalen en het apparaat later ophalen. Om te controleren dat het apparaat in orde was, vroeg de vrouw aan Marcie om de Apple ID van haar man in de iPhone in te voeren. Eenmaal bevestigd dat het werkte, zou ze het bedrag direct overmaken.

Marcie was razend enthousiast – ze had verwacht dat het op zijn minst een aantal weken zou duren, maar 24 uur later was alles geregeld. De vrouw stuurde het e-mailadres en wachtwoord van de Apple ID van haar man. Marcie verbaasde zich over het feit dat ze deze waardevolle informatie zomaar uitgaf aan een vreemde. Maar dat was haar probleem niet, dus ze logde in met de Apple ID op haar iPhone en informeerde vervolgens de vrouw dat alles was ingevoerd.

En toen gebeurde er iets dat Marcie totaal niet aan zag komen. Er verscheen een melding op haar iPhone-scherm dat het apparaat geblokkeerd was, en dat er contact moest worden gezocht met de persoon achter het e-mailadres zus-en-zo om het te deblokkeren. Ze kon niet om het zwarte scherm met de vervelende melding heen; het apparaat was geblokkeerd, punt uit.

De “aardige vrouw” (lees: nepaccount) reageerde niet meer op Marcies berichten. Dus besloot Marcie een bericht te sturen naar het e-mailadres dat ze had gekregen, waarop ze als antwoord kreeg dat ze een net bedrag in cryptovaluta moest overmaken om het apparaat te deblokkeren.

Marcie dacht rustig na – ze had geen garantie dat ze niet opnieuw bedrogen zou worden. De iPhone lag op tafel nutteloos te wezen, en het had geen aandacht voor haar innerlijke onrust. Ze twijfelde of ze moest betalen of niet en bovendien was ze boos op zichzelf dat ze zo gemakkelijk te bedriegen was.

Voorzichtig met Apple ID’s van vreemden

Zodra je iemands Apple ID invoert in je Apple-apparaat, verlies je alle rechten die je erover had. En als die persoon een cybercrimineel is, dan schept dit een zeer somber beeld: na het bedriegen van het slachtoffer, wordt het apparaat geblokkeerd met de optie “Zoek mijn iPhone” in iCloud.

Deze functie is bedoeld om vreemden te weerhouden van het verkrijgen van de inhoud van het apparaat en om jouw contactinformatie te zien op het scherm, zodat de vinder contact met je kan opnemen om het apparaat terug te brengen.

In dit geval was het apparaat natuurlijk niet zoekgeraakt. Maar zodra het slachtoffer de Apple ID van iemand anders invoert, dan verschijnt de iPhone in de lijst van beheerde apparaten van de eigenaar van die Apple ID in iCloud, en deze persoon verkrijgt alle rechten over dit apparaat. Een handige functie kan dus voor snode plannen gebruikt worden: Cybercriminelen kunnen het gebruiken om iPhones en iPads te blokkeren – om vervolgens losgeld te eisen.

Je moet dus voorzichtig zijn met het verkopen van gebruikte apparaten, maar dat is niet alles. Een van de favoriete social engineering technieken die oplichters gebruiken is gezellig kletsen met gebruikers op Apple-gerelateerde forums, en om vervolgens te vragen om hun Apple ID in te voeren, met verschillende smoesjes, zoals “mijn iPhone is dood, mijn contacten zitten in iCloud, ik moet dringend mijn baas bellen, help me alsjeblieft,” of iets in die richting.

Je zou denken dat je met het e-mailadres en wachtwoord van de Apple ID in de web-versie van iCloud kunt inloggen om alles weer recht te zetten, toch? Helaas niet. De accounts van de fraudeurs zijn beschermd met een authenticatie op basis van twee factoren, dus om in te loggen op hun iCloud heb je de code nodig die naar een van hun apparaten gestuurd wordt, dus alleen hun Apple ID is niet genoeg.

De moraal van dit verhaal: voer nooit de Apple ID van iemand anders in op je apparaat. Zelfs niet als ze dit vriendelijk vragen.

Tips