WSJ: мошенники всё чаще похищают смартфоны для кражи цифровой личности пользователя

Недавно вышел очень интересный отчёт Wall Street Journal (WSJ). В США, а также в некоторых частях Европы – в документе говорится конкретно о Лондоне – в настоящее время накапливается количество случаев кражи iPhone, в которых преступники, по-видимому, преследуют не только сам мобильный телефон.

Реконструкция дел, проведённая полицией и журналистами Джоанной Стерн и Николь Нгуен, показывает, насколько пугающе легко в настоящее время получить полную цифровую личность человека, а часто и деньги жертв.

Всё, что нужно вору для этого, – это пин-код (пароль), с помощью которого многие пользователи защищают iPhone, комбинация цифр, часто слишком легко отслеживаемую при наборе.

По данным полиции, пользователи Apple iPhone до сих пор были основной целью атак, но это не означает, что пользователи Android не в зоне риска. Преступники используют ту же методологию и здесь, но из-за более высокой стоимости при перепродаже в настоящее время они, похоже, сосредоточены на владельцах iPhone.

В описанных случаях ввод пин-кода прослушивался, а затем использовался для сброса Apple ID, что, в свою очередь, позволяло выйти из системы на всех подключённых устройствах. Вор попадает в iCloud, а законный пользователь, с другой стороны, теряет доступ ко всем другим устройствам Apple в течение нескольких минут и больше не может найти или сбросить настройки iPhone.

Поскольку всё больше и больше поставщиков финансовых услуг подключаются через Apple Pay и Google Pay, а доступ к банковским приложениям хранится в цепочке ключей iCloud, злоумышленники часто имеют полный доступ к финансам, во многих случаях составляющих тысячи долларов.

Всё это, заметьте, без каких-либо дополнительных мер безопасности: TAN, который отправляется в виде SMS на номер, находящийся в украденном смартфоне, конечно, мало помогает. Это может быть ещё более опасным, если фотографии паспорта, водительских прав или налоговых документов хранятся незащищёнными как фотографии на смартфоне, потому что тогда воры могут открыть новые кредитные карты и нанести дополнительный ущерб.

Даже через несколько месяцев после этих атак многие из пострадавших по-прежнему не имеют доступа к своим контактам и данным, а также к воспоминаниям, хранящимся в iCloud в виде фотографий и видео.

Без ключа восстановления, который злоумышленники часто активировали своими измененными данными, Apple помочь не может и, что самое главное, не хочет.

В опубликованном ниже видео были затронуты некоторые моменты, которые можно превентивно изменить, чтобы лучше защититься. Например, вы должны заменить пин-код более длинным буквенно-цифровым паролем, который также должен быть защищён, как пин-код на вашей кредитной карте, и не должен вводиться публично. Банковские приложения должны быть защищены отдельными паролями, которые не хранятся в менеджерах паролей Apple и Google по умолчанию. Здесь могут помочь сторонние приложения, защищённые сложным паролем (например, Keypass). Фотографии с конфиденциальными данными, например, с удостоверений личности, следует удалять или хранить отдельно в защищённых местах.

У гуру Android Мишаала Рахмана есть совет для всех пользователей Android активировать «Расширенную защиту» для учётной записи Google, но для этого требуются два отдельных ключа безопасности, например дополнительный USB-ключ, который многим пользователям может показаться трудным.

Пока производители – прежде всего Apple и Google – не найдут лучший способ между удобством и безопасностью, вы также можете предпринять небольшие шаги, чтобы обеспечить немного больше безопасности в чрезвычайной ситуации. Обычные советы – не используйте пароль для разных учётных записей одновременно – здесь тоже помогают ограничить ущерб.