Pplware

Ladrão ganhou mais de 300 mil dólares a roubar iPhones com esquema do PIN

Há um problema que é transversal a todos os smartphones (e não só), se um ladrão descobrir a palavra-passe de acesso ao dispositivo, pode entrar no sistema e roubar muita informação, documentos e dinheiro. A Apple sabe que o iPhone, com a versão atual do iOS, tem essa vulnerabilidade… mas apenas quando alguém usa o PIN de 4 ou 6 dígitos em sítios “complicados”. E há criminosos com um esquema bem montado e lucrativo!


Sim, o iPhone é quase “blindado” a roubos convencionais de smartphones. Quem roubar um iPhone e não souber o código de acesso, seguramente que não vai ter como entrar no dispositivo. E ter acesso a este código, apesar de as pessoas usarem maioritariamente 4 ou 6 algarismos para uma combinação, só o fazem se o Face ID ou o Touch ID não funcionar.

Ora, começa aqui o buraco que vai ser usado pelos criminosos para “assaltar” as pessoas e os seus “segredos” escondidos no iPhone.

O PIN como um livre-trânsito para roubar o iPhone e tudo o que lá tem dentro

A história começou a ser badalada no início deste ano. Em março, o The Wall Street Journal escrevia sobre um golpe que consistia em observar as vítimas, que usam o seu iPhone descontraidamente, em locais onde as pessoas por vezes têm de digitar o código de desbloqueio do iPhone.

O jornal aponta exemplos, como os bares à noite e outros locais de diversão noturna. A vítima não dá conta, mas vai ser roubada.

Na reportagem, o jornal cita Greg Frasca, um americano de 46 anos que foi assaltado com este método. Depois de lhe roubarem o iPhone, os larápios bloquearam-lhe a conta Apple. Tudo aconteceu em outubro de 2022 e o homem não conseguiu reaver a sua conta. Segundo foi reportado, os ladrões roubaram-lhe o iPhone 14 Pro num bar de Chicago.

Após conseguirem o acesso ao iPhone e terem visto Greg a colocar o seu código de 6 dígitos, o passo seguinte foi entrar no equipamento. Depois limparam-lhe a conta bancária através do acesso pela app do banco. Posteriormente, ativaram o mecanismo de segurança da Apple que impede o legítimo dono de conseguir monitorizar o seu dispositivo através da app Find My (em Portugal chama-se Encontrar).

Para concretizar o golpe, o ladrão usou o conjunto de caracteres para configurar uma nova palavra-passe para o Apple ID, processo normal dos ladrões. Contudo, aqui neste caso houve uma novidade no processo.

O criminoso ativou a chave de recuperação, um código de 28 caracteres criado para garantir que só o portador do iPhone — neste caso, o ladrão, consiga recuperar o seu Apple ID.

Como ativar a chave de recuperação

O procedimento é simples (aprenda que pode ser útil para si):

  • Aceda a Definições > [o seu nome] > Palavra-passe e segurança. Poderá ser necessário introduzir a palavra-passe do seu Apple ID.
  • Toque em Recuperação de conta.
  • Deslize para ativar a opção Chave de recuperação.
  • Toque em “Usar chave de recuperação” e introduza o código do dispositivo.
  • Anote a sua chave de recuperação e mantenha-a num local seguro.
  • Confirme a chave de recuperação ao introduzi-la no ecrã seguinte.

Vejam em imagens passo a passo:

Este tipo de assalto começou também no Brasil a fazer escola. Aliás, deixamos na altura algumas dicas para o utilizador conseguir blindar o seu iPhone, como podem ver aqui. Contudo, estas dicas, para quem não segue o Pplware e não tem destreza para mexer nas muitas possibilidades do iOS, nunca serão ativadas.

A Apple sabe disso, e sabe da fragilidade do seu sistema de segurança que depende do PIN de 4 ou 6 dígitos que o utilizador configura no momento de iniciar o iPhone pela primeira vez.

iOS 17.3 vem resolver de vez este problema

Com o iOS 17.3, a Apple lança uma nova funcionalidade, a Proteção de Dispositivos Roubados, que visa proteger os utilizadores em caso de roubo do iPhone e do código de acesso do iPhone. Deixamos aqui a descrição da funcionalidade e um guia prático para que os nossos leitores possam usar.

Para mostrar que a Apple estava preocupada e com razão (pois o esquema que se falou no início do ano ainda estava bem lucrativo), a jornalista Joanna Stern do The Wall Street Journal voltou a atacar o assunto. Desta vez sentou-se com um ladrão de iPhone prolífico que aproveitou a vulnerabilidade do iOS para arrecadar mais de 20 mil dólares todos os fins de semana das vítimas.

O novo artigo do WSJ mostra uma visão de perto da vida de um criminoso que fez disto um trabalho a tempo inteiro.

Já estou a cumprir pena. Sinto que devo tentar estar do outro lado das coisas e tentar ajudar as pessoas. Esta senha é o diabo. Por vezes, pode ser Deus – ou pode ser o diabo.

Disse Aaron Johnson, o ladrão, à jornalista.

Locais onde o ladrão arma o golpe

Tem de haver um cenário perfeito, um conjunto de circunstâncias que levem as pessoas, utilizadores do iPhone, a não usar o Face ID. Por exemplo, sítios pouco iluminados e cheios de gente, como os bares, tornaram-se o seu local ideal.

Os homens em idade universitária tornaram-se o seu alvo ideal.

Eles já estão bêbados e não sabem o que está a acontecer de verdade.

Disse Johnson. As mulheres, segundo ele, tendem a ser mais cautelosas e atentas a comportamentos suspeitos.

O processo de Johnson envolveu também um pouco de engenharia social:

Amigável e enérgico, foi assim que as vítimas descreveram Johnson. Algumas disseram-me que ele as abordava oferecendo drogas. Outras disseram que Johnson lhes dizia que era um rapper e que as queria adicionar no Snapchat. Depois de conversarem um pouco, entregavam o telemóvel a Johnson, pensando que ele iria apenas introduzir os seus dados e devolvê-los.

Era tudo um esquema para detetar o código do dispositivo e depois era esperar pelo momento certo. Só faltava roubar o iPhone, o que não era difícil nestes ambientes.

Quando o ladrão conseguia o código de acesso e o iPhone, mudava rapidamente a palavra-passe do Apple ID e inscrevia o seu rosto no Face ID do dispositivo. A partir daí, procurava as aplicações bancárias, outras do tipo PayPal, o Apple Cash e aplicações de criptomoedas. Também verificava as aplicações Notas e Fotografias para obter informações adicionais, como números de segurança social.

Muitas pessoas guardam as palavras-passe e informações mais privadas e de uso frequente na aplicação Notas. Não está errado, mas devem sempre colocar essa nota com palavra-passe, de preferência diferente da que usam para entrar no telefone.

Quando terminava de usar o iPhone em questão, apagava-o e vendia-o ao seu sócio, Zhongshuang “Brandon” Su, que o vendia no estrangeiro.

Num bom fim de semana, vendia até 30 iPhones e iPads a Su e ganhava cerca de 20.000 dólares – sem contar com o dinheiro que retirava das aplicações bancárias das vítimas, do Apple Pay e muito mais.

Disse Johnson.

O larápio declarou-se culpado dos seus crimes e tinha já acumulado cerca de 300.000 dólares de iPhones roubados. O artista foi condenado a 94 meses de prisão.

Exit mobile version