Вторая часть нашего перевода статьи (первая часть здесь), опубликованной в англоязычной версии одной из ведущих испанских газет El País о том, как банды воров, крадущих телефоны, ищут новые способы извлечь из таких краж больше выгоды. Публикация в El País называется «Никогда не крадите телефон девушки хакера: как эксперт раскрыл глобальную сеть воров». Статья вышла в El País 13 сентября текущего года.

В публикации El País отмечается, что у воров телефонов разработана система, позволяющая воровать мобильные телефоны, отправлять их за границу, пытаться разблокировать их, чтобы украсть как можно больше денег, а если им это не удается, модернизировать и перепродавать.

В нашей прошлой части, в разделе 1. Кража мы остановились на на том, что «испанский хакер Мартин Виго (Martín Vigo) был со своей партнёршей на концерте в Барселоне, когда её мобильный телефон пропал. Он немедленно отправил SMS со своим номером на случай, если кто-то его нашёл. Но телефон был украден. Два дня спустя Виго получил SMS от iCloud, облачного сервиса Apple: «Найди мой iPhone 13 mini. Он подключён к Интернету и его местоположение определено сегодня. Последнее местоположение». В сообщении содержалась ссылка на странный адрес: apple(.)device-maps.net». Мартин Виго после этого решил провести собственное расследование о приключениях пропавшего телефона партнёрши.

«SMS было неправдоподобным: опечатки, подозрительный домен и iCloud», — говорит Виго.

В случае Виго телефон был заблокирован, и была активирована функция «Найти мой iPhone». Благодаря системе Activation Lock вору нужны имя пользователя и пароль Apple для доступа к телефону. (В Android есть похожая функция под названием Factory Reset Protection.)

«Способы кражи телефонов эволюционировали. Теперь, с Activation Lock, нужно ещё и разблокировать телефон», отмечает Виго.

И вот тут дело Виго принимает другой оборот. После кражи телефоны, вероятно, заворачивают в алюминиевую фольгу, чтобы GPS не мог отследить их перемещение. «Затем телефоны отправляют в безопасное место, где их собирают и отправляют на поддонах за пределы Испании, в Марокко или Китай».

В публикации El País далее говорилось:

«Отправка краденого телефона за пределы страны Евросоюза (в данном случае Испании Прим. Green.obob.tv) крайне важна для предотвращения блокировки телефона, если воры попытаются снова им воспользоваться. Операторы связи в нескольких европейских странах делятся списками IMEI (уникальных номеров каждого устройства) украденных устройств, чтобы их нельзя было использовать. Однако, например, Марокко не делится этими списками. Там телефон можно подключить повторно.

2. Разблокировка

В любом случае, телефон всё ещё заблокирован. Как же воры собирались разблокировать телефон, подобный тому, что принадлежал партнёрше Виго? 

Если в базе данных сотни или тысячи телефонов, пробуется другой путь: «Они пытаются получить PIN-код», — поясняет Виго.

Зачем нужен PIN-код? Потому что с помощью PIN-кода можно изменить пароль Apple и получить доступ к содержимому устройства.

Банда воров, укравших телефон у партнёрши Виго, создала систему для рассылки тысяч текстовых сообщений, подобных тому, что получил Виго, когда искал телефон своей подруги. Чтобы определить, кому именно следует направлять сообщение-приманку, по заявлению испанской полиции, «банда воров проводила выяснение личности жертв, поскольку во многих случаях, помимо телефона, у них были также личные вещи жертвы, например, удостоверение личности». Таким образом, они получили номера телефонов для отправки вредоносных SMS.

Каждое SMS-сообщение содержало ссылку с уникальным идентификатором для каждого украденного телефона. На следующий день после первого сообщения Виго получил следующее: «Apple, мы обнаружили проблемы с определением местоположения вашего iPhone 13 mini. Посмотрите текущее местоположение без подключения к Интернету». Каждая жертва получала уникальную ссылку, и сервер знал, кто нажал на неё. При нажатии пользователь видел пустую страницу, но преступники знали, кто эти пользователи. При первом нажатии злоумышленники перенаправляли пользователя на сайт, который, по их мнению, был достоверным, например, на настоящий сайт iCloud Apple.

«Таким образом вас уже приучили верить, что если вы получили SMS о том, что ваш телефон найден, то всё в порядке. Но вы не знаете, что за вашей спиной воры телефонов только что расставили для вас идеальную ловушку», — говорит Виго.

Почему? Потому что на следующий день вы получаете ещё одно SMS и нажимаете на него, уже более уверенно. Однако эта ссылка перенаправляет вас уже не на настоящий сайт Apple, а на безупречную копию, созданную злоумышленниками: именно там они запрашивают ваш PIN-код, и вы, не задумываясь, с надеждой вводите его.

А воры, благодаря идентификатору по первой ссылке, уже знают, кто украл телефон и, следовательно, какому преступнику нужно было его отправить, чтобы получить к нему доступ.

«ПИН-код мощнее отпечатка пальца или лица. С его помощью вы можете удалить биометрические данные жертвы и добавить свои собственные для доступа к банковским приложениям, которые проходят проверку таким образом», — поясняет Виго.

Apple Wallet просит вас пройти повторную аутентификацию, и тогда доступ открывается.

Эта система кражи PIN-кодов, созданная в Латинской Америке, позиционировалась как очередной онлайн-сервис. Если у вас было несколько сотен украденных мобильных телефонов, можно было попытаться получить доступ хотя бы к нескольким, чтобы украсть как можно больше денег. Виго пытался выяснить, кто за этим стоит, но ему удалось лишь узнать о некой женщине, и он не знал, была ли она очередной жертвой или членом банды.

В пресс-релизе по делу полиция пояснила, что банда воров,  укравших телефон у партнёрши Виго, предположительно использовала в общей сложности 5300 поддельных веб-сайтов и незаконно разблокировала около 1,3 миллиона высокопроизводительных устройств, около 30 000 из которых находились в Испании.

3. Изменения украденного телефона

Но жизнь украденного мобильного телефона на этом не заканчивается. Его ценность может снижаться из-за сложности кражи и использования, но преступные группировки всё равно находят способы заработать на нём немалые деньги.

«Если устройство не удаётся разблокировать с помощью PIN-кода, его отправляют в Китай, где его разбирают, а затем отправляют обратно в Европу для перепродажи  Мобильные телефоны становятся всё более ценными, потому что у них более продвинутые чипы, лучшие камеры и более дорогие материалы. Но и меры безопасности стали надёжнее. Раньше, если телефон украли, можно было сбросить его настройки до заводских и продать как новый. Теперь же, с блокировкой активации и оригинальным IMEI, в Европе это просто кирпич, годный только на запчасти. Но в Китае есть города, где этот IMEI можно сменить. Верх мастерства — это когда после того, как телефон прибывает в Китай, там меняют определённые компоненты и IMEI. Действительно, это требует определённого уровня мастерства: вскрыть телефон, заменить чип… нужно знать, что делаешь, потому что Apple определяет наличие неоригинальных компонентов», — говорит Виго.

Цель же  после этого — перепродать украденный телефон, но уже с другим IMEI, чтобы его нельзя было отследить. Если бы не одна важная деталь, во всей этой схеме жертвы бы пострадали только от кражи мобильного телефона.

«PIN-код — это самая мощная защита, поэтому крайне важно его беречь и никогда никому не сообщать. Никогда и никому. Apple никогда его не попросит. Они просят ваши учётные данные iCloud», — напоминает Виго.