Tecnologia

Identificada uma sofisticada técnica para roubar iPhones

Uma modalidade de ‘phishing’ permite driblar sistemas de segurança

Celulares apreendidos pela polícia durante uma operação.
Celulares apreendidos pela polícia durante uma operação.

O roubo de celulares se tornou uma verdadeira praga e ganha especial relevância justamente durante as férias, quando relaxamos e é mais fácil descuidarmos do aparelho, deixando-o sobre uma mesa ou no bolso da calça enquanto estamos no metrô. E se existe um celular especialmente cobiçado pelos ladrões é o iPhone, que tem um preço muito alto de revenda e, na pior das hipóteses, também pode ser lucrativo com a venda de peças. A Apple sabe disso e parece ter encontrado uma fórmula infalível que já conseguiu reduzir o número de roubos de seus celulares em 50%: um sistema pelo qual a vítima pode inutilizar o iPhone de forma definitiva.

Estamos falando do Find my iPhone (ache meu iPhone); um sistema por meio do qual o usuário pode localizar no mapa todos os equipamentos inscritos na mesma conta do iCloud, mas, que no caso do iPhone, também pode inutilizá-lo para sempre. Sim, o iPhone pode se transformar em peso para segurar papel se a vítima do roubo quiser, e seu destino só poderia ser lucrativo com a venda de peças. O sistema parece ser realmente um sucesso e os números confirmam, mas os ladrões estão sempre um passo à frente e encontraram uma técnica muito sofisticada com a qual podem driblar o sistema antirroubo.

MAIS INFORMAÇÕES

O método foi descoberto pela empresa de segurança on-line Kaspersky, e não precisamente porque havia sido detectado por meio de uma de suas análises sistemáticas, mas porque a vítima do roubo foi uma de suas funcionárias. Nossa protagonista estava indo ver o jogo Rússia x Espanha durante a Copa do Mundo deste ano, quando sentiu falta de seu iPhone X novinho; em pânico, começou a fazer o que qualquer pessoa faria em seu lugar: fazer chamadas para o seu celular com o telefone de um amigo, mas o aparelho tocava e alguém desligava. Parecia que teria de admitir o roubo como única opção, mas nem tudo estava perdido: "Fiquei feliz ao saber que tinha o Find my iPhone e ativei o modo perdido".

Quando o proprietário de um iPhone ativa este modo remotamente, duas coisas acontecem: o iPhone no destino se torna, a partir desse momento, inutilizável (mesmo se os padrões de fábrica forem restaurados) e a tela do celular temporário, usada para resgatar o iPhone roubado, mostra uma mensagem acompanhada de um número de recuperação. Nesse caso, o celular indicado era o de seu parceiro. Tudo parecia estar caminhando como deveria, até que o celular habilitado para o resgate recebeu um SMS com um texto assinado pela Apple informando: "para mostrar a localização do iPhone roubado no mapa acesse sua conta no iCloud, clicando neste link" .

No entanto, nesta mensagem de texto estava a armadilha que uma pessoa em um momento de calma poderia detectar rapidamente: a URL não era da Apple, mas pertencia a outro domínio, a evidente marca dos hackers. Com a pressa, a vítima não hesitou em digitar as credenciais no link acima mencionado e, quando apertou “enter”, sem saber disse adeus ao seu iPhone para sempre. Depois de alguns instantes, acessou o Find my iPhone de outro celular e não havia sinal do iPhone roubado. O que havia falhado?

Depois de acalmar-se, descobriu o problema: introduziu seus dados do iCloud em um link falso, e o hacker acessou sua conta a partir de outro computador, liberando o iPhone para sempre, podendo vendê-lo como novo de segunda mão. Alguma coisa falhou no sistema de segurança da Apple? Na verdade não; como explicado por nossa protagonista, mais uma vez foi a parte humana que escorregou: não havia ativado a verificação em duas etapas, o que teria impedido o roubo. E, claro, também o mea culpa por ter clicado em links recebidos por SMS, mas, como ela mesma reconhece, "ninguém está imune, sou especialista neste tipo de fraude e acabei caindo".

Arquivado Em: