Como os ladrões estão invadindo iPhones roubados
Invadir um iPhone roubado não é uma tarefa fácil. Por isso, ladrões estão aplicando golpes e se aproveitando de vulnerabilidades no sistema da Apple para sequestrar as contas de donos dos aparelhos. Dessa forma, os criminosos tomam controle do Apple ID para alterar senhas e acessar aplicativos financeiros.
O golpe elaborado de phishing no Apple ID
Recentemente, usuários de iPhone se tornaram alvos de um novo golpe bastante elaborado de phishing. Como reportado pelo Krebs on Security (via 9to5Mac), os invasores aproveitam um bug no recurso de redefinição de senha do Apple ID para bombardear os dispositivos com solicitações de troca de senha.
As pessoas atingidas pelo golpe recebem diversas notificações no iPhone, solicitando a aprovação de troca de senha ou login. Como aparece diretamente no iOS, os usuários só podem usar o celular depois de interagir com o alerta, seja aprovando ou não o pedido.
Se a vítima aceita a mudança, os criminosos mudam as credenciais do Apple ID e ganham total controle da conta. Por outro lado, caso a pessoa não autorize o processo, uma segunda parte do phishing começa.
O roteiro do phishing do Apple ID
O usuário Parth Patel vivenciou o golpe e compartilhou a experiência no X (antigo Twitter). Na publicação, ele explicou que, após ignorar os mais de 100 pedidos de mudança de senha, recebeu uma ligação de uma pessoa que se dizia funcionário da Apple.
Thankfully I was tipped off that they used my data from People Data Labs in real time to validate a ton of information.
Despite correctly stating all of my data, the phishers thought my name was Anthony S.
🚩🚩🚩🚩🚩🚩
The reason I caught it is because, I’ve queried myself on… pic.twitter.com/dUMitmphKS
— Parth (@parth220_) March 23, 2024
Por se tratar de um contato suspeito — afinal, a Apple nunca liga para os usuários —, Patel pediu que o suposto atendente confirmasse alguns dados pessoais para seguir com a ligação. Surpreendentemente, a pessoa do outro lado do telefone compartilhou várias informações corretas, incluindo e-mail, telefone e endereço.
Patel descobriu o golpe quando pediu para confirmarem seu nome, e o criminoso falou “Anthony S”. Com isso, o usuário entendeu estarem utilizando dados vazados do People Data Labs — plataforma responsável por expor informações de 1,2 bilhão de pessoas, em 2019.
Nesse golpe, os ladrões visam convencer as vítimas a conceder acesso ao Apple ID. Com as credenciais, é possível realizar mudanças importantes nas configurações, como desativar o “Encontre meu iPhone”, trocar a senha do aparelho e acessar dados salvos no iCloud.
No ano passado, outro golpe ganhou notoriedade. Em uma reportagem do Wall Street Journal, donos de iPhone contaram que ladrões roubaram suas chaves de recuperação — códigos complexos de 28 dígitos, destinados a proteger os celulares contra hackers.
Esse código é único e permite recuperar o acesso ao Apple ID, caso o usuário esqueça a senha. Não se sabe como os ladrões conseguiam as chaves, mas não é um processo simples. É necessário observar o dono do iPhone digitando a senha do dispositivo ou o manipulando para compartilhar os dígitos por conta própria. Além disso, ainda é preciso roubar o aparelho.
Como se proteger de golpes dos ladrões de iPhone
De qualquer forma, as melhores formas de se proteger contra golpes no iPhone são também as mais simples. Uma das estratégias que a própria Apple recomenda é sempre utilizar o Face ID ou o Touch ID para desbloquear o aparelho em público. Assim, pessoas em volta não descobrem a senha de desbloqueio.
Outra solução é ativar a Proteção de Dispositivo Roubado, presente no iOS a partir da versão 17.3. Quando ativada, a proteção passa a exigir autenticação por Face ID ou Touch ID para realizar ações que envolvam dados sensíveis, como visualizar senhas, apagar fotos e vídeos, desabilitar o Buscar iPhone, entre outras.
Por fim, é importante nunca compartilhar dados sensíveis com outras pessoas. Caso receba ligações suspeitas da Apple, ignore. A empresa não entra em contato pelo telefone, a menos que o usuário solicite pelo site ou aplicativo.