XPost: alt.chinese.text
图片来源:The Wall Street Journal
Joanna Stern
2024年1月5日08:40 CST 更新
来到明尼苏达州的这座惩教设施,你得先把手机寄存在储物柜里,然后狱警会放你通过一道道铁丝网和一扇扇钢门。过,如果你要见的是一战果颇丰的iPhone大盗,费些周折寄存手机还是有
必要的。
我倒担心这叫阿龙·约翰逊(Aaron Johnson)的大盗偷我的iPhone。我来这儿,就是为了搞清楚他是怎么偷手机的。
我们在这座戒备森严的监狱里采访了约翰逊,并对采访进行了录像。26岁的约翰逊告诉我:“我已经在坐牢了。我只是觉得应该试着做点好事,试着帮助别人。” 约翰逊还得坐几年牢。
过去一年,我和同事Nicole Nguyen调查了美国全国各地发生的一系列盗窃案件。盗贼们盯着iPhone机主输入密码,然后把手机给偷走——让受害者钱财和数两空。
在2021年和2022年期间,约翰逊与同伙们在明尼苏达州至少偷了一年手机。夜晚时分,他在酒吧里面和酒吧周围晃悠,跟年轻人套近乎,偷偷记下他们的手机密码,拿走他们的手机。他通过修改
码,让受害者无法访问自己的苹果账户,然后从他们的银行应用中走成上万美元。最后,他把手机给掉。
这是一精心策划的投机把戏,利用苹果的生态系统,针对那些容易轻信他人的iPhone机主,这些机主以为如果手机被盗,被盗的只是手机。
苹果公司12月中旬宣布将推出设备被盗保护(Stolen Device Protection)功能,该功能可能有助于防范这利用密码实施的犯罪。
过,就算安装这款软件(将随iOS 17.3系统上线),也还是会有漏洞。最大的漏洞是什么呢?就是我们自己。妨听听约翰逊讲述的偷窃经历,从中可以了解怎样能更好地保护对我们的生活如
要的设备。
他是如何开始的?
约翰逊并是什么精通技术的网络犯罪高手。他说,他一开始是在明尼阿波利斯街头当扒手。“我无家可归,”他说。“后来有了孩子,需要钱。我找到什么工作。于是就开始干这个。”
约翰逊很快就意识到,这些顺手牵走的手机价值远高于手机本身的价钱——只要想办法进到账户里,就能到更多钱。约翰逊说,这个密码大招他是无师自通,有一天晚上,他熬夜摆弄一台手机
,弄清了如何使用密码解锁诸多加密务。
阿龙·约翰逊因参与盗窃手机和手机中的钱财,目正在明尼苏达州的这座惩教设施内刑。
_图片来源:ADAM FALK/THE WALL STREET JOURNAL_
“那个密码是魔鬼,”他说。“有时候可能是上帝——也可能是魔鬼。”
明尼阿波利斯警察局的逮令显示,约翰逊和其他11犯罪团伙成员被指控聚敛了近30万美元赃款。他说,很可能比这更多。
他说:“有一次我急于搞一票大的。我高兴过头了。”
去年3月,有抢劫罪和盗窃罪科的约翰逊承认了勒索罪指控,被判处有期徒刑94个月。他对法官说,他为自己的所作所为感到抱歉。
他是怎么得手的?
我们通过采访约翰逊、执法官员和一些受害者,弄清了这出夜幕中勾当的来龙去脉:
锁定受害者。灯光昏暗、人来人往的酒吧是理想的场所。大学生年纪的男性成为他的理想目标。约翰逊说:“他们已经喝醉了,头脑清楚了。” 他说,女性往往更有防范意识,对可疑的行为
加警觉。
把密码弄到手。亲切、活力四射——受害者们这样形容约翰逊。一些受害者告诉我,他上搭讪,要给他们提供毒品。还有一些人说,约翰逊自称是说唱歌手,想在Snapchat上加他们好友。聊了一
儿之后,他们便把手机递给约翰逊,以为他过是拿去输入自己的信息,输完了就会把手机还给他们。
约翰逊说他会在酒吧里面和酒吧周围晃悠,跟大学生年纪的年轻人套近乎,通过各魅力攻势和伎俩来获取他们的手机密码。
_图片来源:ADAM FALK/THE WALL STREET JOURNAL_
约翰逊这样描述道:“我会说:‘嘿,你的手机锁屏了。密码是啥?’他们会说‘2-3-4-5-6’,或者别的什么。然后我就记住了。” 有时候,他会在别人输密码时把密码给记下来。
手机一旦到了他手里,他便会把手机给扣下来,或者转给团伙中另外一个人。
把他们锁在外头——动作要快。约翰逊拿到手机之后,会在几分钟之内进入设置菜,置Apple ID的密码。随后,他用新密码关闭“查找我的iPhone”(Find My iPhone)功能,这样一来,受害者就无法在
其他手机或电脑上登录,远程定被盗设备,甚至无法抹去被盗设备上的数。
约翰逊改密码的速度很快,“比你念出‘supercalifragilisticexpialidocious’这个的速度还要快,”他说。“要抢到奶酪,就得比老鼠跑得快。”
把钱取走。约翰逊说,接下来,他会设置Face ID,因为“只要你的脸在那儿,就有了什么都能打开的钥匙”。约翰逊通过刷脸,能够迅速取得存储在iCloud钥匙串 (iCloud Keychain)上的各密码。
他设法从各储蓄账户、支票账户、加密货币账户里转出大笔钱款。如果无法顺利进入这些资金管理应用,他会在备忘录(Notes)和照片(Photos)应用中寻找更多信息,比如社会保险号码。
到了早晨,他已经把钱转走了。这时,他会到商店里用Apple Pay买东西,也会利用偷来的苹果设备购买更多苹果设备,最常买的是售价1,200美元的iPad Pro,他会了取现金。
全美的窃贼都在利用iOS的漏洞,只需拿到iPhone的密码就能更改受害者的Apple ID密码。
_图片来源:JOANNA STERN/THE WALL STREET JOURNAL_
把手机掉。最后,他会抹去手机上的数,把手机掉。逮令显示,他把手机给一个叫苏中霜(音译)、英文叫“布兰登(Brandon)”的人,苏把手机销往海外。
约翰逊也偷过一些安(Android)手机,但他的主要目标是iPhone,因为iPhone的转售价格更高。在酒吧里,他会四处观察——寻找搭载三个摄像头的iPhone Pro机型。他说,拥有1TB内存的Pro Max可以到900
元。苏还收购约翰逊买的iPad。
苏承认犯有收受被盗财产罪,被判处120日有期徒刑,在明尼苏达州亨内平县的成年人惩教设施内刑。苏和他的律师都没有回应置评请求。
约翰逊说,运气好的时候,一个周末就能30台iPhone和iPad给苏,赚到2万美元左右——这还包括从受害者的银行应用、Apple Pay和其他应用里转出的钱。
怎样防止手机被盗?
在我结束明尼苏达州之行一周后,苹果宣布将推出设备被盗保护功能。这项安全设置有望拆穿约翰逊的大多数伎俩,但会自动开启。
如果你开启这一设置,还是会跟从一样容易受到攻击。开启这项功能,可以在家和公司以外的陌生场所为你的手机增添一保护。
将随iOS 17.3系统上线的“设备被盗保护”功能可在手机离开熟悉的地方(如家或工作场所)时为手机提供保护。
_图片来源:JOANNA STERN/THE WALL STREET JOURNAL_
盗贼如果要更改Apple ID的密码,需要使用Face ID或Touch ID等生物识别扫描——也就是要刷脸或刷指纹。仅靠密码是管用的。该流程还会内置长达一小时的延迟,接下来还需要进行一次生物识别
描。如果要添加新的Face ID或禁用“查找我的iPhone”功能,也需要走一上述缓慢流程。
一些功能使用起来没有延迟,比如访问存储在iCloud钥匙串上的密码或抹去iPhone上的数,但还是需要Face ID或Touch ID。
犯罪分子或许还是会有对富人作案的动机,先把他们给绑架了,然后慢慢穿透一层层安全防护。过,这些保护措施可能会劝退那些只想顺手牵走iPhone、然后逃离犯罪现场的人。
那么,还有哪些漏洞没解决呢?拿到密码的小偷还是可以用Apple Pay来买东西。任何应用,只要没有用额外的密码或PIN码来保护,还是很容易进入,比如电子邮件、Venmo、贝宝(PayPal),等等。
所以,还应该注意以下问题:
1. 为Venmo和Cash App等钱款应用程序独设置一个密码。
2. 删除所有包含了密码或社会保险号码等个人信息的备忘录和照片。将这些信息存储在第三方密码管理器(如Dashlane、1Password)内的安全备注中。
3. 设置一个更安全的iPhone密码——要同时使用字和数字。
而最显而易见的就是约翰逊的建议:留意周围环境,要泄露密码。
如果说这项犯罪让我们懂得了什么道理,那就是,一个小小的设备现在包含了进入我们整个生活的入口——我们的记忆,我们的金钱,还有更多东西。保护这些东西得靠我们自己。
https://cn.wsj.com/amp/articles/iphone%E5%A4%A7%E7%9B%97%E7%8B%B1%E4%B8%AD%E5%8F%A3%E8%BF%B0-%E9%93%B6%E8%A1%8C%E8%B4%A6%E6%88%B7%E9%87%8C%E7%9A%84%E9%92%B1%E5%A6%82%E4%BD%95%E4%B8%8D%E7%BF%BC%E8%80%8C%E9%A3%9E-02bc4a86
Fri, 05 Jan 2024 09:33:04 +0800
--
Mobot
If you have any comments about this article, you can simply leave them by replying to this post. However, if you have any comments about this bot, please leave your message in the cn.fan group.
--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)