Предисловие

Весной 2017 года подросток подошел к женщине, покидающей метро в северо-восточном Вашингтоне, округ Колумбия, и применил к ней удушающий прием: «Молчи», – сказал он. И «удали свой iCloud». Затем он схватил ее iPhone 6S и убежал.

В прошлом месяце в Филадельфии было множество подобных грабежей. В каждом из этих ограблений преступник якобы держал жертву под дулом пистолета, требуя чтобы те достали свой iPhone, и отключили функцию «Найти iPhone» и выйти из учетной записи iCloud.

В 2013 году Apple представила функцию безопасности, предназначенную для того, чтобы сделать смартфоны менее ценными объектами для потенциальных воров. iPhone можно связать только с одной единственной учетной записью iCloud. Это означает, что для того, чтобы продать его кому-то другому (или чтобы украденный телефон использовался кем-то новым), эту учетную запись необходимо полностью удалить из телефона. Украденный iPhone, который все еще подключен к учетной записи iCloud первоначального владельца, бесполезен для личного использования как и для перепродажи (если только вы не разобрали его по частям для продажи), потому что в любой момент первоначальный владелец может удаленно заблокировать устройство и найти его местоположение с помощью приложения «Найти iPhone».

Кроме того, без пароля владельца учетная запись не может быть отвязана от телефона, а устройство не может быть сброшено до заводских настроек. Эта функция безопасности как раз и объясняет нам то, почему некоторые грабители требуют пароли учетных записей от своих жертв.

Функция безопасности iCloud, вероятно, сократила число украденных iPhone, но предприимчивые преступники нашли способы удалять учетную запись iCloud для перепродажи устройств. Для этого они обманывают первоначальных владельцев телефона или сотрудников в магазинах Apple Store, которые имеют возможность снимать блокировку iCloud. Воры, кодеры и хакеры участвуют в подпольной индустрии, предназначенной для удаления учетных записей пользователей iCloud из телефонов, чтобы затем смартфоны можно было перепродать.

Грубо говоря, мошенники отвязывают аккаунт настоящего владельца чтобы сделать телефон «новым».

Ситуация осложняется тем, что не все телефоны с заблокированным iCloud являются украденными устройствами – некоторые из них являются телефонами, которые возвращаются телекоммуникационным компаниям в рамках программ по обновлению и страхованию телефонов. Большое количество законно полученных iPhone с заблокированным iCloud помогает снабжать независимую индустрию ремонта телефонов запасными частями, которые нельзя получить напрямую от Apple. Но, конечно же, ремонтные организации знают, что разблокированный смратфон стоит дороже заблокированного, поэтому некоторые из них сами ушли в хакерское подполье, чтобы стать клиентами нелегальных компаний по разблокировке iCloud.

«Разблокировка» iCloud

На практике «разблокировка iCloud», как ее часто называют, представляет собой схему, которая включает в себя сложную цепочку из различных мошенников и киберпреступников. В схеме используют  поддельные квитанции и счета, чтобы заставить сотрудников Apple поверить, что они являются законным владельцем телефона.Преступники используют базы данных для поиска информации по владельцам и задействуют социальную инженерию в магазинах Apple Store. В продаже есть даже специальные комплекты для фишинга, предназначенные для кражи паролей iCloud первоначального владельца телефона.

Функции безопасности

Существуют три способа удалить учетную запись iCloud с iPhone:

• Ввести пароль от iCloud первоначального владельца, который хакер может получить с помощью фишинга.
• Продавец в магазине Apple Store может разблокировать учетную запись iCloud. Мошенники могут заставить менеджеров снять блокировку устройства, которое им не принадлежит.
• Процессор iPhone можно извлечь из логической платы и перепрограммировать, чтобы создать по сути «новое» устройство (это очень трудоемкое и редко проводимое мероприятие. Обычно это делается в китайских лабораториях по восстановлению смартфонов,и включает кражу «чистого» идентификационного номера телефона – IMEI.)

Каждый из этих методов используется для разблокировки устройств и их перепродажи, однако большая часть – гораздо прозаичнее: обычное воровство.

«Не каждый телефон с заблокированным iCloud является украденным устройством», – сказал RootJunky, инструктор Phonlab, компании, которая обучает магазины по ремонту смартфонов по вопросам, связанным с программным обеспечением. «Но каждый метод удаления iCloud связан с незаконной деятельностью».

Когда у воров связаны руки

iPhone – удобная цель для воров, потому что они стоят сотни долларов, их количество всегда в изобилии, их легко носить и прятать. Но воры могут столкнуться с несколькими техническими препятствиями, как только они похитят телефон.

Многие владельцы используют функцию «Найти iPhone», которая позволяет пользователю зайти на сайт Apple и увидеть точное местоположение своего смартфона на карте, а также удаленно его заблокировать, что значительно затруднит его перепродажу (да и стоить такой аппарат будет намного дешевле, чем разблокированный смартфон с заводскими настройками). Хотя сотрудники правоохранительных органов не всегда могут действовать в соответствии с этой информацией, приложение «Найти iPhone» способствовала неоднократным арестам телефонных воров. Блокировка активации, связанная функция, позволяет стереть все данные устройства, а затем использовать или повторно активировать его только после ввода пин-кода смартфона владельца или его пароля iCloud.

«Каждый метод удаления iCloud связан с незаконной деятельностью»

Чтобы было понятно, «блокировка iCloud» и пароль устройства – это две разные вещи. Пин-код iPhone разблокирует экран устройства, а пароль iCloud можно использовать для удаления таких функций, как «Найти iPhone», «Блокировка активации» и для привязки телефона к новой учетной записи Apple, что очень важно при перепродаже телефона.

На eBay и других оптовых сайтах существует множество лотов с телефонами, которые выставляются на продажу с подписью «заблокирован iCloud», «на запчасти» и подобных. Хотя некоторые из этих телефонов почти наверняка украдены, многие – нет. По словам трех профессионалов, занимающихся независимым ремонтом и восстановлением iPhone, подержанные смартфоны, в том числе некоторые устройства с заблокированным iCloud, продаются оптом на частных «аукционах операторов», где такие компании, как T-Mobile, Verizon, Sprint, AT&T и страховщики и поставщики сотовых телефонов продают свои избыточные запасы (часто через сторонние процессинговые компании.)

Когда владелец смартфона возвращает его провайдеру сотовой связи в рамках обновления устройства или страхового возмещения, сотрудник, который его забирает, обучен просить клиента удалить устройство из iCloud, говорят представители AT&T и T-Mobile. Но это происходит не всегда, а значит у операторов и страховых компаний скапливаются смартфоны с заблокированным iCloud.

Пока никто не может точно сказать, могут ли какие-либо операторы на данный момент самостоятельно удалять блокировку iCloud с iPhone или сама Apple помогает операторам делать это в массовом порядке. AT&T и T-Mobile проигнорировали конкретные вопросы о том, имеют ли они возможность разблокировать телефоны, а Sprint и Verizon не ответили на запрос о комментариях. Согласно двум источникам в сообществе по ремонту iPhone, которые купили телефоны с заблокированными учетными записями с аукционов по телекоммуникациям, операторы мобильной связи хотят разблокировать телефоны, но у Apple, скорее всего, нет никакого стимула для подстегивания вторичного рынка iPhone.

«Операторы продают тонну заблокированных устройств», – рассказал изданию Motherboard один из людей такого сообщества, который покупает телефоны на частных аукционах. Журналисты согласились сохранить его анонимность, поскольку не хотели потерять доступ к аукционам частных перевозчиков.

Как только устройства с заблокированным iCloud вернутся на рынок, независимо от того, получены ли они по закону или украдены, их нужно либо разобрать на части, либо как-то разблокировать.

И тут в дело вступают хакеры.

Фишинг в облаках

«В какую страну?» – один из реселлеров планшетов iPad написал в приватной чат-группе хакеров iCloud приложения Telegram, к которому журналисты Motherboard получили доступ. Сообщение пришло вместе с изображением устройства с надписью «Этот iPad был потерян. Пожалуйста, перезвоните мне».

Каждый день участники этого группового чата, состоящего из 100 человек, делятся советами о том, как обмануть жертв в передаче паролей iCloud, загружают фотографии их успешных разблокировок и делиться стикерами на тему Apple. Именно здесь многие потерянные, украденные или иным образом заблокированные iPhone оказываются перед тем, как хакеры разблокируют их, и устройства снова будут продаваться. Эта группа – почти постоянный поток телефонов людей и сообщений, оставленных на экране блокировки различных смартфонов от Apple.

«Этот телефон украден. Пожалуйста, передайте об этом полиции», – гласит сообщение, показанное на одном из iPhone, в чате Telegram.

IPhone, iPad, а иногда и Apple Watch поступают со всего мира: США, Великобритании, Европы, Южной Америки, Юго-Восточной Азии и Ближнего Востока. У некоторых хакеров есть десятки целей за один раз, согласно скриншотам, опубликованных в групповом чате. Хакерские группировки глобальны. Один из них сказал в чате, что они на Филиппинах, а разработчик хакерских инструментов указал, что они базируются в Восточной Европе.

При попытке перепродать украденный или утерянный iPhone, сначала человек занимающийся разблокировкой должен понять, что у них за телефон. Включена ли функция «Найти iPhone»? Владелец уже сообщил о краже в Apple или еще нет?

Чтобы ответить на эти вопросы, хакеры часто используют доступ к инструменту, который предоставляет информацию по телефонам. Журналисты Matherboard не смогли подтвердить точную базу данных, которую используют мошенники, но проверили несколько онлайн-сервисов, которые возвращали точную информацию об устройстве материнской платы, включая информацию о том, была ли активирована функция «Найти iPhone» и был ли он зарегистрирован как утерянный, украденный или остался «чистым».

Если кто-то, пытающийся разблокировать телефон, не хочет заморачиваться с доступом к базе, он также может бесплатно воспользоваться сайтом, который предоставляет информацию об устройствах Apple. Один из таких сайтов, iFreeiCloud.co.uk, может предоставлять подобные отчеты. Например, сообщалось ли о том, что смартфон украден или нет. Обработка каждого такого запроса стоит символических 10 центов за каждый.

Некоторые хакеры в группе утверждают, что имеют доступ к Apple Global Service Exchange (GSX) – базе данных восстановления, используемой компанией и некоторыми сторонними авторизованными поставщиками услуг Apple, а также торговыми посредниками.

«GSX – это веб-сайт Global Service Exchange, используемый Розничной торговлей и авторизованными сервисными центрами Apple для доступа к техническим ресурсам – от руководств по обслуживанию техники компании и инструментов устранения неполадок, до обучения техников по обслуживанию», – говорится во внутреннем документе Apple, описывающем сервис, полученным журналистами Motherboard.

Различные сотрудники Apple Store, такие как ребята из Genius Bar, автоматически получают доступ к GSX, говорится в другом внутреннем документе Apple.

Издание Motherboard нашло в Интернете несколько рекламных объявлений, предлагающих доступ к учетным записям GSX и так или иначе связанной с ними информации. Одно из объявлений было на форуме посвященном биткойнам. Другие подавались в виде онлайн-рекламы, в которой просили потенциальных клиентов отправить им электронное письмо.

Журналисты издания обменивалась e-mail`ами с человеком, утверждающим, что продает учетные записи GSX за 199 долларов за штуку. Также несколько пользователей Twitter тоже утверждали, что продают доступ к сервису (Однако некоторые люди, рекламирующие учетные записи GSX в Твиттере, кажутся мошенниками.) Кроме того, находились и сообщения на форумах от законных владельцев учетных записей GSX, в которых говорилось, что они получили фишинговые электронные сообщения, предназначенные для кражи их данных для входа в GSX.

Реселлеры черного рынка iPhone используют специальные фишинговые комплекты iCloud; наборы инструментов, предназначенных для того, чтобы заставить жертву передать свой пароль Apple ID после кражи телефона. Эти наборы специально разработаны, чтобы быть простыми в использовании, значительно снижая барьер входа для воров и людей занимающихся разблокировкой iPhone.

Давид Ферро, независимый исследователь безопасности, следивший за фишинговым сообществом iCloud, рассказал журналистам Motherboard, что AppleKit и ProKit – наборы для новичков. За несколько месяцев Ферро поделился десятками примеров фишинговых наборов iCloud, включая скриншоты со списками сотен фишинговых целей. Как отмечается в сообщении Trend Micro в сфере кибербезопасности, AppleKit также поддерживает iPad, Mac и Apple Watch.

В то время как хакер может использовать более общие фишинговые комплекты для различных целей, например, для кражи банковских реквизитов, учетных данных электронной почты или учетных записей в Интернете в целом, эти наборы специально предназначены для фишинга учетных записей iCloud. Подобные наборы поставляются с шаблонами, разработанными для обмана жертвы, когда был найден (украден) их iPhone. Они позволяют хакеру отправлять SMS-сообщения, которые, как кажется жертве, приходят от Apple, что может заставить пользователя удалить свои учетные данные iCloud с устройства.

Такие комплекты отслеживают список целей хакера, предоставляют уведомления об успешных фишинг-атаках, а некоторые не требуют почти никаких технических настроек. Основные принципы изложены в видео-уроках о том, как их использовать.

Как только хакеры получают учетные данные для входа в iCloud, они просто вводят их в iPhone, что делает его полностью функциональным устройством, которое можно перепродать или добавить в него новую учетную запись.

BlackViirus, разработчик ProKit, рассказал журналистам в онлайн-чате, что его продукт стоит 75 долларов, и он использует сеть посредников для дальнейшего распространения комплекта для фишинга. BlackViirus утверждает, что имеет более 1500 клиентов.

Фишинг – это масштабная операция, некоторые пользователи таких комплектов утверждают, что обрабатывают массовые заказы. Они часто принимают платежи с помощью PayPal или Skrill –другого сервиса денежных переводов.

Некоторые из хакеров, использующих эти фишинговые комплекты, не обязательно являются самыми яркими знаменитыми хакерами в мире. Мустафа Отман, создатель AppleKit, жестко запрограммировал пароль в своем наборе для фишинга, что означает, что любой может просто извлечь его из кода и войти в систему как администратор. Это дает возможность увидеть, что задумал каждый из его клиентов. Ферро, независимый исследователь безопасности, использовал этот метод, чтобы войти в панель AppleKit и предоставил скриншоты со списками жертв.

Обман с квитанциями

Не всем нравится использовать в фишинговые атаки, поэтому некоторые онлайн-сервисы разблокировки iCloud нашли другие способы удаления учетной записи: социальная инженерия в Apple Store или обращение в службу поддержки Apple.

Внутренний документ Apple, полученный изданием, показывает, что у компании есть «Приложение поддержки iCloud» в магазинах Apple Store, которое позволяет сотрудникам просматривать состояние iCloud любого телефона, а также позволяет менеджерам «запрашивать разблокировку» устройства. По словам людей занимающихся разблокировкой iCloud, а также в индустрии безопасности, которые изучали подобные методы, Apple позволяет менеджерам удалять учетные данные iCloud с телефонов, если клиент приносит оригинальную квитанцию, подтверждающую, что он является владельцем iPhone.

Естественно, это означает, что некоторые мошенники начали создавать поддельные квитанции, и используя социальную инженерию заставляли сотрудников Apple самостоятельно разблокировать смартфоны. Для этого мошенникам нужны редактируемые шаблоны счетов или квитанций от Apple или телекоммуникационных компаний, которые они затем изменяют для обмана Apple, используя информацию, полученную из поисковой системы.

«Вы формируете поддельную квитанцию, несете ее в Apple Store и говорите:« Эй, я забыл информацию о своем Apple ID, но вот у меня есть квитанция », – сказал Мик Вентоцилла, владелец Lakeshore Tech Repair, магазина по ремонту смартфонов в Мичигане.

Вентоцилла говорит, что не занимается разблокировкой iCloud, но знает многих в индустрии ремонта, которые занимаются этим.

Журналисты Motherboard получили доступ и к другому чату в Telegram, который был сосредоточен только на предоставлении доступа к копиям квитанций оператора. Здесь мошенники взимают около 150 долларов за один такой счет. И даже дают скидку, если покупатель берет две квитанции. Еще один онлайн-список, найденный журналистами, рекламирует шаблон квитанции Apple продающийся за 300 долларов.

«Если вы хотите, T-Mobile и Verizon будут стоить по 125 долларов каждый.», – написал администратор чата.

Мошенники используют Photoshop или аналогичное программное обеспечение для изменения счета-фактуры, чтобы сделать его “законным” для устройства, которое они пытаются разблокировать. Они также следят за любыми изменениями в документах – некоторые мошенники недавно запрашивали версии счетов-фактур 2019 года.

Взяв с собой законно выглядящий счет от Apple, с точной информацией о телефоне, такой как его номер IMEI, уникальный код для каждого устройства, и предполагаемой датой покупки, мошенники могут попросить службу поддержки Apple удалить учетную запись iCloud с устройства. Мошенникам не всегда нужно заходить в магазин Apple, чтобы сделать это – на скриншотах, представленных в чате, отображаются успешно удаленные учетные записи, просто поговорив с поддержкой Apple по электронной почте. Это, вероятно, работает только с телефонами, которые не были помечены как украденные.

Этот метод может работать для телефонов, которые не могут быть успешно взломаны с помощью фишинга, он также значительно более рискован, и более трудоемок, чем использование готового комплекта для фишинга.

«Если вы хотите, T-Mobile и Verizon будут стоить по 125 долларов каждый.»

Один из владельцев сервиса по ремонту техники Apple рассказал, что пробовал использовать метод с шаблонами квитанций, и этот метод, действительно, имеет высокий процент вероятности успешно разблокировать устройство. Вы даже можете попробовать дать взятку сотруднику магазина, чтобы он разблокировал устройство. Однако, у них тоже есть лимиты на такие операции в день. По достижению числа разблокировок их система станет не доступна до наступления следующего дня.

Вне групповых чатов Telegram, мошенники и хакеры громко и нагло рекламируют свои инструменты и сервисы в Facebook, Twitter и Instagram. Многие открыто продают наборы для взлома «потерянных» iPhone, в то время как другие пишут в Твиттере о своих успехах, когда получается разблокировать устройство.

Эти посты в социальных сетях – две встречные волны, где рынок подпольных разблокировок и законная индустрия ремонта iPhone встречаются в противоречивом союзе.

Право на взлом

Многие независимые ремонтные компании регулярно покупают устройства с заблокированным iCloud, даже если они не собираются пытаться их разблокировать. Даже будучи заблокированными, телефоны могут быть разобраны на запчасти – а поскольку Apple на самом деле не продает детали ремонтным компаниям, эта индустрия должна проявлять творческий подход к тому, откуда она берет эти самые запчасти. Многие компании покупают такие телефоны на аукционах телекоммуникационной отрасли, но существует также множество переходов в серую зону, где ремонтные компании не могут быть уверены, покупают ли они украденный телефон или законно приобретенный.

«Они там продаются тоннами», – сказал в интервью Motherboard генеральный директор грузинской ремонтной мастерской «Injured Gadgets» Аакшай Крипалани. «Даже аппаратная часть телефонов стоит денег. С iPhone 7 Plus задние камеры стоят 50-80 долларов, порт зарядки – 30 долларов».

А все потому, что такой телефон стоит меньше, чем полнофункциональное устройство. Многие из них, с заблкокированным iCloud, на самом деле не сломаны. Поэтому ремонтные мастерские или люди занимающиеся восстановлением iPhone, естественно, задаются вопросом, есть ли просто способ удалить iCloud, чтобы можно было перепродать телефон.

«Я могу купить iPhone X с блокированной учетной записью iCloud за 220 долларов, разобрать его и заработать 550 долларов в течение нескольких месяцев», – сказал Вентоцилла. «Но есть много людей, которые платят 220 долларов, а потом думают, что я смогу удалить iCloud на заблокированном устройстве, и меня в руке сразу появится устройство стоимостью 700 долларов».

Вентоцилла говорит, что купил более 500 устройств с заблокированным iCloud, но не пытался разблокировать ни одно из них. Он также не покупает заблокированные устройства у своих клиентов, предпочитая получать их от компаний, которым он доверяет.

«Я не сижу и не разблокирую iCloud, потому что я не хочу делать отдельные звонки с вопросами является ли каждый из телефонов законно приобретенным. Но на это есть огромный спрос» – сказал он.

Внедрение блокировки iCloud вызывает постоянное разочарование у тех, кто занимается ремонтом. Инженеры понимают, что это важная функция безопасности, но считают, что Apple могла бы найти способ предотвратить блокировку законно перепроданных устройств.

«Я бы хотел, чтобы они просто использовали блокировку iCloud для устройств, которые, как сообщается, были утеряны или украдены», – сказал Motherboard Джастин Кэрролл, владелец независимой мастерской по ремонту смартфонов в Вирджинии FruitFixed. «Мы видели это сотни раз – люди приносят отлично работающие и работоспособные телефоны, в которых нет ничего криминального, и мы ничего не можем для них сделать. С нами даже случалось, когда мы даем клиенту подменный телефон ,они не удаляют с него учетную запись iCloud, покидают магазин, а мы остаемся с дорогим пресс-папье. Это невероятно расстраивает ».

Существует ли надежный способ разблокировки iCloud – постоянная тема для обсуждения на форумах индустрии ремонта и в группах Facebook. Это стало настолько распространенным явлением, что в прошлом месяце администратор одного из крупнейших пабликов в Facebook, занимающихся ремонтом, спросил: «Должны ли мы запретить тему разблокировки iCloud в этой группе?». Подавляющее большинство опрошенных предложили полностью запретить эту тему к обсуждению.

Большинство независимых владельцев ремонтных мастерских, с которыми разговаривали журналисты, заявили, что разблокировка iCloud – это темная сторона мира ремонта, которая, как они опасаются, не позволит их воспринимать всерьез как законную отрасль.