Aaron Johnson, along with his accomplices, operated in Minneapolis, USA during the timeframe of 2021 and 2022.
Ban đêm, tại các quán bar và khu vực xung quanh chúng, tôi liên kết với những người trẻ tuổi và sau đó áp dụng chiêu trò để giành quyền truy cập vào mật khẩu và chiếm đoạt điện thoại của họ.
Sử dụng mật mã đó, Johnson sẽ loại bỏ quyền truy cập vào tài khoản Apple của nạn nhân và lấy đi hàng ngàn USD từ ứng dụng ngân hàng. Sau khi hoàn tất phi vụ, chiếc điện thoại sẽ được bán đi.
Kế hoạch đó là một sự sáng tạo phức tạp, có tính khả năng thanh toán, nhằm tận dụng hệ sinh thái của Apple và nhắm vào những người sở hữu iPhone thiếu ý thức, cho rằng việc mất đi chiếc điện thoại chỉ là mất một đồ vật đơn giản.
Aaron Johnson.
Trong tuần trước, Apple đã thông báo về tính năng mới để bảo vệ các thiết bị bị mất trộm, giúp ngăn chặn những hành vi xấu trên. Tuy nhiên, phương pháp bảo mật này vẫn có những điểm yếu. Bằng cách lắng nghe câu chuyện của Johnson, chúng ta có thể học hỏi cách bảo vệ an toàn hơn cho các thiết bị di động quan trọng của mình.
Johnson không phải là một hacker giỏi mà đã tham gia vào hoạt động trộm cắp trên đường phố Minneapolis. Anh ta nói: "Tôi là một người không có nơi cư trú, có một đứa con và cần tiền. Thật sự tôi không thể tìm được công việc nên tôi đã chọn làm điều này".
Không mất quá nhiều thời gian sau đó, anh nhận ra rằng những chiếc điện thoại mà anh đang tìm kiếm sẽ có giá trị cao hơn rất nhiều nếu anh có thể xâm nhập vào bên trong. Johnson tiết lộ rằng không ai đã dạy anh cách thức mã hóa này, anh chỉ cùng thức khuya một đêm để truy cập vào điện thoại và khám phá ra cách sử dụng mật mã để mở khóa rất nhiều dịch vụ bảo mật.
"Thật đáng sợ", anh ta nói. "Những mật mã đó có thể giống như Chúa đang cai quản nhưng lại trở thành ma quỷ trong một khoảnh khắc khác".
Theo lệnh bắt của Sở Cảnh sát Minneapolis, Johnson và 11 người khác đang bị cáo buộc đã lừa đảo và lấy trộm số tiền 300.000 USD (hơn 7 tỷ đồng).
Thủ đoạn tinh vi
Đây là kế hoạch hành động hàng đêm của Johnson.
Với ánh sáng mờ mờ và sự đông người, quán bar trở thành nơi lý tưởng để tìm kiếm mục tiêu, đặc biệt là nam thanh niên đại học.
"Họ đã mất tỉnh và vô tri vô giác, không hề nhận ra cái gì đang diễn ra", Johnson nói. Trái lại, phụ nữ thường tỏ ra cảnh giác hơn khi đối diện với những hành vi đáng ngờ.
Khi mô tả về Johnson, nạn nhân gọi anh ta là một người thân thiện và tràn đầy năng lượng. Một số nạn nhân khẳng định rằng anh ta đã tiếp cận họ với mục đích chào bán ma túy.
Đối với những người khác, Johnson đều tự xưng là một rapper và muốn thêm họ vào Snapchat. Sau khi trò chuyện một lúc, họ đưa điện thoại cho Johnson bởi họ nghĩ rằng anh sẽ nhập thông tin của mình và giao trả lại ngay lập tức.
"Điện thoại của bạn đã bị khóa," tôi thông báo. "Mật khẩu là gì?" Tôi hỏi. Họ trả lời, "2-3-4-5-6 hoặc tương tự." Sau đó, tôi ghi nhớ trong đầu," Johnson miêu tả. Đôi khi anh ta ghi âm tiếng mọi người gõ mật khẩu.
Khi Johnson cầm điện thoại, anh ta giữ nó trong người hoặc nhường cho bạn đồng đội.
Johnson đã khóa máy rất nhanh chóng. Trong vài phút sau khi nhận được iPhone, anh ta đã truy cập vào menu Cài đặt và thay đổi mật khẩu Apple ID. Sau đó, anh ta sử dụng mật khẩu mới để tắt chức năng Tìm iPhone, nhằm ngăn chặn việc nạn nhân có thể đăng nhập vào điện thoại hoặc máy tính khác để định vị từ xa hoặc xóa bỏ dữ liệu trên thiết bị bị mất.
Sau khi lấy tiền, Johnson sau đó sẽ sử dụng Face ID để xác minh khuôn mặt vì "khi anh ta đưa khuôn mặt vào hệ thống, anh ta sẽ có được quyền truy cập vào mọi dữ liệu". Việc sử dụng sinh trắc học giúp Johnson có thể nhanh chóng truy cập vào mật khẩu được lưu trữ trong Chuỗi khóa iCloud.
Các ứng dụng tiết kiệm, séc, tiền điện tử sẽ bị chuyển ra ngoài tiền trong trường hợp không truy cập được vào chúng. Nếu gặp khó khăn, tôi sẽ tìm kiếm thông tin bổ sung như số An sinh xã hội trong ứng dụng Ghi chú và Ảnh.
Buổi sáng mai, anh ta sẽ tiến hành giao dịch chuyển tiền. Lúc đó, anh ta sẽ đến các cửa hàng để mua đồ bằng phương thức thanh toán Apple Pay. Bên cạnh đó, anh cũng sẽ tận dụng các thiết bị Apple bị mất trộm để mua thêm các sản phẩm Apple khác, thường là các phiên bản iPad Pro có giá trị 1.200 USD, nhằm mục đích để bán lấy tiền mặt.
Cuối cùng, anh ta đã xoá hết dữ liệu trên chiếc điện thoại và bán nó cho một người có chuyên môn làm thuê để xuất khẩu thiết bị đi nước ngoài.
Johnson đã trước đây gian lận bằng cách ăn cắp một số điện thoại di động chạy hệ điều hành Android, tuy nhiên, anh ta giới hạn việc săn lùng các sản phẩm iPhone vì lợi nhuận từ việc bán lại chúng cao hơn.
Khi đến quán bar, anh ta sẽ quan sát sự hiện diện của iPhone Pro có bộ ba camera nổi bật. Anh ta cũng biết rằng iPhone Pro Max với dung lượng 1 terabyte có thể được bán với giá 900 USD.
Johnson revealed that on a busy weekend, he sold around 30 iPhones and iPads and made approximately 20,000 USD - not counting the money he took from victims' banking apps, Apple Pay, etc.
Làm thế nào để ngăn chặn
Apple vừa mới giới thiệu tính năng Bảo vệ Thiết bị bị Đánh cắp. Cài đặt mới này sẽ ngăn chặn hầu hết các phương pháp mà Johnson đã sử dụng, tuy nhiên nó không được thiết lập để tự động kích hoạt.
Kích hoạt tính năng này sẽ cung cấp thêm một lớp bảo vệ cho điện thoại di động của bạn trong các tình huống nguy hiểm từ bên ngoài.
Theo đó, khi muốn thay đổi mật khẩu Apple ID, kẻ trộm sẽ phải sử dụng tính năng quét sinh trắc học Face ID hoặc Touch ID - tức là khuôn mặt hoặc ngón tay thay vì chỉ nhập mật khẩu như trước đây.
Quá trình này có một khoảng thời gian hạn chế chỉ trong vài giờ cho đến lần xác nhận tiếp theo, bao gồm cả yêu cầu thêm Face ID mới và tắt Tìm iPhone.
Để sử dụng một số tính năng như truy cập mật khẩu được lưu trong Chuỗi khóa iCloud hoặc xóa iPhone, người dùng cần sử dụng tính năng Face ID hoặc Touch ID.
Vẫn còn những điểm yếu nào không? Kẻ trộm nếu có mật mã vẫn có thể sử dụng Apple Pay để mua hàng. Ngoài ra, bất kỳ ứng dụng nào không được bảo vệ bằng mật khẩu hoặc mã PIN - chẳng hạn như email, ví điện tử - cũng có khả năng bị xâm phạm.
Đó là lý do tại sao bạn nên:
Thêm mật mã riêng biệt vào các ứng dụng tài chính
Hãy loại bỏ bất kỳ ghi chú hoặc ảnh nào chứa thông tin cá nhân như mật khẩu hoặc số căn cước. Lưu trữ các nội dung này trong một ghi chú an toàn bên trong một ứng dụng quản lý mật khẩu của bên thứ ba, ví dụ như Dashlane hoặc 1Password.
Tạo mật mã iPhone mạnh hơn sử dụng chữ cái và số.
Việc quan trọng nhất là hãy tuân theo lời khuyên của Johnson: Hãy chú ý quan sát xung quanh và không tiết lộ mật khẩu cho bất kỳ ai.
