Trolig er det brukernavn og passord på avveie som er årsaken til at en rekke australiere ble vekket midt på natten med beskjed om å betale for å få tilbake kontrollen over egen iPhone.
Ikke bruk «passord» som passord
Det er en kjent greie at mange nettbrukere bruker samme passord på flere tjenester, noe som ytterligere er et problem når vi vet at mange fortsatt bruker passord som er svært lette å gjette seg frem til.
Men hvordan unytter en hacker latskapen til nett-brukere med en iPhone til å ta kontroll over mobilen, vekke dem på natta, og true til seg penger for å gi tilbake kontrollen over mobilen?
Må ikke være superhacker
Det er ikke så vanskelig som man kanskje tror.
Annonse
Det er ikke snakk om å prøve å hacke Apple, eBay, PayPal, Amazon, Microsoft, Google eller andre store nett-aktører for å hente ut passord.
Noen ganger lekker passord i forbindelse med datainnbrudd gjort av andre, ved andre tilfeller er det bare å prøve seg frem med enkle passord såfremt man har brukernavnet.
Misbruker sikkerhetstjeneste
Det hackerne har gjort mot en rekke australske iPhone-eiere, er å sette mobilen i mistet-modus ved hjelp av «Finn min iPhone»-tjenesten som er koblet mot iCloud. Dette er mulig såfremt man har tilgang til eierens Apple ID.
På den måten er det mulig å komponere en egendefinert-melding, og ikke minst en kode kun hackeren kjenner til.
Samtidig trykker hackeren på en knapp som spiller av en varsel-lyd på full guffe. Selv om mobilen er i stillemodus spilles lyden av volumet på full guffe. Meldingen blir derfor garantert lest, og panikken brer seg.
Sikkerhetskoden tilbakestilt
Den egendefinerte meldingen forklarer at man må betale inn 100 dollar til en anonym PayPal-konto.
Når hackeren har kommet så langt, har personen som nevnt tidligere allerede laget sin egen sikkerhetskode.
Det er denne koden offeret så (kanskje) får tilbake i retur om han eller hun velger å betale. iCloud sender nemlig automatisk denne meldingen til mobilen som holdes som gissel.
Stor epost-database på avveie
Det er også mulig å bruke jeg-har-glemt-passordet-mitt-tjenesten til Apple i kombinasjon med f.eks. Adobes lekkasje av 152 millioner epost-adresser.
I land hvor Apple har to-stegs-verifisering (SMS som må bekreftes av eier) som løsning er problemer som dette langt på vei løst, men Norge er dessverre ikke ett av dem.
Tast inn epost-adressen, og hackeren håper at vedkommende har et sikkerhetsspørsmål det er enkelt å besvare, men i mange tilfeller må man vite endel om personen fra før av.
Det var relativt enkelt når Sarah Palins Yahoo-epost ble hacket i 2008.
Det er ikke så stor sannsynlighet for at det var denne metodne hackerne brukte, da det tar tid med manuelt arbeid, men muligheten er tilstede, da vi enda ikke vet omfanget av iPhone-hacken i Australia.
Kilde:
Gizmodo
Annonse
