Взлом Apple ID выявил риски централизованной идентификации
“Я стал объектом изощренного взлома моего Apple ID, что привело к значительным эмоциональным и финансовым потерям, — рассказывает Амро Шихада — бывший операционный директор Nillion, а также финансовый специалист с опытом в области традиционных финансов, блокчейна и технологий искусственного интеллекта. — Мой опыт работы в качестве технического предпринимателя означал, что я знал о важности многофакторной аутентификации и предупреждающих знаках замены SIM-карт , а также принимал меры предосторожности. Несмотря на это, однажды январским вечером прошлого года я стал жертвой дерзкого нападения, и это может случиться с каждым”.
Apple ID у Шихада был с момента его изобретения. Он купил программное обеспечение, фильмы, телешоу, оборудование на десятки тысяч, а может, и сотни тысяч долларов. Внезапно ему сообщили о 15 000 попытках входа в систему.
“Это было буквально «Бум, бум, бум», — говорит Шихада. — Я нажал «Не позволяй, не позволяй, не позволяй».
Затем ему позвонил кто-то, утверждавший, что работает в службе технической поддержки Apple. У него была подробная информация о том, сколько устройств было у Штихада и когда они в последний раз использовались — даже откуда поступали попытки входа. Многие ничего не подозревающие жертвы сочли бы этот звонок правдоподобным, но Шихада что-то не устроило, и он отказался давать собеседнику присланные коды.Те были отправлены на его телефон — с того же номера, который Apple использовала для отправки кодов подтверждения в прошлом.
“Я решил позвонить в Apple напрямую, чтобы разобраться в происходящем, но кошмар только начинался, — вспоминает Шихада. — Злоумышленнику удалось получить доступ к моей учетной записи. Я объяснил, что происходит, но женщина из Apple, по сути, сказала мне: «Примите свои потери».
Шихада был технически подкован и знал, что его Apple ID потенциально исчез навсегда, но у него были невзаимозаменяемые токены (NFT) и произведения искусства, которые он хранил два года. У него был доступ ко многим корпоративным счетам, брокерским счетам — ко всему прочему, что он не желал потерять:
“А она просто повторяла: «Прими свою потерю, прими свою потерю, прими свою потерю».
Иллюстрация Wall Street Journal за 2023 год показывает, как можно взломать учетные записи Apple, если злоумышленники будут располагать паролем iPhone. Источник: Wall Street Journal.
“Я боролся, чтобы защитить свои активы, и начал перемещать свою бумажную валюту в безопасное место, но моя криптовалюта уже была переведена в кошелек, находящийся вне моего контроля, и ликвидирована, — вспоминает Шихада. — Затем мне поступил анонимный звонок от кого-то, использующего голосовой модулятор, с пугающим сообщением: «Проверьте свой Telegram». Были отправлены сообщения, в которых говорилось, что мой Apple ID и активы будут возвращены, если будут переданы номера телефонов и адреса электронной почты трех других людей. Но я отказался, сказав нападавшему, что он выбрал не того человека”.
Шихада начал писать в Твиттере о ситуации, и хакер запаниковал. Он пригрозил опубликовать фотографии четырехмесячной дочери Шихада, поэтому тот удалил твит.
“Но они продолжали отправлять сообщения, а затем мне сказали, что я верну свой Apple ID, если не буду публиковать сообщения в Интернете в течение 48 часов. Но три дня спустя стойки ворот снова сместились. Теперь злоумышленник по требовал 50 тысяч долларов”, — рассказывает Шихада.
При этом преступник признался ему:
“Обычно я нахожу людей, которые делают что-то не так или имеют конфиденциальную информацию, которую я у них вымогаю».
Месяцы террора
В течение следующих трех месяцев злоумышленник пытался вымогать у Шихада деньги и сведения и терроризировать его — это был стресс, который жертве приходилось скрывать от жены и дочери.
“Что еще хуже, мои лимиты на снятие средств с Amex и Chase были сокращены, а мой кредитный рейтинг резко упал”, — рассказывает Шихада.
Не испугавшись, он продолжал обмениваться сообщениями и звонками с человеком, который украл его личность, постепенно собирая гигабайты улик против преступника.
“Я и не подозревал, что преступник уже попал в поле зрения правоохранительных органов после того, как ему было предъявлено обвинение в подмене SIM-карты, и вскоре детективы поняли, что это была верхушка айсберга. Поскольку украденные средства были использованы в Cash App и Venmo, следователи смогли соединить все воедино и идентифицировать меня как жертву, — говорит Шихада. — Когда позвонил агент ФБР, я смог дать подробное описание ответственного лица — и этого было достаточно, чтобы получить ордер. Они пошли и ворвались в его дом. Этот парень сидел в моем Apple ID”.
Позже расследование показало, что жертв было еще около 20. Большинство из них — женщины. Шихада оказался единственным, кто не побоялся высказаться и предоставил суду письменное заявление. Это привело к тому, что судья удвоил срок наказания до восьми лет без права досрочного освобождения, хотя хакер признал себя виновным и донес на своих сообщников. Федеральное дело находится на рассмотрении, в ожидании суда преступник находится в тюрьме.
Защитите свою цифровую личность
“Это было одно из самых травмирующих событий в моей жизни, — признается Шихада. — Между тем, бесчисленные миллионы людей по всему миру продолжают зависеть от своих Apple ID в повседневной жизни, даже не подозревая об ущербе, который наносит взлом. Я сам не осознавал, что Apple — это моя цифровая личность, пока не стало слишком поздно”.
Злоумышленник был частью более широкой и сложной схемы: мошенники нагло рекламировали вакансии, приглашая соискателей работы присоединиться к ним. Люди, которых они нанимали, думали, что действительно работают в службе поддержки Apple, хотя на самом деле невольно участвовали в финансовых преступлениях.
“Для лучшей защиты общества срочно необходимы новые решения по распознаванию речи, особенно потому, что чей-то голос можно воссоздать и использовать менее чем за 30 минут, — говорит Шихада. — Без таких решений мы действительно не сможем проверить, с кем мы разговариваем. Цифровая идентичность станет основой Web3. Наш коммуникационный стек как общества, как цивилизации сейчас вызывает неловкость. Настоящая цифровая идентичность позволяет вам взять на себя ответственность за ваши собственные данные и решения. Теперь я могу получить информацию от своего врача и хранить ее в своем хранилище. Я могу защитить свою финансовую информацию. Я могу взять все это. Я хочу быть уверен, что подобное никогда не повторится ни с кем другим. Я собираюсь получить возмещение от Apple за все покупки, которые я совершил за последние 20 лет, в качестве компенсации — и хотел бы поделиться своим печальным опытом со всеми.
Шихада советует:
- Соблюдайте строгий график и ведите строгие записи.
- Убедитесь, что сотрудник правоохранительных органов, с которым вы разговариваете, также делает записи.
- Запишите дату и время звонка, а также имя сотрудника и детали.
- Свяжитесь с местной полицией и расскажите им, что с вами случилось.
- Составьте подробный отчет IC3, поскольку это помогает федеральным властям задерживать преступников.
“После того, как я испытал разрушительные последствия молниеносной кражи моей цифровой жизни, я считаю, что есть только один ответ: децентрализованные идентификационные данные, которые полностью зашифрованы и хранятся в безопасном кошельке”, — заключает Шихада.
Комментарии
Комментарии для сайта Cackle
Интересно? Поделись с друзьями!