Dinside Da Dinside-leser Anders Ostberg var på ferie i Budapest i forrige uke, var han så uheldig å bli frastjålet mobiltelefonen sin; en iPhone 6 fra Apple.
Skjønt – en stjålet iPhone kommer man ikke så langt med. Siden Apple innførte den såkalte aktiveringslåsen i iOS7 for snart to år siden, er det nemlig ikke bare-bare å ta en stjålet telefon i bruk.
For selv om man nullstiller telefonen og sletter alle data, krever Apple at man taster inn brukernavnet og passordet til iCloud-kontoen knyttet til telefonen for å ta den i bruk.
Mekanismen har blant annet gjort at tyveri av iPhone sank med 24 prosent i London det første halvåret etter at den ble innført.
LES MER: Snart kan alle mobiltelefoner sperres
Helt lik iCloud-siden
Stor var overraskelsen denne uken da Anders mottok en SMS fra et tilsynelatende amerikansk nummer. Den lød som følger:
«Dear Customer, your iPhone 6 Space Gray 16GB has been found. Track the location live here», etterfulgt av en nettadresse forkortet med tjenesten bit.ly.
Anders ante muffens og gikk inn på adressa på PC-en hjemme. Da kom han til en nettside som er identisk med innloggingssiden for iCloud:
FALSK: Det er lite som skiller denne falske iCloud-innloggingssiden fra originalen.
ORIGINALEN: For nordmenn er språket norsk på iCloud-forsiden; ellers er det lite som skiller den fra den falske som ble lenket til i SMS-meldingen.
Som du ser viser adressefeltet apple-secured.com. Altså ikke adressen til den ekte iCloud-forsiden, men definitivt en adresse som vil lure mange til å tro at dette er en offisiell Apple-side. Noe det altså ikke er.
– Siden er helt lik iCloud-siden til Apple, og skriver jeg inn brukernavn og passord her så vil de få full kontroll over mobilen og Apple-kontoen min, sier Anders til Dinside.
Lett å gå fem på
Hadde Anders tastet inn brukernavnet og passordet her, ville uvedkommende ha fått alt de trengte for å ta i bruk telefonen han ble frastjålet.
Mer skremmende er at de også ville ha fått tilgang til Anders’ private data som er lagret i Apples iCloud-løsning – for eksempel meldinger, kontakter og bilder. De ville også hatt muligheten til å handle fra iTunes, endret passordet til noe annet og i praksis stjålet hele identiteten hans.
Særlig om han hadde begått den største passordsynden og brukt det samme passordet overalt på nett. Da hadde veien vært kort for å logge på andre tjenester også.
– Dette kan være skummelt og lett å gå på. Jeg snakket med andre som også hadde mistet iPhonen sin i Budapest, og skrevet inn brukernavn og passord på den siden de ble ledet til. I flere tilfeller sto det heller ikke noe telefonnummer om avsender på SMS, men kun «Apple», advarer Ostberg.
Han har senere fått to nye SMS fra utlenlandske numre med det samme budskapet.
Mange vil sikkert spørre seg hvordan de har fått tak i Anders’ telefonnummer, men holder du hjem-knappen nede og spør Siri «Whose phone is this?», får du opp full kontaktinfo på eieren.
Klassisk nettfisking
Dette er et klassisk eksempel på phishing, eller nettfisking som det kalles på norsk. Begrepet omfatter situasjoner der folk blir lurt til å gi fra seg personlige opplysninger på en nettside som utgir seg for en annen; i dette tilfellet innloggingssiden til iCloud.
Som regel skjer imidlertid dette via epostsvindel. SMS-varianten Anders mottok er ny for oss.
Det beste rådet i forhold til nettfisking er å være varsom og sjekke adressefeltet før du logger deg på en tjeneste; særlig når man kommer inn via en lenke i en epost eller lignende.
Å bruke en passordløsning som LastPass, Dashlane, Keepass, 1Password eller lignende kan også være smart, siden disse ikke ville ha fylt ut det aktuelle brukernavnet og passordet på en falsk side, siden den har en annen nettadresse.
GUIDE: Unike passord på alle nettsteder
Kilde for: Mobil – DinSide.no