ADVARSEL: En iPhone bliver stjålet i Danmark, og ender hos professionelle banditter i Rumænien.

For en uges tid siden fik vores ældste søn stjålet sin iPhone af en gruppe tricktyve på en s-togstation i hovedstadsområdet - jeg har fulgt sporet, og det ser yderst professionelt ud. Hvis du selv kommer i samme situation, så er der nogle ting du skal være opmærksom på, for at undgå at din iCloud konto også bliver stjålet.

Ved hjælp af "Find min iPhone" fik vi først markeret telefonen som "tabt" og min kones telefonnummer blev registreret, så telefonen ville vise dette nummer hvis den blev fundet og tændt. Det første spor fra "Find min iPhone" var en s-togstation, og vi kørte dertil i et forsøg på at finde telefonen ved at sende en lyd til den - men det måtte vi opgive.

Knap en uge senere dumper der så to beskeder ind nogenlunde samtidigt. Den første besked er en SMS besked til min kones mobil, der lægger sig i tråden fra Apple og siger "Din iPhone 13 er blevet fundet" og så med et link hvor man angiveligt kan lokalisere den. Min kone er heldigvis skeptisk, og klikker ikke på linket. Derefter kommer der en officiel e-mail til vores søn fra Apple, der viser at telefonen er blevet tændt, og lokaliseret til en adresse i Rumænien - og den e-mail er ægte nok. Vi går så ind via hans nye iPhone som er tilknyttet samme Apple ID, og får vist samme lokation som i mail'en fra Apple - herefter trykker vi "Slet telefon" - og her skal man være ret forsigtig, for man kan nemt komme til at trykke på næste linje, som er "Fjern telefon fra iCloud".

Årsagen til SMS'en er naturligvis at man har tændt telefonen, og set et telefon nummer - det har man så registreret i sit system, som sender denne SMS ud og derefter venter på at modtageren hopper i fælden.
Så går jeg i gang med at kigge på de links der er blevet sendt via SMS, og blev overrasket over hvor professionelt de er lavet. Først får jeg sporet dem til at pege på IP adresser i et datacenter i Columbia. Nu er Columbia naturligvis blokeret via GeoIP i min firewall, men for lognings skyld, lægger jeg også lige domæner og IP adresser ind.

Via en VPN forbindelse til Tyskland fra min egen iPhone, prøver jeg så at åbne en af de URL'er fra SMS'en - det første jeg bliver mødt af er et meget vellignende billede hvor man skal indtaste sin PIN kode - jeg gir' det 2 forsøg med tilfældige PIN koder, og kommer som forventet videre til næste side, hvor jeg får en flot og vellignende iCloud login side - her taster jeg en tilfældig e-mail og password, og bliver så ledt til en side hvor jeg får mulighed for at nulstille mit password - det siger jeg "ja" til og så sker der noget interessant - app'en "Indstillinger" bliver åbnet på min iPhone, og jeg bliver sendt direkte ind i iCloud indstillinger - her stopper jeg så testen 🙂

Det ser ud til at være lavet så det kun virker på Safari på en iPhone - via Firefox fra en PC får jeg bare en blank side. Og når jeg prøver via en Linux kommando-linje at hente kildekoden fra den web-server, så er der også tænkt over det, og min forespørgsel bliver blokeret.
Det her er så professionelt lavet, at jeg er ret sikker på at mange vil hoppe i fælden - så pas rigtig godt på.
URL's kan du se på billedet - men prøv dem kun hvis du ved hvad du laver. Jeg anbefaler at du blokere dem i din firewall, hvis du har mulighed for det - sammen med disse IP adresser:

172[.]67[.]165[.]46
104[.]21[.]11[.]54
104[.]21[.]95[.]246
172[.]67[.]149[.]193

Tyveriet er naturligvis meldt til politiet, der som forventet ikke engang har givet anmeldelsen et nummer.