Il furto di uno smartphone non è una novità. L’ondata di furti di iPhone sulla quale il Wall Steet Journal sta indagando da circa un anno però ha diverse peculiarità. Oltre a rientrare in uno schema ben organizzato, potremmo dire che si verifica su almeno due livelli. Il primo prevede l’accesso a conti bancari e in generale al denaro reperibile con un iPhone in mano. Dopodiché, è il momento della vendita del maltolto, operazione che può essere altrettanto – in alcuni casi anche più – redditizia. Spoiler: gli iPhone Pro e Pro Max sono i più ambiti. La giornalista del Wsj Joanna Stern, per andare a fondo della questione, è andata a trovare Aaron Johnson, 26 anni, che al momento è detenuto nel penitenziario del Minnesota dove deve scontare quasi 8 anni di reclusione. L’accusa? Aver rubato centinaia di iPhone tra il 2021 e il 2022 a Minneapolis accumulando con altre persone oltre a 300mila euro. «Sto già scontando la pena. Sento che è arrivato il momento di mettermi nei panni delle persone derubate», ha dichiarato lui stesso prima di iniziare un lungo e dettagliato racconto in cui spiega l’elaborata strategia che c’è dietro a quelli che non posso essere più derubricati a banali furtarelli. Perché un iPhone rubato non è semplicemente uno smartphone rubato. È una miniera d’oro.
Il modus operandi era sempre lo stesso: di notte, nei bar, avvicinare giovani – se un po’ alticci anche meglio – imparare il codice di sblocco, impostare il proprio volto per il Face ID e ripulire i conti correnti sbloccando tutta una serie di servizi protetti. A differenza dell’esito della vicenda, tutto è iniziato nella maniera più banale che si possa immaginare. Johnson stesso racconta di non essere un criminale informatico sofisticato. Dopo un inizio da borseggiatore, ha capito che avrebbe potuto racimolare più denaro rubando gli iPhone. «Quel passcode è il diavolo – racconta – potrebbe essere Dio a volte, o potrebbe essere il diavolo». Come abbiamo anticipato, i luoghi ideali sono i bar poco illuminati. La vittima perfetta invece è un maschio, preferibilmente studente universitario, ubriaco. «Le donne tendono a essere più caute – spiega Johnson – sono più attente di fronte a comportamenti sospetti». Johnson li avvicinava offrendo loro della droga oppure fingendosi un rapper che avrebbe voluto aggiungerli su Snapchat. Definito dalle sue stesse vittime «amichevole ed energico», le portava a dargli il loro telefono con la pretesa di inserire le sue informazioni, come numero di telefono o account social, e a quel punto il piano poteva prendere il volo. «Ehi, il tuo telefono è bloccato. Qual è il tuo codice di accesso?», la domanda che faceva Johnson. E loro, ingenui, glielo dettavano ubbidienti. Altre volte invece era lui stesso a osservarli digitarlo, per poi memorizzarlo senza sforzo. Una volta ottenuto il telefono, prendeva l’uscita o lo passava a un altro membro della squadra di malfattori.
«Bisogna essere molto veloci – racconta – registrando il Face ID: quando hai inserito la tua faccia hai la chiave di tutto». Pochi minuti dopo aver preso gli iPhone, Johnson era nel menu Impostazioni e stava cambiando la password dell’ID Apple. Avrebbe quindi utilizzato la nuova password per disattivare «Trova il mio iPhone» in modo che le vittime non potessero accedere su qualche altro telefono o computer per localizzare da remoto il dispositivo rubato. L’autenticazione biometrica poi consentiva a Johnson di accedere rapidamente alle password salvate nel portachiavi iCloud. E a quel punto si apriva un mondo, il mondo delle vittime: app di risparmio, assegni, criptovalute. In caso di difficoltà, Johnson ha raccontato con sicurezza che sapeva di poter trovare pin e altri codici di accesso salvati nelle Note. A questo punto, entrare in possesso di un iPhone aveva fruttato già parecchi soldi. Ma non era abbastanza. Arrivava anche il momento di acquistare altri dispositivi Apple grazie a Apple Pay, prodotti che poi Johnson avrebbe rivenduto dietro la corresponsione del prezzo in contanti. Tra le altre cose, alcuni telefoni venivano venduti anche all’estero. Johnson ha spiegato che un modello Pro Max con un terabyte di spazio di archiviazione poteva fruttargli fino a 900 dollari. In un fine settimana particolarmente prolifico ha venduto circa 30 tra iPhone e iPad per un totale di 20 mila dollari ai quali vanno sommati i soldi presi dalle varie app di pagamento.
Dal canto suo Apple sta provando a prevenire questo tipo di racket introducendo la protezione dei dispositivi rubati. L’impostazione di sicurezza probabilmente sarà in grado di sventare il successo della maggior parte dei trucchi di Johnson, ma non verrà attivata automaticamente (ve ne abbiamo già parlato qui). L’attivazione, disponile nei prossimi mesi con l’arrivo di iOS 17.3, aggiunge una linea di difesa al telefono quando si è lontani da luoghi familiari come casa o lavoro. Per modificare la password dell’ID Apple, un ladro avrà bisogno delle scansioni biometriche Face ID o Touch ID, mentre il solo passcode non sarà sufficiente. Detto ciò, un criminale potrebbe essere ancora motivato a derubare una persona con molto denaro per poi sfondare lentamente questi livelli di sicurezza. Inoltre, ottenendo il solo passcode sarà ancora possibile comunque acquistare oggetti con Apple Pay. E anche qualsiasi app che non è protetta da una password o un pin aggiuntivi, come l’email, PayPal e altro, resterà vulnerabile.
