Suomalaismiehen iPhone varastettiin Italiassa – varkailta taidokas yritys viedä myös salasana

Applen Find my iPhone eli Etsi iPhone on oivallinen palvelu ja järjestelmä, joka auttaa hyvin suojaamaan iPhonen, iPadin tai vaikkapa Mac-tietokoneen varkaiden varalta. Tarkkana kannattaa silti olla, kuten tämä suomalaismiehen esimerkki osoittaa.

Joonas Kiminki oli pari viikkoa sitten matkoilla Italiassa, kun hän maauimalareissun ajaksi unohti iPhonensa vuokra-autoon. Pari tuntia myöhemmin auton ikkuna oli rikottu ja puhelin tiessään.

Kiminki yritti ensimmäiseksi vaimonsa puhelimella soittaa omaan puhelimeensa, mutta varastettu puhelin oli poissa päältä. Seuraavaksi Etsi iPhone -sovelluksen kautta hän merkitsi puhelimensa kadonneeksi, kirjoitti viestin joka näkyisi puhelimen näytöllä kun se käynnistetään ja rastitti ruudun, että palvelu ilmoittaa, kun puhelin seuraavan kerran palautuu linjoille. Kukaan ei pääsisi puhelimen sisältöön käsiksi, eikä varas saisi puhelinta tyhjennettyä myyntiä varten.

Muutama päivä sitten, puolitoista viikkoa sen jälkeen kun puhelin oli viety, Kiminki sai tekstiviestin ja sähköpostin, joissa kerrottiin, että puhelin oli löytynyt. Kiminki klikkasi nopeasti linkkiä ja ryhtyi naputtamaan käyttäjätunnustaan ja salasanaansa sivulle, joka linkin kautta oli avautunut, mutta pian hän huomasi, että jokin oli pielessä. Kiminki on verkkoalan ammattilainen, ja ryhtyi syynäämään asiaa tarkemmin.

Sekä viesti, sähköposti että linkin takaa löytynyt sivu olivat kaikki hyvin asiallisen ja aidon näköisiä, eikä esimerkiksi Gmail osannut kertoa, että saapuneessa sähköpostissa olisi jokin ollut pielessä. Tavallinen käyttäjä olisi hyvin voinut tarjota kirjautumistietojaan valheelliselle verkkosivulle, ja ihmetellyt vain, miksei tunnuksilla pääse kirjautumaan sisään. Tässä vaiheessa käyttäjän näppäilemät tiedot olisivat jo tallentuneet puhelinvarkaille kokeiltavaksi.

Kiminki kiinnitti huomiota siihen, ettei verkkosivu käyttänyt salattua yhteyttä, vaikka Applen oma sivusto varmuudella käyttäisikin. Tarkempi syyni osoitti, ettei saapunut sähköpostikaan ollut peräisin Applelta, vaan Gmail-osoitteesta, ja linkin takaa löytynyt verkkosivu kuului jollekin mitättömälle, Nassaussa sijaitsevalle yhtiölle.

Mikäli Joonas Kiminki olisi oman Apple ID -tunnuksensa ja salasanansa näppillyt, olisivat varkaat saaneet Find my iPhone -toiminnon pois käytöstä, palauttaneet laitteen tehdasasetuksiin ja myyneet sen eteenpäin.

Kiminki kirjoitti tapauksesta Hackernoon-sivustolle ja antoi samalla muutamia suosituksia. Ensimmäinen on, ettei puhelinta kannata jättää helposti varastettavaksi, esimerkiksi autoon. Lisäksi puhelin kannattaa ehdottomasti suojata pääsykoodilla tai salasanalla, sen tiedot ja sisältö kannattaa varmuuskopioida säännöllisesti ja oma käyttäjätili kannattaa suojata kaksivaiheisesti (eli salasanalla ja esimerkiksi tekstiviestillä lähetettävällä koodilla) niin, etteivät varkaat pääse tiliin käsiksi pelkällä käyttäjätunnuksella ja salasanalla.

Ohjeet Apple ID:n kaksivaiheiseen suojaukseen löydät täältä ja Google-tilin suojaukseen täältä.