iPhone大盗狱中口述：银行账户里的钱如何不翼而飞

图片来源：The Wall Street Journal

Joanna Stern

2024年1月5日08:40 CST 更新

来到明尼苏达州的这座惩教设施，你得先把手机寄存在储物柜里，然后狱警才会放你通过一道道铁丝网和一扇扇钢门。不过，如果你要见的是一位战果颇丰的iPhone大盗，费些周折寄存手机还是有必要的。

我倒不担心这位名叫阿龙·约翰逊(Aaron Johnson)的大盗偷我的iPhone。我来这儿，就是为了搞清楚他是怎么偷手机的。

我们在这座戒备森严的监狱里采访了约翰逊，并对采访进行了录像。26岁的约翰逊告诉我：“我已经在坐牢了。我只是觉得应该试着做点好事，试着帮助别人。” 约翰逊还得再坐几年牢。

过去一年，我和同事Nicole Nguyen调查了美国全国各地发生的一系列盗窃案件。盗贼们盯着iPhone机主输入密码，然后把手机给偷走——让受害者钱财和数据两空。

在2021年和2022年期间，约翰逊与同伙们在明尼苏达州至少偷了一年手机。夜晚时分，他在酒吧里面和酒吧周围晃悠，跟年轻人套近乎，偷偷记下他们的手机密码，再拿走他们的手机。他通过修改密码，让受害者无法访问自己的苹果账户，然后从他们的银行应用中卷走成千上万美元。最后，他再把手机给卖掉。

这是一种精心策划的投机把戏，利用苹果的生态系统，针对那些容易轻信他人的iPhone机主，这些机主以为如果手机被盗，被盗的只是手机。

苹果公司12月中旬宣布将推出设备被盗保护(Stolen Device Protection)功能，该功能可能有助于防范这种利用密码实施的犯罪。

不过，就算安装这款软件（将随iOS 17.3系统上线），也还是会有漏洞。最大的漏洞是什么呢？就是我们自己。不妨听听约翰逊讲述的偷窃经历，从中可以了解怎样才能更好地保护对我们的生活如此重要的设备。

他是如何开始的？

约翰逊并不是什么精通技术的网络犯罪高手。他说，他一开始是在明尼阿波利斯街头当扒手。“我无家可归，”他说。“后来有了孩子，需要钱。我找不到什么工作。于是就开始干这个。”

约翰逊很快就意识到，这些顺手牵走的手机价值远高于手机本身的价钱——只要想办法进到账户里，就能捞到更多钱。约翰逊说，这个密码大招他是无师自通，有一天晚上，他熬夜摆弄一台手机，弄清了如何使用密码解锁诸多加密服务。

阿龙·约翰逊因参与盗窃手机和手机中的钱财，目前正在明尼苏达州的这座惩教设施内服刑。

图片来源：ADAM FALK/THE WALL STREET JOURNAL

“那个密码是魔鬼，”他说。“有时候可能是上帝——也可能是魔鬼。”

明尼阿波利斯警察局的逮捕令显示，约翰逊和其他11名犯罪团伙成员被指控聚敛了近30万美元赃款。他说，很可能比这更多。

他说：“有一次我急于搞一票大的。我高兴过头了。”

去年3月，有抢劫罪和盗窃罪前科的约翰逊承认了勒索罪指控，被判处有期徒刑94个月。他对法官说，他为自己的所作所为感到抱歉。

他是怎么得手的？

我们通过采访约翰逊、执法官员和一些受害者，弄清了这出夜幕中勾当的来龙去脉：

锁定受害者。灯光昏暗、人来人往的酒吧是理想的场所。大学生年纪的男性成为他的理想目标。约翰逊说：“他们已经喝醉了，头脑不清楚了。” 他说，女性往往更有防范意识，对可疑的行为更加警觉。

把密码弄到手。亲切、活力四射——受害者们这样形容约翰逊。一些受害者告诉我，他上前搭讪，要给他们提供毒品。还有一些人说，约翰逊自称是说唱歌手，想在Snapchat上加他们好友。聊了一会儿之后，他们便把手机递给约翰逊，以为他不过是拿去输入自己的信息，输完了就会把手机还给他们。

约翰逊说他会在酒吧里面和酒吧周围晃悠，跟大学生年纪的年轻人套近乎，通过各种魅力攻势和伎俩来获取他们的手机密码。

图片来源：ADAM FALK/THE WALL STREET JOURNAL

约翰逊这样描述道：“我会说：‘嘿，你的手机锁屏了。密码是啥？’他们会说‘2-3-4-5-6’，或者别的什么。然后我就记住了。” 有时候，他会在别人输密码时把密码给记下来。

手机一旦到了他手里，他便会把手机给扣下来，或者转给团伙中另外一个人。

把他们锁在外头——动作要快。约翰逊拿到手机之后，会在几分钟之内进入设置菜单，重置Apple ID的密码。随后，他用新密码关闭“查找我的iPhone”(Find My iPhone)功能，这样一来，受害者就无法在其他手机或电脑上登录，远程定位被盗设备，甚至无法抹去被盗设备上的数据。

约翰逊改密码的速度很快，“比你念出‘supercalifragilisticexpialidocious’这个词的速度还要快，”他说。“要抢到奶酪，就得比老鼠跑得快。”

把钱取走。约翰逊说，接下来，他会设置Face ID，因为“只要你的脸在那儿，就有了什么都能打开的钥匙”。约翰逊通过刷脸，能够迅速取得存储在iCloud钥匙串 (iCloud Keychain)上的各种密码。

他设法从各种储蓄账户、支票账户、加密货币账户里转出大笔钱款。如果无法顺利进入这些资金管理应用，他会在备忘录(Notes)和照片(Photos)应用中寻找更多信息，比如社会保险号码。

到了早晨，他已经把钱转走了。这时，他会到商店里用Apple Pay买东西，也会利用偷来的苹果设备购买更多苹果设备，最常买的是售价1,200美元的iPad Pro，他会卖了换取现金。

全美的窃贼都在利用iOS的漏洞，只需拿到iPhone的密码就能更改受害者的Apple ID密码。

图片来源：JOANNA STERN/THE WALL STREET JOURNAL

把手机卖掉。最后，他会抹去手机上的数据，把手机卖掉。逮捕令显示，他把手机卖给一个名叫苏中霜（音译）、英文名叫“布兰登(Brandon)”的人，苏再把手机销往海外。

约翰逊也偷过一些安卓(Android)手机，但他的主要目标是iPhone，因为iPhone的转售价格更高。在酒吧里，他会四处观察——寻找搭载三个摄像头的iPhone Pro机型。他说，拥有1TB内存的Pro Max可以卖到900美元。苏还收购约翰逊买的iPad。

苏承认犯有收受被盗财产罪，被判处120日有期徒刑，在明尼苏达州亨内平县的成年人惩教设施内服刑。苏和他的律师都没有回应置评请求。

约翰逊说，运气好的时候，一个周末就能卖30台iPhone和iPad给苏，赚到2万美元左右——这还不包括从受害者的银行应用、Apple Pay和其他应用里转出的钱。

怎样防止手机被盗？

在我结束明尼苏达州之行一周后，苹果宣布将推出设备被盗保护功能。这项安全设置有望拆穿约翰逊的大多数伎俩，但不会自动开启。

如果你不开启这一设置，还是会跟从前一样容易受到攻击。开启这项功能，可以在家和公司以外的陌生场所为你的手机增添一重保护。

将随iOS 17.3系统上线的“设备被盗保护”功能可在手机离开熟悉的地方（如家或工作场所）时为手机提供保护。

图片来源：JOANNA STERN/THE WALL STREET JOURNAL

盗贼如果要更改Apple ID的密码，需要使用Face ID或Touch ID等生物识别扫描——也就是要刷脸或刷指纹。仅靠密码是不管用的。该流程还会内置长达一小时的延迟，接下来还需要再进行一次生物识别扫描。如果要添加新的Face ID或禁用“查找我的iPhone”功能，也需要走一遍上述缓慢流程。

一些功能使用起来没有延迟，比如访问存储在iCloud钥匙串上的密码或抹去iPhone上的数据，但还是需要Face ID或Touch ID。

犯罪分子或许还是会有对富人作案的动机，先把他们给绑架了，然后慢慢穿透一层层安全防护。不过，这些保护措施可能会劝退那些只想顺手牵走iPhone、然后逃离犯罪现场的人。

那么，还有哪些漏洞没解决呢？拿到密码的小偷还是可以用Apple Pay来买东西。任何应用，只要没有用额外的密码或PIN码来保护，还是很容易进入，比如电子邮件、Venmo、贝宝(PayPal)，等等。

所以，还应该注意以下问题：

1. 为Venmo和Cash App等钱款应用程序单独设置一个密码。

2. 删除所有包含了密码或社会保险号码等个人信息的备忘录和照片。将这些信息存储在第三方密码管理器（如Dashlane、1Password）内的安全备注中。

3. 设置一个更安全的iPhone密码——要同时使用字母和数字。

而最显而易见的就是约翰逊的建议：留意周围环境，不要泄露密码。

如果说这项犯罪让我们懂得了什么道理，那就是，一个小小的设备现在包含了进入我们整个生活的入口——我们的记忆，我们的金钱，还有更多东西。保护这些东西得靠我们自己。