Недавно мне прислали фотографию c айфоном в режиме пропажи и ссылкой на телеграм-аккаунт для восстановления доступа. Подобные схемы использовались мошенниками еще в 2014 году, и они по-прежнему продолжают быть актуальными.

Статья носит исключительно информационный характер и не является инструкцией или призывом к совершению противоправных деяний. Наша цель — рассказать о существующих уязвимостях, которыми могут воспользоваться злоумышленники, предостеречь пользователей и дать рекомендации по защите своей личной информации в Интернете. Авторы не несут ответственности за использование информации. Помните, что не стоит забывать о безопасности своих личных данных.

Как это произошло

Владелец устройства находится в процессе поиска работы. При размещении резюме в интернете ему написали в Telegram и назначили собеседование. Во время разговора пострадавшему сообщили, что он подходит на должность и для прохождения испытательного срока ему потребуется использовать приложение, разработанное организацией для мониторинга рабочего процесса. Поскольку у соискателя имеется iPhone, для установки потребуется зайти в учетную запись их организации.

Из-за введенных против России санкций компания Apple удаляет из App Store некоторые приложения российских компаний, и этим часто пользуются злоумышленники.

Злоумышленники чаще всего либо крадут учетные данные Apple ID, либо принуждают пользователя авторизоваться в устройстве с использованием учетной записи злоумышленника. После этого устройство переводится в режим пропажи и за его разблокировку злоумышленники требуют внести выкуп.

Для кражи распространено использование фишинговых сайтов. Так, в декабре 2024 года некоторым владельцам iPhone на электронную почту приходили письма с запросом на подтверждение личности. После авторизации пользователей на поддельном сайте злоумышленники получали доступ к их учетным записям и меняли пароли доступа. После этого, в зависимости от настроек безопасности учетной записи, злоумышленники могли активировать режим пропажи на всех устройствах пользователя или выгрузить данные, хранящиеся в iCloud. После этого они требовали выкуп.

Использование двухфакторной аутентификации усложняет процесс нелегитимного управления учетной записью. Поэтому пользователей все чаще принуждают осуществлять вход в устройство с использованием учетной записи злоумышленника. Для этого используют различные уловки, например:

• пишет красивая девушка и просит выгрузить ее фотографии из iCloud, поскольку у нее возникли проблемы с телефоном;

• человек обращается за помощью в извлечении контактов и фотографий из iCloud, потому что его телефон разбит;

• «работодатель» сообщает о том, что для начала работы нужно войти в корпоративную учетную запись и установить приложение;

• при размещении объявления о продаже устройства «покупатель» просит зайти в его iCloud, чтобы убедиться, что устройство отвязано от других учетных записей.

После авторизации на устройстве пользователя злоумышленник переводит устройство в режим пропажи и меняет пароль доступа к учетной записи. Для этого он использует стандартное приложение Apple Локатор либо его интернет-версию icloud.com/find. Ранее (до iOS 13) использовалось приложение Найти iPhone (Find My iPhone).

При активации режима пропажи ограничивается работа многих служб устройства и доступ к содержимому устройства блокируется кодом-паролем. При этом устройство может принимать телефонные вызовы и вызовы по FaceTime, не отключаются службы геолокации.

Если ранее у пользователя на мобильном устройстве не был настроен код-пароль или злоумышленник убедил пользователя отключить его для «снятия» каких-либо ограничений, то при включении режима пропажи злоумышленник задает пароль для доступа к содержимому устройства.

Если у пользователя на устройстве установлен известный ему пароль, он сможет войти в систему. Однако для ограничения доступа к информации на устройстве злоумышленники часто используют функцию экранного времени.

Также злоумышленник может установить ограничение на изменение кода-пароля и Apple ID устройства.

Для снятия этих ограничений необходимо знать пароль экранного времени.

Что можно сделать, если вы оказались в такой ситуации

1. Написать заявление в правоохранительные органы. На практике встречались положительные примеры того, что такие преступления были раскрыты, а пользователи получали доступ к своим устройствам.

2. Попробовать выгрузить информацию из мобильного устройства.

   • В зависимости от того, известен ли вам пароль от устройства, вы можете предпринять разные действия:

     • Если код-пароль мобильного устройства неизвестен, можно попытаться подобрать его. Это можно сделать как вручную, так и с помощью различных аппаратно-программных комплексов. При ручном переборе важно помнить, что, в зависимости от настроек устройства, после 10 попыток ввода пароля данные могут безвозвратно удалиться. Для автоматизированного перебора можно воспользоваться такими инструментами, как Passware Kit Mobile и Graykey. Но подобные инструменты доступны не всем: чаще всего их используют люди, занимающиеся цифровой криминалистикой. Кроме того, в зависимости от типа процессора и версии операционной системы могут возникать особенности, влияющие на полноту извлечения информации.

     При неизвестном пароле также можно попробовать извлечь хоть какую-то информацию в режиме BFU (Before First Unlock). Но тут также имеются ограничения: поддерживаются устройства на базе процессоров А5–А11 (iPhone 4S — iPhone X). Об этом писали ранее на Хабре.

     • Если пароль от мобильного устройства известен, но при этом доступ к содержимому устройства ограничен экранным временем, можно извлечь данные при помощи различного ПО:

       • для создания резервных копий: iTunes, 3uTools, iMazing;

       • специализированного: Elcomsoft iOS Forensic Toolkit, «МК Эксперт Плюс», UFED;

       • опенсорсного: Mobile Verification Toolkit, Universal Forensic Apple Device Extractor, iOS Device Data Extractor.

   При выборе инструментов для извлечения информации всегда необходимо отталкиваться от того, какие конкретно данные необходимо извлечь. Специализированное ПО позволяет извлекать больший объем данных по сравнению с ПО для создания резервных копий, но при этом оно не всегда распространяется на безвозмездной основе. Это тоже стоит учитывать.

   После извлечения необходимых данных для полноценного использования устройства вам необходимо выйти из учетной записи злоумышленника. Для этого нужно знать пароль от учетной записи, который чаще всего неизвестен.

3. Отвязать ваше устройство от учетной записи злоумышленника.

   Самым действенным решением будет обращение в компанию Apple. В 2022 году компания Apple официально прекратила продажу своей техники в России, но при этом продолжает оказывать поддержку российским пользователям.

   Обращение можно оставить через сайт поддержки. На сайте указано, что устройства, находящиеся в режиме пропажи, разблокировке не подлежат. Поэтому можно позвонить на горячую линию по телефону 8-800-555-67-34, объяснить ситуацию и оставить заявку. Необходимо будет доказать, что устройство принадлежит вам на законных основаниях, что мошенники ввели вас в заблуждение и активировали режим пропажи.

   3.1 Уникальный идентификатор устройства: серийный номер, IMEI или MEID.

   • IMEI (International Mobile Equipment Identity) — это уникальный 15-значный код, идентифицирующий мобильное устройство в GSM-сетях.

     MEID (Mobile Equipment Identifier) — это уникальный 14-значный идентификатор мобильного оборудования, применяемый в CDMA-сетях.

     Информацию о серийном номере и IMEI устройства можно посмотреть:

     • на коробке: на всех устройствах;

     • на задней панели устройства: iPhone (первоначальная модель), c iPhone 5 по iPhone 6 Plus.

       На задней панели устройств iPad, iPad Pro и iPod touch указывается серийный номер устройства, на модели iPad с поддержкой Wi-Fi и сотовой связи также указывается IMEI.

     • на лотке из-под сим-карты устройства: с iPhone 3G по iPhone 4s, с iPhone 6s по iPhone 13 Pro Max.

     Стоит учитывать, что устройство могло подвергаться ремонту, замене отдельных элементов, поэтому информация, указанная на устройстве, может быть ошибочной.

На устройствах iPhone 14-й версии и последующих моделях отсутствует гравировка номера IMEI/MEID — узнать уникальные идентификаторы устройства можно переведя устройство в диагностический режим. Для этого необходимо:

1. выключить мобильное устройство;

2. удерживая кнопки увеличения и уменьшения громкости, подключить устройство с помощью кабеля Lightning (Type-C) к блоку питания или USB-порту компьютера;

3. дождавшись появления логотипа Apple, отпустить кнопки;

4. дождаться загрузки диагностического режима и посмотреть сведения об устройстве.

Иногда устройство вместо входа в диагностический режим может просто запуститься. Чаще всего это связано с недостаточной мощностью подключенного источника питания. Поэтому рекомендуется использовать блоки питания мощностью 18 Вт или выше.

Серийный номер устройства также можно просмотреть в режиме восстановления. Для этого необходимо установить приложение iTunes и подключить устройство в режиме Recovery. О том, как это сделать, можно прочитать в этой статье.

3.2 Фотографии коробки устройства, на которых хорошо видны уникальные идентификаторы. Если вы любите выбрасывать коробки сразу после покупки устройства, рекомендуем фотографировать их. Хранить фото можно во внешнем хранилище, чтобы в случае блокировки устройства была возможность получить эти снимки.

3.3 Первоначальный чек, подтверждающий покупку устройства. С такими чеками чаще всего возникают сложности, и проблема не только в том, что они со временем выцветают. Как мы говорили ранее, с 2022 года Apple прекратила официальные продажи своей техники в России. Последними официально проданными на территории РФ являются модели iPhone 13 серии. Все последующие модели устройств завезены в Россию для продажи по параллельному импорту либо через частных лиц. Поэтому для подтверждения владения таким устройством, помимо чека, выданного продавцом, также необходим чек (инвойс), который был получен при покупке устройства в официальном магазине за границей. Для получения такого чека можно обратиться к продавцу и запросить у него копию такого чека. Если этого не сделать, то в отвязке устройства от Apple ID злоумышленника могут отказать.

• Требования к чеку указаны на сайте Apple.

Если вы приобрели устройство б/у и не знаете, где, когда и кем оно было приобретено, можно воспользоваться различными ресурсами для поиска этой информации: например, sickw.com, iphoneox.com. Там можно бесплатно узнать дату приобретения устройства. На сайте Apple checkcoverage.apple.com можно узнать месяц и год приобретения устройства.

3.4 Подтверждение общения со злоумышленниками. Полезными будут:

? фотоизображение экрана вашего устройства в режиме пропажи, на котором указаны контакты злоумышленника;

? переписка, в ходе которой вас заставили ввести логин и пароль Apple ID;

? данные учетной записи, в которую вы вошли, после чего устройство перешло в режим пропажи;

? переписка со злоумышленником, в ходе которой вам предлагают восстановить доступ к аккаунту в обмен на деньги;

? информация о странице злоумышленников, если они предоставляют восстановление доступа к устройству как сервис.

Если общение происходило в Telegram, можно войти в учетную запись с другого устройства. Однако если вы использовали секретный чат или злоумышленник удалил переписку, это усложнит задачу. В таком случае предоставьте в поддержку всю информацию о злоумышленнике, которую вспомните.

3.5 Данные обо всех ранее использовавшихся на устройстве учетных записях. Это поможет подтвердить, что вы являетесь законным владельцем устройства и использовали его ранее.

После отправки заявки отслеживать ее статус можно на сайте getsupport.apple.com

После отправки запроса вы не сможете его отменить. Поэтому важно перед отправкой собрать как можно больше доказательств того, что вы являетесь законным владельцем устройства и вас обманным путем заставили ввести данные учетной записи злоумышленника.

При положительном решении устройство отвяжут от учетной записи злоумышленника и вам на почту отправят инструкцию о том, как сбросить устройство до заводских настроек для его использования.

При сбросе активации iCloud данные на вашем устройстве удаляются. Компания Apple не рекомендует восстанавливать данные из локальной резервной копии, поскольку велик шанс повторного включения блокировки активации устройства. Поэтому восстанавливать данные придется вручную.

Если вам отказали в сбросе активации, через некоторое время вы можете попробовать снова обратиться в службу поддержки. Важно при этом не менять Wi-Fi-сеть, сим-карту и местоположение устройства, чтобы не вызвать подозрения в том, что вы пытаетесь разблокировать украденное устройство.

Если все же через службу поддержки восстановить устройство не получилось, вы можете попробовать сделать джейлбрейк устройства и сбросить блокировку активации устройства. Но использование этого метода имеет ряд недостатков:

? ­работает не со всеми версиями ОС;

­? после перезапуска устройства джейлбрейк отвязывается и необходимо заново прошивать устройство;

­? при использовании некоторых видов джейлбрейков перестают работать сотовые данные: вы не сможете совершать вызовы и пользоваться мобильным интернетом, можно будет использовать только Wi-Fi-соединения;

? ­нельзя устанавливать обновления на устройство;

? ­возможны зависания, нестабильная работа, появление уязвимостей безопасности устройства;

­? нельзя пользоваться сервисом «Локатор» для поиска устройства в случае его пропажи;

? ­не будет возможности обращаться в службу поддержки Apple с запросами.

Еще одно возможное решение проблемы — обращение в сервисный центр. В интернете можно найти большое количество предложений по разблокировке айфонов. Однако стоит учитывать, что в России сейчас нет официальных сервисных центров Apple. Поэтому гарантированно разблокировать ваше устройство никто не сможет.

При обращении в сервисные центры у пострадавшего чаще всего запрашивают контактные данные злоумышленника или документы, необходимые для официального восстановления устройства. В результате сервисные центры действуют как посредники между вами и злоумышленником или официальным сервисом, получая за это свою комиссию.

Иногда они предлагают прошить устройство и установить джейлбрейк, в определенных случаях могут заменить отдельные элементы устройства, чтобы сбросить активацию блокировки.

Стоит также учитывать, что под видом сервисов могут скрываться мошенники, которые предлагают удаленно и за полную предоплату восстановить функциональность устройства.

 Поэтому пользоваться услугами таких сервисов крайне рискованно.

Кто-то может подумать, что самое лучшее решение — написать злоумышленнику и надеяться на его порядочность. Ведь у него точно есть доступ к учетной записи, и он может помочь разблокировать ваше устройство.

Но, во-первых, заплатив, вы не получите гарантии того, что злоумышленник выключит блокировку активации и позволит вам выйти из его учетной записи. Злоумышленники часто не ограничиваются одной транзакцией: они могут требовать дополнительные платежи за код доступа к устройству, к экранному времени, выход из учетной записи, сохранение данных после отвязки устройства и т. д.

Во-вторых, отправляя деньги злоумышленникам, вы поддерживаете их финансово, и у них сохраняется мотивация вести такой бизнес. Соответственно, порождаются новые инциденты такого рода.

Кроме того, после получения оплаты злоумышленники могут удаленно стереть все данные с устройства, при этом сохраняя привязку учетной записи к устройству. Поэтому платить злоумышленникам — точно не лучшее решение.

Как не оказаться в такой ситуации

1. Не вводите чужой Apple ID на вашем устройстве. Злоумышленники часто вводят в заблуждение, поэтому нужно разобраться с понятиями.

   1. Apple ID — это учетная запись для доступа ко всем сервисам Apple, включая iCloud. На устройствах Apple она отображается вверху экрана при входе в настройки устройства.

      

      iCloud — это облачный сервис, который позволяет хранить и синхронизировать данные между вашими устройствами.

      Поэтому если вас просят зайти в iCloud, чтобы сохранить данные другого человека, это можно сделать на сайте icloud.com, не выходя из учетной записи.

      Если вам предлагают установить приложение, выйдя из вашего Apple ID, оцените возможный риск потери доступа к устройству. Владелец учетной записи, которую вы вводите, сможет управлять вашим устройством: удаленно блокировать его и удалять все данные на устройстве.

   Для распространения корпоративных приложений разработчики могут использовать различные сервисы для проведения бета-тестирования (например, TestFlight).

   Кроме того, компании могут распространять свои приложения, предоставляя пользователю персональную ссылку для установки приложения. Если у разработчика приложения имеется Apple ID, зарегистрированный в программе разработчиков Apple, подпись приложения на устройстве происходит автоматически.

   Если такой учетной записи нет, можно установить приложение, используя различное программное обеспечение, например Xсode.

   После установки приложения необходимо подтвердить надежность полученного сертификата приложения на устройстве. Для этого нужно зайти в «Настройки» → «Основные» → «VPN и управление устройством» и проверить полученный сертификат.

   Для первичной проверки нужно подключение к интернету и доступ к веб-сайту ppq.apple.com. После успешной проверки можно пользоваться приложением. Для этого не нужно выходить из вашей учетной записи.

   Кроме того, помимо App Store существуют альтернативные официальные магазины приложений. Например, через AltStore разработчики также могут распространять свои приложения, которые по какой-то причине недоступны в App Store. Правда, работает AltStore в настоящее время только на территории Евросоюза.

   В марте 2025 года Apple предоставила возможность переносить покупки из одного аккаунта Apple в другой, поэтому для установки ранее доступных в App Store приложений не нужно выходить из своего Apple ID. Для установки приложения достаточно выйти из учетной записи в App Store и войти с нужной. После этого можно устанавливать приложение на устройство.

   

   

    К сожалению, на старых версиях iOS это не работает ?

2. При получении СМС, голосовых или видеосообщений от вашего знакомого с просьбой выгрузить какую-либо информацию из его аккаунта, помочь найти украденное устройство или установить «очень полезное» приложение, убедитесь, что это действительно он. Злоумышленники нередко используют дипфейк-технологии. Поэтому свяжитесь со знакомым через другие каналы связи для подтверждения.

   Если информация подтвердится, посоветуйте знакомому зайти с другого устройства на icloud.com и найти всю необходимую информацию там.

3. При общении в интернете с незнакомыми людьми обращайте внимание, когда и в какой стране зарегистрирован их аккаунт, когда менялись информация о пользователе и фотография в аккаунте. В Telegram эта информация отображается при получении первого сообщения от пользователя.

   

   Достаточно часто, если аккаунт зарегистрирован недавно и незадолго до диалога менялась информация о пользователе, его фотография, это может указывать на то, что это мошенники.

   Столкнувшись со злоумышленниками, сообщите о них администрации мессенджера, соцсети. В Telegram для этого существует отдельный аккаунт t.me/notoscam (ID: 4240007), в который можно написать о произошедшем событии и попросить заблокировать аккаунт в системе.

   В Telegram также есть возможность подать жалобу на канал, группу или бота. Для этого нужно открыть контекстное меню аккаунта и выбрать опцию «Пожаловаться», указать причину и отправить заявку.

   

   Таким образом вы можете способствовать блокировке аккаунтов мошенников, что, в свою очередь, снизит количество подобных преступлений.

4. При авторизации с использованием данных вашей учетной записи убедитесь, что вы находитесь на официальном сайте.

   Официальный сайт Apple: https://www.apple.com/.

   Официальный сайт iCloud: https://www.icloud.com/.

   Злоумышленники достаточно часто рассылают ссылки на фишинговые ресурсы с целью кражи данных учетных записей пользователей.

   В некоторых мессенджерах есть возможность скрывать реальный URL-адрес при отправке ссылки. Поэтому при переходе по ссылкам будьте внимательны. В мессенджере Telegram для просмотра URL-адреса необходимо нажать на ссылку и удерживать ее для отображения.

   

   Для просмотра сокращенных ссылок используйте сервисы расшифровки коротких ссылок.

   

5. Обеспечьте безопасность ваших данных.

   Для этого установите сложный и уникальный пароль для учетной записи, установите двухфакторную аутентификацию и контролируйте список активных устройств.

   Для изменения пароля зайдите в Настройки → Учетная запись → Вход и безопасность → Изменить пароль и установите новый цифробуквенный пароль длиной не менее 12 символов.

   Не используйте один и тот же пароль для разных учетных записей на разных ресурсах. Если на одном ресурсе пароль будет скомпрометирован, это может поставить под угрозу безопасность всех ваших данных.

   Включите функцию «Защита украденного устройства». Если устройство находится вдали от привычных мест, для внесения критических изменений в учетную запись дополнительно устанавливается биометрическая аутентификация с помощью Face ID или Touch ID и устанавливается системная задержка на 60 минут.

   

   Для настройки двухфакторной аутентификации откройте Настройки → Учетная запись → Вход и безопасность → Двухфакторная аутентификация и добавьте устройства и номер телефона для подтверждения действий в аккаунте.

   

   

   Проверьте список подтвержденных устройств. При наличии неизвестных, неиспользуемых устройств удалите их из аккаунта.

   

   При сохранении паролей в связке ключей периодически проверяйте их в списках украденных. Apple сопоставляет пароли, хранящиеся в связке ключей, с паролями из публичных утечек данных.

   Для проверки перейдите в Настройки → Пароли → Рекомендации по безопасности и измените украденные пароли.

   Начиная с iOS 18 связка ключей хранится в отдельном приложении «Пароли». Для проверки перейдите в приложение «Пароли» → Безопасность и измените украденные пароли.

   

6. Регулярно обновляйте ваше устройство.

   Для этого перейдите в Настройки → Основные → Обновление ПО и обновитесь до актуальной версии ОС.

   Чтобы не пропустить очередное обновление, можете установить автоматическую загрузку и установку обновлений. Хотя это не исключает возможности перевода вашего устройства в режим пропажи, это позволяет обновлять различные функции безопасности, которые периодически появляются в новых версиях iOS.

7. Для обеспечения безопасности детей используйте инструменты родительского контроля. Для этого в Apple используются функции «Семейный доступ» и «Экранное время».

   Первоначально необходимо добавить пользователя в группу «Семья». Для этого перейдите в Настройки → Приглашение в «Семью» и пригласите имеющегося пользователя либо создайте новую учетную запись для ребенка.

   

   Зайдите в учетную запись ребенка на его устройстве.

   Для настройки доступа на устройстве родителя необходимо перейти в Настройки, включить функцию «Экранное время», настроить его для ребенка, задать возраст ребенка, настроить время не за экраном, задать лимиты для приложений и веб-сайтов, перейти во вкладку Контент и конфиденциальность → Разрешение изменений учетной записи → Нет.

   Также в настройках экранного времени необходимо включить «Учет на всех устройствах», чтобы синхронизировать настройки между всеми устройствами семейной группы.

   

   

   После этого выйти из учетной записи Apple ID без изменения настроек экранного времени не получится.

8. Проверяйте устройства б/у перед покупкой.

   Для проверки технического состояния устройства можете воспользоваться инструкцией Apple.

   Важно перед покупкой б/у устройства убедиться, что оно отвязано от учетной записи предыдущего владельца и что не установлена функция экранного времени. Для этого, если устройство активировано, при покупке сбросьте настройки устройства до заводских и проверьте его привязку к серверам Apple. Чтобы сбросить настройки устройства до заводских, воспользуйтесь инструкцией Apple, в зависимости от версии iOS.

   После этого проведите первоначальную настройку устройства: выберите язык и регион, подключите устройство к Wi-Fi. Устройство свяжется с сервером Apple для активации. Если устройство привязано к другому аккаунту, iPhone попросит ввести логин и пароль от ранее использованной учетной записи. Это исключит вероятность того, что на устройстве был установлен джейлбрейк и что оно находится в режиме пропажи.

Чтобы вам было проще ориентироваться в том, какие шаги предпринять, когда вашу учетную запись похитили или вы ввели в своем устройстве учетную запись злоумышленника, мы составили схему, описывающую основные шаги по восстановлению работоспособности вашего устройства.