Aaron Johnson sitzt im Hochsicherheits-Gefängnis. Offiziell habe er mit seiner Gruppe über 300.000 Euro mit dem Klauen von iPhones verdient – offiziell. Der Dieb schätzt die Summe auf über eine Million. Wer den Amerikaner in einer Bar gesehen hat, der war im Laufe des Abends höchstwahrscheinlich sein iPhone und eine Menge Geld los. Gegenüber der Journalistin Joanna Stern vom Wall Street Journal hat er nun von seiner Masche erzählt.

„Der Passcode ist der Teufel“, erzählt Johnson zu Beginn der zehnminütigen Dokumentation. Mit ihm konnte der Dieb eine Sicherheitslücke ausnutzen. Denn der iPhone-Pin reicht aus, um den eigentlichen Besitzer komplett aus dem Gerät auszusperren. „Wie bei einem Banküberfall“ gehe Johnson dann vor – maximal zehn Sekunden brauche er, bis das iPhone nach geknacktem Code auf ihn hört.

Mit dem Passcode kann jeder nämlich auch das Apple-ID-Passwort zurücksetzen. Dann stellt Johnson die Find-My-iPhone-Funktion aus und erstellt seinen eigenen Passcode und seine Face-ID. Erst jetzt beginnt der richtige Betrug. Nun kann der Dieb auf alle im Schlüsselbund gespeicherten Passwörter zugreifen – und mit seinem Gesicht auf Bezahl-Apps wie Paypal, Venmo oder auch Apple Pay zugreifen.

Mit dem gestohlenen iPhone hebt Johnson erst einmal das gesamte Geld auf den Konten der Opfer ab, dann geht er auf Shopping-Tour. Mithilfe von Apple Pay kauft er sich Klamotten und Schuhe und sogar andere Apple-Produkte für Tausende von Dollar. Ist kein Geld mehr aus dem Smartphone zu holen, setzt der Betrüger das Gerät zurück und verkauft es im Bundle mit den anderen gekauften Apple-Produkten weiter – und das alles, während das Opfer ruhig schläft.

Hauptsächlich in Bars suchte Aaron Johnson iPhones zum Klauen. Am liebsten wählte er dafür College-Student:innen aus, die er mit dem Versprechen nach Drogen in ein Gespräch brachte. Unter den Vorwand, gerade keine dabei zu haben, möchte er den Opfern seine Kontaktinformationen dalassen.

Hier sind viele Menschen besonders fahrlässig. Sie tippen den Code offen ein – manchmal fragt Johnson sogar direkt nach dem iPhone-Pin und viele antworteten ihm einfach. Teilweise filmte der 26-Jährige auch einfach die Opfer dabei ab, wie sie den Code in ihr Smartphone eingeben. Dann ist es nur noch eine Frage der Zeit, bis auch das Gerät an sich in Johnsons Händen ist.

Laut dem Dieb gehen die Menschen zu fahrlässig mit ihren Daten um – häufig sammeln sie die Passwörter auch in den Notiz-Apps, wo sie leicht zugänglich sind. Um sich zu schützen, sollten Menschen in keinem Fall ihren Passcode anderen mitteilen. Ihn selbst habe es verwundert, wie leichtfertig Menschen mit ihren Daten umgehen. Wer sich schützen möchte, hält sein Gerät bedeckt und ist besonders in öffentlichen Räumen aufmerksam. Im besten Fall besteht der iPhone-Pin nicht nur aus einem vierstelligen, sondern aus einem sechsstelligen Code aus Nummern und Zahlen.

Mittlerweile weiß auch das Silicon Valley von der Betrugsmasche – und reagiert. Das Update iOS 17.3 soll genau die von Johnson ausgenutzte Sicherheitslücke schließen. Das Apple-ID-Passwort lasse sich dann, wenn das Feature aktiviert ist, nicht mehr nur mit dem Passcode ändern. Zusätzlich sind biometrische Daten wie Apples Face-ID oder die Touch-ID für diesen Vorgang notwendig. Auch die Face-ID und die Find-My-Funktionen können in diesem Modus nicht ohne diesen zweiten Faktor geändert werden.

Laut Joanna Stern, deren Recherchen das Update erst ins Leben gerufen haben, ist das aber nicht genug. Mit dem iPhone-Pin allein lässt sich immer noch sehr viel Schaden anrichten. So können viele Passwörter beispielsweise alleine mit einer SMS zurückgesetzt werden.

Das Update auf iOS 17.3 mit dem neuen Diebstahlschutz-Feature kommt frühestens im Laufe des Januars 2024. Bis dahin können Diebe wie Adam Johnson weiterhin ihre Betrugsmasche durchziehen und Tausende Euros mithilfe des iPhone-Pins klauen.