《華爾街日報》在 2023 年 12 月 21 日出了訪問，記者進入高度設防的監獄，與手機賊人對談。賊仔不是高端駭客，只用低技術便能竊取受害人的  iPhone 密碼、更改 Apple ID 密碼，繼而登入其銀行帳戶，最後清除手機資料，原機賣出。

大概的計劃是這樣：

1. 賊人先在酒吧瞄準目標，聲稱可提供毒品，可留下聯絡方式。

2. 傻傻的受害人不虞有詐，居然直接拿出手機並在賊人面前輸入六位數字密碼。

3. 又或者賊人扮熟，交換聯絡，故意鎖上手機，直接問受害人密碼，受害人直接說出來。

4. 賊人聲東擊西，說其他話題，順便偷去手機。

賊人之後做的事情，就是用  iPhone 開機密碼，迅速更改 Apple ID 密碼，之後更改 Face ID，再逐一查看銀行 apps，繼而盜用客戶資金，亦可以輕鬆使用  Apple Pay 到實體店舖支付埋單。賊人打開筆記  app，還可找到不同帳戶的密碼，最後一步是清理手機變賣。受訪賊人共偷過百手機，每月竊款二萬多美金。

留意一點，整個過程完全不涉任何高科技技術，只是運用所謂「社交工程」（social  engineering），再次驗證一句真理：系統最大漏洞，往往在用戶那一方。

應對的方法，其實很簡單，相信有看我過往文章的讀者也不會陌生。我這裡提出的做法，尤其密碼的設置考量，與  WSJ 的建議略有差異。

應對法之一：更改密碼，至起碼 11 個位以上的數字密碼。除了避開中高端的暴力破解，還可有效避免賊人偷看時記住密碼。

相關討論：〈iPhone 手機的密碼應該要長，但要多長？〉

https://www.patreon.com/posts/46188614

應對法之二：使用密碼管理器軟件，一勞永逸的密碼管理方法。

相關討論：〈習慣使用密碼管理器〉

https://www.patreon.com/posts/38002570

應對法之三：更改 iPhone 設定，防止使用 iPhone 開機密碼去更改 Apple ID 密碼。

最後一點說起來可簡單也可複雜，會在下章談及一般操作以及進階操作，敬請留意。

註：《華爾街日報》訪問手機賊的片段，可以直接在  YouTube 搜尋「gi96HKr2vo8」，標題為〈iPhone Thief Explains How He Breaks Into  Your Phone〉（日期：2023 年 12 月 21 日）。

圖片：Dalle-3

連結：https://www.patreon.com/posts/95035618

▌［光合作用］作者簡介

薯伯伯為最早一批在網上連載遊記的香港人，多年來足迹遍佈歐、亞多國，在喜馬拉雅山麓、東南亞、南亞等地區生活。著有《風轉西藏》、《北韓迷宮》、《西藏西人西事》及《不正常旅行研究所》，分別在香港、北京及首爾出版。