Dies ist der erste Teil der watson-Serie zum Diebstahlschutz für das iPhone, die sogenannte Aktivierungssperre.
Am Anfang der Geschichte steht ein junger Mann, dessen Apple-Handy an einem Open Air verschwindet. Dann versuchen Unbekannte, mit raffinierten Phishing-Attacken sein Passwort zu stehlen. Das Beunruhigende: Die Angreifer kennen offenbar den Namen des Opfers und auch seine private E-Mail-Adresse. Wie sind sie da rangekommen?
1. Die freche Tat
2. «Apple Support» greift an
3. Woher kennen die Kriminellen das Opfer?
4. Ein ähnlicher Fall, aber ...
5. Was iPhone-Nutzer beachten sollten
6. Apple startet Untersuchung
Teil 2 ist auch verfügbar: Das dreckige Business mit gesperrten iPhones – und wie man die «Activation Lock» aufhebt
Für eilige watson-Userinnen und -User: Am Schluss des Artikels folgt eine Zusammenfassung.
Friedliche Partystimmung und Live Acts unter freiem Himmel: Am 18. August reist Lukas* (Name geändert) mit Kollegen ans legendäre Gampel-Musikfestival.
Die Rückreise aus dem Wallis muss der watson-Leser ohne iPhone antreten. Noch am ersten Tag wird es ihm während eines Konzerts gestohlen und ist seither verschwunden.
Lukas hat sich bei uns gemeldet, weil ihm Wochen später verdächtige «Apple Support»-Mitteilungen auf sein neues Handy geschickt werden (dazu gleich mehr). Aber lassen wir ihn zuerst von seinem ziemlich schrägen Erlebnis an jenem Donnerstagabend im Oberwallis erzählen:
Die Kantonspolizei Wallis erklärt auf Anfrage, dass am ersten Gampel-Tag, als auch K.I.Z. auftraten, 31 Handy-Verlustanzeigen registriert wurden. Dies deckt sich mit dem Bericht des regionalen Online-Mediums «1815.ch».
An den weiteren Festival-Tagen wurden gemäss Polizeisprecher Markus Rieder deutlich weniger «Verluste» verzeichnet. Von aufgefundenen Joker-Karten oder anderen ungewöhnlichen Vorkommnissen wisse er nichts.
Auslöser solcher Verlustmeldungen seien nicht immer Kriminelle, gibt der Walliser Polizeisprecher zu bedenken. Handys und Portemonnaies könnten beim Tanzen unbemerkt zu Boden fallen. Nicht immer würden in den Morast gestampfte Wertsachen später von ehrlichen Findern retourniert ...
Der watson-Redaktor hat beim Organisationskomitee um eine Stellungnahme gebeten, doch der Mediensprecher gab sich zugeknöpft. Um negative Publicity zu vermeiden?
Olivier Imboden wollte die Handy-Diebstähle jedenfalls nicht kommentieren. Nur so viel: «Uns sind keine speziellen Vorkommnisse während des K.I.Z.-Konzerts bekannt.»
Wenn das iPhone weg ist, bedeutet das Umtriebe. Vorsichtige haben vorgesorgt: Dann sind wenigstens die wichtigen persönlichen Daten (Kontakte, Fotos etc.) nicht für immer verloren, sondern als Sicherheitskopie verfügbar.
Nachdem Lukas den Verlust seinem Mobilfunk-Provider gemeldet und bei der Polizei angezeigt hat, schafft er ein Ersatzgerät an und kann dank iCloud-Backup (fast) alles wiederherstellen.
Der Diebstahl wäre bald nur noch eine spannende Anekdote. Doch dann geht einige Wochen später – völlig unerwartet – auf seinem neuen iPhone ein erster «Warnhinweis» ein ...
In der an ihn adressierten, mit «Apple Support» unterzeichneten E-Mail heisst es auf Englisch, dass ein mit seiner Apple-ID verknüpftes iPhone 6S «erfolgreich mit dem Netzwerk verbunden» worden sei und nun versuche, sich zu aktivieren. Falls er dies nicht veranlasst habe, werde ihm dringend empfohlen, apple.ifoong.com aufzurufen, um den Standort zu erfahren und «sein Gerät» zurückzuerlangen.
Es handelt sich offensichtlich um einen Phishing-Versuch. Das heisst, man versucht Lukas sein iCloud-Passwort zu stehlen, indem man ihn auf eine gefälschte Webseite lockt.
Zwar sieht die Webseite auf den ersten Blick so aus, als würde sie tatsächlich zum iCloud-Dienst iPhone-Suche gehören. Doch müssen zwei Beobachtungen stutzig machen:
Lukas lässt sich zum Glück nicht hereinlegen. Und die Angreifer lassen nicht locker. Immer wieder schickten sie ihm neue «Apple Support»-Mitteilungen. Die Unbekannten versuchen ihn auch emotional unter Druck zu setzen, indem sie ihm vorgaukeln, seine in der iCloud gespeicherten iPhone-Fotos (Photo Stream) und Nutzerdaten würden von Fremden abgegriffen.
Als die Domain apple.ifoong.com von den gängigen Web-Browsern wie Chrome und Safari blockiert wird ...
... dauert es nicht lang, und man versucht, Lukas auf eine neue Webseite zu locken. Natürlich ist auch die präpariert ...
Damit kommen wir zum zentralen Punkt, in dem sich die Angriffe auf Lukas von den Millionen Phishing-Mails, die Tag für Tag weltweit verschickt werden, unterscheiden:
Lukas heisst im wahren Leben nicht Lukas. Um seine Identität zu schützen, haben wir ihm ein Pseudonym gegeben. Sein richtiger Vorname hat eine spezielle Schreibweise. Und eine Web-Suche nach seiner privaten E-Mail-Adresse (in der sein korrekter Vorname nicht enthalten ist) ergibt keinen Treffer.
Der Bestohlene sagt über die Angreifer:
Für die zielgerichteten Phishing-Angriffe gibt es eine äusserst unwahrscheinliche sowie eine plausible Erklärung:
Fakt ist: Die bei den Phishing-Attacken auf Lukas eingesetzten Fake-Webseiten haben ihren Ursprung in China. Die Internet-Domain ifoong.com wurde in Shanghai registriert.
Der Eigentümer der Domain (Registrant) will seine Identität nicht offenlegen. Für die Registrierung nahm er die Dienste einer dubiosen Organisation in Anspruch. Bei der «Shanghai Meicheng Technology Information Development Co.» handelt es sich um eine Gesellschaft mit sehr beschränkter Haftung.
Es deutet alles daraufhin, dass hinter den Phishing-Attacken ein professioneller Anbieter steht, der seine kriminelle Dienstleistung gegen Paypal-Dollars im Web anbietet. Vom November 2015 datiert ein Eintrag im offiziellen Apple-Forum, in dem ein iPhone-User einen nahezu identischen Angriff schildert.
Die mutmassliche Briefkastenfirma hat seit Jahren einen schlechten Ruf. Schon 2014 wurden Internetnutzer vor Scams (Betrügereien) gewarnt, die von zahlreichen anderen registrierten Domains ausgingen.
Sicher ist:
Im zweiten Teil dieser watson-Serie nehmen wir das dreckige Business rund um die «iCloud Removal Services» unter die Lupe. Doch nun geht's vorerst zurück nach Europa.
Im Juli, einen Monat, bevor Unbekannte die Apple-ID von Lukas zu ergaunern versuchen, erlebt ein finnischer IT-Manager einen Phishing-Angriff mit interessanten Parallelen.
Joonas Kiminki beschreibt im Hackernoon-Blog, wie sein iPhone in Italien aus einem aufgebrochenen Auto gestohlen wurde. 11 Tage danach erhält er per SMS und E-Mail an ihn adressierte Mitteilungen. Unbekannte wollen über geschickt präparierte iCloud-Webseiten sein Passwort ergaunern.
Der Finne rätselt, woher die Angreifer seinen Namen kennen, denn das gestohlene iPhone war durch die Aktivierungssperre geschützt. Kiminki vermutet, dass sein mit einem PIN-Code geschütztes Gerät die Informationen preisgegeben hat:
Im sogenannten Notfallpass (auf Englisch «Medical ID»), der zur Health-App von iOS gehört, lassen sich medizinisch relevante Informationen so abspeichern, dass Dritte sie in einem Notfall über den Sperrbildschirm abrufen können. Und dort hatte Kiminki offenbar seinen Namen und Vornamen hinterlegt.
Der clevere Dieb oder ein anderer Krimineller, dem das iPhone in die Hände fiel, hätte dann mit einer Internetsuche nach dem ungewöhnlichen Namen Kiminkis Mailadresse herausgefunden. Sie ist über die Website seines Unternehmens zugänglich.
Ob tatsächlich so vorgegangen wurde, ist offen. Kiminiki rät jedenfalls allen iOS-Nutzern und potenziellen Opfern:
Was unseren Fall betrifft: Lukas hatte auf seinem iPhone (mit aktuellem iOS-System) den Notfallpass nicht ausgefüllt. Die Kriminellen müssen also auf anderem Weg an seinen Namen und die Mailadresse gelangt sein.
Die Angreifer konnten auch nicht über eine Sicherheitslücke bei der sprachgesteuerten iPhone-Assistentin Siri an die Kontaktdaten gekommen sein. Lukas war vorsichtig genug gewesen, den Zugriff auf Siri vom Sperrbildschirm aus (über die System-Einstellungen des Geräts) zu verbieten.
Und auch eine weitere Möglichkeit, wie die Angreifer an die Daten von Lukas gelangt sein könnten, ist auszuschliessen: Das gestohlene iPhone wurde nicht in den Verloren-Modus gesetzt. Es wurde also auf dem Sperrbildschirm keine Nachricht mit Kontakt-Telefonnummer oder Mail-Adresse angezeigt.
Zunächst einmal sollte man sich vergewissern, dass die Option «Mein iPhone suchen» in den System-Einstellungen aktiviert ist. Hinweis: Das iCloud-Sicherheitsfeature funktioniert auch, wenn die Apple-App «iPhone-Suche» nicht installiert ist.
Um sich vor Phishing-Attacken zu schützen und einem Identitäts-Diebstahl vorzubeugen, sollte man gemäss den Sicherheitsexperten von Intego die folgenden Ratschläge rund um die iPhone-Nutzung beherzigen:
Verunsichert durch die unerklärliche, auf ihn zugeschnittene Attacke, wendet sich Lukas Mitte September an den iPhone-Hersteller. Auf eine erste Nachricht, die er Apple an eine allgemeine Mailadresse schreibt, antwortet niemand. Darum ruft er ein paar Tage später beim Apple-Support an.
Am Telefon erhält Lukas jedoch keine beruhigende Auskunft. «Denen war das auch nicht bekannt.» Man habe ihn nur darauf hingewiesen, dass es Phishing-Nachrichten seien. Und:
Nachdem der watson-Redaktor mit der Recherche beginnt und erste Anfragen bei Apple einreicht, kommt Bewegung in den merkwürdigen Fall. Ein relativ hochrangiger Mitarbeiter von Apples Europa-Sitz meldet sich bei Lukas und befragt ihn ausführlich. Zwei Tage später trifft eine E-Mail aus dem irischen Cork ein: «Wie besprochen am Telefon werde ich der Angelegenheit weiter nachgehen, und ich hoffe bis Ende der Woche weitere Informationen für Sie zu haben.»
Als Lukas erneut aus Irland angerufen wird, kann ihm der Apple-Mann jedoch keine beruhigende Auskunft geben. Er habe nicht wirklich viel gesagt, erzählt Lukas, ausser dass die Infos nicht über «iPhone suchen» gefunden worden seien. Der Fall sei intern weitergeleitet worden, habe man ihm weiter gesagt, aber:
Wie viele andere Apple-Kunden ebenfalls von gezielten Phishing-Attacken betroffen waren, ist nicht bekannt. Unsere Recherche ergibt jedenfalls keine gehäufte Berichterstattung.
Nachdem das deutsche IT-News-Portal heise.de Anfang August über den Angriff auf Joonas Kiminki berichtet hatte, meldete sich ein weiteres Diebstahl-Opfer via Kommentarfunktion.
Sicher ist: watson bleibt am Thema dran. Zum jetzigen Zeitpunkt ist nicht auszuschliessen, dass Kriminelle dank Sicherheitslücken an die Kontaktdaten der Diebstahl-Opfer gelangen konnten. Dann wären hunderte Millionen iOS-Nutzer im Visier:
Teil 2 folgt demnächst: Das dreckige Business mit gesperrten iPhones – und wie man die «Activation Lock» aufhebt