iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 414 Artikel

20.000 Euro Schaden

Apple-ID übernommen: Schweizer Behörde dokumentiert Fallbeispiel

Artikel auf Mastodon teilen.
44 Kommentare 44

Das Schweizer Bundesamt für Cybersicherheit (kurz: BACS) macht mit einem kürzlich veröffentlichten Fallbeispiel auf einen Umstand aufmerksam, der durch die starke Verbreitung so genannter Zwei-Faktor-Authentifizierungen beeinflusst wird: Smartphones geraten als zweiter Sicherheitsfaktor bei Logins zunehmend ins Visier von Cyberkriminellen.

Einmalkennwort

Diese suchen gezielt nach Wegen, um über diese Geräte Zugriff auf notwendige Login-Daten zu erlangen. Eine dem BACS gemeldete Phishing-Attacke unterstreicht, dass bereits die Preisgabe nur eines Passworts signifikante Auswirkungen auf die Sicherheit der eigenen, digitalen Identität haben kann.

Falsche eSIM fängt 2-Faktor-Codes ab

So berichtet das BACS über einen kürzlich erfolgten Angriff auf das Kundenportal eines Mobilfunkanbieters, der die Vorgehensweise der Täter illustriert: Durch eine Phishing-Seite wurde einem Nutzer zuerst das Passwort für den Zugang entlockt, in einem zweiten Schritt (unter Vorgabe eines Gewinnspiels) wurde dieser Nutzer dann dazu gebracht, einen SMS-Code preiszugeben.

Mit diesen Informationen konnten die Angreifer dann eine eSIM erstellen und über diese alle SMS und Anrufe abfangen, die eigentlich an die Nummer des Opfers gerichtet waren.

20.000 Euro Schaden

Über die eSIM konnten sich die Angreifer dann auch den Zugang zu anderen wichtigen Konten des Opfers verschaffen, einschließlich der Apple-ID. Nach der Übernahme des Apple-Kontos gelang es den Angreifern, auf dort gespeicherte Backups zuzugreifen und weitere sensible Informationen zu extrahieren. Dies führte dazu, dass die Angreifer schließlich auch Krypto-Wallets des Opfers kompromittieren konnten. Der finanzielle Schaden dieses spezifischen Angriffs belief sich auf über 20.000 Schweizer Franken. Das BACS berichtet:

„[…] Damit hatten die Angreifer Zugriff auf alle Funktionen, die ein Apple-Konto bietet, einschliesslich der in der Cloud gespeicherten Backups. Die Angreifer spielten das Backup auf eines ihrer eigenen Smartphones zurück.

Dadurch erhielten die Angreifer weitere Informationen zu den vom Opfer verwendeten Apps und versuchten dann nach und nach, gezielt andere Konten zu kompromittieren. Normalerweise konzentrieren sich die Angreifer auf Standarddienste wie Facebook, Instagram und andere soziale Medien, welche die Mehrheit der Smartphone Nutzer installiert hat. Durch das Backup hatten die Angreifer aber in diesem Fall einen genauen Überblick über die installierten Apps. So konnten die Angreifer feststellen, dass das Opfer mehrere Apps für die Verwaltung von Krypto-Konten installiert hatte. Mit diesen Informationen gelang es ihnen wiederum, gezielt die Passwörter der Konten zurücksetzen und die Zahlencodes für die Zwei-Faktor-Authentifizierung der Authentificator Apps in ihren Besitz bringen. […]“

Angesichts solcher Vorfälle empfiehlt das BACS, stets kritisch mit Links in E-Mails oder SMS umzugehen, besonders wenn diese zur Eingabe persönlicher Daten auffordern.

Mit Dank an Urs!

27. Mai 2024 um 16:24 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    44 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Ich arbeite bei der Polizei und hatte vor ein paar Wochen den Fall ein Phishing SMS. Dabei wurden der Geschädigte auf eine falsche o2 Loginmaske geleitet. Das Ziel war hierbei auch ein eSIM-Profil über das Kundenkonto zu erhalten.
    Die Leute sollten mehr sensibilisiert werden auf die Stimmigkeit der übermittelten URLs zu achten.

    • Da mittlerweile URLs so viele verschiedene Formen haben können, sowohl vom gleichen Anbieter als auch durch xn--scheme codierte URLs – ist es eigentlich unmöglich bis unpraktikabel, die Validität von URLs zu klären.
      Speziell dann, wenn Deeplinks verschickt werden, die nicht mit der offiziellen Anbieter-URL funktionieren.

      • Das stimmt nicht. URL sind immer noch nach dem Schema [Server].[Domainname].[TLD] aufgebaut. Alles dahinter ist Pfad, aber der URL (Uniform Ressource locator) ist fix definiert und wurde seit seiner Erfindung durch Tim Berners Lee (CERN) nicht verändert.

      • @Josi: wenn mir mal das Verständnis für die Normalo-User fehlt, schaue ich mir die Proxy-Whitelist für die Office365 Services an, welche wir eineichten mussten. Ich hätte vielleicht bei 1/4 davon mit Sicherheit sagen können, dass sie Microsoft gehören.
        MS gehören so 600+ Domains. Müsste man nicht alle aktiv verwenden, MS macht es aber trotzdem: zur ultimativen Verwirrung der User.

      • @Moss:

        einfacher Trick: wenn ich ne Mail bekomme in der ich zu irgendwas aufgefordert werde, dann bin ich nicht faul und klicke alle Links an, sondern gebe die entsprechende URL im Browser ein… mit der Methode braucht keiner groß Ahnung von IT haben…

      • @Joey: Natürlich, aber eine URL von Hand abschreiben, von der man nicht 100% sicher ist, dass sie vom offiziellen Unternehmen stammt? Na dann viel Spass auf der Seite von microsoft365live.com. Wie sieht es mit Typos aus? meinebaank.com freut sich über die neuen Login-Infos. Was ist mit Links mit Parametern, ohne die der Request nicht klappt (Special Promo, jedoch nur mit 100-Stelligem Token als Query-Parameter im Link)?

        Was ich sagen will: Viele Unternehmen erziehen die User regelrecht dazu das Falsche zu machen. 1 Login = 5 Redirects auf andere Domains (die man evtl. noch nie gesehen hat). „klicke hier für XY“ statt „öffne einfach die App/Website“. Ein einziges Login für das Kundenportal der Versicherung, die Seite fürs Bonusprogram und die App, aber selbstverständlich laufen alle unter einem anderen Branding bzw. anderer Domain.
        Ganz wenig Mitgefühl haben die DAUs manchmal schon verdient ;)

    • Klar, die betrügerischen Absichten darf man nicht klein reden. Aber bei Phishing gehört schon eine große Komponente Mensch dazu. Man bekommt überall zig Bestätigungsmails, sei es, weil man einen Login mit einem bisher unbekannten Gerät hatte, Bestellbestätigung, Bestätigung der Änderung der Mailadresse oder Passwort usw. Betrug ist das eine, aber in der Gesellschaft mangelt es auch gewaltig an Sensibilisierung für das Thema.

  • Wenn ich solche Sachverhalte lese, dann frage ich mich doch, wie weltfremd, ja fast schon ignorant, man sein muss, um seine Daten auf die beschriebene Art und Weise bekannt zu geben.

    Wer Auto fahren will, muss wissen wie das geht und muss die Verkehrsregeln beachten …

    • Welches denn?
      SIM-Karten lassen sich doch auch 1:1 duplizieren.

      • Nur, wenn du sie in die Finger bekommst.

        Der Trick, eSims zu erbeuten, funktioniert deutlich einfacher, ich muss nicht physisch in die Nähe des Smartphones kommen.

      • Du kommst halt an eine e-Sim sehr leicht ran und kannst auch anderen sehr leicht eine e-Sim unterschieben.

        Eine physische Sim bekommst du halt nicht so leicht aus dem Gerät, es sei denn du hast physisch zugriff.

        Daher muss die Sicherheit für e-Sims deutlich höher sein. Hat aber Apple & Co nicht interessiert. Da hat man nur gesehen, dass man einen Slot und eine Gehäuseöffnung wegsparen kann und die Provider haben gesehen, dass sie keine Briefe mehr verschicken müssen.

  • So richtig verstehen kann ich es ja immer noch nicht… Ein Pissing war bis jetzt immer total leicht zu erkennen. Ich habe noch nie eine Pissing Mail oder SMS erhalten, wo ich dachte. Oh das könnte was echtes sein. Noch niemals

  • Man sollte sich eben nie über Links aus SMS und Mails einloggen, sondern immer über die Website direkt. Darüber hinaus den Browserverlauf regelmäßig löschen. Das schützt zwar nicht vor allen Betrügern, verringert aber doch das Risiko auf so etwas hereinzufallen.

  • Hahaha…’tschuldigung…aber selber schuld.
    Allein die SMS weiterzuleiten:-) Hammer.
    Und dann alle Passwörter bei Apple hinterlegt…wow.

  • Apple ID und wichtige Konten werden hier über YubiKeys abgesichert. Definitiv das Geld wert (man muss aber auf jeden Fall mehrere kaufen damit man Backups hat!)

  • Das passiert wenn man Emails in HTML Format im Mail Programm darstellt und sich keine Infos über Social Kanäle mit dem Thema Sicherheit/Phishing informiert. Und Links kann man kopieren und in eine Textdatei einfügen um zuschauen wie sie aussehen, Unicode usw. Das passiert auch wenn im Browser oder in der DNS Ebene keine Domains kontrolliert werden. Browser Addon ublock, oder Brave Browser nutzen. DNS wäre NextDNS oder AdGuard DNS eine wahl. Das schlimmste ist aber das es mehrere 2FA Varianten existieren und die anfälligen über SMS noch verwendet werden. Obwohl diese Fälle für Kriminelle einladen dazu so was abzuziehen.

    Antworten moderated
  • Mal ein etwas anders Beispiel: Ich erhielt eine E-Mail von Amex meine Kundendaten zu aktualisieren. Kam mir komisch vor und so habe ich die Mail an spoof@americanexpress.de geschickt. Eine Anti-Abuse-Mailbox. Nie eine Rückantwort von Amex erhalten. Dann kam irgendwann eine 2. Erinnerung von Amex zur Aktualisierung der Kundendaten. Also habe ich bei der Hotline von Amex angerufen. Keine 30 Minuten später :-(, hatte ich endlich einen Mitarbeiter dran (vermutlich Pakistan oder Indien, mit äußerst lauten Hintergrundgeräuschen > Großraumbüro). Ihm gab ich die Mail-Adresse durch und er bestätigte die Korrektheit der Anfrage. Die Daten dann aktualisiert. Was mich ärgert, dass ich nie eine Info von Amex bekam, das die E-Mail (an die spezielle Mailbox) echt war! Kommunikation geht anders…

    Antworten moderated
    • 1. bei AMEX steht recht verständlich, dass keine persönlichen Anfragen an spoof@ beantwortet werden. Sprich: keine Antwort auf „ist die von euch?“.
      2. Einfach auf der AMEX Website einloggen. Soll/ muss ich Daten aktualisieren oder bestätigen, ist dass direkt nach dem Login ersichtlich und gelange dort zum entsprechenden Formular.
      Warum man an einer Hotline Zeit verschwendet…

  • Der Fall klingt schon sehr konstruiert. Da muss man schon echt Hirn verloren haben…

  • Und die Kryptowallets bzw. Verwaltung auf dem gleichen Gerät mit dem man SMS für Gewinnspiele empfängt und Bankzugänge verwaltet. IT-Kompetenz muss Schulfach werden. Dringend.

    Antworten moderated
  • In den allermeisten Fällen sieht man es aber hier auf dem iPhone wenn man eine SMS oder eine E-Mail bekommt und drauf klickt festhält kein Doppelklick, die kuriose Web Adresse sollte einen dann stutzig machen weil die in der Regel nie mit dem des Providers oder mit dem des vermeintlichen Anbieters übereinstimmt. Selbst wenn man draufgeht sieht man bei genauem hingucken dass man nicht richtig ist. Aber es ist nicht jeder drin im Thema, da gebe ich euch recht

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38414 Artikel in den vergangenen 6253 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven