Erst nerven, dann anrufen
Passwort zurücksetzen: Push-Bombing-Angriffe plagen iPhone-Nutzer
Mehrere iPhone-Nutzer sind in den zurückliegenden Tagen Opfer gezielter Betrugsversuche geworden, mit denen diese zur Herausgabe ihrer Apple-ID-Zugangsdaten gebracht werden sollten.
Bei den Angriffen, auf die der auf Cybercrime-Themen spezialisierte Journalist Brian Krebs zuerst aufmerksam gemacht hat, handelt es sich um eine so genannte Push-Bombing-Attacke. Dabei werden betroffene Anwender von unzähligen Systemmeldungen dazu aufgefordert, ihr Apple-ID-Passwort zurückzusetzen.
Unabhängig davon, ob die betroffenen auf diese Aufforderungen reagieren, folgt kurze Zeit später ein Anruf der Angreifer, in dessen Verlauf diese sich als Apple-Mitarbeiter ausgeben, inklusive der passenden Anrufer-ID.
Erst nerven, dann anrufen
Auf der Kurznachrichten-Plattform X hat der Unternehmer Parth Patel einen entsprechenden Fall geschildert. Der anschließende Anruf des falschen Apple-Supports sorgte dann mit einem Fehler im Namen des Opfers für Misstrauen, allerdings kannten die Angreifer persönliche Daten Patels.
Wie Brian Krebs berichtet, sind weitere Fallbeispiele bekannt, in denen die Angreifer auf ein identisches Vorgehen gesetzt haben. Ein Hedgefonds-Manager sei etwa über mehrere Tage hinweg mit den Reset-Hinweisen genervt worden, ehe ebenfalls Anrufe falscher Apple-Supportmitarbeiter eingingen.
Die Angreifer nutzen hier keine Sicherheitslücke aus, sondern setzen Werkzeuge missbräuchlich ein, die Apple bewusst zur Verfügung stellt, um das Zurücksetzen eines Apple-ID-Passworts zu ermöglichen. Die Push-Bombing-Angriffe sollen gezielt ausgewählte Opfer lediglich mürbe und empfänglich für eine anschließende Kontaktaufnahme machen.
Merkt euch einfach: Der Apple-Support wird sich nicht telefonisch mit euch in Verbindung setzen, zumindest nicht ohne vorherige Absprache.
Wer Apples Webseite iforgot.apple.com zum Zurücksetzen eines Passworts einsetzen möchte, benötigt Telefonnummer und E-Mail-Adresse des Ziel-Accounts.
Danke für diesen und ähnlich gelagerte Hinweise. Diese verteile ich dann immer gleich an meine Familie, denn ich bin der einzige, der ifun liest.
yip, verteile soöche news auch in der sippschaft :)
Toll :D
Das ist ja schon der erste Fehler ;-))
Ja mache ich auch immer sofort. Erspart eine ne Menge Ärger wenn man dann nicht nach sorgen muss.
+1
Ist so was auch bei Online-Shops zu befürchten? Ich habe gestern bei einem großen Unternehmen online eingekauft. Heute wollte ich einen Artikel nachbestellen und wurde in der APP vom Shop dazu aufgefordert mein Passwort zurückzusetzen. Angeblich aus Sicherheitsgründen. Irgendwie habe ich immer ein mulmiges Gefühl.
Hatte ich gestern ebenfalls bei Amazon, falls es dich beruhigt
Amazon?
Ticketmaster nervt auch bei jedem 2. Login das Passwort zu ändern, zumal mein Passwort 20 Zeichen lang ist.
Sollten lieber mal auf passkey umsatteln….
Das wäre ja auch zu schön um wahr zu sein, wenn man so einen entgegenkommenden Apple-Support hätte. Wir sind doch nicht mehr vor 2007.
Du sagst es!
Mein Apple Account Guthaben wurde vor 1.5 Jahren seitens Apple ohne Begründung gesperrt. Jedes Mal wenn ich angerufen habe, wurde ich für einen Rückruf geströstet, was aber in den allermeisten Fällen gar nie erfolgt ist und ich wieder da anrufen durfte, damit der Fall hon vorne gestartet wird. Habe nach über 80 Stunden in der Hotline es aufgegeben. Habe noch ein Guthaben von ca. 2500€ da blockiert und es passiert nichts. Apple ist es einfach egal.
Immerhin sollte es einfacher Fix sein.
Kommt halt davon wenn man jetzt auch die Handynummer für den Login nutzen kann.
Also ist die richtige Reaktion, GAR NIX zu machen!?
Einfach die pushes ignorieren und nicht ans Telefon gehen, wenn unbekannt oder „Apple“ anruft!?!
Und das Bombardement kann man nicht irgendwie blockieren?
Nicht wirklich denke ich.
Aber wenn ich das richtig verstehe, sind nur Accounts gezielt betroffen und der Angreifer muss mit dem Opfer interagieren. Die Quote der Betroffenen wird also eher gering sein und der Erfolg noch viel geringer.
Ich denke das wird sich von selbst erledigen.
Das ganze Passwortwesen stresst mich. Besonders schlimm finde ich, wenn die entsprechenden Felder mit unterschiedlichen Begriffen benannt sind, selbst innerhalb eines Dienstes oder Anbieters, da ist leider auch Apple keine Ausnahme. Ich habe seit Monaten ein Ticket bei Apple offen, dass mit dauernden Meldungen nervt, was das Passwort angeht. Die haben mir doch tatsächlich geraten, das gesamte Konto zu löschen (!), natürlich ohne mir die gekauften Lizenzen zu übertragen. Eine persönliche Identifikation mittels Personalausweis – gerne auch im Appleshop – ist nicht möglich und vorgesehen. Ja, so etwas ist halt unamerikanisch, ich weiß.
„ausgewählte Opfer“, dann wird es hoffentlich nicht so viele treffen – vorerst. Hoffentlich kriegen Sie die Säcke, damit der Mist aufhört.
Wäre schön, wenn Apple dort irgendwie zeitbasiert einen Riegel vorschieben könnte…
Selbst wenn jemand tatsächlich das Passwort zurücksetzt, bekommt nur der echte Eigentümer des iPhones den zurücksetzen-Code geschickt. D.h. der Angreifer muss beim Opfer noch anrufen, um den Code zu erfragen. Daher funktioniert diese Methoden nur für „ausgewählte“ Opfer, deren Telefonnummer die Täter ebenfalls kennen. Ohne Telefonnummer kann man maximal die Opfer belästigen.
Theoretisch könnte Apple das Problem zumindest eindämmen, in dem diese zurücksetzen-Anfragen nicht beliebig oft pro Zeiteinheit zugelassen werden. Ganz abstellen geht aber eben auch nicht, denn wer wirklich das Passwort vergessen hat, hat ja nur diese eine Möglichkeit, wieder Zugang zu erhalten.
Aber ob Apple hier sinnvoll nachbessert, ist zweifelhaft. Bei allen andern Sicherheitsproblem in Verbindung mit dem Login hat Apple bisher nur dumme Lösungen vorgestellt und das eigentlich Problem nicht angefasst.
Beispiel lokale Backups: anstatt den Bug zu beheben der zu „unsicheren“ lokalen Backups führt, blockiert man Backup, und Sync erst mal komplett und erfragt erst mal das Gerätepasswort (und zwar nicht nur einmal, sondern bei jedem anschließen). Klar, so macht man lokale Backups und syncs extrem umständlich und hofft wohl,darauf, dass die User teuren Cloud-Speicher für das gesynce kaufen (der aber letztendlich noch unsicherer sein dürfte, als das „buggy“ lokale Backup, an das ja niemand rankommt)
Beispiel: geklaute iPhones bei denen die Diebe den Gerätecode auspioniert haben und damit dann auch die Apple-ID übernehmen können. Die einzig echte Lösung für das Problem wäre, zum Ändern das Apple-ID-Passworts zuerst das alte abzufragen, was übliche Praxis ist. Damit kann man nur mit dem Geräte-Code eben nicht die Apple-ID übernehmen. Damit wäre nur das iPhone geklaut, nicht aber alle Konten, die an der Apple-ID hängen (und da hängt ja meist das komplette digitale Leben dran). Was macht Apple: es löst nicht das Problem, sondern führt Wartezeiten ein, damit eh Dieb bis zur Übernahme der Konten etwas warten muss. Damit der echte Besitzer nicht auch warten muss, darf der an Orten, an denen der sich häufig aufhält (zu Hause) dann ohne Wartezeit ran. Dummerweise sind diese Orte dann automatisch vom System bestimmt, und umfassen dann auch alle möglichen öffentlichen Orte, an denen man sich oft aufhält, und wenn dort ein Dieb zuschlägt, oder dieser einfach sich vor mein Zuhause begibt (Adresse steht vermutlich im geklauten iPhone), kann der dort ohne Wartezeit meine Konten übernehmen. Apples Lösung ist somit untauglich, man will offensichtlich das echte Problem nicht lösen, vermutlich weil man fürchtet, wenn man die echte Lücke abdichtet, dass das zuviel Support verursacht, wenn Leute sich tatsächlich nicht mehr an ihr eigenes Apple-ID-Passwort erinnern und das zurücksetzen wollten.
Merkt euch einfach: Der Apple-Support wird sich nicht telefonisch mit euch in Verbindung setzen, zumindest nicht ohne vorherige TELEFONISCHE Absprache ;-)