Risikofaktor Mensch: „Social Engineering“ in der Telefon-Hotline des iCloud Supports
Tech-Journalist Mat Honan – dem einen oder anderen vielleicht noch als Autor beim US-Blog Gizmodo im Gedächtnis – berichtet detailliert über den Angriff auf sein iCloud-Konto und verdient sich unser Mitgefühl. Nachdem sich Fremde Zugang zu seinem iCloud-Account verschaffen konnten – mehr dazu gleich – wurde auch ein Gmail-Account, sowie ein privater und ein geschäftlicher Twitter-Account des Schreibers zurückgesetzt. Die neuen Passwörter gingen alle an den inzwischen kompromittierten iCloud-Account. Anschließend wurden die in den „Mein iPhone Finden“-Einstellungen hinterlegten Geräte im Minuten-Abstand ferngelöscht.
iPhone, iPad, MacBook Air.
Das große Problem: Entgegen ersten Annahmen haben die Angreifer Mats Passwort weder erraten noch durch einen Brute Force-Angriff geknackt, sondern schlicht und einfach beim Apple-Support angerufen und das Service-Team durch geschickte Manipulation zur Herausgabe des Account-Passworts überredet.
I know how it was done now. Confirmed with both the hacker and Apple. It wasn’t password related. They got in via Apple tech support and some clever social engineering that let them bypass security questions. Apple has my Macbook and is trying to recover the data. I’m back in all my accounts that I know I was locked out of. Still trying to figure out where else they were.
Ouch :/
Wieso denn das? Gegen Passwort-Herausgabe durch Social Engineering sind viele Dienste anfällig. Das heißt, wenn du dich dagegen sicher schützen willst, kannst du nirgends ein Passwort anlegen, womit du dann aber alle Dienste, die ein Passwort benötigen, nicht nutzen, d.h. z.B nicht mal einen Web-Mail Provider.
Wenn Dich ein Auto tot fährt, einer Deinen Router hackt, Dein eMail Konto geknackt wird, Du von der Treppe fällst, an nem Osterei erstickst… Egal… Was hat er nicht einfach nur zuhause in sein 4 Wänden nen Schluck Wasser getrunken. Ach nee warte mal, Du bist der einzige Mensch auf der Welt der nie ein Schicksal erleiden wird… Hast Du ein Glück. Ein Glück bist Du kein Sanitäter und musst Menschenleben retten weill das Opfer mal nicht aufgepasst hat…
Dagegen kann man gar nix machen… :(
Da hilft auch das Beste monatlich gewechselte Passwort nicht mehr…
Das stimmt wohl leider…
Allerdings muss ich auch sagen, dass der Umgang Apples selbst mit den Kundendaten bei der Eingabe der Passwortes ein Problem darstellt. Ich muss die ID nicht automatisch auf dem Display haben, wenn ich das Passwort eingeben muss…so erst lässt sich für einen „Zufalls-Zuschauer“ eine Verbindung herleiten und Zugriff auf Daten nehmen…
Was ich nicht glaube, dass Apple Passwörter im Klartext speichert! Ich denke hier wurde dem Benutzer ein neues Passwort generiert und ihm per Telefon mitgeteilt!
Warum hat man Ihm sein neues Kennwort nicht an seine Apple-ID-E-Mail Adresse geschickt?
Warum hat man Ihm sein neues Kennwort nicht per SMS an sein registrierte iPhone per SMS gesendet?
Warum hat man (wenn die oberen Möglichkeiten nicht funktionieren) sein neues Kennwort per Post zugeschickt, an die hinterlegte Adresse?!
Mit diesen „einfachen“ Regeln wäre das wohl nicht ganz so einfach geworden!
Echt ärgerlich wenn man am Abend mitbekommt wie all seine Devices Remote gewiped werden…
wäre dafür …. Ansonsten kann man sich gar nicht dagegen wehren
Eigentlich ist nur der Weg mit der Post der einzig sichere Weg.
Bei der SMS besteht das Problem, das man das so an die Passwörter kommt wenn man eben jenes iPhone klaut und schnell genug den Support anruft.
Mit der Mail ist es schlecht, weil man ja eventuelle Zugangsdaten brauch um an die Mail ran zu kommen.
Alternativ wäre natürlich wie bei den Mobilfunkprovidern ein Passwort, welches bei einem Anruf abgefragt wird. Da sollte man natürlich nicht irgendwas offensichtliches nehmen.
„Warum hat man Ihm sein neues Kennwort nicht an seine Apple-ID-E-Mail Adresse geschickt?“
– Das ginge ja nicht, wenn er wg. Pw-Verlust seine Mails dort nicht mehr abrufen kann. Oder meinst du was Anderes?
„Warum hat man Ihm sein neues Kennwort nicht per SMS an sein registrierte iPhone per SMS gesendet?“
– Weil das ein Attacker geklaut haben könnte.
„Warum hat man (wenn die oberen Möglichkeiten nicht funktionieren) sein neues Kennwort per Post zugeschickt, an die hinterlegte Adresse?“
– Post? In den USA? Dazu haben die Tech-Support-Leute gar keine Möglichkeiten. Und Apple sieht dafür auch nichts vor.
Alles, was der Tech-Support machen _kann_, ist ein Pw-Reset auszulösen und die Sicherheitsfragen zu prüfen, denke ich. Und auch wenn man beim 1. Support-Mensch mit der „social hack“-Methode nicht durchkommt. Dann ruft man halt noch ein paarmal an, irgendwann findet man schon einen, der einem glaubt…
Traurig, aber gegen sowas ist niemand gefeit.
Wieso nicht per Post? Google schickt auch wegen jeder Änderung Postkarten durch die Gegend. Wieso soll das Apple nicht können? Sie WOLLEN es vielleicht nicht…
Es wurde ihm wohl eher ein neu generiertes gegeben. Apple dürfte die Passwörter wohl eher nicht sehen.
Das könnte noch teuer für Apple werden
Wie kommt man denn bitte an den Sicherheitsfragen in der Hotline vorbei?
Wie blöd muss der Mitarbeiter sein???
Hast du dich noch nie erweichen lassen, eine Ausnahme für jemanden in Not zu machen? Kann ich nicht glauben, es sei denn, du bist ein 100%iger Sadist ;)
Bei so etwas DARF es keine Ausnahme geben. Er hätte den Anrufer ja in einen Store verweisen können. Dort kann man sich ausweisen und dann muss man auch keine Fragen beantworten.
Hast du mal versucht, auf dem Amt etwas „ausnahmsweise“ genehmigt oder bestätigt zu bekommen? Alles Sadisten ;-)
Entweder du warst noch nie auf einem Amt oder dein Amt ist völlig anders als alle, die ich kenne. Nach meiner Erfahrung arbeiten dort Menschen.
Wenn man den kompletten englischen Text liest, in dem der Fall ausführlich geschildert wird, kann man einfach nur sagen.. Scheisse gelaufen, sehr dreist gemacht
Der Typ geht aber auch ziemlich naiv mit seinen privaten Daten um. Hat alles den Clouds anvertraut und nicht mal private Backups auf dem eigenen Rechner erstellt.
Dazu noch das selbe Passwort für mehrere Dienste.
Und so einer arbeitet für Gizmodo?
Schreibt wohl den Wetterbericht für die Seite….
Wo steht etwas von einem gleichen Passwort?
Wenn man den eMail Account kontrolliert, kann man sich auf jeder x-Beliebigen Seite sein Passwort als verloren melden und ein neues zusenden lassen. An jene hinterlegte Adresse.
Die Story hat für mich jedoch zu viele Zufälle auf einmal…
Muss man sich mal vorstellen: Das Apple ID-Passwort, welches man bei jedem Aktualisieren (!) einer kostenlosen (!) App eingeben muss, braucht man wirklich sooft, dass es schnell mal abgeschaut werden kann.
Und dann kann man nicht nur alle Daten aus der Cloud laden, sondern auch noch alle Geräte des Users FERNLÖSCHEN! Auch den Mac! Ich bin der Meinung, Apple sollte so schnell wie möglich den 2-Wege Login anbieten.
2-Wege Login für jede geladene App? Sehr umständlich.
2-Wege Login natürlich nur bei einem neuen Gerät!
Und wegen seiner Apple-ID habe ich auch gleich Name, Anschrift & Geb.-Datum?
Also automatisches Löschen deaktivieren oder erst garnicht online gehen, sobald man den Diebstahl seines iPhons oder Mac bemerkt? Und dann? Datenkopie falls nicht vorhanden. In den store? Bezweifel stark, dass einem da geholfen werden kann.
selbst Schuld, wenn man sein ganzes Leben in der Cloud speichert……. würde ich nie tun und ich finde es fast Verantwortungslos all meine Daten irgendwo bei irgendwem in der Cloud zu speichern. Da war die Bequemlichkeit wohl ein wenig zu gross.
Sehe ich nicht so. Zum einen waren seine Daten ja auf seinem MacBook sowie auf iPad und iPhone lokal gespeichert wurden. Zum anderen sind bestimmt mehr Daten, die nur Zuhause lagen, verloren gegangen als in einer Cloud Lösung (z.B. bei Brand, Einbruchsdiebstahl oder einfach nur bei HD-Fehler und fehlendem Backup). Natürlich wären die Daten des Macbook bei ihm – hätte er z.B zusätzlich ein TimeMachine Backup verwendet, einfach wieder hergestellt werden können.
Ich gratuliere ifun zu der wirklich sehr gelungenen und originellen Artikelgrafik. Meine ich ganz ernst, diese Art von „Kreativität“ gefällt mir!
wie lassen sich durch Social Engineering illegal Pizzen beschaffen??
http://de.wikipedia.org/wiki/S.....icherheit)