Wie iPhone-Diebe die Identität ihrer Opfer stehlen

Der Finne Joonas Kiminki iPhone wurde aus seinem Auto in Italien gestohlen. Mit der Funktion „Find my iPhone“ hat er eingestellt, dass er benachrichtigt werden möchte, wenn das Gerät wieder auftauchen sollte. Wenige Tage später bekommt er tatsächlich die Nachricht: „Dein iPhone wurde gefunden. Klicke auf den Link und sieh nach, wo sich das iPhone jetzt befindet.“ Die Nachricht trudelte per E-Mail und per SMS ein.

Kiminki schreibt in einem Blogeintrag, dass er erfreut darüber war, als er plötzlich eine derartige Nachricht von Apple erhalten habe. Erleichterung, dass das iPhone doch noch aufgetaucht ist (obwohl er sich schon ein neues Gerät besorgt hatte). Eine Reaktion, die er sicherlich mit vielen iPhone-Besitzern teilt.

Genauere Analyse

Doch dann wurde der Geschäftsführer einer Media-Agentur stutzig, als er bemerkte, dass die vermeintliche Verbindung zum iCloud-Login keine sichere Verbindung, die mit https verschlüsselt war, aufwies. Als sicherheitsaffinen Menschen machte ihn das stutzig und er sah sich die Domain show-iphone-location.com und die vermeintliche von Apple versandte Mail genauer an.

Die Website wurde nicht von Apple registriert, sondern einer Firma in Nassau. Und das iCloud-Login transportierte die Daten, die man hier eingab, um sich zu verifizieren, nicht an Apple, sondern speicherte sie unter save.php für die zukünftige Nutzung von den Menschen, die hinter der Website standen. Die E-Mail-Adresse von der aus die Information versendet worden war, dass das vermisste iPhone „gefunden“ wurde, lautete icloud@insideappleusa@gmail.com.

Identitätsdiebstahl mit iCloud-Daten

Damit war dem securityaffinen Geschäftsführer sofort klar, dass es sich bei dem Versuch, seine iCloud-Login-Daten wie Username und Passwort abzugraben, um Identitätsdiebstahl handeln musste. Wenn sich User tatsächlich mit diesen Daten einloggen, können Angreifer in Folge die Daten dazu nutzen, das Gerät wieder freizuschalten, in dem sie die Verknüpfung des Users mit dem Gerät entfernen.

Damit bekommen die Betrüger ein iPhone, das für alle Zwecke weiter verwendet werden kann. Die iCloud-Daten können aber selbstverständlich auch für andere Zwecke weiterverwendet werden, sofern die User nicht die Passwörter ändern oder sonstige Schritte setzen, um den Account zu löschen.

Neue Masche der Betrüger

Die Betrugsmasche, die eigentlich klassisches "Phishing" ist, ist in dieser speziellen Form noch relativ neu, aber wohl sehr erfolgreich. Es ist zudem unklar, wie die Angreifer an die Daten ihrer Opfer kommen, um ihnen SMS und E-Mail zu schicken – schließlich werden diese Daten auf dem iPhone nicht gespeichert, sofern das Gerät nach dem Diebstahl bzw. Verlust gesperrt und per „Lost My iPhone“-Funktion deaktiviert wurde. Kiminki mutmaßt in seinem Blogeintrag, dass dafür das „Medical ID“-Feature genutzt wurde, um über den Namen die restlichen Kontaktdaten im Internet ausfindig zu machen.

Kiminki schreibt, dass die E-Mail enttäuschend echt aussehe. Im Moment der Aufregung und Freude, dass das Smartphone wieder da ist, fallen sicher viele Menschen darauf rein und geben ihre Daten ein. Tatsächlich berichten einige futurezone-Nutzer, dass ihnen dasselbe wie Kiminki passiert sei. Sie hätten einfach das iCloud-Passwort geändert und weitere, verdächtige Schritte wären in Folge ausgeblieben. Usern, denen dieser Tage das iPhone gestohlen wird, sollten mit „Ihr iPhone wurde gefunden“-Jubelmeldungen per SMS oder E-Mail derzeit vorsichtig umgehen.