Zweifaktor-Bombing: Vorsicht vor dieser Attacke auf Apple-Nutzer

Apple-Anwender*innen sind das Ziel einer besonders nervigen Attacke, die derzeit grassiert. Dabei werden die Opfer mit massenhaften Aufforderungen zum Zurücksetzen ihres Apple-Passwortes bombardiert. Lehnt man alle ab, melden sich die Angreifer*innen via Telefon und geben sich als Apple Support aus. 

➤ Mehr lesen: Warum sind Passkeys sicherer als jedes Passwort?

Ein Betroffener berichtete davon nun gegenüber Krebs on Security. Parth Patel ist ein Unternehmer, der gerade dabei ist, ein KI-Start-up zu gründen. Auch via Twitter schreibt er von dem Phishing-Versuch.

Er erzählt, dass sämtliche seiner Apple-Geräte plötzlich begonnen haben, Systembenachrichtigungen zum Passwort-Reset auszuspucken. “Ich musste über 100 Notifications durchgehend und ablehnen”, so Patel. Manche Anwender*innen könnten in solch einer Situation aus Versehen oder schlicht aus Frustration die Aufforderung zum Passwort-Reset fatalerweise bestätigen. 

Telefon läutet 

Nachdem Patel alles abgelehnt hatte, läutete plötzlich sein Telefon. Am anderen Ende befand sich ein vermeintlicher Apple-Support-Mitarbeiter. Patel fiel nicht darauf herein und fragte den Anrufer nach persönlichen Daten von sich, die ein echter Apple-Mitarbeiter haben müsste. Zu seinem Erstaunen konnte der Fake-Kundenservice-Mitarbeiter sämtliche Fragen richtig beantworten. Offenbar nutzte jener Personensuchmaschinen, um an die Daten zu kommen. 

Ziel des Anrufers wäre es, den Apple-Nutzer dazu zu bringen, ihm einen Reset-Code zu verraten, den Apple via SMS an seine Kund*innen verschickt. Tut man dies, können die Kriminellen ein neues Passwort erstellen und die rechtmäßigen Account-Besitzer*innen aussperren. 

Benachrichtigungen abdrehen

Es gibt noch weitere Betroffene, die plötzlich massenweise Benachrichtigungen bekommen haben. Einer davon berichtet auf Krebs on Security, dass ihm ein*e Apple-Techniker*in geraten habe, einen Wiederherstellungsschlüssel für die eigene Apple-ID einzurichten. 

Jener ist eine optionale Sicherheitsfunktion, bei der man via eines speziellen Schlüssels die Möglichkeit bekommt, das eigene Passwort zurückzusetzen und den Zugriff auf sein Konto wiederherzustellen. Das Erstellen eines solchen Schlüssels hat allerdings nicht dazu geführt, dass die Benachrichtigungen aufhörten. 

➤ Mehr lesen: Mit diesen Passwortmanagern behältst du deine Konten im Griff

Genaue Methode unklar

Welche Lücke die Angreifer*innen genau ausnutzen, um die massenhaften Passwort-Reset-Aufforderungen überhaupt versenden zu können, ist laut Krebs on Security nicht klar. Bei Apples iForgot-Online-Maske zum Passwort-Reset muss man etwa auch ein Captcha eingeben. Basis dürfte aufgrund der Berichte Betroffener jedenfalls Kenntnis der Telefonnummer sein, die mit dem Account verknüpft ist.

Sicherheitsexperte Brian Krebs sieht hier eine Nachlässigkeit Apples bei der Implementation. “Welches vernünftige Authentifizierungssystem würde innerhalb weniger Augenblicke Dutzende Anfragen für eine Passwortänderung senden, wenn der Benutzer auf die erste Anfrage noch nicht einmal reagiert hat”, schreibt Krebs.

Er wirft die Frage auf, ob das alles das Resultat eines Bugs in Apples Systemen sein könnten. Auf eine Anfrage des Experten hat das Unternehmen bislang nicht reagiert. 

Microsoft setzt auf Number Matching

Es ist nicht die erste Attacke mithilfe von Multifaktor-Benachrichtigungen. Auch Cisco, Uber und Microsoft hatten schon mit vergleichbaren Angriffen zu kämpfen.

Um diese Art an Attacken zu unterbinden, hat Microsoft in der Authenticator-App auch das Number Matching eingeführt. Dabei müssen Anwender*innen in der Zweifaktor-App eine Nummer eingeben, die ihnen am Gerät angezeigt wird, mit dem sie sich einloggen wollen. Damit soll garantiert werden, dass auch tatsächlich dieser Anwender vor dem Login-Screen sitzt, der die Zweifaktor-App betätigt.