Hacker-Angriffe Vorsicht vor dieser gefälschten iCloud-Mail
Gefälschte Apple-E-Mail an iCloud-User: Optisch erschreckend realistisch
Seit Hunderte Nacktbilder und -videos von amerikanischen Prominenten gleichzeitig im Netz auftauchten, wird gerätselt, wie der oder die Hacker an die gespeicherten Fotos kommen konnten und wie man sich als Nutzer vor so etwas schützen kann. Auch wenn noch nicht geklärt ist, wie die Unbekannten an die Bilder kamen, gibt es erste Hinweise auf eine Sicherheitslücke bei Apples Cloudspeicherdienst iCloud. Nun warnen Sicherheitsexperten vor betrügerischen E-Mails, die in diesen Tagen an iCloud-Nutzer verschickt werden. Offenbar wollen unbekannte Angreifer die derzeitige Verunsicherung vieler Nutzer ausnutzen.
Auch uns ist eine sogenannte Phishing-Mail zugegangen: Sie sieht aus wie eine offizielle E-Mail von Apple, soll aber die Zugangsdaten von iCloud-Nutzern abfischen. Solche Nachrichten werden entweder wie Spam massenhaft verschickt oder gezielt einzelnen Personen zugesandt. Eine ungezielte Nachrichtenflut funktioniert nur wenige Minuten bis Stunden, bevor sie von Anti-Spam-Filtern unwirksam gemacht wird. Maßangefertige E-Mails können eine Sperrung erheblich verlängern - wenn sie überhaupt auffallen.
In unserem Fall wurde die konkrete E-Mail-Adresse des Autors in dem Schreiben genannt. Die Nachricht kam am Dienstagabend an und ist äußerst gut gemacht. Sie sieht aus wie eine echte Benachrichtigung von Apple - und warnt perfide vor einer Deaktivierung des iCloud-Kontos aus Sicherheitsgründen: "Diese E-Mail soll Sie darüber informieren, dass Ihr iCloud- und Apple-Konto (felixknoke@gmail.com) vorübergehend gesperrt wurde, bis wir Ihre iCloud/Apple-Details überprüft haben. Diese Vorsichtsmaßnahme soll Ihr Apple-Konto vor unberechtigtem Zugriff schützen. Wir entschuldigen uns für die eventuell verursachten Unannehmlichkeiten." Um das Konto wieder herzustellen, sollen die Empfänger ihre Apple ID "validieren".
Der Link, der ins Verderben führt
">> Update My Apple/iCloud Account" heißt schließlich der Link, der ins Verderben führt. Wer ihm folgt - mittlerweile ist er in vielen schwarzen Listen als "gefährlich" geführt und wird von vielen Browsern automatisch blockiert - landet auf einer täuschend echten Apple-Website, bei der um Eingabe der Apple ID und Passwort gebeten wird.
Man kann nur raten, was passiert, wenn dort richtige Daten eingegeben werden. Vermutlich laden der oder die Angreifer mithilfe entsprechender Software die kompletten, in iCloud gespeicherten Dokumente und Bilder herunter und versuchen an möglichst viele weitere Informationen zu gelangen. Wer auf den Angriff hereinfällt, hat den Angreifern sein komplettes Handy und möglicherweise auch viele Computerdaten offengelegt.
Wie kann man sich schützen?
Die E-Mail nutzt sogar eine gesicherte https-Verbindung (erkennbar am Vorhängeschloss-Symbol im Browser). Nur mit der englischen Sprache scheint es bei den Angreifern zu hapern. Nicht-Muttersprachlern dürften die vielen sprachlichen Fehler aber auf den ersten Blick kaum auffallen. Die Website (hier sicher einzusehen) hingegen ist tadellos, vermutlich wurde sie einfach von Apple kopiert.
Wie schützt man sich nun vor solchen Angriffen? In diesem Fall reichte Achtsamkeit:
- Als Absender der Mail wird zwar "Apple Message Centre" angegeben, die Adresse lautet aber apple@profileidevicehelpdesk.com.
- Der Link führt zu einer Adresse, die mit Apple gar nichts zu tun hat: myicaresecurity.uk/... . Wer auf den Link klickt, sieht diese falsche Adresse noch mal in der Adresszeile des Browsers.
- Google Mail stuft die Mail als Betrug ein.
- Das in unserem Fall genutzte Browser-Plug-in "Web of Trust" zeigte einen roten Kringel hinter dem Link. Das signalisiert Gefahr.
Als Faustregel gilt: Bevor man seine Daten, Passwörter, Pins, Tans, Kreditkartennummern und Grußbotschaften manuell in ein Webformular eingibt, muss man sich dessen Authentizität versichern. In diesem Fall hätte man dazu ganz einfach per Hand Apples iCloud-Website aufrufen und sich dort einloggen können. Hätte iCloud wirklich ein Problem mit den Daten, würde es auch dort gemeldet.
