Erneut iCloud-Erpressungswelle über "Meinen Mac suchen" und "Mein iPhone suchen"

Angreifer, die im Besitz von iCloud-Accountdaten sind, versuchen derzeit wieder verstärkt, Geräte-Lösegeld von verschreckten Nutzern zu erhalten. Apple kann allerdings helfen. Beim iPhone ist es noch einfacher.

In Pocket speichern vorlesen Druckansicht 10 Kommentare lesen
Erneut iCloud-Erpressungswelle über "Meinen Mac suchen"

Ist ein Mac gesperrt, hilft nur noch Apple.

Lesezeit: 4 Min.
Inhaltsverzeichnis

Nutzerberichten zufolge verwenden Betrüger aktuell erneut häufiger Apples "Mein Gerät suchen"-Ortungsfunktion, um iPhone, iPad, Mac oder Apple Watch aus der Ferne zu sperren und dann ein Lösegeld zu verlangen. Entsprechende Erpressungswellen gab es in der Vergangenheit schon öfter.

Um den Angriff zu starten, müssen die Betrüger über die korrekten Apple-ID-Accountdaten verfügen (Nutzername und Passwort). Diese stammen zumeist aus zuvor erfolgten Hacks größerer Seiten, bei denen Nutzer die gleichen Anmeldedaten wie bei Apple verwendet haben – oder aus Phishing-Attacken per E-Mail. Über Angriffe auf Apples Server direkt ist nichts bekannt.

Damit der Betrugsversuch funktioniert, muss jeweils das Sicherheitsfeature "Mein iPhone suchen", "Meinen Mac suchen", "Mein iPad suchen" oder "Meine Apple Watch suchen" auf dem Gerät aktiviert sein. Mit diesem ist es möglich, geklaute oder verlorengegangene Apple-Hardware aus der Ferne zu sperren und sogar zu löschen, um zu verhindern, dass Diebe oder unehrliche Finder an sensible Daten gelangen.

Ist das Gerät gesperrt, zeigen die Angreifer auf selbigem eine Mitteilung an, dass die Hardware nicht mehr zugänglich sei und man sich doch an eine bestimmte E-Mail-Adresse wenden soll. Zu den aktuell kursierenden Adressen der Erpresser gehören unter anderem "apprestore05@gmx.com" sowie "help.apple.us@gmail.com". Zuvor kann es vorkommen, dass Rechner, Tablet oder Smartphone einen Hinweis präsentieren, dass es einen Login-Versuch aus Osteuropa gab. Verlangt werden verschiedene Summen, die mehrere Hundert Euro betragen können – ob die Erpresser nach Zahlung die Geräte wirklich entsperren, ist unklar.

Die Angriffe zeigen ein grundsätzliches Problem bei Apples "Mein Gerät suchen"-Funktion: Das Feature arbeitet auch dann noch, wenn man "nur" über Nutzername und Passwort hinter einer Apple-ID verfügt. Die den Account sonst zusätzlich schützende Zwei-Faktor-Authentifizierung (2FA), die man unbedingt aktivieren sollte, wird nicht benötigt, da ja möglicherweise genau das Gerät, auf dem der zweite Faktor (2FA-Code) angezeigt würde, dem User nicht mehr zur Verfügung steht. Der zweite Faktor kommt zwar inzwischen auf allen Geräten mit selber iCloud-Verknüpfung an. Apple will aber augenscheinlich den Fall abdecken, dass jemand nur ein Gerät hat.

Auf iOS-Geräten muss man sich bei solchen Erpressungsversuchen relativ wenig Sorgen machen – diese lassen sich sofort durch die Geräte-PIN umgehen, die die Sperrung aufhebt. Dann sollte man schleunigst seine Apple-ID-Daten ändern. Auf dem Mac ist die Lösung schwerer. Ist das Gerät per PIN-Code gesperrt, erfolgt dies auf Firmware-Ebene – der Rechner bootet in den "Gesperrt"-Bildschirm hinein.

Eine Entsperr-PIN gibt es unter macOS nicht, auch Nutzeraccounts helfen nichts. Betroffene müssen daher zu Apple oder einem autorisierten Reparaturbetrieb gehen und ihr Gerät zurücksetzen lassen. Dafür werden Kaufbelege verlangt, um seinen legalen Besitz der Hardware nachzuweisen.

[Update 25.07.17 12:01 Uhr:] Wer fürchtet, Opfer der aktuellen Angriffswelle zu werden, kann "Meinen Mac suchen", "Mein iPhone suchen", "Mein iPad suchen" oder "Meine Apple Watch suchen" auch deaktivieren. Dies ist jeweils in den iCloud-Einstellungen möglich. Dann ist aber auch kein legitimes Sperren eines verlorenen / geklauten Geräts mehr möglich.

Zudem sollte man die Gelegenheit mindestens dazu nutzen, sein für die Apple-ID verwendetes Passwort zu überprüfen – darauf, ob es lang und komplex genug ist und ob man es möglicherweise auch auf anderen Seiten einsetzt. Tipps und Hinweise finden Sie hier.

Ob die eigene E-Mail-Adresse von einem der großen Passwort-Leaks der letzten Jahre betroffen war, kann man wiederum auf HaveIBeenPwned.com checken – allerdings ohne Anspruch auf Vollständigkeit.

Hinweise zur Verwendung der Zwei-Faktor-Authentifizierung bei Apple lesen Sie außerdem hier:

(bsc)