iPhone per iCloud von Erpressern gesperrt: Was Sie tun können

Kriminelle versuchen, iPhone-Nutzer per Fernsperrung zur Zahlung eines Lösegeldes zu bringen. Der Angriff funktioniert selbst bei aktivem Zwei-Faktor-Schutz. Mac & i zeigt, wie Sie die Kontrolle über das iPhone zurückerhalten – ohne zu bezahlen.

In Pocket speichern vorlesen Druckansicht 46 Kommentare lesen
iPhone iCloud-Fernsperung

Über iCloud können Angreifer das iPhone sperren – und eine Nachricht übermitteln.

Lesezeit: 9 Min.
Von
  • Leo Becker
Inhaltsverzeichnis

Erneut setzen Kriminelle auf Apples Fernsperr- und Ortungsfunktion “Mein iPhone suchen”, um Nutzer zu erpressen: Sie sperren iPhone, iPad oder iPod touch und wollen den Zugriff erst nach Zahlung eines Lösegeldes wieder freigeben. Als Kontaktadresse wird dabei in einer Nachricht auf dem iPhone gewöhnlich eine E-Mail-Adresse angezeigt, die suggeriert, eine Support-Kontaktadresse des Herstellers zu sein, etwa apple.help@xxx.com, apple.device@xxx.com oder auch apprestore05@xxx.com. Auch Nutzer in Deutschland sind von derartigen Angriffen betroffen, wie Leser berichten.

Für Nutzer, die die Fernsperrfunktion noch nie in Aktion gesehen haben, ist der Angriff besonders erschreckend: Das iPhone zeigt nur noch einen geänderten Lockscreen mit der Nachricht der Erpresser. Bei aktiver Nutzung des iPhones wird man plötzlich ausgesperrt. Der Angriff setzt voraus, dass “Mein iPhone suchen” aktiv ist – das ist allerdings standardmäßig der Fall, wenn man sich mit einer Apple-ID bei der Einrichtung des Gerätes anmeldet. Der Erpresser muss zudem in Besitz von Benutzername und Passwort des Nutzers sein, um die Fernsperrung über iCloud auslösen zu können.

Angreifer missbrauchen den eigentlich sehr nützlichen Verloren-Modus, den Apple über iCloud anbietet.

(Bild: Apple)

Apples Zwei-Faktor-Authentifizierung (oder ältere zweistufige Bestätigung) schützen nicht vor dem Angriff: Das Fernsperren von Geräten ist auch ohne Eingabe des Autorisierungs-Codes möglich, um einem Nutzer im Falle eines Diebstahls oder Verlustes weiterhin die Fernortung und Sperrung von einem anderen Gerät aus zu ermöglichen, schließlich ist der zweite Faktor – das iPhone – nicht mehr im Besitz.

Kein Schutz durch Apples Zwei-Faktor-Authorisierung. Selbst wenn man den Zugriffsversuch ablehnt, kann das Gerät aus der Ferne gesperrt werden.

Wenn der Angreifer sich bei iCloud.com einloggt, erhalten Sie immerhin einen Warnhinweis: Die Meldung lautet "Apple-ID-Anmeldung angefordert" und zeigt Ihre Apple-ID respektive E-Mail-Adresse sowie eine Kartenansicht, die den groben Standort der Anfrage wiedergibt – diese kommt laut Nutzerberichten oft aus Russland. Selbst wenn Sie den Hinweis sehen und den Zugriff "nicht erlauben", kann der Angreifer das Gerät dennoch sperren.

Haben Sie längst eine eigene PIN für Ihr iPhone gesetzt, können Sie das Gerät trotz Fernsperre problemlos damit öffnen. Sie benötigen die PIN für die Code-Sperre, diese funktioniert unabhängig von einer SIM-PIN, die möglicherweise zusätzlich zum Einsatz kommt.

Drücken Sie auf dem neuen Sperrbildschirm mit dem vollflächigen Hinweis “iPhone verloren” (und dem darunter erscheinenden Text des Angreifers) einfach den Home-Button und geben dann Ihren Code ein – iPhone oder iPad sollten sich wie gewohnt entsperren. Öffnen Sie anschließend die iOS-Einstellungen und tippen ganz oben auf Ihren Namen, dies führt zu den Apple-ID-Einstellungen. Wenn Sie dort nun "Passwort & Sicherheit" auswählen, können Sie Ihr "Passwort ändern", dafür müssen Sie nochmals Ihren Geräte-Code eingeben – also die vier oder sechsstellige PIN (oder ein alphanumerisches Passwort, falls gesetzt). Der Angreifer wird damit ausgesperrt.

Falls Sie dasselbe Passwort für unterschiedliche Dienste verwenden, ändern Sie dieses unbedingt auch bei den anderen Anbietern – und verwenden Sie künftig für jeden Dienst unbedingt ein anderes Passwort.

Haben Sie jedoch keine PIN für die Code-Sperre gesetzt, können die Erpresser einen eigenen sechsstelligen Code eintragen, der das iPhone oder iPad sperrt. Sie haben dann tatsächlich keinen Zugriff mehr. Das Einloggen bei “Mein iPhone suchen” (entweder auf iCloud.com oder über ein anderes Gerät mit der App "Mein iPhone suchen") ermöglicht Ihnen zwar, den vom Erpresser gesetzten Verloren-Modus wieder zu beenden, Ihr iPhone bleibt aber mit dem neuen Code gesperrt!

Loggen Sie sich von einem anderen Gerät aus bei iCloud.com ein, öffnen dort die "iPhone-Suche" und deaktivieren Sie den Verloren-Modus – dies entsperrt das Gerät allerdings nicht.

Die Code-Sperre schützt – auch vor Angriffen per iCloud-Fernsperre.

In diesem Modus erhalten Sie übrigens auf diesem Gerät keinen Autorisierungs-Code mehr für einen durch Apples Zwei-Faktor-Schutz abgesicherten Account. Tippen Sie beim Einloggen auf appleid.apple.com oder icloud.com deshalb auf "Keinen Bestätigungscode erhalten" und lassen diesen dann als Textnachricht zustellen, die das iPhone allerdings ebenfalls nicht empfangen kann. Anschließend steht dann aber ein automatisierter "Anruf" zur Wahl – dieser kommt auch im weiterhin aktiven Verloren-Modus durch. Hier wird Ihnen der erforderliche Code mündlich mitgeteilt, den Sie nun eingeben können, um auf die Account-Einstellungen zuzugreifen und das Passwort zu ändern. Hierfür müssen Sie erst Ihr altes und dann zweimal ein neues Passwort eingeben. Dafür gilt es, Apples übliche Vorgaben zu beachten.

Um das weiterhin gesperrte iPhone oder iPad wieder nutzen zu können, müssen Sie dieses wiederherstellen – und zwar von Grund auf. Wenn Sie kein aktuelles Backup haben, gehen dadurch möglicherweise Daten verloren. iTunes (auf Windows-PC oder Mac) kann das iPhone auch nicht einfach so wiederherstellen, weil es gesperrt ist und Sie den Code nicht kennen, selbst der von Apple beschriebene Wartungszustand hilft nicht weiter.

Stattdessen müssen Sie das Gerät in den sogenannten DFU-Modus versetzen: Schließen Sie es dafür an den Computer an, öffnen iTunes frisch und halten anschließend Standby- und Home-Taste gleichzeitig für genau acht Sekunden gedrückt. Lassen Sie nach Ablauf der acht Sekunden die Standby-Taste los, halten den Home-Button aber weiter gedrückt, bis iTunes einen Hinweis anzeigt, ein iPhone im Wiederherstellungsmodus wurde entdeckt. Das Display des iPhones muss zu diesem Zeitpunkt komplett schwarz sein. Sollte dort stattdessen das iTunes-Logo erscheinen und ein Lightning-Kabel, dann sind sie im Wartungszustand, der die Wiederherstellung aus dem Verloren-Modus allerdings nicht erlaubt.

Wenn Sie Ihr iPhone erfolgreich wiederhergestellt haben, benötigen Sie Ihre Apple-ID, um die Aktivierungssperre aufzuheben. Geben Sie den Benutzernamen und das (gerade geänderte) neue Passwort ein, um das Gerät wieder in Betrieb zu nehmen. Sie können es nun aus einem iCloud-Backup wiederherstellen oder aus einem lokalen iTunes-Backup – falls vorhanden. Bei aktivem Zwei-Faktor-Schutz benötigen Sie dafür den Autorisierungs-Code: Dieser muss wieder per SMS-Textnachricht oder Sprachanruf übermittelt werden, wenn Sie kein weiteres autorisiertes iOS-Gerät (oder Mac) besitzen, um den Code zu empfangen.