Teure In-App-Käufe durch Account-Missbrauch im iTunes-Store

Inhaltsverzeichnis

"Hilfe! Mein Account wurde gehackt und Geld abgebucht! Was kann ich tun?" Seit etlichen Monaten berichten iTunes-Store-Nutzer immer wieder von Einkäufen, die ohne deren Einverständnis mit ihrem Account getätigt wurden. Das Schema ist in den meisten Fällen dasselbe: Der App Store weist den Nutzer auf den Download oder Kauf einer App durch ein unbekanntes Gerät hin, anschließend folgt die Rechnung über Einkäufe, die mit dieser Anwendung getätigt wurden ("In-App Purchase"). Teils kommen Rechnungsbeträge in Höhe von mehreren hundert Euro zusammen. Diese Art des Account-Missbrauchs kann sogar bei Nutzern auftreten, die gar kein iOS-Gerät besitzen und noch nie eine App heruntergeladen haben – ein üblicher iTunes-Account mit Zahlungsmittel reicht dafür aus.

Wer eine Rechnung erhält, auf der solche nicht eigenhändig durchgeführten Einkäufe auftauchen, sollte zuallererst sein iTunes-Passwort ändern, damit nicht weitere Beträge unrechtmäßig abgebucht werden können. Das geht direkt über die Account-Daten in iTunes (Store/Meinen Account anzeigen/Apple ID/bearbeiten) oder alternativ über die Website appleid.apple.com. Auch wenn es bei häufiger Eingabe auf der virtuellen iPhone-Tastatur unbequem ist, sollte man ein möglichst sperriges Passwort wählen, das sich keinesfalls erraten lässt. Apple setzt inzwischen mindestens acht Zeichen und eine Mischung aus Groß- und Kleinbuchstaben voraus – nennt ein Passwort aber erst mit mehr als zwanzig Zeichen "solide".

Wer Schwierigkeiten hat, sich ein komplexes Passwort zu merken, kann zu einem Trick greifen: Dafür kombiniert man Anfangsbuchstaben und Zahlen eines ganz individuellen Satzes – aus dem fiktiven Satz "Seit dem 9. November habe ich mein neues MacBook, jetzt sind es zwei" wird dann etwa das Passwort: "Sd911himnM,jse2". Wichtig ist auch, ein spezifisches Passwort jeweils nur für einen Account zu nutzen und nicht für mehrere verschiedene Angebote. Beim Bewältigen der Flut unterschiedlicher Passwörter helfen plattformübergreifende Tools wie 1Password.

Im nächsten Schritt sollten sich betroffene Nutzer an den iTunes-Support wenden, um das unrechtmäßig abgebuchte Geld zurückzufordern. Bereits im E-Mail-Beleg kann man "ein Problem melden" – dies führt dann zum eigenen Account in iTunes und einem Dialogfeld, das die Schilderung des Falles erlaubt. Alternativ führt der Weg über die eigenen Account-Daten in der iTunes-Anwendung, dort sind unter “Einkaufsstatistik” alle Käufe und Downloads aufgelistet. Darunter ist ein Button zur Problemmeldung zu finden. Ist iTunes nicht zur Hand, bleibt der Weg über einen Browser und Apples Support-Seiten, um den iTunes-Support zu informieren.

Erfreulicherweise sind in diesen Fällen meist keine langwierigen Diskussionen mit Apple-Supportmitarbeitern vonnöten – die Rückerstattung des von Fremden ausgegebenen Geldbetrages klappt nach unseren Erfahrungen innerhalb weniger Tagen. Wer ClickandBuy als Zahlungsmittel für seinen App-Store-Account nutzt und die Zahlung des fremdgetätigten Einkaufs direkt von seiner Bank stornieren lässt, muss allerdings damit rechnen, dass iTunes den Account sperrt. Es empfiehlt sich daher, zuerst mit dem iTunes-Support Kontakt aufzunehmen, bevor der Zahlungsdienstleister ClickandBuy oder die eigene Bank kontaktiert wird. So das überhaupt nötig ist.

In einigen länger zurückliegenden Fällen stellte ClickandBuy manchem Nutzer angeblich auch Gebühren in Rechnung, wenn dieser das von Apple zurückgebuchte Geld von seinem ClickandBuy-Konto wieder auf das eigene Bankkonto übertrug – inzwischen erfolgt aber offenbar eine automatische Gutschrift für die Buchungsgebühren.

Die Fremdkäufe scheinen nahezu ausschließlich iTunes-Nutzern zu widerfahren, die entweder ClickandBuy (bei einem US-Account Paypal) oder aber Guthaben aus iTunes-Karten zur Bezahlung von Einkäufen im iTunes- oder App Store verwenden. Ist dagegen eine Kreditkarte im eigenen (guthabenfreien) iTunes-Account als Zahlungsmittel hinterlegt, treten die ungewollten In-App-Abbuchungen nach unserer Kenntnis nicht auf. Wenn der App Store erkennt, dass ein Einkauf erstmals mit neuer oder fremder Hardware getätigt wird, dann verlangt Apple seit Sommer 2010 nach dem Sicherheitscode der Karte. Gibt der Nutzer diesen ein, verknüpft Apple den iTunes-Account mit der Geräte-ID und hakt bei anschließenden Käufen nicht mehr nach. Ohne Kenntnis des Codes ist kein Kauf möglich.

Alles deute darauf hin, dass Dritte gestohlene iTunes-Zugangsdaten für In-App-Einkäufe in iOS-Spielen nutzen, erklärte Sega bereits im Mai 2011 im hauseigenen Forum. Man untersuche diese Fälle weiterhin, so der Spielehersteller, der für Abrechnungsfragen aber auf Apple verweist – alle In-App-Käufe laufen ausschließlich über die Zahlungsschnittstelle des iPhone-Herstellers. Sega Deutschland sei bislang kein Fall bekannt, in dem die Opfer ihr Geld nicht zurückerhalten hätten, betonte ein Pressesprecher gegenüber Mac & i.

Der Schlüssel ist das Passwort

Bei geschätzt weit mehr als einer viertel Milliarde zahlungsfähigen Accounts sind iTunes- und App-Store-Nutzer schon lange ein bevorzugtes Angriffsziel. Um an die Zugangsdaten zu gelangen, verwenden Betrüger nach bisherigen Erkenntnissen zwei Methoden: Sie schleusen Keylogger oder andere Malware auf den Rechnern ihrer Opfer ein – meist unter Windows –, um Tastatureingaben auszuspionieren. Oder sie verschicken spam-artig Massenmails, so genannte Phishing-Attacken. Seit vielen Jahren kursieren immer wieder vermeintlich von Apple stammende, auf den ersten Blick authentisch wirkende E-Mails, die Besitzer einer Apple-ID etwa zur Aktualisierung ihrer Zahlungsdaten auffordern. Diese sind jedoch keineswegs von Apple initiiert, sondern leiten lediglich auf eine apple.com nachempfundene Seite weiter, die gutgläubig eingegebene Account- und Kreditkartendaten nur allzu gerne entgegennimmt. Ebenfalls beliebt als Lockmittel sind kostenlose Musikstücke oder Apps – um deren vorgeblichen Downloadcode zu erhalten, soll der Nutzer seine iTunes-Accountdaten abliefern.

Echte Websites und Server von Apple werden Sie immer an der Domain apple.com erkennen, die hinter http oder https (das s steht für "secure", die Daten werden verschlüsselt) steht, entweder direkt oder von einem Punkt getrennt, wie bei "appleid.apple.com". Wenn Sie also auf eine Website stoßen, die nicht offenkundig von Apple stammt, sondern möglicherweise eine nur ähnlich klingende Adresse trägt (etwa "youraccountdataapple.com"), sollten Sie diese wieder verlassen und auf keinen Fall Ihre Daten eingeben.

Nicht auszuschließen sind auch gezielte Angriffe per Brute-Force-Methode. Cracker versuchen dabei, mit Hilfe von Algorithmen und schnellen Rechnern ein hinterlegtes iTunes-Passwort zu erraten. Dies fällt natürlich leichter, wenn der Angreifer die Apple-ID schon kennt. Daher ist es generell sicherer, als Apple-ID eine E-Mail-Adresse zu verwenden, die in der Öffentlichkeit unbekannt ist, also noch nicht etwa in Sozialen Netzwerken, auf der eigenen Homepage oder in Foren veröffentlicht wurde. Da Apple den iTunes-Account allerdings nach mehreren falsch eingegebenen Passwörtern temporär sperrt, dürfte diese Methode vergleichsweise selten zum Einsatz kommen. Zum Entsperren des iTunes-Kontos kann der Nutzer entweder eine E-Mail an die hinterlegte Adresse schicken lassen oder zwei selbst festgelegte Sicherheitsfragen beantworten – bei diesen empfiehlt es sich natürlich ebenfalls, Informationen zu verwenden, die nicht öffentlich sind. Der Name des Haustiers und das Geburtsdatum lassen sich beispielsweise in vielen Fällen problemlos aus sozialen Netzwerken beziehen. Die Änderung der Sicherheitsfragen ist ebenfalls über appleid.apple.com möglich.

Ein versierter Angreifer ist zudem in der Lage, die iTunes-Zugangsdaten innerhalb eines WLANs mitzulesen, obwohl diese verschlüsselt übertragen werden. Dazu muss er das Opfer in einen manipulierten WLAN-Hotspot locken, der beispielsweise den Namen "Telekom" trägt, und ihm bei der Verbindungsaufnahme zu dem WLAN automatisch ein iOS-Konfigurationsprofil vorlegen, das etwa mit kostenloser Internetnutzung lockt. Dieses Profil, das sich als durch Apple signiert tarnen kann, ergänzt iOS dann um eine neue "vertrauenswürdige Zertifizierungsstelle, die Zertifikate für beliebige Server ausstellen kann", erklärt c't in "Das Bestiarium, Angriffe auf Hotspot-Nutzer" (Ausgabe 1/12, S. 87). Der Angreifer ist anschließend in der Lage, den Datenverkehr über einen SSL-Proxy zu leiten und mitzulesen, obwohl dieser verschlüsselt stattfindet. c't gelang es, den SSL-Proxy gegenüber dem iPhone als vertrauenswürdigen Apple-Server auszugeben und einen kompletten Kaufvorgang im App-Store inklusive Login-Daten zu belauschen. Apple ist über die Schwachstelle informiert und hat ein Update in Aussicht gestellt – wann dieses erscheint, ist unklar. Auch wenn offen bleibt, ob auf diesem Weg bereits iTunes-Accounts abgegriffen wurden, sollte man unerwartete iOS-Profileinstellungen oder Profile aus unbekannter Quelle grundsätzlich nicht installieren.

Hintergründe

So komplikationsfrei gewöhnlich die Rückerstattung des Geldes durch Apple verläuft, so verworren bleiben die Hintergründe dieser seit vielen Monaten andauernden Fremdkäufe. Im Sommer 2010 nutzte ein Entwickler entwendete iTunes-Accounts – nach Apples Angabe 400 Stück –, um seine eigenen Apps möglichst häufig zu kaufen und diese dadurch in den wichtigen App-Store-Charts zu platzieren. Der iPhone-Hersteller verbannte den Entwickler daraufhin mitsamt seinen Anwendungen aus dem Store.

Inzwischen finden die illegitimen Einkäufe überwiegend in einer ganzen Reihe unterschiedlicher Apps von verschiedenen Entwicklern statt – fast immer handelt es sich um Spiele, die Punkte, Chips oder eine andere Spielwährung als In-App-Kauf anbieten. Ein Blick in die App-Store-Charts der umsatzstärksten Apps fördert schnell mehrere Anwendungen zutage, bei denen Nutzer sich über fremdgetätigte Käufe beschweren, darunter im Moment "Texas Poker", "iMobsters", "World War" oder Gamelofts "Order & Chaos Online". Die Spiele müssen keineswegs aus obskurer Quelle stammen; eines der konstant betroffenen Exemplare ist zum Beispiel das RPG Kingdom Conquest des renommierten Softwarehauses Sega. Zwar dürften die betrügerischen Einkäufe auch in diesen Fällen die Chartplatzierungen der betroffenen Entwickler kurzzeitig erhöhen, zugleich schadet die Problematik jedoch den Apps und ihren Anbietern allein durch die Flut an Negativ-Kommentaren, die verärgerte Opfer im App Store hinterlassen.

Vor einem Jahr wurde deutlich, welches Ausmaß der Klau und Verkauf von iTunes-Zugangsdaten bereits angenommen hat: Eine chinesische Online-Verkaufsplattform bot die Zugangsdaten zu rund 50.000 iTunes-Accounts zu Stückpreisen zwischen 15 Cent und 30 Dollar an – man könne damit "kräftig im App Store oder iTunes Store einkaufen", versprach der Anbieter damals seinen potenziellen Käufern, nur solle man sich eben nicht länger als 24 Stunden damit Zeit lassen.

Gerade der In-App-Kauf digitaler Verbrauchsgegenstände dürfte dem temporären "Besitzer" eines übernommenen Accounts reizvoll erscheinen: Oft gibt es große In-App-Pakete zum Stückpreis von knapp 80 Euro, die sich einem vom geklauten iTunes-Account unabhängigen Spielerkonto gutschreiben und in relativ kurzer Zeit verbrauchen lassen – ob Apple das iTunes-Konto letztendlich sperrt oder das Geld zurückerstattet, ist für den illegitimen Käufer dann längst irrelevant.

Fazit

Dem Nutzer bleibt als vorbeugende Maßnahme nur, ein wirklich handfestes Passwort zu verwenden und mit den eigenen iTunes-Account-Daten sehr vorsichtig umzugehen. Um Abbuchungen im Schadensfall gering zu halten, könnte man zudem iTunes-Käufe allein mit Guthaben aus iTunes-Karten begleichen und alle anderen Zahlungsmittel aus dem eigenen Account entfernen – sonderlich bequem ist das jedoch nicht.

Betroffenen Nutzern bleibt die Option, bei ihrem zuständigen Polizeiamt Anzeige gegen Unbekannt zu erstatten. Einige Staatsanwaltschaften haben mittlerweile auch geeignete Strafanzeigeformulare auf ihren Webseiten (auf der Online-Wache der Polizei Niedersachsen finden sich auch Links zu anderen Bundesländern). Der Nutzen des Ganzen ist allerdings begrenzt, denn die Ermittlungsbehörden sind gerade auch in Sachen Cyberkriminalität überlastet und konzentrieren ihre begrenzten Ressourcen auf schwerwiegendere Verbrechen. Immerhin bekommen sie und in letzter Instanz auch der Gesetzgeber so aber mit, dass hier möglicherweise Handlungsbedarf besteht. Nach unseren Erfahrungen sind die meisten Opfer solcher Betrugsfälle aber schon zufrieden, wenn sie ihr Geld zurückbekommen und davon ausgehen können, dass die Fremdkäufe sich nicht wiederholen.

Die Entwickler der betroffenen Apps haben kaum Möglichkeiten, präventiv einzuschreiten – ihnen bleibt nur, unzulässig befüllte Spielerkonten nachträglich zu sperren. Apple könnte hingegen theoretisch eine weitere Absicherung bieten, indem grundsätzlich ein Code bei Einkäufen von neuen Geräten aus abgefragt wird, so wie es bei Kreditkartennutzung bereits der Fall ist. Dies würde allerdings ein ähnliches System erfordern wie den Sicherheitscode auf Kreditkarten und den sonst recht bequemen Einkauf im App Store komplexer gestalten – zumindest einmalig pro Neugerät. Zum schnellen Erkennen des Account-Missbrauchs wäre es hilfreich, wenn iTunes die Belege über getätigte Käufe nicht erst nach mehreren Tagen schickt, sondern sofort.

Ob und in welcher Form Apple gegen den Account-Klau und die Fremdkäufe vorgeht, bleibt abzuwarten. Es dürfte allerdings im Interesse des Unternehmens liegen, die Gelegenheit zum Account-Missbrauch so weit wie möglich zu unterbinden – schließlich kratzen die fortwährenden In-App-Betrügereien am Image des App Store als Ort, an dem sich sorglos, unkompliziert und nebenwirkungsfrei Software beziehen lässt.

Apple wollte das Thema gegenüber Mac & i bislang nicht kommentieren. (lbe)