Nur mit iPhone-PIN: Diebe räumen Apple-ID und Bankkonten ab

iPhone-Diebstähle können zu einer vollständigen Apple-ID- und Bankkonten-Übernahme führen. Schuld ist Apples (zu) einfache Passwort-Recovery per PIN.

In Pocket speichern vorlesen Druckansicht 429 Kommentare lesen
iPhone-Diebstahl (Symbolbild)

iPhone-Diebstahl (Symbolbild).

(Bild: Shutterstock / Donenko Oleksii)

Update
Lesezeit: 8 Min.
Inhaltsverzeichnis

In den USA, Europa und Asien häufen sich Fälle von Apple-ID-Übernahmen mit Hilfe geklauter iPhones. Dabei räumen Kriminelle unter anderem auch Bankkonten und andere Finanz-Apps leer, die User auf ihrem Apple-Smartphone verwenden, berichtet das Wall Street Journal.

Die Diebe machen sich dabei zunutze, dass es erstaunlich einfach ist, das zentrale Passwort einer Apple-ID zu ändern und damit praktisch an alle auf dem iPhone (und im Apple-Account, also der iCloud) vorhandenen Daten zu gelangen. Dafür reicht nämlich eine – erschlichene oder erpresste – PIN des Smartphones aus, das ursprüngliche Passwort wird nicht benötigt. Apple betrachtet diese PIN, die standardmäßig sechs Stellen hat und aus Zahlen besteht (aber auch vierstellig oder alphanumerisch sein kann) laut eigenen Angaben als "Grundlage" dafür, "wie ein iPhone-, iPad-, Mac- oder Apple Watch-Gerät die Benutzerdaten kryptografisch schützt".

Diebe könnten dadurch "das gesamte digitale Leben" einer Person übernehmen, so das Wall Street Journal. Schlimmer noch: Es gibt diverse Fälle, in denen es den Bestohlenen nicht einmal gelang, ihre Apple-ID zurückzuerhalten – sie verloren also auch Fotos oder Backups in der Cloud. Manchmal werden auch alle anderen Geräte über die "Wo ist?"-Funktion gesperrt, falls diese aktiv ist, es erfolgt also auch eine Sperre eventuell vorhandener iPads oder Macs. Dies dient jeweils dazu, Nutzern zu verweigern, wieder in ihren Account zu gelangen, während die Diebe Geld und Daten abräumen.

Apple teilte mit, man habe "Mitgefühl mit den Nutzern, die diese Erfahrung gemacht haben". Man nehme "alle Angriffe auf unsere Nutzer sehr ernst, egal wie selten sie sind". Man glaube, dass diese Verbrechen ungewöhnlich sind, weil sie den Diebstahl des Geräts und des Passcodes erfordern. "Wir werden die Schutzmaßnahmen weiter verbessern, um die Sicherheit der Benutzerkonten zu gewährleisten." Doch selten scheine diese Methode laut dem Bericht nicht (mehr) zu sein, wie das Wall Street Journal schreibt. Es handele sich wahrscheinlich um organisierte Gruppen.

Oft erfolgen die Angriffe in Bars oder Restaurants über mehrere Stunden. Dabei arbeiten die Kriminellen im Team. Eine Person beobachtet den iPhone-Besitzer, filmt ihn womöglich bei der PIN-Eingabe. Normalerweise erfolgt diese bei den Geräten eher selten, weil diese über biometrische Sicherheitssysteme (Gesichtserkennung Face ID oder Fingerabdruckerkennung Touch ID) verfügen. Dennoch kommt es im Alltag vor, dass sich das iPhone der biometrischen Entsperrung verweigert, was dann wiederum die PIN-Eingabe verlangt. Manchmal werden iPhone-Besitzer aber auch bedroht, ihre PIN herauszurücken.

Haben die Gangster die PIN, klauen sie das iPhone und sperren innerhalb von wenigen Minuten die Apple-ID über eine Passwortänderung, was wie erwähnt auf dem iPhone nur einen Ausflug in die Systemeinstellungen samt PIN-Eingabe verlangt. Dann wird häufig auch ein sogenannter Recovery-Key gesetzt, mit dem man seine Apple-ID zusätzlich absichern kann. Das wiederum sorgt dafür, dass eine Rückerlangung des Accounts fast unmöglich ist. Gleichzeitig werden andere Sicherheitsmaßnahmen wie "Wo ist?" deaktiviert, damit iPhone-Besitzer ihr geklautes Gerät nicht tracken können und die vertrauenswürdige Telefonnummer verändert. In einem vom Wall Street Journal geschilderten Fall dauert das alles nur drei Minuten.

Ebenfalls von Dieben ausgenutzt wird, dass die iPhone-PIN auch alle biometrisch geschützten Apps entsperrt – also etwa Banking-Programme. Sie dient jeweils als Fallback. Sollte dieses Vorgehen nicht sofort funktionieren, könnten sich die Kriminellen mittels PIN und gegebenenfalls geändertem Apple-ID-Passwort auch am iCloud-Schlüsselbund bedienen, in dem viele User Bankzugänge ablegen. In einem von Wall Street Journal geschilderten Fall gingen viele Tausend US-Dollar durch Abbuchungen verloren, dabei wird gerne auch Apple Cash als virtuelle Karte verwendet. Auch die auf dem Gerät hinterlegten Kreditkarten lassen sich per PIN nutzen, ebenso diverse Bezahl-Apps. Es kam zudem vor, dass Diebe eine Apple-Card-Kreditkarte auf den Nutzernamen bestellten und diese gleich auf dem iPhone verwendeten – mit Hilfe von weiteren Daten wie der Social-Security-Nummer, die auf Fotos im Gerät hinterlegt war.

Die Fälle zeigen, wie wichtig es ist, seine iPhone-PIN abzusichern. Sie sollte mindestens sechs Stellen haben, besser wäre allerdings, gleich eine alphanumerische PIN zu wählen, was alternativ seit Jahren möglich ist. Dies wird allerdings selten gemacht, weil dies zu unbequem erscheint. Bei der Eingabe der PIN ins iPhone sollte man zudem sehr vorsichtig sein und sie ähnlich wie eine Kreditkarten-PIN behandeln, also das iPhone beispielsweise abdecken, um nicht bei der Eingabe beobachtet zu werden.

Außerdem sollte man Apps, bei denen dies funktioniert, mit einem jeweils eigenen Passwort oder einer PIN absichern, die eine andere ist als die des iPhone. Es kann zudem ratsam sein, einen alternativen Passwortmanager statt des iCloud-Schlüsselbunds (wiederum mit eigenen Zugangsdaten) zu verwenden. Sensible Daten sollte man möglichst nicht als Foto speichern oder diese in speziell gesicherten Passwortmanagern ablegen. Das iPhone lässt sich zudem besser absichern, wenn man mittels Bildschirmzeit Restriktionen für die Apple-ID setzt, die man wiederum mittels (eigener!) PIN absichert.

Außerdem ist es wichtig, bei einem Diebstahl schnell zu reagieren. Das Wall Street Journal empfiehlt gar, das Gerät über das iCloud-Portal sofort aus der Ferne zu löschen, da Diebe eine eventuelle Sperre ("Verloren-Modus") mit der PIN umgehen können. Man sollte zudem sofort die SIM-Karte sperren lassen (über den Mobilfunkanbieter), damit Diebe keine Codes für die Zwei-Faktor-Authentifizierung über die "vertrauenswürdige Telefonnummer" erhalten können. Auch ist es sinnvoll, bei allen verwendeten Bezahl- oder E-Commerce-Diensten (inklusive Amazon) das Passwort zu ändern und – falls möglich – alle Geräte aus der Ferne auszuloggen.

Apple selbst sollte es deutlich erschweren, Apple-IDs zu übernehmen. So sollte es nicht ausreichen, nur die iPhone-PIN zu haben, um das Passwort zu ändern – so unbequem das für den Nutzer auch sein mag. Mindestens das alte Passwort müsste verlangt werden, alternativ eine zweite PIN als "PUK" für den Account. Weiterhin sollte das iCloud-Schlüsselbund zusätzlich geschützt sein, da auch hier die PIN ausreicht. Um die Apple-ID besser zu schützen – und die Wiederherstellung zu erleichtern – könnte es hilfreich sein, Nutzer stärker auf die Funktion des Wiederherstellungsschlüssels (Recovery Key) aufmerksam zu machen. Allerdings ist dieser ebenfalls an die PIN des iPhone geknüpft, könnte also von Dieben nachträglich geändert werden, wenn man nicht schnell genug ist.

Weitere Details zur Absicherung der Apple-ID aus Sicht von Profis und Administratoren finden Sie auch bei Mac & i Pro, wo das Thema bereits diskutiert wird.

[Update 28.02.23 18:56 Uhr:] Nicht alle Banking-Apps setzen auf Apples Standard-API für Face ID und Touch ID, bei der die iPhone-PIN als Fallback dient. So betonte ein Vertreter der für die Sparkassen-Finanzgruppe tätigen Finanz Informatik gegenüber Mac & i, die Sparkassen-Banking-Apps nutzten zwar Apples Biometrie, doch verlangen sie bei Fehlschlagen der biometrischen Erkennung das App-Passwort, das der Kunde bei Einrichtung der App festgelegt hat. "Das heißt das Ausspähen der iPhone-PIN ermöglicht dem Angreifer nicht automatisch Zugriff auf das Banking."

Auch Passwortmanager wie 1Password gehören oft zu den Programmen, die nach Scheitern der Anmeldung per Face ID oder Touch ID das App-Passwort – in diesem Fall das Masterpasswort – verlangen. Das Problem: Hat man die Passwörter für das Banking oder den Passwortmanager selbst wiederum im iCloud-Schlüsselbund hinterlegt, kommen Diebe an diese gegebenenfalls per PIN heran. Dies war auch bei einem der vom Wall Street Journal erwähnten Opfer offenbar der Fall.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(bsc)