Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Walliser Musikfestival vor herrlicher Bergkulisse. Und mittendrin lauern Diebe. Bild: openair gampel

Wie Lukas das iPhone gestohlen wurde und er in Teufels Küche kam

Am Open Air Gampel verschwindet das Handy eines jungen Mannes unter merkwürdigen Umständen. Wochen später erhält er verdächtige Mitteilungen und man versucht, ihm sein Apple-Passwort zu entlocken. Teil 1 einer Recherche, die bis nach China und ins Darknet führt.



Dies ist der erste Teil der watson-Serie zum Diebstahlschutz für das iPhone, die sogenannte Aktivierungssperre.

Am Anfang der Geschichte steht ein junger Mann, dessen Apple-Handy an einem Open Air verschwindet. Dann versuchen Unbekannte, mit raffinierten Phishing-Attacken sein Passwort zu stehlen. Das Beunruhigende: Die Angreifer kennen offenbar den Namen des Opfers und auch seine private E-Mail-Adresse. Wie sind sie da rangekommen?

1. Die freche Tat
2. «Apple Support» greift an
3. Woher kennen die Kriminellen das Opfer?
4. Ein ähnlicher Fall, aber ...
5. Was iPhone-Nutzer beachten sollten
6. Apple startet Untersuchung

Teil 2 folgt demnächst: Das dreckige Business mit gesperrten iPhones – und wie man die «Activation Lock» aufhebt

Für eilige watson-Userinnen und -User: Am Schluss des Artikels folgt eine Zusammenfassung.

Die freche Tat

Friedliche Partystimmung und Live Acts unter freiem Himmel: Am 18. August reist Lukas* (Name geändert) mit Kollegen ans legendäre Gampel-Musikfestival.

Die Rückreise aus dem Wallis muss der watson-Leser ohne iPhone antreten. Noch am ersten Tag wird es ihm während eines Konzerts gestohlen und ist seither verschwunden.

Lukas hat sich bei uns gemeldet, weil ihm Wochen später verdächtige «Apple Support»-Mitteilungen auf sein neues Handy geschickt werden (dazu gleich mehr). Aber lassen wir ihn zuerst von seinem ziemlich schrägen Erlebnis an jenem Donnerstagabend im Oberwallis erzählen:

«So, wie ich es mitbekommen habe, wurden während des K.I.Z.-Konzerts Telefone im grossen Stil geklaut. Es gab danach sehr viele Besucher, die das Handy nicht mehr hatten und es suchten. Einige Leute – darunter zwei meiner Kollegen und ich – fanden eine Joker-Karte in der Tasche. Es würde mich darum sehr wundernehmen, ob auch andere eine solche ‹Message› erhalten haben.»

Lukas

Handy weg?

Kennst du jemanden, dessen Smartphone am Gampel Open Air 2016 gestohlen wurde? Insbesondere interessiert uns, ob statt des Geräts etwas Ungewöhnliches entdeckt wurde. Und: Gingen nach dem Festival bei der bestohlenen Person persönlich adressierte Mitteilungen per SMS oder E-Mail ein, die mit «Apple Support» unterzeichnet waren? Rückmeldungen bitte an:
daniel.schurter@watson.ch
 

(Alle Angaben werden vertraulich behandelt. Wer verschlüsselt kommunizieren möchte: Der PGP-Schlüssel des Autors ist über Public Key Server verfügbar).

«Hurra, die Welt geht unter» – K.I.Z. am Gampel 2016

abspielen

Video: YouTube/OpenAir Gampel

31 Verlustanzeigen

Die Kantonspolizei Wallis erklärt auf Anfrage, dass am ersten Gampel-Tag, als auch K.I.Z. auftraten, 31 Handy-Verlustanzeigen registriert wurden. Dies deckt sich mit dem Bericht des regionalen Online-Mediums «1815.ch».

An den weiteren Festival-Tagen wurden gemäss Polizeisprecher Markus Rieder deutlich weniger «Verluste» verzeichnet. Von aufgefundenen Joker-Karten oder anderen ungewöhnlichen Vorkommnissen wisse er nichts.

Bild

So viele vermisste Handys wurden am Gampel Open Air 2016 der Polizei gemeldet. quelle: kantonspolizei wallis

Auslöser solcher Verlustmeldungen seien nicht immer Kriminelle, gibt der Walliser Polizeisprecher zu bedenken. Handys und Portemonnaies könnten beim Tanzen unbemerkt zu Boden fallen. Nicht immer würden in den Morast gestampfte Wertsachen später von ehrlichen Findern retourniert ...

Es gab auch Schadenfreudige ...

Bild

Eintrag auf der Gampel-Website im «Ich suche dich»-Bereich. screenshot: watson

Der watson-Redaktor hat beim Organisationskomitee um eine Stellungnahme gebeten, doch der Mediensprecher gab sich zugeknöpft. Um negative Publicity zu vermeiden?

Olivier Imboden wollte die Handy-Diebstähle jedenfalls nicht kommentieren. Nur so viel: «Uns sind keine speziellen Vorkommnisse während des K.I.Z.-Konzerts bekannt.»

«Apple Support» greift an

Wenn das iPhone weg ist, bedeutet das Umtriebe. Vorsichtige haben vorgesorgt: Dann sind wenigstens die wichtigen persönlichen Daten (Kontakte, Fotos etc.) nicht für immer verloren, sondern als Sicherheitskopie verfügbar.

Nachdem Lukas den Verlust seinem Mobilfunk-Provider gemeldet und bei der Polizei angezeigt hat, schafft er ein Ersatzgerät an und kann dank iCloud-Backup (fast) alles wiederherstellen.

Der Diebstahl wäre bald nur noch eine spannende Anekdote. Doch dann geht einige Wochen später – völlig unerwartet – auf seinem neuen iPhone ein erster «Warnhinweis» ein ...

Bild

screenshot: watson

In der an ihn adressierten, mit «Apple Support» unterzeichneten E-Mail heisst es auf Englisch, dass ein mit seiner Apple-ID verknüpftes iPhone 6S «erfolgreich mit dem Netzwerk verbunden» worden sei und nun versuche, sich zu aktivieren. Falls er dies nicht veranlasst habe, werde ihm dringend empfohlen, apple.ifoong.com aufzurufen, um den Standort zu erfahren und «sein Gerät» zurückzuerlangen.

Und so sieht die ihm gestellte Falle aus:

Bild

screenshot: watson

Es handelt sich offensichtlich um einen Phishing-Versuch. Das heisst, man versucht Lukas sein iCloud-Passwort zu stehlen, indem man ihn auf eine gefälschte Webseite lockt.

Zwar sieht die Webseite auf den ersten Blick so aus, als würde sie tatsächlich zum iCloud-Dienst iPhone-Suche gehören. Doch müssen zwei Beobachtungen stutzig machen:

So muss es aussehen

Bild

Schloss = sichere Verbindung

Bild

Lukas lässt sich zum Glück nicht hereinlegen. Und die Angreifer lassen nicht locker. Immer wieder schickten sie ihm neue «Apple Support»-Mitteilungen. Die Unbekannten versuchen ihn auch emotional unter Druck zu setzen, indem sie ihm vorgaukeln, seine in der iCloud gespeicherten iPhone-Fotos (Photo Stream) und Nutzerdaten würden von Fremden abgegriffen.

Bild

screenshot: watson

Als die Domain apple.ifoong.com von den gängigen Web-Browsern wie Chrome und Safari blockiert wird ...

Phishing-Warnung apple.ifoong.com

Was heisst hier «Phishing-Verdacht»? screenshot: watson

... dauert es nicht lang, und man versucht, Lukas auf eine neue Webseite zu locken. Natürlich ist auch die präpariert ...

Phishing-Nachricht an iPhone-User

screenshot: watson

Woher kennen die Kriminellen das Opfer?

Damit kommen wir zum zentralen Punkt, in dem sich die Angriffe auf Lukas von den Millionen Phishing-Mails, die Tag für Tag weltweit verschickt werden, unterscheiden:

Die Kriminellen kennen seinen Vornamen, Nachnamen und auch die Mail-Adresse, die mit seinem Apple-Konto verknüpft ist.

Lukas heisst im wahren Leben nicht Lukas. Um seine Identität zu schützen, haben wir ihm ein Pseudonym gegeben. Sein richtiger Vorname hat eine spezielle Schreibweise. Und eine Web-Suche nach seiner privaten E-Mail-Adresse (in der sein korrekter Vorname nicht enthalten ist) ergibt keinen Treffer.

Der Bestohlene sagt über die Angreifer:

«Es ist mir unerklärlich, wie sie an die persönlichen Angaben gekommen sind.»

Für die zielgerichteten Phishing-Angriffe gibt es eine äusserst unwahrscheinliche sowie eine plausible Erklärung: 

Fakt ist: Die bei den Phishing-Attacken auf Lukas eingesetzten Fake-Webseiten haben ihren Ursprung in China. Die Internet-Domain ifoong.com wurde in Shanghai registriert.

China-Connection, iPhone-Phishing

Der Eigentümer der Domain (Registrant) will seine Identität nicht offenlegen. Für die Registrierung nahm er die Dienste einer dubiosen Organisation in Anspruch. Bei der «Shanghai Meicheng Technology Information Development Co.» handelt es sich um eine Gesellschaft mit sehr beschränkter Haftung.

Bild

screenshot: scamwarners.com

Es deutet alles daraufhin, dass hinter den Phishing-Attacken ein professioneller Anbieter steht, der seine kriminelle Dienstleistung gegen Paypal-Dollars im Web anbietet. Vom November 2015 datiert ein Eintrag im offiziellen Apple-Forum, in dem ein iPhone-User einen nahezu identischen Angriff schildert.

Bild

Diese Phishing-Attacke hatte den gleichen (chinesischen) Ursprung.  screenshot: discussions.apple.com

Die mutmassliche Briefkastenfirma hat seit Jahren einen schlechten Ruf. Schon 2014 wurden Internetnutzer vor Scams (Betrügereien) gewarnt, die von zahlreichen anderen registrierten Domains ausgingen.

Sicher ist:

In China wird nicht nur Apples iPhone fabriziert, aus dem Reich der Mitte kommen auch viele Attacken auf die Käuferinnen und Käufer.

Im zweiten Teil dieser watson-Serie nehmen wir das dreckige Business rund um die «iCloud Removal Services» unter die Lupe. Doch nun geht's vorerst zurück nach Europa.

Ein ähnlicher Fall, aber ...

Im Juli, einen Monat, bevor Unbekannte die Apple-ID von Lukas zu ergaunern versuchen, erlebt ein finnischer IT-Manager einen Phishing-Angriff mit interessanten Parallelen. 

Joonas Kiminki beschreibt im Hackernoon-Blog, wie sein iPhone in Italien aus einem aufgebrochenen Auto gestohlen wurde. 11 Tage danach erhält er per SMS und E-Mail an ihn adressierte Mitteilungen. Unbekannte wollen über geschickt präparierte iCloud-Webseiten sein Passwort ergaunern.

Bild

screenshot: hackernoon.com

Der Finne rätselt, woher die Angreifer seinen Namen kennen, denn das gestohlene iPhone war durch die Aktivierungssperre geschützt. Kiminki vermutet, dass sein mit einem PIN-Code geschütztes Gerät die Informationen preisgegeben hat:

Im sogenannten Notfallpass (auf Englisch «Medical ID»), der zur Health-App von iOS gehört, lassen sich medizinisch relevante Informationen so abspeichern, dass Dritte sie in einem Notfall über den Sperrbildschirm abrufen können. Und dort hatte Kiminki offenbar seinen Namen und Vornamen hinterlegt. 

Der clevere Dieb oder ein anderer Krimineller, dem das iPhone in die Hände fiel, hätte dann mit einer Internetsuche nach dem ungewöhnlichen Namen Kiminkis Mailadresse herausgefunden. Sie ist über die Website seines Unternehmens zugänglich.

Ob tatsächlich so vorgegangen wurde, ist offen. Kiminiki rät jedenfalls allen iOS-Nutzern und potenziellen Opfern:

«Falls du jemals dein iPhone, iPad oder den iPod verlierst, sei besonders wachsam, denn es drohen Versuche, deine Identität zu stehlen.»

Joonas Kiminki

Was unseren Fall betrifft: Lukas hatte auf seinem iPhone (mit aktuellem iOS-System) den Notfallpass nicht ausgefüllt. Die Kriminellen müssen also auf anderem Weg an seinen Namen und die Mailadresse gelangt sein.

Die Angreifer konnten auch nicht über eine Sicherheitslücke bei der sprachgesteuerten iPhone-Assistentin Siri an die Kontaktdaten gekommen sein. Lukas war vorsichtig genug gewesen, den Zugriff auf Siri vom Sperrbildschirm aus (über die System-Einstellungen des Geräts) zu verbieten.

Und auch eine weitere Möglichkeit, wie die Angreifer an die Daten von Lukas gelangt sein könnten, ist auszuschliessen: Das gestohlene iPhone wurde nicht in den Verloren-Modus gesetzt. Es wurde also auf dem Sperrbildschirm keine Nachricht mit Kontakt-Telefonnummer oder Mail-Adresse angezeigt.

Was iPhone-Nutzer beachten sollten

Zunächst einmal sollte man sich vergewissern, dass die Option «Mein iPhone suchen» in den System-Einstellungen aktiviert ist. Hinweis: Das iCloud-Sicherheitsfeature funktioniert auch, wenn die Apple-App «iPhone-Suche» nicht installiert ist.

Mein iPhone suchen, iCloud-Sicherheitsfunktion iOS 10, iPhone 6S, Screenshot

Sollte unbedingt aktiviert sein! Bild: watson

Um sich vor Phishing-Attacken zu schützen und einem Identitäts-Diebstahl vorzubeugen, sollte man gemäss den Sicherheitsexperten von Intego die folgenden Ratschläge rund um die iPhone-Nutzung beherzigen:

Bild

screenshot: watson

Apple startet eine Untersuchung

Verunsichert durch die unerklärliche, auf ihn zugeschnittene Attacke, wendet sich Lukas Mitte September an den iPhone-Hersteller. Auf eine erste Nachricht, die er Apple an eine allgemeine Mailadresse schreibt, antwortet niemand. Darum ruft er ein paar Tage später beim Apple-Support an.

Am Telefon erhält Lukas jedoch keine beruhigende Auskunft. «Denen war das auch nicht bekannt.» Man habe ihn nur darauf hingewiesen, dass es Phishing-Nachrichten seien. Und:

«Auf alle Fälle dürfte das aus Ihrer Sicht nicht vorkommen und sehe nach einer neuen nicht bekannten Lücke aus.»

Auskunft, die Lukas vom Apple-Support erhielt

Nachdem der watson-Redaktor mit der Recherche beginnt und erste Anfragen bei Apple einreicht, kommt Bewegung in den merkwürdigen Fall. Ein relativ hochrangiger Mitarbeiter von Apples Europa-Sitz meldet sich bei Lukas und befragt ihn ausführlich. Zwei Tage später trifft eine E-Mail aus dem irischen Cork ein: «Wie besprochen am Telefon werde ich der Angelegenheit weiter nachgehen, und ich hoffe bis Ende der Woche weitere Informationen für Sie zu haben.»

Als Lukas erneut aus Irland angerufen wird, kann ihm der Apple-Mann jedoch keine beruhigende Auskunft geben. Er habe nicht wirklich viel gesagt, erzählt Lukas, ausser dass die Infos nicht über «iPhone suchen» gefunden worden seien. Der Fall sei intern weitergeleitet worden, habe man ihm weiter gesagt, aber:

«Wie die Kriminellen an meine Daten gekommen sind, konnte man mir nicht sagen. Und ob sich Apple deswegen wirklich Sorgen macht, weiss ich auch nicht.»

Lukas

Wie viele andere Apple-Kunden ebenfalls von gezielten Phishing-Attacken betroffen waren, ist nicht bekannt. Unsere Recherche ergibt jedenfalls keine gehäufte Berichterstattung.

Nachdem das deutsche IT-News-Portal heise.de Anfang August über den Angriff auf Joonas Kiminki berichtet hatte, meldete sich ein weiteres Diebstahl-Opfer via Kommentarfunktion.

Bild

Sicher ist: watson bleibt am Thema dran. Zum jetzigen Zeitpunkt ist nicht auszuschliessen, dass Kriminelle dank Sicherheitslücken an die Kontaktdaten der Diebstahl-Opfer gelangen konnten. Dann wären hunderte Millionen iOS-Nutzer im Visier:

Teil 2 folgt demnächst: Das dreckige Business mit gesperrten iPhones – und wie man die «Activation Lock» aufhebt

In Eile? Hier gibt's die Zusammenfassung:

Die eindrücklichsten und schönsten iPhone-Fotos des Jahres 2016

Tipps und Tricks zu iOS 10

11 ultimative Tipps und Tricks fürs iPhone (mit iOS 10)

Link zum Artikel

iOS 10 ist da – das müssen iPhone- und iPad-Nutzer wissen

Link zum Artikel

12 praktische Features von iOS 10, die iPhone-Nutzern das Leben erleichtern

Link zum Artikel

So einfach kann man witzige GIFs mit dem iPhone verschicken

Link zum Artikel
DANKE FÜR DIE ♥

Da du bis hierhin gescrollt hast, gehen wir davon aus, dass dir unser journalistisches Angebot gefällt. Wie du vielleicht weisst, haben wir uns kürzlich entschieden, bei watson keine Login-Pflicht einzuführen. Auch Bezahlschranken wird es bei uns keine geben. Wir möchten möglichst keine Hürden für den Zugang zu watson schaffen, weil wir glauben, es sollten sich in einer Demokratie alle jederzeit und einfach mit Informationen versorgen können. Falls du uns dennoch mit einem kleinen Betrag unterstützen willst, dann tu das doch hier.

Würdest du gerne watson und Journalismus unterstützen?

(Du wirst zu stripe.com (umgeleitet um die Zahlung abzuschliessen)

Oder unterstütze uns mit deinem Wunschbetrag per Banküberweisung.

Nicht mehr anzeigen

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Eine Frau zu sein ist gefährlicher als...

7949 Frauen erlebten in der Schweiz im vergangenen Jahr häusliche Gewalt. Zum internationalen Tag zur Beseitigung von Gewalt gegen Frauen nehmen wir diese Zahl unter die Lupe.

Wir schreiben das Jahr 2019 und noch immer werden jährlich tausende Frauen in der Schweiz Opfer von häuslicher Gewalt. Du denkst, wir übertreiben? Dann schau dir mal die Zahlen der polizeilichen Kriminalstatistik an.

2019 wurden in der Schweiz in 365 Tagen ...

... Opfer durch häusliche Gewalt. Das sind ...

Oder ...

Beinahe jede Stunde wird also eine Frau Opfer von häuslicher Gewalt. Im Jahr 2019 wurden dabei insgesamt 19 Frauen getötet. Oder anders ausgedrückt:

Zusätzlich kam es in der Schweiz im …

Artikel lesen
Link zum Artikel