DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Walliser Musikfestival vor herrlicher Bergkulisse. Und mittendrin lauern Diebe.
Walliser Musikfestival vor herrlicher Bergkulisse. Und mittendrin lauern Diebe.

Wie Lukas das iPhone gestohlen wurde und er in Teufels Küche kam

Am Open Air Gampel verschwindet das Handy eines jungen Mannes unter merkwürdigen Umständen. Wochen später erhält er verdächtige Mitteilungen und man versucht, ihm sein Apple-Passwort zu entlocken. Teil 1 einer Recherche, die bis nach China und ins Darknet führt.
10.10.2016, 10:36

Dies ist der erste Teil der watson-Serie zum Diebstahlschutz für das iPhone, die sogenannte Aktivierungssperre.

Am Anfang der Geschichte steht ein junger Mann, dessen Apple-Handy an einem Open Air verschwindet. Dann versuchen Unbekannte, mit raffinierten Phishing-Attacken sein Passwort zu stehlen. Das Beunruhigende: Die Angreifer kennen offenbar den Namen des Opfers und auch seine private E-Mail-Adresse. Wie sind sie da rangekommen?

1. Die freche Tat
2. «Apple Support» greift an
3. Woher kennen die Kriminellen das Opfer?
4. Ein ähnlicher Fall, aber ...
5. Was iPhone-Nutzer beachten sollten
6. Apple startet Untersuchung

Teil 2 ist auch verfügbar: Das dreckige Business mit gesperrten iPhones – und wie man die «Activation Lock» aufhebt

Für eilige watson-Userinnen und -User: Am Schluss des Artikels folgt eine Zusammenfassung.

Die freche Tat

Friedliche Partystimmung und Live Acts unter freiem Himmel: Am 18. August reist Lukas* (Name geändert) mit Kollegen ans legendäre Gampel-Musikfestival.

Die Rückreise aus dem Wallis muss der watson-Leser ohne iPhone antreten. Noch am ersten Tag wird es ihm während eines Konzerts gestohlen und ist seither verschwunden.

Lukas hat sich bei uns gemeldet, weil ihm Wochen später verdächtige «Apple Support»-Mitteilungen auf sein neues Handy geschickt werden (dazu gleich mehr). Aber lassen wir ihn zuerst von seinem ziemlich schrägen Erlebnis an jenem Donnerstagabend im Oberwallis erzählen:

«So, wie ich es mitbekommen habe, wurden während des K.I.Z.-Konzerts Telefone im grossen Stil geklaut. Es gab danach sehr viele Besucher, die das Handy nicht mehr hatten und es suchten. Einige Leute – darunter zwei meiner Kollegen und ich – fanden eine Joker-Karte in der Tasche. Es würde mich darum sehr wundernehmen, ob auch andere eine solche ‹Message› erhalten haben.»
Lukas
Handy weg?
Kennst du jemanden, dessen Smartphone am Gampel Open Air 2016 gestohlen wurde? Insbesondere interessiert uns, ob statt des Geräts etwas Ungewöhnliches entdeckt wurde. Und: Gingen nach dem Festival bei der bestohlenen Person persönlich adressierte Mitteilungen per SMS oder E-Mail ein, die mit «Apple Support» unterzeichnet waren? Rückmeldungen bitte an:
daniel.schurter@watson.ch


(Alle Angaben werden vertraulich behandelt. Wer verschlüsselt kommunizieren möchte: Der PGP-Schlüssel des Autors ist über Public Key Server verfügbar).

«Hurra, die Welt geht unter» – K.I.Z. am Gampel 2016

31 Verlustanzeigen

Die Kantonspolizei Wallis erklärt auf Anfrage, dass am ersten Gampel-Tag, als auch K.I.Z. auftraten, 31 Handy-Verlustanzeigen registriert wurden. Dies deckt sich mit dem Bericht des regionalen Online-Mediums «1815.ch».

An den weiteren Festival-Tagen wurden gemäss Polizeisprecher Markus Rieder deutlich weniger «Verluste» verzeichnet. Von aufgefundenen Joker-Karten oder anderen ungewöhnlichen Vorkommnissen wisse er nichts.

So viele vermisste Handys wurden am Gampel Open Air 2016 der Polizei gemeldet.
So viele vermisste Handys wurden am Gampel Open Air 2016 der Polizei gemeldet.
quelle: kantonspolizei wallis

Auslöser solcher Verlustmeldungen seien nicht immer Kriminelle, gibt der Walliser Polizeisprecher zu bedenken. Handys und Portemonnaies könnten beim Tanzen unbemerkt zu Boden fallen. Nicht immer würden in den Morast gestampfte Wertsachen später von ehrlichen Findern retourniert ...

Es gab auch Schadenfreudige ...

Eintrag auf der Gampel-Website im «Ich suche dich»-Bereich.
Eintrag auf der Gampel-Website im «Ich suche dich»-Bereich.
screenshot: watson

Der watson-Redaktor hat beim Organisationskomitee um eine Stellungnahme gebeten, doch der Mediensprecher gab sich zugeknöpft. Um negative Publicity zu vermeiden?

Olivier Imboden wollte die Handy-Diebstähle jedenfalls nicht kommentieren. Nur so viel: «Uns sind keine speziellen Vorkommnisse während des K.I.Z.-Konzerts bekannt.»

«Apple Support» greift an

Wenn das iPhone weg ist, bedeutet das Umtriebe. Vorsichtige haben vorgesorgt: Dann sind wenigstens die wichtigen persönlichen Daten (Kontakte, Fotos etc.) nicht für immer verloren, sondern als Sicherheitskopie verfügbar.

Nachdem Lukas den Verlust seinem Mobilfunk-Provider gemeldet und bei der Polizei angezeigt hat, schafft er ein Ersatzgerät an und kann dank iCloud-Backup (fast) alles wiederherstellen.

Der Diebstahl wäre bald nur noch eine spannende Anekdote. Doch dann geht einige Wochen später – völlig unerwartet – auf seinem neuen iPhone ein erster «Warnhinweis» ein ...

screenshot: watson

In der an ihn adressierten, mit «Apple Support» unterzeichneten E-Mail heisst es auf Englisch, dass ein mit seiner Apple-ID verknüpftes iPhone 6S «erfolgreich mit dem Netzwerk verbunden» worden sei und nun versuche, sich zu aktivieren. Falls er dies nicht veranlasst habe, werde ihm dringend empfohlen, apple.ifoong.com aufzurufen, um den Standort zu erfahren und «sein Gerät» zurückzuerlangen.

Und so sieht die ihm gestellte Falle aus:

screenshot: watson

Es handelt sich offensichtlich um einen Phishing-Versuch. Das heisst, man versucht Lukas sein iCloud-Passwort zu stehlen, indem man ihn auf eine gefälschte Webseite lockt.

Zwar sieht die Webseite auf den ersten Blick so aus, als würde sie tatsächlich zum iCloud-Dienst iPhone-Suche gehören. Doch müssen zwei Beobachtungen stutzig machen:

  • Die Web-Adresse (Domain) entspricht keiner bekannten Apple-Adresse wie apple.com oder icloud.com.
  • Der Browser zeigt in der Adresszeile kein grünes Schloss an. Diese Symbolik würde eine funktionierende Verschlüsselung der über das Internet transportierten Web-Inhalte kennzeichnen, sie wird HTTPS genannt.

So muss es aussehen

Schloss = sichere Verbindung

Lukas lässt sich zum Glück nicht hereinlegen. Und die Angreifer lassen nicht locker. Immer wieder schickten sie ihm neue «Apple Support»-Mitteilungen. Die Unbekannten versuchen ihn auch emotional unter Druck zu setzen, indem sie ihm vorgaukeln, seine in der iCloud gespeicherten iPhone-Fotos (Photo Stream) und Nutzerdaten würden von Fremden abgegriffen.

screenshot: watson

Als die Domain apple.ifoong.com von den gängigen Web-Browsern wie Chrome und Safari blockiert wird ...

Was heisst hier «Phishing-Verdacht»?
Was heisst hier «Phishing-Verdacht»?
screenshot: watson

... dauert es nicht lang, und man versucht, Lukas auf eine neue Webseite zu locken. Natürlich ist auch die präpariert ...

screenshot: watson

Woher kennen die Kriminellen das Opfer?

Damit kommen wir zum zentralen Punkt, in dem sich die Angriffe auf Lukas von den Millionen Phishing-Mails, die Tag für Tag weltweit verschickt werden, unterscheiden:

Die Kriminellen kennen seinen Vornamen, Nachnamen und auch die Mail-Adresse, die mit seinem Apple-Konto verknüpft ist.

Lukas heisst im wahren Leben nicht Lukas. Um seine Identität zu schützen, haben wir ihm ein Pseudonym gegeben. Sein richtiger Vorname hat eine spezielle Schreibweise. Und eine Web-Suche nach seiner privaten E-Mail-Adresse (in der sein korrekter Vorname nicht enthalten ist) ergibt keinen Treffer.

Der Bestohlene sagt über die Angreifer:

«Es ist mir unerklärlich, wie sie an die persönlichen Angaben gekommen sind.»

Für die zielgerichteten Phishing-Angriffe gibt es eine äusserst unwahrscheinliche sowie eine plausible Erklärung:

  • Der iPhone-Dieb kannte die Identität des Opfers (und auch dessen Mail-Adresse) und verwendete die Informationen missbräuchlich für eigene Phishing-Attacken, um so an das Apple-ID-Passwort von Lukas zu gelangen.
  • Der iPhone-Dieb nutzte eine im Internet angebotene illegale Dienstleistung, um mithilfe Dritter an das Passwort zu gelangen. Demnach bestünde keine direkte Verbindung zwischen Lukas und den Phishing-Attacken. Aber wie konnten die Angreifer die persönlichen Daten des Opfers (Name, Vorname, Mail-Adresse) herausfinden?

Fakt ist: Die bei den Phishing-Attacken auf Lukas eingesetzten Fake-Webseiten haben ihren Ursprung in China. Die Internet-Domain ifoong.com wurde in Shanghai registriert.

Der Eigentümer der Domain (Registrant) will seine Identität nicht offenlegen. Für die Registrierung nahm er die Dienste einer dubiosen Organisation in Anspruch. Bei der «Shanghai Meicheng Technology Information Development Co.» handelt es sich um eine Gesellschaft mit sehr beschränkter Haftung.

screenshot: scamwarners.com

Es deutet alles daraufhin, dass hinter den Phishing-Attacken ein professioneller Anbieter steht, der seine kriminelle Dienstleistung gegen Paypal-Dollars im Web anbietet. Vom November 2015 datiert ein Eintrag im offiziellen Apple-Forum, in dem ein iPhone-User einen nahezu identischen Angriff schildert.

Diese Phishing-Attacke hatte den gleichen (chinesischen) Ursprung.
Diese Phishing-Attacke hatte den gleichen (chinesischen) Ursprung.

Die mutmassliche Briefkastenfirma hat seit Jahren einen schlechten Ruf. Schon 2014 wurden Internetnutzer vor Scams (Betrügereien) gewarnt, die von zahlreichen anderen registrierten Domains ausgingen.

Sicher ist:

In China wird nicht nur Apples iPhone fabriziert, aus dem Reich der Mitte kommen auch viele Attacken auf die Käuferinnen und Käufer.

Im zweiten Teil dieser watson-Serie nehmen wir das dreckige Business rund um die «iCloud Removal Services» unter die Lupe. Doch nun geht's vorerst zurück nach Europa.

Ein ähnlicher Fall, aber ...

Im Juli, einen Monat, bevor Unbekannte die Apple-ID von Lukas zu ergaunern versuchen, erlebt ein finnischer IT-Manager einen Phishing-Angriff mit interessanten Parallelen.

Joonas Kiminki beschreibt im Hackernoon-Blog, wie sein iPhone in Italien aus einem aufgebrochenen Auto gestohlen wurde. 11 Tage danach erhält er per SMS und E-Mail an ihn adressierte Mitteilungen. Unbekannte wollen über geschickt präparierte iCloud-Webseiten sein Passwort ergaunern.

screenshot: hackernoon.com

Der Finne rätselt, woher die Angreifer seinen Namen kennen, denn das gestohlene iPhone war durch die Aktivierungssperre geschützt. Kiminki vermutet, dass sein mit einem PIN-Code geschütztes Gerät die Informationen preisgegeben hat:

Im sogenannten Notfallpass (auf Englisch «Medical ID»), der zur Health-App von iOS gehört, lassen sich medizinisch relevante Informationen so abspeichern, dass Dritte sie in einem Notfall über den Sperrbildschirm abrufen können. Und dort hatte Kiminki offenbar seinen Namen und Vornamen hinterlegt.

Der clevere Dieb oder ein anderer Krimineller, dem das iPhone in die Hände fiel, hätte dann mit einer Internetsuche nach dem ungewöhnlichen Namen Kiminkis Mailadresse herausgefunden. Sie ist über die Website seines Unternehmens zugänglich.

Ob tatsächlich so vorgegangen wurde, ist offen. Kiminiki rät jedenfalls allen iOS-Nutzern und potenziellen Opfern:

«Falls du jemals dein iPhone, iPad oder den iPod verlierst, sei besonders wachsam, denn es drohen Versuche, deine Identität zu stehlen.»
Joonas Kiminki

Was unseren Fall betrifft: Lukas hatte auf seinem iPhone (mit aktuellem iOS-System) den Notfallpass nicht ausgefüllt. Die Kriminellen müssen also auf anderem Weg an seinen Namen und die Mailadresse gelangt sein.

Die Angreifer konnten auch nicht über eine Sicherheitslücke bei der sprachgesteuerten iPhone-Assistentin Siri an die Kontaktdaten gekommen sein. Lukas war vorsichtig genug gewesen, den Zugriff auf Siri vom Sperrbildschirm aus (über die System-Einstellungen des Geräts) zu verbieten.

Und auch eine weitere Möglichkeit, wie die Angreifer an die Daten von Lukas gelangt sein könnten, ist auszuschliessen: Das gestohlene iPhone wurde nicht in den Verloren-Modus gesetzt. Es wurde also auf dem Sperrbildschirm keine Nachricht mit Kontakt-Telefonnummer oder Mail-Adresse angezeigt.

Was iPhone-Nutzer beachten sollten

Zunächst einmal sollte man sich vergewissern, dass die Option «Mein iPhone suchen» in den System-Einstellungen aktiviert ist. Hinweis: Das iCloud-Sicherheitsfeature funktioniert auch, wenn die Apple-App «iPhone-Suche» nicht installiert ist.

Sollte unbedingt aktiviert sein!
Sollte unbedingt aktiviert sein!
Bild: watson

Um sich vor Phishing-Attacken zu schützen und einem Identitäts-Diebstahl vorzubeugen, sollte man gemäss den Sicherheitsexperten von Intego die folgenden Ratschläge rund um die iPhone-Nutzung beherzigen:

  • Vor dem Eingeben von persönlichen Informationen immer die Authentizität von Webseiten überprüfen (siehe oben, HTTPS- und Schloss-Symbol).
  • Das iOS-Gerät sollte mit einem 6-stelligen PIN-Code oder einem alphanumerischen Passwort geschützt sein.
  • Zwei-Faktor-Authentifizierung für die Apple-ID aktivieren. Dieser Support-Beitrag erklärt, wie es geht. Achtung: Das ist eine neue Sicherheitsfunktion, die besser ist als das frühere zweistufige Anmeldeverfahren (Two-Step-Verification).
  • iCloud-Backup aktivieren. Das ist insbesondere dann zu empfehlen, wenn man in den Geräte-Einstellungen die Option «Daten löschen» aktiviert hat. Dann werden nach 10 fehlgeschlagenen Anmeldeversuchen alle Daten auf dem entsprechenden iPhone automatisch gelöscht.
screenshot: watson

Apple startet eine Untersuchung

Verunsichert durch die unerklärliche, auf ihn zugeschnittene Attacke, wendet sich Lukas Mitte September an den iPhone-Hersteller. Auf eine erste Nachricht, die er Apple an eine allgemeine Mailadresse schreibt, antwortet niemand. Darum ruft er ein paar Tage später beim Apple-Support an.

Am Telefon erhält Lukas jedoch keine beruhigende Auskunft. «Denen war das auch nicht bekannt.» Man habe ihn nur darauf hingewiesen, dass es Phishing-Nachrichten seien. Und:

«Auf alle Fälle dürfte das aus Ihrer Sicht nicht vorkommen und sehe nach einer neuen nicht bekannten Lücke aus.»
Auskunft, die Lukas vom Apple-Support erhielt

Nachdem der watson-Redaktor mit der Recherche beginnt und erste Anfragen bei Apple einreicht, kommt Bewegung in den merkwürdigen Fall. Ein relativ hochrangiger Mitarbeiter von Apples Europa-Sitz meldet sich bei Lukas und befragt ihn ausführlich. Zwei Tage später trifft eine E-Mail aus dem irischen Cork ein: «Wie besprochen am Telefon werde ich der Angelegenheit weiter nachgehen, und ich hoffe bis Ende der Woche weitere Informationen für Sie zu haben.»

Als Lukas erneut aus Irland angerufen wird, kann ihm der Apple-Mann jedoch keine beruhigende Auskunft geben. Er habe nicht wirklich viel gesagt, erzählt Lukas, ausser dass die Infos nicht über «iPhone suchen» gefunden worden seien. Der Fall sei intern weitergeleitet worden, habe man ihm weiter gesagt, aber:

«Wie die Kriminellen an meine Daten gekommen sind, konnte man mir nicht sagen. Und ob sich Apple deswegen wirklich Sorgen macht, weiss ich auch nicht.»
Lukas

Wie viele andere Apple-Kunden ebenfalls von gezielten Phishing-Attacken betroffen waren, ist nicht bekannt. Unsere Recherche ergibt jedenfalls keine gehäufte Berichterstattung.

Nachdem das deutsche IT-News-Portal heise.de Anfang August über den Angriff auf Joonas Kiminki berichtet hatte, meldete sich ein weiteres Diebstahl-Opfer via Kommentarfunktion.

Sicher ist: watson bleibt am Thema dran. Zum jetzigen Zeitpunkt ist nicht auszuschliessen, dass Kriminelle dank Sicherheitslücken an die Kontaktdaten der Diebstahl-Opfer gelangen konnten. Dann wären hunderte Millionen iOS-Nutzer im Visier:

  • Wie ist es zu den persönlich adressierten Phishing-Attacken auf Lukas gekommen?
  • Woher kannten die Kriminellen die Identität respektive die Apple-ID und den Namen des Opfers?
  • Kann man über die IMEI-Nummer eines iPhones an die Kontaktdaten des rechtmässigen Käufers gelangen?
  • Können Unbefugte auf eine interne Datenbank von Apple zugreifen, in der Kundendaten gespeichert sind?

Teil 2 folgt demnächst: Das dreckige Business mit gesperrten iPhones – und wie man die «Activation Lock» aufhebt

In Eile? Hier gibt's die Zusammenfassung:

  • Nachdem sein iPhone gestohlen wird, erhält ein junger Schweizer Wochen später verdächtige E-Mails. Unbekannte geben sich als «Apple Support» aus und versuchen, ihn auf eine gefälschte iCloud-Website zu locken. Dort soll er sein Passwort (Apple ID) eingeben, um angeblich Informationen zum vermissten Gerät zu erhalten.
  • Das Ganze ist eine Phishing-Falle. Kriminelle wollen das Passwort beschaffen, weil sich damit das entwendete iPhone entsperren und (mit der gestohlenen Identität des Apple-Users) weiterer Schaden anrichten liesse.
  • Die sogenannte Aktivierungssperre, die Apple mit iOS 7 eingeführt hat, verhindert, dass gestohlene Geräte von Dritten in Betrieb genommen werden können. Allerdings fragt sich in unserem Fall, wie die Angreifer an den vollen Namen und die Mailadresse des Opfers kamen?
  • Im Juli wurde ein finnischer Manager Opfer einer Phishing-Attacke, die Parallelen zu unserem Fall aufweist. Allerdings gibt es eine plausible Erklärung: Der Name des Opfers war im Notfallpass (Medical ID) seines iPhones abgelegt, so dass man vom Sperrbildschirm darauf zugreifen konnte. Dies war beim Schweizer Opfer nicht der Fall.
  • Da das Gerät nicht in den Verloren-Modus gesetzt war, gab es keine Kontakt-Nachricht auf dem Sperrbildschirm. Und auch eine im April publik gemachte Siri-Sicherheitslücke, die Angreifern vom Sperrbildschirm aus den Zugriff auf das Adressbuch ermöglichte, kommt nicht infrage.
  • Apple hat eine interne Untersuchung eingeleitet. Bislang (angeblich) ohne zählbare Resultate. Besteht irgendwo eine Sicherheitslücke, die Kundendaten «preisgibt»?

Alle Artikel zur Serie

Die eindrücklichsten und schönsten iPhone-Fotos des Jahres 2016

1 / 59
Die eindrücklichsten und schönsten iPhone-Fotos des Jahres 2016
quelle: ippawards
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer
DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Verräterische Selfies mit fetter Beute

Liebe Apple-Diebe, seid nicht dumm – sonst geht's euch wie diesen Jungs

Zwei junge Männer hatten wohl noch nie von der automatischen Datensicherung bei Apples iCloud-Dienst gehört.

Mittlerweile könnten ganze Bücher gefüllt werden mit den dümmsten iPhone- und iPad-Dieben. Die neusten Anwärter auf den Titel kommen aus Houston, Texas. Die auf Polizeimeldungen spezialisierte News-Site The Smoking Gun berichtete diese Woche über eine Verhaftung, die dank Apples iCloud-Dienst möglich wurde. 

Zwei junge Männer hatten aus einem nicht abgeschlossenen Fahrzeug ein iPad sowie 5000 Dollar in Bar erbeutet. Eine Woche später entdeckte der rechtmässige Besitzer des …

Artikel lesen
Link zum Artikel