Nachrichten
In acht nehmen! Ein Fehler in der Passwort-Reset-Funktion von Apple führt zu Phishing-Angriffen
Laut einem aktuellen Bericht über KrebsOnSecuritywerden mehrere Apple-Benutzer Ziel von Phishing-Angriffen, die einen scheinbaren Fehler in Apples Funktion zum Zurücksetzen von Passwörtern ausnutzen. Bei diesem Angriff werden Benutzer mit Dutzenden von Benachrichtigungen oder MFA-Anfragen (Multi-Faktor-Authentifizierung) zur Änderung ihres Apple-ID-Passworts bombardiert.
Dem Angreifer ist es gelungen, das Ziel-iPhone, den Mac oder die Apple Watch anzuzeigen endlose Aufforderungen zur Passwortänderung auf Systemebene die verhindern, dass die Geräte verwendet werden, bis der Benutzer bei jeder Eingabeaufforderung „Zulassen“ oder „Nicht zulassen“ wählt. Der Angreifer tut dies wiederholt in der Hoffnung, dass das Ziel die Anfrage entweder versehentlich genehmigt oder die endlosen Benachrichtigungen satt hat und auf die Schaltfläche „Zulassen“ klickt. Wenn die Anfrage genehmigt wird, kann der Angreifer das „Apple-ID“-Passwort ändern und den Benutzer aus seinem Apple-Konto sperren.
Diese Auf allen Apple-Geräten werden Anfragen zum Zurücksetzen des Passworts angezeigt wenn sich ein Benutzer mit derselben Apple-ID angemeldet hat. Daher kann der Benutzer keines seiner verknüpften Apple-Geräte verwenden, bis die Popups auf jedem Gerät nacheinander geschlossen werden.
Ein X-Benutzer (auch bekannt als Twitter) Parth Patel teilte seine Geschichte das Ziel dieses Phishing-Angriffs auf seine Apple-ID zu sein. Er sagte, er könne seine Apple-Geräte erst verwenden, wenn er bei mehr als 100 Benachrichtigungen auf „Nicht zulassen“ geklickt habe.
Diese Angriffe beschränken sich nicht nur auf das Versenden von Benachrichtigungen. Die Angreifer hatten ein Ass im Ärmel. Wenn es den Angreifern nicht gelingt, den Zielbenutzer dazu zu bringen, in den Benachrichtigungen zum Zurücksetzen des Passworts auf „Zulassen“ zu klicken, tätigen sie Telefonanrufe mithilfe von Anrufer-ID-Spoofing über die offizielle Apple-Support-Telefonnummer. Während des Anrufs behauptet der Angreifer zu wissen, dass der Benutzer angegriffen wird, und wird sich in das Opfer hineinversetzen, um sein Vertrauen zu gewinnen. Der Angreifer wird versuchen, an das Einmalpasswort zu gelangen, das an die Telefonnummer des Opfers gesendet wird, wenn er Anfragen zur Passwortänderung stellt.
Im Fall von Parth nutzte der Angreifer Informationen, die von einer Personensuchwebsite durchgesickert waren, darunter persönliche Daten wie Name, Telefonnummer, aktuelle Adresse, frühere Adresse und mehr. Irgendwie hatte der Angreifer seinen Namen falsch angegeben. Das Opfer wurde misstrauisch, als er aufgefordert wurde, einen einmaligen Code mitzuteilen, der offenbar von Apple ausdrücklich mit der Nachricht gesendet wurde, dass Apple keine Codes anfordert. Der Angreifer verfügt jedoch über die E-Mail-Adresse und die Telefonnummer, die mit der Apple-ID des Benutzers verknüpft sind.
KrebsOnSecurity hat das Problem untersucht und festgestellt, dass diese Angreifer offenbar eine verwenden Apple-Seite für ein vergessenes „Apple-ID“-Passwort. Für diese Seite ist eine „Apple-ID“ oder eine Telefonnummer erforderlich und sie verfügt über ein CAPTCHA. Wenn Sie eine E-Mail-Adresse eingeben, werden auf der Seite die letzten beiden Ziffern der Telefonnummer angezeigt, die mit diesem Apple-Konto verknüpft ist. Wenn jemand die fehlenden Ziffern eingibt und auf die Schaltfläche „Senden“ klickt, wird eine Systemwarnung gesendet.
Derzeit ist nicht klar, wie es den Angreifern gelingt, das System zu missbrauchen und es zu schaffen, mehrere Anfragen an Apple-Benutzer zu senden. Offenbar liegt ein Fehler im System vor, der ausgenutzt wird. Das Apple-System kann nicht mehr als 100 Anfragen gleichzeitig senden, daher wird die Ratenbegrenzung wahrscheinlich umgangen.
Wenn Sie ein Apple-Benutzer sind, müssen Sie darauf achten, bei allen Anfragen zur Passwortänderung auf „Nicht zulassen“ zu tippen, es sei denn, Sie haben die Anfrage absichtlich gestellt. Denken Sie auch daran Apple ruft niemals an und fragt nach Einmalpasswortcodes. Sie müssen also klug handeln und diesen Gefahren entkommen.
