Moderne iPhone-Diebe versuchen per Phishing-Angriff an das iCloud-Kennwort zu gelangen – offenbar für den Verkauf des Diebesguts.

Vergrößern Nach dem Diebstahl eines iOS-Gerätes folgt eine Phishing-SMS.

Dank Apples Aktivierungs-Systems ist der Diebstahl eines iPhones eigentlich wenig sinnvoll. Hat ein Dieb das Smartphone gestohlen, ist es fast nur als Ersatzteillager verwendbar. Will es ein neuer Eigentümer benutzen, muss der alte Besitzer es bekanntlich vor dem Verkauf per iCloud zurückgesetzt haben. Das ist mittlerweile auch iPhone-Dieben bekannt, wie die Sicherheitsfirma Trend Micro berichtet : Einem Brasilianer wurde sein iPhone gestohlen, er erwarb ein neues Gerät und behielt seine alte Telefonnummer. Nach einiger Zeit wurde plötzlich sein Facebook-Kennwort geändert, wahrscheinlich von dem iPhone-Dieb. Er konnte das Passwort aber über seine Telefonnummer zurücksetzen und ein neues Passwort vergeben.

Einen Tag später erhielt er eine SMS: Sein iPhone wäre lokalisiert worden und er könne über eine Webseite den Standort bestimmen. Der Link führte zu einer Seite, die wie eine Apple-Seite aussah, aber natürlich nicht von Apple stammt. Offensichtlich sollte auf diese Weise die Apple ID des Nutzers bestimmt werden. Anmeldedaten sind in Unterweltkreisen ein beliebtes Handelsgut, über die Apple ID wäre außerdem das Freischalten des gestohlenen iPhones möglich. Ist doch der Wert eines ordnungsgemäß zurückgesetzten iPhones deutlich höher als bei einem Gerät mit iCloud-Sperre. Interessant: Die Adresse in diesem Fall wirkte schon durch ihre Domain verdächtig, „.hu“ ist eine Adresse in Ungarn. Diesen Fehler machen aber nicht alle Hacker: Trend Micro listet in ihrem Bericht weitere Phishing-Adressen auf, die weit unverdächtiger klingen. Dazu gehören unter anderem support-icloud-us.com, icloud-appstore.com oder recover-id.com.

Vergrößern Die Kopie der iCloud-Seite wirkt recht überzeugen. Man sollte natürlich keinesfalls seine Nutzerdatein eingeben!

Wer steckt dahinter?

Es handelt sich offenbar nicht um Einzelfälle, über einen ähnlichen Fall in Brasilien hatte KrebsOnSecurity bereits im Februar berichtet. Auch hier gab es kurz nach dem Raub eines iPhones einen Phishing-Versuch per SMS. Eine Zusammenarbeit zwischen Dieben und Cyberkriminelle ist jedoch nicht auf Brasilien beschränkt. So wurde ein IT-Spezialist nach dem Diebstahl eines iPhones in Virginia ebenfalls per SMS kontaktiert und zu einer Phishing-Seite geleitet. Der aus rechtlichen Gründen lieber anonym bleiben wollende IT-Spezialist forschte weiter nach und konnte die Adresse zu einem Phishing-Dienst auf Basis der Software iServer zurückverfolgen.

Ein Webdienst, der offenbar auf Abfangen von iCloud-Daten spezialisiert ist. Der Service sammelt unter anderem per IMEI-Abfrage frei verfügbare Daten über ein iPhone – etwa ob es als gestohlen gemeldet wurde. Da der Server nur schlecht geschützt war, konnte der IT-Spezialist sogar auf die Daten zugreifen und Opfer und Täter identifizieren – einen Mann in Ecuador. Es handelt sich aber offenbar nur um einen von vielen Anbietern eines solchen Phishing-Service. Eine einzelne Phishing-Nachricht kostet anscheinend zwischen 40 und 120 Dollar, je nach Alter des iPhones. Das Mieten ist für 80 US-Dollar im Monat möglich.