1234206

Geknackte Apple IDs im deutschen iTunes Store

10.11.2011 | 11:17 Uhr |

Seit zwei Wochen ist der Aufschrei im deutschem Bereich des iTunes Store groß: Mehrere Nutzer melden unautorisierte Käufe über ihre iTunes Accounts, bei manchen sind Summen über 100 Euro und mehr abgebucht

Wir haben bereits über das Problem berichtet, dazu hat die Redaktion die betroffenen iTunes-Kunden gebeten, zusätzliche Informationen zu dem Abbuchungsverlauf zu schicken. Wir verfolgen auch die Diskussion im Support-Bereich des iTunes Store. Dabei fallen einige Geseztmäßigkeiten auf:

Die meisten Betrugsfälle sind mit der chinesischen App "Die ganze Welt in schwierigen Zeiten" (laut Google Übersetzer) verbunden. Der Hersteller ist als RenRen Games im App Store geführt, die Firma heißt offiziell Bejing Qianxiang Wangjing Technology Development, laut who.godaddy.com ist die Firma in Beijing, China registriert. Andere Nutzer melden Missbrauchfälle bei den Island Empire (ebenfalls China), Texas Poker (Vereinigtes Königreich), sogar Order & Chaos Online von Gameloft (Frankreich).

Von den meisten Konten sind die höchst möglichen Beträge von 79,99 € abgebucht, bei einigen Nutzern folgen die Buchungen mehrmals nacheinander. Wie eine unserer Leser schreibt: "Morgens bekam ich von Apple eine E-Mail, dass meine ID auf einem neuen Gerät verwendet wurde. Kurz darauf bekam ich von Click&Buy eine Mail mit Transaktionsbestätigung über ein Spiel, dass nur mit japanischen/chinesischen Zeichen im App Store zu finden ist. Dieses hatte bereits 79,90€ gekostet. Am Vormittag wurden weitere 13,98€ über dieses Spiel berechnet."

Was genauso auffällt, ist die Tatsache, dass in den meisten Fällen die betroffene Apple ID mit einem Click&Buy-Konto verbunden ist. Die Zahlungsoption via Click&Buy bietet Apple seit einigen Jahren an, dabei kann man seine Apple ID direkt mit dem Click&Buy-Konto verbinden. Legt man seinen Account beim Dienst an, kann man diversen Optionen für Abbuchung auswählen: über Kreditkarte, Lastschrifteinzug, Giropay und vielen mehr. Danach geht das Bezahlen im iTunes Store quasi mit einem Klick: tippt man auf den Button "Installieren" oder "Kaufen", lädt der entsprechende Store die gekauften Inhalte auf das angemeldete Gerät. Anders als bei der Kreditkartenabrechnung wird der Betrag nicht am Ende des Monats vom Konto abgebucht, sondern sofort. Was auf der Anbieter-Seite als besonders bequem angepriesen wird, ist in diesem Fall zum Verhängnis geworden. Ohne zusätzliche Autorisierung bucht der Dienst die entsprechenden Beträge vom angegebenen Bankkonto ab. Der Nutzer bekommt lediglich eine Bestätigungsmail. Da aber der Kauf laut Nutzungsbedingungen im iTunes Store im Moment des Downloads stattgefunden hat, kann Apple als Store-Betreiber die Rückerstattung theoretisch auch verweigern.

Auf der anderen Seite dieser Zahlungskette steht der eigentliche App-Entwickler, der die Umsätze für Downloads und In-App-Käufe bekommen soll. Apple sammelt alle Beträge innerhalb eines Kalendermonats und überweist die Gesamtsumme nach ungefähr zwei Wochen nach dem Monatsende auf das angegebene Bankkonto. So kann man auch die Tatsache erklären, warum die Abzocke-App immer noch im iTunes Store zu finden ist. Durch solchen Zahlungsablauf hat Apple einen Handlungsraum von ungefähr sechs Wochen. Da die Betrugsfälle nicht nur eine, sondern gleich mehrere Apps betreffen, wird das Unternehmen wahrscheinlich herausfinden wollen, wer tatsächlich von den geknackten Konten profitiert. Schließlich kann Apple aus dem iTunes Store keine App verbannen, nur weil sie schlechte Rezensionen hat. Wenn sich aber die betroffenen Nutzer rechtzeitig melden, kann Apple auch die entsprechenden Beiträge zurückerstatten, bevor sie überhaupt an App-Entwickler gehen.

Dass iTunes Store kein sicherer Platz mehr ist, haben zuerst die US-Nutzer erfahren. Seit dem letzten Herbst sammeln sich in Apple-Foren Erfahrungsberichte über den sogenannten Towson Hack . Dabei waren viele Apple IDs geknackt und die damit verbundenen iTunes-Gutscheine entwertet. Die meisten Apps, die davon profitiert haben, sind nicht mehr im App Store, die Entwickler oder die Firmen dahinter stammen vorwiegend aus China.

Im Januar 2011 berichteten unsere Kollegen von Macworld , dass die gehackten Apple IDs mit Guthaben über eine Webseite gehandelt wurden. Die Kaufwilligen konnten einen Apple-Account mit 50 US-Dollar Guthaben für 10 Dollar erwerben. Die einzige Bedingung war, das Guthaben innerhalt 24 Stunden aufzubrauchen. Wie die Verbrecher den Zugang zu den Konten gewähren? Die Methoden sind bekannt, werden aber immer wieder abgewandt: Phishing-Mails mit der Aufforderung, Apple ID und Passwort erneut einzugeben, Keylogger -Software, die davor auf dem Rechner geladen wurde und jede Tasteneingabe ablesen kann.

Einen universellen Schutz vor dem Betrug im iTunes Store gibt es leider nicht. Wer nicht ständig sein Bankkonto auf unautorisierte Buchungen prüfen will, soll den iTunes Account nicht mit der Kreditkarte und anderen Zahlungsdiensten wie PayPay oder Click&Buy verbinden. Viele Banken bieten zur Zeit sogenannten Prepaid-Kreditkarten, dabei werden nur die Summen abgebucht, die tatsächlich auf dem Konto zur Verfügung stehen. iTunes-Gutscheine sind auch nur bis zu einer bestimmen Höhe zu haben, deswegen lassen sich dabei die Schaden auch besser begrenzen.

0 Kommentare zu diesem Artikel
1234206