2655924

Nutzer verliert halbe Mio. Euro wegen iCloud-Scam

22.04.2022 | 15:00 Uhr | Halyna Kubiv

Eine Crypto-Wallet-App speichert Schlüssel im gleichen iCloud-Backup wie die Wallet. Das haben Betrüger ausgenutzt.

Eine Kombination vom gewieften Social Engeniering und nicht gut durchdachter App-Programmierung hat dazu geführt, dass ein Nutzer letzte Woche knapp 650.000 US-Dollar, also umgerechnet 600.000 Euro an Crypto-Währung aus seiner Crypto-Wallet auf dem iPhone verlor. Begonnen hat es mit einem Anruf, der scheinbar von Apple kam, der Support habe verdächtige Aktivitäten mit der Apple-ID registriert, der Nutzer möge den sechsstelligen Vertrauenscode durchgeben, den ein mit der Apple-ID verknüpftes Apple-Gerät einblendet, wenn man sich irgendwo neu anmelden möchte (2FA). Ein paar Sekunden später war sein Konto in einer Crypto-App leer geräumt.

Was genau passiert ist, erklärt der Sicherheitsexperte @Serpent auf Twitter : Die Angreifer müssen von dem Nutzer die E-Mail zum Apple-ID-Konto und seine Telefonnummer kennen. Angesichts der vielen großen Hacks der letzten Jahre kein großes Problem. Die Angreifer versuchen, mittels der E-Mail-Adresse das Passwort der Apple-ID wiederherzustellen. Der Nutzer bekommt eine automatische Warnmail, die noch legitim ist. Danach ruft jemand an, der scheinbar ein Apple-Mitarbeiter ist. Zumindest weist ihn seine Caller-ID als einen Apple-Mitarbeiter aus. Dieser berichtet, man habe bei der Apple-ID etwas Verdächtiges bemerkt. Der Angerufene möge sich bitte als rechtmäßiger Inhaber dieser Apple-ID ausweisen. Dafür solle er das Passwort bei der Apple-ID zurücksetzen und den sechsstelligen Verifizierungscode durchgeben. Bis der Nutzer dies erledigt, setzen die Angreifer das Passwort der Apple-ID selbst zurück und nutzen den durchgegebenen 2FA-Code für die Verifizierung. Ab dann können sie im erbeuteten iCloud-Konto schalten und walten, wie sie möchten. 

Im Fall von Domenic Iacovone aus den USA haben sie ein neues iPhone mit dem vorhandenen iCloud-Backup eingerichtet. Dort war seine Crypto-Wallet-App "Metamask" gespeichert. Unglücklicherweise speichert die App im gleichen iCloud-Backup noch die sogenannte "Seed Phrase" – zwölf bis 24 Wörter, die als Zugang zum Crypto-Wallet dienen. Das heißt, der Crypto-Wallet und das Passwort dazu werden in einem Ort gespeichert. So war kein Wunder, dass die Scammer die App des Nutzers ohne Probleme leeren konnten. 

In dem Fall ermittelt das FBI, der Nutzer hat sich ebenfalls über Metamask bei Better Business Bureau (BBB) eingereicht, dies ist eine private Alternative in den USA zu unserer Verbraucherschutzzentrale. 

Macwelt Marktplatz

2655924