Apple ID: Phishing-Angriffe auf Passwörter möglich

[Balkenende]

Gratuliere. Ihr seit auf eine Fake News herein gefallen.
1.) Keine App hat Zugriff auf die Apple ID. Keine App kann also einen Fake-Requester bauen der die enthält. Der Deutsche, auf dessen Mist dieser Fake geht, hat natürlich eine echt wirkende Apple ID in der Demo.
2.) Selbst mit einem Passwort kommst Du nicht an der Zwei-Faktor_Authentifizierung vorbei.
3.) Sehen diese Dialoge unter iOS 11 nicht mehr so aus.
4.) Sollte ein DAU-Fall eintreten, der Punkt 1-3 aushebelt, hilft hier der Support. In diesem Fall gehört aber auch Doofheit bestraft.

1. lasse ich mal dahingestellt.
2. ist kein Argument. Nicht jeder nutzt 2-Faktor. Und unabhängig davon ist es per se schädlich, wenn Passwörter Dritten zugespielt werden. Zudem wenn jemand auch noch das Gerät selbst hätte, kommt es auf 2-Faktor nicht mehr an.
3. nicht alle haben iOS 11.
4. was ist Doofheit, wenn einem das so untergeschoben würde. Und der Support kann bei einem erstmal eingetretenen Schaden, wenn was auch immer mit dem Passwort angestellt ist, auch nicht in allen Fällen helfen. Du scheinst eher die Bedeutung des Supports nicht richtig zu begreifen.

Ob das damit ‚Fake‘-News sind, scheint nicht so schlüssig.

 

[echo.park]

Gratuliere. Ihr seit auf eine Fake News herein gefallen.
1.) Keine App hat Zugriff auf die Apple ID. Keine App kann also einen Fake-Requester bauen der die enthält. Der Deutsche, auf dessen Mist dieser Fake geht, hat natürlich eine echt wirkende Apple ID in der Demo.
2.) Selbst mit einem Passwort kommst Du nicht an der Zwei-Faktor_Authentifizierung vorbei.
3.) Sehen diese Dialoge unter iOS 11 nicht mehr so aus.
4.) Sollte ein DAU-Fall eintreten, der Punkt 1-3 aushebelt, hilft hier der Support. In diesem Fall gehört aber auch Doofheit bestraft.

Gratuliere. Du bist auf deinen Fake-Verstand hereingefallen.

 

[Michael Reimann]

Gratuliere. Ihr seit auf eine Fake News herein gefallen.
1.) Keine App hat Zugriff auf die Apple ID. Keine App kann also einen Fake-Requester bauen der die enthält. Der Deutsche, auf dessen Mist dieser Fake geht, hat natürlich eine echt wirkende Apple ID in der Demo.
2.) Selbst mit einem Passwort kommst Du nicht an der Zwei-Faktor_Authentifizierung vorbei.
3.) Sehen diese Dialoge unter iOS 11 nicht mehr so aus.
4.) Sollte ein DAU-Fall eintreten, der Punkt 1-3 aushebelt, hilft hier der Support. In diesem Fall gehört aber auch Doofheit bestraft.

Zu 1. das weißt Du woher, bzw kannst es wie belegen?

Zu 2. Du hast den Artikel von „Dem Deutschen“ offenbar nicht oder nicht vollständig gelesen, bzw. verstanden. Er zeigt dort sehr wohl auf wie das gehen kann und alleine das PW kann schon hilfreich sein.

Zu 3. bei mir sehen die Dialoge noch so aus unter iOS 11, der Screenshot im Teaser kommt von meinem Device. Abgesehen davon wird der von Dir zitierte DAU wohl kaum alle aktuellen Popups kennen.

Zu 4. keinen Kommentar

 

[kelevra]

 

[Michael Reimann]

Hast ja Recht!

 

[Michael Reimann]

Und so könnte man an die E-Mail-Adresse der Apple ID kommen. Achtung ist kein Code enthalten. Nur ein Gedankenexperiment:
https://medium.com/@jakemor/how-someone-can-steal-your-icloud-credentials-642ec93e2352

Danke an @.holger für den Tipp!

 

[BurningCat]

"Hand auf's Herz" diese Abfrage, da keine offensichtlichen Rechtschreibfehler vorhanden und sie zur genüge vorkommt, auch ich.

Ja, Mehr Misstrauen ist hilfreich.

Danke für den Tipp

Also ob denn die Philosophie "mehr Misstrauen ist hilfreich" nun so hilfreich ist möchte ich bezweifeln, gerade in der heutigen Zeit scheint es wohl gar kein Vertrauen mehr zu geben?
Vielleicht sollte man lieber Grundsätzlich über die Situation nachdenken ob es in Ordnung ist einem Amerikanischen Großkonzern sein gesamtes Leben anzuvertrauen!
Und wer die nächste Evolutionsstufe namens Apple Pay blauäugig mitmacht, dem geschieht es eh recht!

Trotzdem danke für den Hinweiss!

 

[HaukeG5]

Ich versteh den Zusammenhang nicht. Eine gesunde Portion Misstrauen kann niemals schaden.

Wenn man einem Amerikanischen Großkonzern sein "digitales Leben" anvertraut oder dies lässt, ist man durch mehr oder weniger Vertrauen in dem Konzern oder dessen Produkte noch lange nicht davor geschützt. Opfer kriminell programierter Apps zu werden.

Das Problem hier ist doch das wir User durch die inflationäre Eingabe des PW dazu neigen könnten, diese Abfrage stumpf zu tätigen und nicht zu hinterfragen, ob sie tatsächlich von dem Konzern abgefragt wird, dem ich grundsätzlich vertraue.

 

[kelevra]

Hier ist doch ganz klar Apple gefragt eine Lösung zu implementieren, die diese Art von Phishing verhindert.

Ich könnte mir als Lösung vorstellen, dass man grundsätzlich in die Einstellungen geschickt wird, dort sein Passwort bestätigt und dei App lediglich die Info bekommt "Authorisierung positiv/negativ". Eben so wie das bei TouchID der Fall ist. Bei TouchID erhalten die Apps ebenfalls nur ein "Ja/Nein".

Trotzdem wird bei Phishing grundsätzlich der Mensch das schwächste Glied in der Kette bleiben. Ein gesundes Maß Misstrauen ist daher auch wichtig. Man klickt ja auch nicht bei jeder Paypal oder Amazon E-Mail auf den Link, weil "etwas mit dem Nutzerkonto nicht stimmt".

 

[Michael Reimann]

Ich bin sogar fast sicher, dass eine Box mit dem Text "Bitte geben Sie Ihr Appl-ID-Passwort ein" (Ohne die eigentliche Apple ID zu zeigen) reichen würde, um viele Anwender zur Eingabe des Passwortes zu verleiten. Apple ist echt gefragt, an dieser Stelle was zu tun.

 

[Verlon]

Ich bin sogar fast sicher, dass eine Box mit dem Text "Bitte geben Sie Ihr Appl-ID-Passwort ein" (Ohne die eigentliche Apple ID zu zeigen) reichen würde, um viele Anwender zur Eingabe des Passwortes zu verleiten. Apple ist echt gefragt, an dieser Stelle was zu tun.

Definitiv, die Abfrage kam bei mir eine Zeitlang sehr oft (wg. iCloud, warum weiß ich nicht, ich habe es auf Probleme bei den Apple Servern geschoben). Ehrlich gesagt weiß ich gar nicht, ob da meine Apple ID aufgeführt war oder nur nach dem PW gefragt wurde, um iCloud zu aktivieren. Daher, darauf hab ich gar nicht geachtet.

Ich bin sogar fast sicher, dass eine Box mit dem Text "Bitte geben Sie Ihr Appl-ID-Passwort ein" (Ohne die eigentliche Apple ID zu zeigen) reichen würde, um viele Anwender zur Eingabe des Passwortes zu verleiten. Apple ist echt gefragt, an dieser Stelle was zu tun.

vor allem ist es so, dass es auch offizielle PW-Requests gibt, wo nicht die Apple-ID aufgeführt wird. Man kann also nicht unbedingt darauf schließen, dass eine Abfrage ohne Nennung der ID ein Phising Versuch sei.

 

[kelevra]

Passend zum Thema Phishing kam heute Nacht folgende E-Mail bei mir an:



Bin in der VM mal dem Link gefolgt. Immerhin funktioniert die Safari-Warnung vor betrügerischen Websites:



Ignoriert man die Warnung, kommt man zur folgenden Seite:



Üblicherweise stammen die Phishing E-Mails von PayPal oder Amazon. Apple hatte ich noch nicht.

 

[MichaNbg]

Das schlimme ist ja, dass Apples Overlay ebenfalls weder sagt, wer gerade ein Passwort wil noch für welche ID. Einfach nur „hey, tipp mal dein Passwort hier ein“. War da das erste mal erst mal total perplex und habe abgebrochen. Konnte aber keine Anwendung und kein Systemdiendt finden, das gerade n Passwort verlangt hat. Geändert hatte ich auch keines.

Und dann hast du Tage lang immer wieder so ein mysteriöses Overlay von dem du erst nach längerer Internetrecherche herausfindest, dass es WAHRSCHEINLICH von Apple kommt.

Intuitiv und vor allem sicher geht anders.