Eine bislang unbekannte Hacker-Gruppe soll Apple mit dem Fernlöschen von Millionen iPhones drohen. 

Sollte Apple nicht bis zum 7. April ein Lösegeld in Höhe von 75.000 US-Dollar (70.000 Euro) per Bitcoin oder 100.000 Euro per iTunes-Geschenkkarten zahlen, wäre man in der Lage, rund 300 Millionen iPhones per “Mein iPhone suchen” zu löschen, so die Hacker-Gruppe, die sich “Turkish Crime Family” (dt. türkische Verbrecherfamilie) nennen soll. In einem Tweet wurde die Löschung angekündigt.

Apple dementiert

Apple hat einem Bericht von Fortune zufolge eine Kompromittierung der iCloud oder sonstiger Nutzerdaten bereits dementiert:

“There have not been any breaches in any of Apple’s systems including iCloud and Apple ID,” the spokesperson said. “The alleged list of email addresses and passwords appears to have been obtained from previously compromised third-party services.”

“Es hat keine Einbrüche in die Apple-Systeme, inklusive iCloud und Apple-ID gegeben,” so die Kontaktperson. “Sollte die Hacker–Gruppe im Besitz von Mail-Adressen mit Passwörtern sein, so könnten diese nur durch vorhergehende Kompromittierungen von Drittanbietern stammen”, wie zum Beispiel zuletzt bei Yahoo (wir berichteten).

Fake-News?

Die Echtheit dieser Drohung kann durch die doch sehr geringe Forderungssumme, die mittlerweile angeblich auf immer noch günstige 140.000 Euro erhöht worden sein soll, stark angezweifelt werden. Ein You Tube-Video, in dem das angebliche Einloggen in einen iCloud-Account einer älteren Dame gezeigt würde, ist zudem nicht unbedingt ein Beweis dafür, im Besitz von mehreren hundert Millionen Accountdaten zu sein. Eine Probe des Datensatzes soll Apple von den Hackern ebenfalls nicht zur Verfügung gestellt worden sein.

Nicht zu sehr in Sicherheit wiegen

Allerdings sollte man sich nie zu sicher wähnen, denn zuletzt wurde wieder vermehrt versucht, mit gefälschten Websites an die Daten von Apple-IDs zu gelangen. Das Titelbild dieses Artikels zeigt eine solche gefälschte Website, die durch einen Link in einer zuvor zugestellten E-Mail zu erreichen war. Die Fälschung ist nur durch die URL zu erkennen, wenn man sich nicht gerade über die englische Sprache wundert.

Auf diese Seite gelangte man per Link aus einer zuvor ebenfalls echt wirkenden E-Mail, in der Probleme mit der Apple-ID benannt wurden. Es kann also durchaus sein, dass die Gruppe – sofern diese überhaupt für diese Phishing-Mails verantwortlich war –  durch diese in Besitz einiger weniger Account-Daten gelangte und damit – sollte keine Zwei-Faktor-Authentifizierung eingerichtet worden sein – durchaus in der Lage wäre, die iCloud-Daten einzusehen sowie einige iPhones zu löschen.

Was kann ich tun?

Aufgrund berechtigter Zweifel an Echtheit dieser Erpressung sollte man nicht in Panik verfallen. Sofern keine auffälligen Aktivitäten an der eigenen Apple-ID festzustellen waren, ist erst einmal von keiner Gefahr auszugehen. Eine Passwortänderung der Apple-ID ist jedoch zu empfehlen, wenn man in jüngster Vergangenheit eine merkwürdige Anmeldeprozedur bemerkt hatte. Auf eine doch recht perfekt gefälschte Mail mit anschliessender Website hereinzufallen kann jedem mal passieren. Außerdem wäre es dann ratsam, mal wieder ein aktuelles lokales Backup seiner Devices anzulegen.

ZFA kein Schutz vor Löschung

In jedem Fall wird die Zwei-Faktor-Authentifizierung (ZFA) empfohlen, denn selbst nach dem Erlangen der Daten kann damit ohne Code-Bestätigung nichts geändert werden. Allerdings schützt die ZFA leider nicht vor einer Fernlöschung des iDevices. Schuld daran ist ausgerechnet eine Sicherheitsfunktion, die dem Besitzer nach einem etwaigen Diebstahl des Gerätes die Möglichkeit geben soll, Geräte von Apple-Pay zu lösen und diese auch als gestohlen zu markieren und aus der Ferne zu löschen.

Auch sollte man die Websites der Apple-ID niemals durch einen Link in einer Mail oder in einer anderen Website anwählen. Apple bietet zum Thema “Phishing E-Mails und andere verdächtige Nachrichten erkennen und melden” eine Website an.

via Fortune, 9to5Mac | Titelbild: Screenshot von Matze

[Update 24. März 2017] ZDNet hat einen Datensatz erhalten

Zwischenzeitlich wurde ZDNet ein Datensatz von 50 Accounts zugespielt. Zehn Nutzer dieser Liste konnten dem Bericht nach persönlich kontaktiert werden. Diese haben die Echtheit der Daten bestätigt, räumten aber fast allesamt ein, ihre Passwörter seit Jahren nicht mehr geändert zu haben. Überdies wurde nach den Angaben der Personen das selbe Passwort auch bei anderen Diensten verwandt. Nur Drei der kontaktierten Personen gaben an, ihr Passwort ausschließlich für Apple-Dienste verwendet zu haben.

Apple bestreitet nach wie vor einen Einbruch in ihre Systeme. Somit könnten Mail- und Passwortkombinationen weiterhin eigentlich nur aus den Datensätzen kompromittierter Drittanbieter oder einer Phishing-Website stammen.

Aufgrund der Art der Erpressung lässt sich eigentlich schliessen, dass es sich um eine unerfahrene Gruppe wie zum Beispiel Teenager und / oder dass es sich um einen riesigen Bluff handeln könnte. Folgende Punkte lassen die Erpressung anzweifeln:

• Kontakt der Erpresser per Social-Media und zum Teil sogar über icloud-Mail-Adressen
• Die absurd geringe Summe von zuerst 75.000 Euro, die zuerst gefordert und später erhöht wurde sowie
• Die Forderung nach iTunes-Geschenkkarten, welche durch Apple beim einlösen leicht zurück zu verfolgen wären
• Die Tatsache, dass durch eine Phishing-Website bzw. einem gehackten Forum eigentlich niemals 300 Millionen Datensätze entstehen können

Auch, wenn 50 Datensätze übermittelt wurden, die sich als echt herausstellten, ist dies kein Beweis für den Umfang der Drohung. Bei einer angeblich vorliegenden Anzahl von 300 Millionen Datensätzen mit einer verschwindend geringen Menge von nur 50 Beweisen anzukommen erscheint doch etwas unglaubwürdig. Eine Summe von 100.000 Datensätzen wäre hier etwas aussagekräftiger gewesen. Allerdings kann mit hoher Wahrscheinlichkeit davon ausgegangen werden, dass diese Anzahl den Erpressern mitnichten vorliegt.

Passwort ändern:

Wie bereits beschrieben, sollte beim geringsten Zweifel umgehend das Passwort des Apple-Accounts gewechselt werden. Dies kann auf dieser Seite getan werden. Beim Aufrufen der Seite bitte unbedingt darauf achten, dass es sich um die echte Apple-Seite und um die https://-Version handelt. Erkennen kann man dies an dem grün eingefärbten Namen bzw. nach Klick darauf an der URL selbst:

Auf dieser Seite kann das Passwort geändert werden, die Liste der vertrauenswürdigen Geräte eingesehen und auch editiert werden und auch die Zweistufige Bestätigung eingestellt werden.

Sperrcode einrichten

Das Einschalten der Code-Sperre wird ebenfalls dringend empfohlen. Erstens wird dadurch verhindert, dass Dritte, die in Besitz des Gerätes gelangten, das Gerät entsperren und somit voll darauf zugreifen könnten, es wird zudem damit auch verhindert, dass durch Fernzugriff ein “frischer” Code festgelegt wird. Damit wäre es dem eigentlichen Besitzer nämlich nicht mehr möglich, sein Gerät zu entsperren. Nach Festlegen eines Sperrcodes kann das Gerät nach einer etwaigen Sperrung aus der Ferne vom Besitzer weiterhin per Code geöffnet werden.

Eingestellt wird dieser über Einstellungen – Touch ID & Code (bzw. Codesperre)

Radikaler Schutz: Mein iPhone Suchen abschalten (setzt Aktivierungssperre ausser Kraft)

Noch sicherer, wenn auch extremer und mit Nachteilen verbunden, wäre das Abschalten des Services, mit dem man das iPhone im Verlustfall aufspüren und auch löschen könnte. Dies wurde in den Kommentaren zum Artikel bereits von einem User vorgeschlagen. Damit würde man den Erpressern zwar das “Eingangstor” schliessen, in Besitz der Login-Daten könnten sie danach aber dennoch sein, daher wird auch unbedingt die Änderung des Passwortes empfohlen.

Beim Abschalten dieses Services wäre ein Dritter in der Lage, das Gerät ohne Aktivierungssperre frisch aufzusetzen. Man sollte also sehr vorsichtig sein, dass das Gerät nicht in falsche Finger gerät, wenn man sich mit dieser Methode absichern möchte.

Diese Einstellung findet Ihr unter Einstellungen – iCloud und dann als Menüpunkt

Unsicher was nun zu tun ist?

Am besten wird es immer noch sein, das Passwort der Apple-ID zu ändern. Dann sollte auf jeden Fall – sofern nicht geschehen – die ZFA eingerichtet werden und die jeweiligen Geräte sollten auch per Passcode geschützt sein. Dann sollte der 7. April ohne Schaden an einem vorüber gehen.

via Mac&i