Digital
Schweiz

iPhone gestohlen: Apple untersucht merkwürdigen Fall

Walliser Musikfestival vor herrlicher Bergkulisse. Und mittendrin lauern Diebe.
Walliser Musikfestival vor herrlicher Bergkulisse. Und mittendrin lauern Diebe.Bild: openair gampel

Wie Lukas das iPhone gestohlen wurde und er in Teufels Küche kam

Am Open Air Gampel verschwindet das Handy eines jungen Mannes unter merkwürdigen Umständen. Wochen später erhält er verdächtige Mitteilungen und man versucht, ihm sein Apple-Passwort zu entlocken. Teil 1 einer Recherche, die bis nach China und ins Darknet führt.
10.10.2016, 10:3620.05.2021, 12:47
Mehr «Digital»

Dies ist der erste Teil der watson-Serie zum Diebstahlschutz für das iPhone, die sogenannte Aktivierungssperre.

Am Anfang der Geschichte steht ein junger Mann, dessen Apple-Handy an einem Open Air verschwindet. Dann versuchen Unbekannte, mit raffinierten Phishing-Attacken sein Passwort zu stehlen. Das Beunruhigende: Die Angreifer kennen offenbar den Namen des Opfers und auch seine private E-Mail-Adresse. Wie sind sie da rangekommen?

1. Die freche Tat
2. «Apple Support» greift an
3. Woher kennen die Kriminellen das Opfer?
4. Ein ähnlicher Fall, aber ...
5. Was iPhone-Nutzer beachten sollten
6. Apple startet Untersuchung

Teil 2 ist auch verfügbar: Das dreckige Business mit gesperrten iPhones – und wie man die «Activation Lock» aufhebt

Für eilige watson-Userinnen und -User: Am Schluss des Artikels folgt eine Zusammenfassung.

Die freche Tat

Friedliche Partystimmung und Live Acts unter freiem Himmel: Am 18. August reist Lukas* (Name geändert) mit Kollegen ans legendäre Gampel-Musikfestival.

Die Rückreise aus dem Wallis muss der watson-Leser ohne iPhone antreten. Noch am ersten Tag wird es ihm während eines Konzerts gestohlen und ist seither verschwunden.

Lukas hat sich bei uns gemeldet, weil ihm Wochen später verdächtige «Apple Support»-Mitteilungen auf sein neues Handy geschickt werden (dazu gleich mehr). Aber lassen wir ihn zuerst von seinem ziemlich schrägen Erlebnis an jenem Donnerstagabend im Oberwallis erzählen:

«So, wie ich es mitbekommen habe, wurden während des K.I.Z.-Konzerts Telefone im grossen Stil geklaut. Es gab danach sehr viele Besucher, die das Handy nicht mehr hatten und es suchten. Einige Leute – darunter zwei meiner Kollegen und ich – fanden eine Joker-Karte in der Tasche. Es würde mich darum sehr wundernehmen, ob auch andere eine solche ‹Message› erhalten haben.»
Lukas
Handy weg?
Kennst du jemanden, dessen Smartphone am Gampel Open Air 2016 gestohlen wurde? Insbesondere interessiert uns, ob statt des Geräts etwas Ungewöhnliches entdeckt wurde. Und: Gingen nach dem Festival bei der bestohlenen Person persönlich adressierte Mitteilungen per SMS oder E-Mail ein, die mit «Apple Support» unterzeichnet waren? Rückmeldungen bitte an:
daniel.schurter@watson.ch


(Alle Angaben werden vertraulich behandelt. Wer verschlüsselt kommunizieren möchte: Der PGP-Schlüssel des Autors ist über Public Key Server verfügbar).

«Hurra, die Welt geht unter» – K.I.Z. am Gampel 2016

31 Verlustanzeigen

Die Kantonspolizei Wallis erklärt auf Anfrage, dass am ersten Gampel-Tag, als auch K.I.Z. auftraten, 31 Handy-Verlustanzeigen registriert wurden. Dies deckt sich mit dem Bericht des regionalen Online-Mediums «1815.ch».

An den weiteren Festival-Tagen wurden gemäss Polizeisprecher Markus Rieder deutlich weniger «Verluste» verzeichnet. Von aufgefundenen Joker-Karten oder anderen ungewöhnlichen Vorkommnissen wisse er nichts.

So viele vermisste Handys wurden am Gampel Open Air 2016 der Polizei gemeldet.
So viele vermisste Handys wurden am Gampel Open Air 2016 der Polizei gemeldet.quelle: kantonspolizei wallis

Auslöser solcher Verlustmeldungen seien nicht immer Kriminelle, gibt der Walliser Polizeisprecher zu bedenken. Handys und Portemonnaies könnten beim Tanzen unbemerkt zu Boden fallen. Nicht immer würden in den Morast gestampfte Wertsachen später von ehrlichen Findern retourniert ...

Es gab auch Schadenfreudige ...

Eintrag auf der Gampel-Website im «Ich suche dich»-Bereich.
Eintrag auf der Gampel-Website im «Ich suche dich»-Bereich.screenshot: watson

Der watson-Redaktor hat beim Organisationskomitee um eine Stellungnahme gebeten, doch der Mediensprecher gab sich zugeknöpft. Um negative Publicity zu vermeiden?

Olivier Imboden wollte die Handy-Diebstähle jedenfalls nicht kommentieren. Nur so viel: «Uns sind keine speziellen Vorkommnisse während des K.I.Z.-Konzerts bekannt.»

«Apple Support» greift an

Wenn das iPhone weg ist, bedeutet das Umtriebe. Vorsichtige haben vorgesorgt: Dann sind wenigstens die wichtigen persönlichen Daten (Kontakte, Fotos etc.) nicht für immer verloren, sondern als Sicherheitskopie verfügbar.

Nachdem Lukas den Verlust seinem Mobilfunk-Provider gemeldet und bei der Polizei angezeigt hat, schafft er ein Ersatzgerät an und kann dank iCloud-Backup (fast) alles wiederherstellen.

Der Diebstahl wäre bald nur noch eine spannende Anekdote. Doch dann geht einige Wochen später – völlig unerwartet – auf seinem neuen iPhone ein erster «Warnhinweis» ein ...

Bild
screenshot: watson

In der an ihn adressierten, mit «Apple Support» unterzeichneten E-Mail heisst es auf Englisch, dass ein mit seiner Apple-ID verknüpftes iPhone 6S «erfolgreich mit dem Netzwerk verbunden» worden sei und nun versuche, sich zu aktivieren. Falls er dies nicht veranlasst habe, werde ihm dringend empfohlen, apple.ifoong.com aufzurufen, um den Standort zu erfahren und «sein Gerät» zurückzuerlangen.

Und so sieht die ihm gestellte Falle aus:

Bild
screenshot: watson

Es handelt sich offensichtlich um einen Phishing-Versuch. Das heisst, man versucht Lukas sein iCloud-Passwort zu stehlen, indem man ihn auf eine gefälschte Webseite lockt.

Zwar sieht die Webseite auf den ersten Blick so aus, als würde sie tatsächlich zum iCloud-Dienst iPhone-Suche gehören. Doch müssen zwei Beobachtungen stutzig machen:

  • Die Web-Adresse (Domain) entspricht keiner bekannten Apple-Adresse wie apple.com oder icloud.com.
  • Der Browser zeigt in der Adresszeile kein grünes Schloss an. Diese Symbolik würde eine funktionierende Verschlüsselung der über das Internet transportierten Web-Inhalte kennzeichnen, sie wird HTTPS genannt.

So muss es aussehen

Bild

Schloss = sichere Verbindung

Bild
No Components found for watson.skyscraper.

Lukas lässt sich zum Glück nicht hereinlegen. Und die Angreifer lassen nicht locker. Immer wieder schickten sie ihm neue «Apple Support»-Mitteilungen. Die Unbekannten versuchen ihn auch emotional unter Druck zu setzen, indem sie ihm vorgaukeln, seine in der iCloud gespeicherten iPhone-Fotos (Photo Stream) und Nutzerdaten würden von Fremden abgegriffen.

Bild
screenshot: watson

Als die Domain apple.ifoong.com von den gängigen Web-Browsern wie Chrome und Safari blockiert wird ...

Phishing-Warnung apple.ifoong.com
Was heisst hier «Phishing-Verdacht»?screenshot: watson

... dauert es nicht lang, und man versucht, Lukas auf eine neue Webseite zu locken. Natürlich ist auch die präpariert ...

Phishing-Nachricht an iPhone-User
screenshot: watson

Woher kennen die Kriminellen das Opfer?

Damit kommen wir zum zentralen Punkt, in dem sich die Angriffe auf Lukas von den Millionen Phishing-Mails, die Tag für Tag weltweit verschickt werden, unterscheiden:

Die Kriminellen kennen seinen Vornamen, Nachnamen und auch die Mail-Adresse, die mit seinem Apple-Konto verknüpft ist.

Lukas heisst im wahren Leben nicht Lukas. Um seine Identität zu schützen, haben wir ihm ein Pseudonym gegeben. Sein richtiger Vorname hat eine spezielle Schreibweise. Und eine Web-Suche nach seiner privaten E-Mail-Adresse (in der sein korrekter Vorname nicht enthalten ist) ergibt keinen Treffer.

Der Bestohlene sagt über die Angreifer:

«Es ist mir unerklärlich, wie sie an die persönlichen Angaben gekommen sind.»

Für die zielgerichteten Phishing-Angriffe gibt es eine äusserst unwahrscheinliche sowie eine plausible Erklärung:

  • Der iPhone-Dieb kannte die Identität des Opfers (und auch dessen Mail-Adresse) und verwendete die Informationen missbräuchlich für eigene Phishing-Attacken, um so an das Apple-ID-Passwort von Lukas zu gelangen.
  • Der iPhone-Dieb nutzte eine im Internet angebotene illegale Dienstleistung, um mithilfe Dritter an das Passwort zu gelangen. Demnach bestünde keine direkte Verbindung zwischen Lukas und den Phishing-Attacken. Aber wie konnten die Angreifer die persönlichen Daten des Opfers (Name, Vorname, Mail-Adresse) herausfinden?

Fakt ist: Die bei den Phishing-Attacken auf Lukas eingesetzten Fake-Webseiten haben ihren Ursprung in China. Die Internet-Domain ifoong.com wurde in Shanghai registriert.

China-Connection, iPhone-Phishing

Der Eigentümer der Domain (Registrant) will seine Identität nicht offenlegen. Für die Registrierung nahm er die Dienste einer dubiosen Organisation in Anspruch. Bei der «Shanghai Meicheng Technology Information Development Co.» handelt es sich um eine Gesellschaft mit sehr beschränkter Haftung.

Bild
screenshot: scamwarners.com

Es deutet alles daraufhin, dass hinter den Phishing-Attacken ein professioneller Anbieter steht, der seine kriminelle Dienstleistung gegen Paypal-Dollars im Web anbietet. Vom November 2015 datiert ein Eintrag im offiziellen Apple-Forum, in dem ein iPhone-User einen nahezu identischen Angriff schildert.

Diese Phishing-Attacke hatte den gleichen (chinesischen) Ursprung.
Diese Phishing-Attacke hatte den gleichen (chinesischen) Ursprung. screenshot: discussions.apple.com

Die mutmassliche Briefkastenfirma hat seit Jahren einen schlechten Ruf. Schon 2014 wurden Internetnutzer vor Scams (Betrügereien) gewarnt, die von zahlreichen anderen registrierten Domains ausgingen.

Sicher ist:

In China wird nicht nur Apples iPhone fabriziert, aus dem Reich der Mitte kommen auch viele Attacken auf die Käuferinnen und Käufer.

Im zweiten Teil dieser watson-Serie nehmen wir das dreckige Business rund um die «iCloud Removal Services» unter die Lupe. Doch nun geht's vorerst zurück nach Europa.

Ein ähnlicher Fall, aber ...

Im Juli, einen Monat, bevor Unbekannte die Apple-ID von Lukas zu ergaunern versuchen, erlebt ein finnischer IT-Manager einen Phishing-Angriff mit interessanten Parallelen.

Joonas Kiminki beschreibt im Hackernoon-Blog, wie sein iPhone in Italien aus einem aufgebrochenen Auto gestohlen wurde. 11 Tage danach erhält er per SMS und E-Mail an ihn adressierte Mitteilungen. Unbekannte wollen über geschickt präparierte iCloud-Webseiten sein Passwort ergaunern.

Bild
screenshot: hackernoon.com

Der Finne rätselt, woher die Angreifer seinen Namen kennen, denn das gestohlene iPhone war durch die Aktivierungssperre geschützt. Kiminki vermutet, dass sein mit einem PIN-Code geschütztes Gerät die Informationen preisgegeben hat:

Im sogenannten Notfallpass (auf Englisch «Medical ID»), der zur Health-App von iOS gehört, lassen sich medizinisch relevante Informationen so abspeichern, dass Dritte sie in einem Notfall über den Sperrbildschirm abrufen können. Und dort hatte Kiminki offenbar seinen Namen und Vornamen hinterlegt.

Der clevere Dieb oder ein anderer Krimineller, dem das iPhone in die Hände fiel, hätte dann mit einer Internetsuche nach dem ungewöhnlichen Namen Kiminkis Mailadresse herausgefunden. Sie ist über die Website seines Unternehmens zugänglich.

Ob tatsächlich so vorgegangen wurde, ist offen. Kiminiki rät jedenfalls allen iOS-Nutzern und potenziellen Opfern:

«Falls du jemals dein iPhone, iPad oder den iPod verlierst, sei besonders wachsam, denn es drohen Versuche, deine Identität zu stehlen.»
Joonas Kiminki

Was unseren Fall betrifft: Lukas hatte auf seinem iPhone (mit aktuellem iOS-System) den Notfallpass nicht ausgefüllt. Die Kriminellen müssen also auf anderem Weg an seinen Namen und die Mailadresse gelangt sein.

Die Angreifer konnten auch nicht über eine Sicherheitslücke bei der sprachgesteuerten iPhone-Assistentin Siri an die Kontaktdaten gekommen sein. Lukas war vorsichtig genug gewesen, den Zugriff auf Siri vom Sperrbildschirm aus (über die System-Einstellungen des Geräts) zu verbieten.

Und auch eine weitere Möglichkeit, wie die Angreifer an die Daten von Lukas gelangt sein könnten, ist auszuschliessen: Das gestohlene iPhone wurde nicht in den Verloren-Modus gesetzt. Es wurde also auf dem Sperrbildschirm keine Nachricht mit Kontakt-Telefonnummer oder Mail-Adresse angezeigt.

Was iPhone-Nutzer beachten sollten

Zunächst einmal sollte man sich vergewissern, dass die Option «Mein iPhone suchen» in den System-Einstellungen aktiviert ist. Hinweis: Das iCloud-Sicherheitsfeature funktioniert auch, wenn die Apple-App «iPhone-Suche» nicht installiert ist.

Mein iPhone suchen, iCloud-Sicherheitsfunktion iOS 10, iPhone 6S, Screenshot
Sollte unbedingt aktiviert sein!Bild: watson

Um sich vor Phishing-Attacken zu schützen und einem Identitäts-Diebstahl vorzubeugen, sollte man gemäss den Sicherheitsexperten von Intego die folgenden Ratschläge rund um die iPhone-Nutzung beherzigen:

  • Vor dem Eingeben von persönlichen Informationen immer die Authentizität von Webseiten überprüfen (siehe oben, HTTPS- und Schloss-Symbol).
  • Das iOS-Gerät sollte mit einem 6-stelligen PIN-Code oder einem alphanumerischen Passwort geschützt sein.
  • Zwei-Faktor-Authentifizierung für die Apple-ID aktivieren. Dieser Support-Beitrag erklärt, wie es geht. Achtung: Das ist eine neue Sicherheitsfunktion, die besser ist als das frühere zweistufige Anmeldeverfahren (Two-Step-Verification).
  • iCloud-Backup aktivieren. Das ist insbesondere dann zu empfehlen, wenn man in den Geräte-Einstellungen die Option «Daten löschen» aktiviert hat. Dann werden nach 10 fehlgeschlagenen Anmeldeversuchen alle Daten auf dem entsprechenden iPhone automatisch gelöscht.
Bild
screenshot: watson

Apple startet eine Untersuchung

Verunsichert durch die unerklärliche, auf ihn zugeschnittene Attacke, wendet sich Lukas Mitte September an den iPhone-Hersteller. Auf eine erste Nachricht, die er Apple an eine allgemeine Mailadresse schreibt, antwortet niemand. Darum ruft er ein paar Tage später beim Apple-Support an.

Am Telefon erhält Lukas jedoch keine beruhigende Auskunft. «Denen war das auch nicht bekannt.» Man habe ihn nur darauf hingewiesen, dass es Phishing-Nachrichten seien. Und:

«Auf alle Fälle dürfte das aus Ihrer Sicht nicht vorkommen und sehe nach einer neuen nicht bekannten Lücke aus.»
Auskunft, die Lukas vom Apple-Support erhielt

Nachdem der watson-Redaktor mit der Recherche beginnt und erste Anfragen bei Apple einreicht, kommt Bewegung in den merkwürdigen Fall. Ein relativ hochrangiger Mitarbeiter von Apples Europa-Sitz meldet sich bei Lukas und befragt ihn ausführlich. Zwei Tage später trifft eine E-Mail aus dem irischen Cork ein: «Wie besprochen am Telefon werde ich der Angelegenheit weiter nachgehen, und ich hoffe bis Ende der Woche weitere Informationen für Sie zu haben.»

Als Lukas erneut aus Irland angerufen wird, kann ihm der Apple-Mann jedoch keine beruhigende Auskunft geben. Er habe nicht wirklich viel gesagt, erzählt Lukas, ausser dass die Infos nicht über «iPhone suchen» gefunden worden seien. Der Fall sei intern weitergeleitet worden, habe man ihm weiter gesagt, aber:

«Wie die Kriminellen an meine Daten gekommen sind, konnte man mir nicht sagen. Und ob sich Apple deswegen wirklich Sorgen macht, weiss ich auch nicht.»
Lukas

Wie viele andere Apple-Kunden ebenfalls von gezielten Phishing-Attacken betroffen waren, ist nicht bekannt. Unsere Recherche ergibt jedenfalls keine gehäufte Berichterstattung.

Nachdem das deutsche IT-News-Portal heise.de Anfang August über den Angriff auf Joonas Kiminki berichtet hatte, meldete sich ein weiteres Diebstahl-Opfer via Kommentarfunktion.

Bild

Sicher ist: watson bleibt am Thema dran. Zum jetzigen Zeitpunkt ist nicht auszuschliessen, dass Kriminelle dank Sicherheitslücken an die Kontaktdaten der Diebstahl-Opfer gelangen konnten. Dann wären hunderte Millionen iOS-Nutzer im Visier:

  • Wie ist es zu den persönlich adressierten Phishing-Attacken auf Lukas gekommen?
  • Woher kannten die Kriminellen die Identität respektive die Apple-ID und den Namen des Opfers?
  • Kann man über die IMEI-Nummer eines iPhones an die Kontaktdaten des rechtmässigen Käufers gelangen?
  • Können Unbefugte auf eine interne Datenbank von Apple zugreifen, in der Kundendaten gespeichert sind?

Teil 2 folgt demnächst: Das dreckige Business mit gesperrten iPhones – und wie man die «Activation Lock» aufhebt

In Eile? Hier gibt's die Zusammenfassung:

  • Nachdem sein iPhone gestohlen wird, erhält ein junger Schweizer Wochen später verdächtige E-Mails. Unbekannte geben sich als «Apple Support» aus und versuchen, ihn auf eine gefälschte iCloud-Website zu locken. Dort soll er sein Passwort (Apple ID) eingeben, um angeblich Informationen zum vermissten Gerät zu erhalten.
  • Das Ganze ist eine Phishing-Falle. Kriminelle wollen das Passwort beschaffen, weil sich damit das entwendete iPhone entsperren und (mit der gestohlenen Identität des Apple-Users) weiterer Schaden anrichten liesse.
  • Die sogenannte Aktivierungssperre, die Apple mit iOS 7 eingeführt hat, verhindert, dass gestohlene Geräte von Dritten in Betrieb genommen werden können. Allerdings fragt sich in unserem Fall, wie die Angreifer an den vollen Namen und die Mailadresse des Opfers kamen?
  • Im Juli wurde ein finnischer Manager Opfer einer Phishing-Attacke, die Parallelen zu unserem Fall aufweist. Allerdings gibt es eine plausible Erklärung: Der Name des Opfers war im Notfallpass (Medical ID) seines iPhones abgelegt, so dass man vom Sperrbildschirm darauf zugreifen konnte. Dies war beim Schweizer Opfer nicht der Fall.
  • Da das Gerät nicht in den Verloren-Modus gesetzt war, gab es keine Kontakt-Nachricht auf dem Sperrbildschirm. Und auch eine im April publik gemachte Siri-Sicherheitslücke, die Angreifern vom Sperrbildschirm aus den Zugriff auf das Adressbuch ermöglichte, kommt nicht infrage.
  • Apple hat eine interne Untersuchung eingeleitet. Bislang (angeblich) ohne zählbare Resultate. Besteht irgendwo eine Sicherheitslücke, die Kundendaten «preisgibt»?

Alle Artikel zur Serie

Die eindrücklichsten und schönsten iPhone-Fotos des Jahres 2016

1 / 59
Die eindrücklichsten und schönsten iPhone-Fotos des Jahres 2016
Die Gewinner der iPhone Photography Awards 2016 stehen fest, darunter ist auch ein Mann aus Zürich. In der Bildstrecke zeigen wir die besten Aufnahmen. Zurücklehnen und geniessen ...
quelle: ippawards
Auf Facebook teilenAuf X teilen
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
52 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
tux_ping
10.10.2016 11:25registriert Januar 2014
Auch wenn die Aktivierungssperre aktiv ist, gibt es eine Möglichkeit, um eingeschränkten Zugriff auf das System zu erhalten (durch Ändern des DNS-Servers auf einen, den man selber kontrolliert, welcher die Requests zu den Apple Help-Seiten auf einen eigenen Web-Server forwarded). Somit ist es unter Umständen möglich zu sehen, welche E-Mail Accounts auf dem System konfiguriert sind.

P.S.: Das "grüne Schloss" wäre in diesem Fall nicht wirklich ein Indikator gewesen, dass es sich um eine legitime Seite handelt, da ein Angreifer sich für seine eigene Domain ein Trusted Zertifikat besorgen kann.
753
Melden
Zum Kommentar
avatar
bendr
10.10.2016 12:19registriert März 2015
Nun Identitätsdiebstahl kann leider auch völlig unverschuldet und passieren. Da muss nur irgend ein Kollege eine "gratis" App installieren. Diese liest das Adressbuch aus - die Kontaktdaten wuden übertragen und können verkauft werden. Dagegen kann man leider nichts machen!
603
Melden
Zum Kommentar
avatar
Scaros_2
10.10.2016 10:52registriert Juni 2015
Der Punkt "Daten Löschen" ist ein echt heickler Punkt. Der Kollege hat ein Firmenhandy und das lag eines Abends bei lockerer Runde einmal auf dem Tisch. Ein andere Kollege meinte dann aus Jux/Alkohol das es "mega cool ist" wenn man zu oft den Pin eingebe, das dann die funktion paar Minuten gesperrt ist.

Tja, "WELL DONE" sagte ich dann als nach dem 10. mal plötzlich die Augen gross wurden und der Kolleg vom Klo zurück kam erst mal die Tischkante kritisch traff.

Eine funktion die nur mit Vorsicht zu geniessen ist denn man muss dann echt aboslut sicher sein das sie nicht dümmlich benutzt wird.
583
Melden
Zum Kommentar
52
Microsoft hat 30 Jahre lang «vergessen» diese Windows-Funktion zu aktualisieren

An einem regnerischen Donnerstagmorgen vor fast 30 Jahren gestaltete ein Softwareentwickler in der Microsoft-Zentrale in Redmond bei Seattle ein vielen noch heute bekanntes Dialogfeld für Windows NT. Das Feld sollte nur ein temporärer Platzhalter sein, darum gab er sich beim Layout keine grosse Mühe. Nur kam später niemand mehr auf die Idee, es zu ändern – und so ist es auch heute noch in Windows 10 und 11 zu finden.

Zur Story