Phishing-Kampagnen gegen Apple-Nutzer nehmen zu

Sicherheitsforscher von Fireeye haben nach der Auswertung von Daten eines Systems, dass neuregistrierte Domains mit gefährlichen Inhalten aufspürt, auf eine Zunahme von Phishing-Attacken gegen Apple-Nutzer hingewiesen. Bislang wurden hauptsächlich Nutzer in Großbritannien und China angegriffen. Nach Ansicht von Fireeye unterscheidet sich die derzeitige Angriffswelle von früheren durch das systematischere Vorgehen: Beispielsweise werde derselbe gefährliche Inhalt über eine Vielzahl von unterschiedlichen Domains verbreitet.

Die zunächst einmal für die Einrichtung von Apple-Geräten verwendete Apple ID ist für Nutzer aufgrund der weit darüber hinausgehenden vielfältigen Nutzungsmöglichkeiten und der im Hintergrund verknüpften Dienste wie iCloud und iCloud Keychain praktisch. Aus denselben Gründen ist sie aber auch für Kriminelle ein lohnendes Ziel: Denn jeder, der die Apple ID, das Passwort und einige weitere Information kennt, etwa Geburtstag oder den Sperrcode eines zugehörigen Geräts, kann das Gerät komplett übernehmen und die in iCloud Keychain gespeicherten Kreditkartendaten ebenso wie der rechtmäßige Nutzer verwenden.

Um an die Daten zu gelangen, richten die Kriminellen zunächst eine Reihe von Websites ein, die Apple-Nutzern vertraute Begriffe wie iTunes, iCloud und Apple ID verwenden oder mit etwa durch Buchstabendreher – leicht abgewandelten Begriffen operieren. Sie stellen sich Besuchern gegenüber in der Regel als Log-in Oberfläche für die Verwaltung der Apple ID, iTunes oder iCloud dar. „Diese Domains lieferten hochgradig ausgefeilten, verschleierten und verdächtigen JavaScript-Code aus, der mittels von der echten Website übernommenen HTML-Inhalten erstellt wurde. Diese Technik kann Anti-Phishing-Systeme erfolgreich täuschen, die HTML-Content und -Formulare analysieren”, so Fireeye.

Auf den Seiten werden Nutzer dann – so wie bei anderen, ähnlich gelagerten Attacken etwa gegen Nutzern von PayPal dem Passwort-Manager LastPas nach Details gefragt, die Angreifern benötigen, um die Apple ID zu übernehmen. So wird zum Beispiel wie von anderen Angriffswellen her bekannt vorgegaukelt, Daten wie der Geburtstag oder der Entsperrcode für das Gerät müssten “bestätigt” werden. Auch die Sicherheitsfrage sollte wiederholt “bestätigt” werden. Wurde versucht, eine Apple ID mehrmals einzugeben, erhielten Nutzer eine Fehlermeldung.

Indem sie Nutzer unter einem Vorwand auf imitierte Apple-Webseiten locken, versuchen Kriminelle seit Anfang des Jahres verstärkt, Apple ID und zugehörige Daten auszuspähen. (Screenshot. Fireeye)

Seit Januar 2016 wurden Fireeye zufolge rund 240 Domains registriert, die etwas mit Apple ID, iCloud oder iTunes zu tun haben. Davon wurden alleine 154 von jeweils unterschiedlichen E-Mail-Adressen angemeldet, die aber alle derselben Domain (qq.com) angehören. 36 wurden über Gmail-Accounts angemeldet, auf weitere in China gängige Domains (darunter 126.com und 138.com) entfallen ebenfalls jeweils mehrere neu registrierte Domains. Alle verwiesen auf 13 IP-Adressen in den USA und China. Eine ähnliche Strategie verfolgten die Angreifer bei Phishing-Kampagnen gegen Nutzer in Großbritannien. Dafür wurden aber “nur” 86 Domains mit scheinbar zu Apple gehörenden Begriffskombinationen eingerichtet (etwa “Applesupport”, “Appleticket”, etc ..).

Redaktion

Recent Posts

EU erschwert zielgerichtete Werbung auf Facebook

Es geht um Werbung auf Basis von Aktivitäten in der Facebook-App. Auch Instagram ist betroffen.…

20 Stunden ago

Pwn2Own 2022: Drucker, Router und Samsung Galaxy S22 gehackt

Neu ist die Kategorie SOHO Smashup. Hacker verknüpfen Schwachstellen in unterschiedlichen Office-Geräten, um beispielsweise über…

21 Stunden ago

Verband der Internetwirtschaft: Digitalisierungsampel der Koalition steht auf rot

Eco macht den 10-Punkte-Check: Ein Jahr nach ihrer Vereidigung konnte die Ampel ihre digitalpolitischen Ziele…

2 Tagen ago

Trends Folge 6: Wie lässt sich in der IT Energie sparen?

Von der Ressourcen- über die Produktions- bis hin zur Verbrauchsfrage: 2023 wird im Zeichen der…

2 Tagen ago

Industriespionage mit chinesischem Hintergrund

Die Bitdefender Labs haben eine komplexe Attacke aufgedeckt und analysiert. Urheber war höchstwahrscheinlich die APT-Gruppe…

2 Tagen ago

Interview: Wo steht Gaia-X heute?

Gaia-X soll Daten-Souveränität und selbstbestimmte Wertschöpfungsketten in einem geschützten Umfeld ermöglichen.

2 Tagen ago