Phishing-Kampagnen gegen Apple-Nutzer nehmen zu

Sicherheitsforscher von Fireeye haben nach der Auswertung von Daten eines Systems, dass neuregistrierte Domains mit gefährlichen Inhalten aufspürt, auf eine Zunahme von Phishing-Attacken gegen Apple-Nutzer hingewiesen. Bislang wurden hauptsächlich Nutzer in Großbritannien und China angegriffen. Nach Ansicht von Fireeye unterscheidet sich die derzeitige Angriffswelle von früheren durch das systematischere Vorgehen: Beispielsweise werde derselbe gefährliche Inhalt über eine Vielzahl von unterschiedlichen Domains verbreitet.

Die zunächst einmal für die Einrichtung von Apple-Geräten verwendete Apple ID ist für Nutzer aufgrund der weit darüber hinausgehenden vielfältigen Nutzungsmöglichkeiten und der im Hintergrund verknüpften Dienste wie iCloud und iCloud Keychain praktisch. Aus denselben Gründen ist sie aber auch für Kriminelle ein lohnendes Ziel: Denn jeder, der die Apple ID, das Passwort und einige weitere Information kennt, etwa Geburtstag oder den Sperrcode eines zugehörigen Geräts, kann das Gerät komplett übernehmen und die in iCloud Keychain gespeicherten Kreditkartendaten ebenso wie der rechtmäßige Nutzer verwenden.

Um an die Daten zu gelangen, richten die Kriminellen zunächst eine Reihe von Websites ein, die Apple-Nutzern vertraute Begriffe wie iTunes, iCloud und Apple ID verwenden oder mit etwa durch Buchstabendreher – leicht abgewandelten Begriffen operieren. Sie stellen sich Besuchern gegenüber in der Regel als Log-in Oberfläche für die Verwaltung der Apple ID, iTunes oder iCloud dar. „Diese Domains lieferten hochgradig ausgefeilten, verschleierten und verdächtigen JavaScript-Code aus, der mittels von der echten Website übernommenen HTML-Inhalten erstellt wurde. Diese Technik kann Anti-Phishing-Systeme erfolgreich täuschen, die HTML-Content und -Formulare analysieren”, so Fireeye.

Auf den Seiten werden Nutzer dann – so wie bei anderen, ähnlich gelagerten Attacken etwa gegen Nutzern von PayPal dem Passwort-Manager LastPas nach Details gefragt, die Angreifern benötigen, um die Apple ID zu übernehmen. So wird zum Beispiel wie von anderen Angriffswellen her bekannt vorgegaukelt, Daten wie der Geburtstag oder der Entsperrcode für das Gerät müssten “bestätigt” werden. Auch die Sicherheitsfrage sollte wiederholt “bestätigt” werden. Wurde versucht, eine Apple ID mehrmals einzugeben, erhielten Nutzer eine Fehlermeldung.

Seit Januar 2016 wurden Fireeye zufolge rund 240 Domains registriert, die etwas mit Apple ID, iCloud oder iTunes zu tun haben. Davon wurden alleine 154 von jeweils unterschiedlichen E-Mail-Adressen angemeldet, die aber alle derselben Domain (qq.com) angehören. 36 wurden über Gmail-Accounts angemeldet, auf weitere in China gängige Domains (darunter 126.com und 138.com) entfallen ebenfalls jeweils mehrere neu registrierte Domains. Alle verwiesen auf 13 IP-Adressen in den USA und China. Eine ähnliche Strategie verfolgten die Angreifer bei Phishing-Kampagnen gegen Nutzer in Großbritannien. Dafür wurden aber “nur” 86 Domains mit scheinbar zu Apple gehörenden Begriffskombinationen eingerichtet (etwa “Applesupport”, “Appleticket”, etc ..).