"Push Bombing": Erneut Angriffe auf iPhone-Nutzer
Kriminelle versuchen, Apple-Accounts gezielt zu übernehmen. Dafür nerven sie zuerst mit Push-Nachrichten auf den iPhones ihrer Opfer.
(Bild: Motortion Films/Shutterstock.com)
Kriminelle missbrauchen derzeit offensichtlich Apples Passwort-Zurücksetzen-Prozess, um mit dessen Hilfe an iCloud-Accounts zu gelangen. Nutzer berichten, dass sie plötzlich zahlreiche Passwort-Zurücksetzen-Mitteilungen auf ihren iPhones und anderen Apple-Geräten erhalten. "Use this iPhone to reset your Apple ID password" ("Nutze dieses iPhone, um Dein Apple-ID-Passwort zurückzusetzen") lautet der Inhalt der Nachricht, wie KrebsonSecurity berichtet. Betroffene können auf die Mitteilung nur mit "Ablehnen" oder "Zulassen" reagieren. Teils kämen Dutzende solcher Mitteilungen hintereinander an, erzählen Nutzer aus den USA.
Opfer genervt von Push-Mitteilungen
Der eigentliche Trick der Betrüger folgt im Anschluss mit einem Anruf, der vortäuscht, von einer (echten) Nummer des Apple-Supports zu stammen. Die vorgeblichen Support-Mitarbeiter erkundigen sich dann nach einem Einmal-Code, der dem Opfer beim Zurücksetzen des Passwortes per SMS zugeschickt wird. Gibt man den Code weiter, kann der Angreifer offenbar ein neues Passwort für die Apple-ID respektive den iCloud-Account festlegen und ihn damit übernehmen.
Ob zuvor in der Push-Nachricht "Zulassen" oder "Ablehnen" angetippt wird, scheint praktisch keinen Unterschied zu machen: Auch "Zulassen" erlaubt bei normaler Funktionsweise wohlgemerkt keine Account-Übernahme, stattdessen kommt der Nutzer so zu einer Ansicht, um dort sein Passwort direkt auf dem iPhone ändern zu können. Der Angreifer sollte dadurch keinerlei Zugriff erhalten.
Der Angriff setzt rein darauf, dass das Opfer durch die vielen Mitteilungen genervt oder überfordert ist und daraufhin den Einmal-Code – ohne weiter nachzudenken – an den vermeintlichen Support-Mitarbeiter aushändigt. Solche Techniken werden auch als Push-Bombing-Angriff oder "MFA Fatigue" bezeichnet – Erschöpfung durch mehrfache Multi-Faktor-Authentifizierungsanfragen.
Bug bei Apples Passwort-Zurücksetzen-Methode?
Die Methode funktioniert nur, wenn dem Angreifer sowohl die Apple-ID als auch die für den Apple-Account hinterlegte Mobiltelefonnummer bekannt ist. Entsprechend dürfte dies primär gezielt gegen einzelne Personen eingesetzt werden. Ein Firmengründer schilderte das Verfahren auf X/Twitter, der Betrüger versuchte demnach, weitere Informationen aus kommerziellen Personendatenbanken abzufragen.
Ob die Angriffe auch in Deutschland oder Europa in größerem Stil stattfinden, bleibt unklar. Ebenso ist noch offen, ob ein Fehler in Apples Passwort-Zurücksetzen-Prozess im Web besteht, der die zahlreichen, nervenden Push-Nachrichten überhaupt erst ermöglicht.
(lbe)
