Apple-IDs gekapert und Kunden finanziell geschädigt: Zwei-Faktor-Authentifizierung war nicht eingerichtet

Jonny Random, den 16. Oktober 2018
Sicherheitslücken aufgespürt
Sicherheitslücken aufgespürt, Bild: CC0

Die Apple-ID zahlreicher Kunden wurde mit einem Trick übernommen und den Opfern finanzielle Schäden zugefügt. Apple räumte die Vorfälle ein und entschuldigte sich bei den Betroffenen. Eine Rolle bei den erfolgreichen Angriffen spielte die Zwei-Faktor-Authentifizierung, die viele Kunden noch immer nicht eingerichtet haben.

Apple-Kunden in China wurden zuletzt Opfer einer konzertierten Attacke auf ihre Apple-IDs. Den Opfern wurde verschiedentlich finanzieller Schaden in nicht bekannter Höhe zugefügt.

Betroffen waren hauptsächlich Kunden, die als Zahlungsmethode für ihre Käufe im App Store und bei iTunes den Bezahldienst Alipay eingerichtet hatten, der zum chinesischen Konzern Alibaba gehört.

Auf eine noch unbekannte Weise haben die Angreifer ermittelt, welche Kunden Alipay in ihrer Apple-ID verwenden, der Rest war vergleichsweise simples Social Engineering.

Zwei-Faktor-Authentifizierung hätte Opfer geschützt

Die Angreifer versendeten E-Mails an die Betroffenen, die den Eindruck erweckten, von Apple zu sein.

Eine Anzahl Empfänger reagierte auf diese Nachrichten und gab ihre Logindaten der eigenen Apple-ID preis.

Anschließend konnten die Angreifer in deren Namen Käufe im Apple-Universum durchführen, Hardwarekäufe im Apple Online Store waren jedoch nicht möglich. Diese müssen zusätzlich noch mit dem dreistelligen Sicherheitscode der hinterlegten Kreditkarte bestätigt werden.

Apple hat den Vorgang inzwischen gegenüber dem WSJ bestätigt. Man entschuldigte sich bei den Betroffenen, verwies aber darauf, dass es geholfen hätte, die Zwei-Faktor-Authentifizierung einzurichten.

Diese verhindert, dass ein Account auf diese Weise kompromittiert werden kann.

Apple, Amazon und weitere Onlineunternehmen bieten das Feature bereits seit vielen Jahren allen Kunden an.

Allerdings wurde sie von vielen Anwendern noch nicht eingerichtet.


Ähnliche Nachrichten