Apple–Nutzer müssen sich derzeit vor einer perfiden Betrugsmasche in Acht nehmen. Sie bekommen plötzlich Push–Nachrichten, die zum Zurücksetzen ihres Passworts auffordern. Das Gemeine: Ignoriert man die Aufforderung, folgt ein Anruf eines angeblichen Apple–Mitarbeiters – und der hat weitere Informationen, die eigentlich nur dem echten Kunden–Support von Apple zur Verfügung stehen sollte.
Die Betrugsmasche
Die Taktik der Betrüger besteht darin, das Apple–ID Zurücksetzungsformular zu nutzen, um ihre betrügerischen Anfragen zu verbreiten. Hierfür benötigen sie lediglich die E–Mail–Adresse und Telefonnummer des Opfers. Da die Apple–ID auf allen verknüpften Geräten verwendet wird, empfangen diese sämtliche Benachrichtigungen und werden vorübergehend unbrauchbar. Jede dieser Anfragen muss einzeln abgelehnt werden.
Die Betrüger hoffen darauf, dass ihre Opfer eine dieser Anfragen akzeptieren. Falls dies nicht gelingt, gehen sie zum nächsten Schritt über und kontaktieren die Opfer telefonisch, indem sie sich als Apple–Mitarbeiter ausgeben, die über die Angriffe informiert wurden. Sie fordern dann ein Einmalpasswort an, das zum Zurücksetzen des Passworts verwendet wird.
Anruf vom Apple–Support? Apple sagt: «Legen Sie einfach auf»
Sollte eine Anfrage akzeptiert oder das Einmalpasswort weitergegeben werden, können die Angreifer den Zugriff auf den Apple–Account blockieren, auf gespeicherte Daten zugreifen und die Geräte aus der Ferne löschen. Es scheint, dass die Betrüger eine Schwachstelle im System von Apple ausnutzen. Wie genau sie es schaffen, so viele Zurücksetzungsanfragen zu versenden, ist derzeit noch unklar.
Um sich zu schützen, sollten Apple–Nutzer bis zur Behebung des Problems alle Anfragen ablehnen und am Telefon keine persönlichen Informationen preisgeben, da legitime Apple–Mitarbeiter niemals nach einem Einmalpasswort fragen würden. Apple selbst rät bei Anrufen von angeblichen Apple–Mitarbeitern in einem Phishing–Leitfaden dazu, einfach aufzulegen. Ausserdem bietet der Konzern ein System zum Melden von Phishing–Attacken sowie verdächtigen Facetime–Calls an. In Deutschland stellt darüber hinaus die Verbraucherzentrale einen Phishing–Radar zur Verfügung, bei dem man die Attacken melden kann.