Unter dem Begriff „Phishing“ versteht man den Versuch, durch gefälschte Nachrichten, Anrufe, E-Mails und Internetseiten an sensible Daten von Nutzern zu kommen. Die Täter geben sich dabei zum Beispiel als bekanntes Unternehmen aus. In vielen Fällen ist das leicht zu durchschauen: Bisweilen wirken die E-Mails unseriös und enthalten Rechtschreibfehler. Bei Anrufen versuchen Kriminelle, oftmals Druck auszuüben und ein schnelles Handeln des Opfers zu forcieren. Eric Moret berichtet auf Medium von einem deutlich ausgeklügelteren Phishing-Versuch, der bei ihm fast fruchtete: Die Betrüger gaben sich als Support-Mitarbeiter von Apple aus und unternahmen mehrere Schritte, um an die Zugangsdaten des Apple Account zu gelangen.


Opfer befürchtete, gehackt worden zu sein
Moret spricht vom ausgefeiltesten Phishing-Angriff, der ihm je untergekommen sei. Den Auftakt machte eine schlichte SMS:


Moret wurde stutzig: Er hatte nicht versucht, sich bei seinem Account anzumelden. Gleichzeitig ploppte ein entsprechender Hinweis auf seinem iPhone, iPad sowie Mac auf – das übliche Popup, wenn der Zugriff auf den Apple Account erfolgt. Bei Moret schrillten die Alarmglocken: Jemand könnte versuchen, sich bei seinem Konto anzumelden. Drei Minuten später erhielt er einen Anruf: Der Gesprächspartner gab sich als Mitarbeiter des Apple-Supports aus und erklärte, ein Support-Ticket erstellt zu haben und sich in Kürze mit ihm in Verbindung zu setzen. Das Gespräch war nach 28 Sekunden beendet.

Echte E-Mails vom Apple Support
Nach zehn Minuten erfolgte ein weiterer Anruf unter derselben Nummer. Der vermeintliche Mitarbeiter von Apple verhielt sich „ruhig und gelassen“. Er habe bereits ein Support-Ticket erstellt, um Morets Konto zu schützen. Gänzlich falsch war diese Aussage nicht: Tatsächlich reichte der Betrüger ein echtes Support-Ticket bei Apple im Namen Morets ein. Als dieser sein E-Mail-Postfach öffnete, fand er dort also eine echte Nachricht von Apple – was der Betrugsmasche „enorme Glaubwürdigkeit“ verlieh, wie Moret eingesteht.


Im Verlauf des 25-minütigen Gesprächs forderte der vorgebliche Apple-Mitarbeiter Moret dazu auf, das iCloud-Passwort zurückzusetzen. Dieser zögerte und fragte zweimal nach, ob das Konto tatsächlich gehackt worden sei. Der Betrüger bestätigte dies und führte Moret den Prozess, ohne den Zweifaktor-Code zu erfragen.

Phishing-Seite griff Zweifaktor-Code ab
Um den Fall abzuschließen, sollte Moret auf einen Link in einer SMS klicken. Diese führte zur Phishing-Seite, die auf ihn einen durchaus seriösen Eindruck machte:


So gab es etwa ein Feld für die Fallnummer und Moret wurde angezeigt, welche Schritte bereits erfolgreich absolviert wurden, was dessen Vertrauen weiter stärkte. Moret sollte nun einen Bestätigungscode eingeben: Dabei handelte es sich um einen echten Zweifaktor-Code, den er per SMS erhielt. Er tat dies.

Neues Gerät meldet sich über Konto des Opfers an
Der Moment der Wahrheit offenbarte sich Moret wenig später: Apple informierte darüber, dass ein Mac mini sich über seinen Apple Account angemeldet hätte. Da es sich nicht um Morets Mac handelte, teilte er dies dem vermeintlichen Apple-Mitarbeiter mit. Dieser erklärte, dass so etwas „im Rahmen des Sicherheitsprozesses zu erwarten“ sei. Moret setzte nun das Passwort ohne Anleitung des Betrügers zurück und erklärte, den Anruf nicht fortsetzen zu wollen. Er wollte zudem, dass das Support-Ticket verfällt – ein Wunsch, dem der Täter nicht nachkam, da es sich angeblich um ein „Standardverfahren“ handelte. Das erneute Zurücksetzen des Passworts zeigte Wirkung: Der Mac mini verschwand aus der Geräteliste. Moret war mit dem Schrecken davongekommen. Er rät in seinem Beitrag zu äußerster Vorsicht: Der Angreifer nutzte Apples Support-System, offizielle E-Mails und einen echten Fall zu erstellen. Morets Empfehlung ist ein Hardware-Sicherheitsschlüssel, um die Verifizierung des Apple Account vorzunehmen.