Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Betrug per iMessage: 100.000 Nachrichten aus „iPhone-Farmen“ – am Tag

Beinahe jeder iPhone-Anwender durfte bereits unfreiwillig Erfahrungen sammeln mit Phishing: Unbezahlte Zollgebühren, exorbitant hohe Überweisungen vom eigenen Konto, ein neuer Steuerbescheid – angekündigt durch eine Nachricht mit scheinbar dringlichem Inhalt, von einem unbekannten Adressaten stammend. Sie haben stets das Ziel, vitale persönliche Informationen abzugreifen, etwa Kennwörter oder Kreditkartendaten. Diese Angriffe werden von professionellen Dienstleistern angeboten, das Produkt nennt sich „Phishing as a service“ (PhaaS). Diese Anbieter verlagern ihre Tätigkeiten zunehmend auf den Versand von Nachrichten mit Diensten wie iMessage – da hier die Inhalte verschlüsselt bleiben.


Ein Bericht der Sicherheitsfirma Catalyst beschreibt, wie die einschlägige Plattform Lucid vorgeht. Seit 2023 bietet dieses Unternehmen Kriminellen ihre Dienste auf Abonnement-Basis an. Dabei verschiebt sich der Fokus von SMS und E-Mail zunehmend auf plattformspezifische Nachrichtenübermittler wie RCS und iMessage. Da sie ihre Inhalte verschlüsselt übertragen, können die automatisierten Erkennungsmechanismen der Provider diese nicht so leicht als Phishing erkennen.

iPhone-Farm
Um Phishing-Versuche über Apples Nachrichtenplattform zu versenden, setzt Lucid physische iPhones ein – sie erhalten temporäre Apple-Accounts, um dann automatisiert Nachrichten an potenzielle Opfer zu versenden. Bis zu 100.000 Nachrichten soll die Plattform am Tag versenden, analysiert Catalyst. Für Android ist die Zahl wahrscheinlich ungleich höher: Nachrichten, welche über das RCS-System automatisiert versendet werden, entstammen virtualisierten Android-Geräten, von denen ein Dutzend nebeneinander auf demselben PC laufen.

Nicht antworten, Spam melden
Apple hat seine Nachrichten-Apps mittlerweile überarbeitet, um Nutzern ein Erkennen von Phishing-Versuchen zu erleichtern. So sind URLs in Nachrichten nicht anklickbar, wenn diese von unbekannten Absendern kommen. Darum fordern viele aktuelle Phishing-Nachrichten zunächst eine Antwort ein, etwa in Form eines „Ja“ oder des Buchstabens „Y“. Damit legitimieren Empfänger (unbewusst) die Kommunikation, und der Link wird aktiv. Eine solche Nachricht sollte man möglichst gleich als Spam melden, wie es die Nachrichten-App anbietet. Dies erleichtert Apple, einen missbräuchlich genutzten Apple-Account zu erkennen und stillzulegen. Generell gilt der Rat, niemals einen Link aus einer Messengernachricht oder E-Mail zu klicken, um Passwörter oder andere „wertvolle“ Informationen anzugeben. Stattdessen sollte man eigenständig die App oder Website aufrufen und die Angaben in Ruhe überprüfen.
iPhone XS "vintage", iPad 5 "obsolet", Mac mini 2018 unklar
iPhone XS "vintage", iPad 5 "obsolet", Mac mini...
Kurz: Mexico verklagt Google wegen "Gulf of America" +++ Neuer Papst mit Apple Watch
Kurz: Mexico verklagt Google wegen "Gulf of Ame...
„iPhone-Preise steigen nicht“ – Weißes-Haus-Sprecher versucht, Gemüter zu besänftigen
„iPhone-Preise steigen nicht“ – Weißes-Haus-Spr...
Apple – vom Hardware- zum Abo-Anbieter?
Apple – vom Hardware- zum Abo-Anbieter?
Bloomberg: Erste Gerüchte zu M6-, M7- und imposanten AI-Server-Chips
Bloomberg: Erste Gerüchte zu M6-, M7- und impos...
ICEBlock: Trump-Sprecherin schimpft auf App – lässt sie an die Chartspitze stürmen
ICEBlock: Trump-Sprecherin schimpft auf App – l...
Qobuz Connect
Qobuz Connect
iOS 26, macOS 26: Beta 3 erschienen (Aktualisierung: Neuerungen – und fehlende Verfügbarkeit auf M-Macs)
iOS 26, macOS 26: Beta 3 erschienen (Aktualisie...

Kommentare

Nebula
Nebula03.04.25 15:46
Vielleicht sollte iMessage grundsätzlich keine URLs anzeigen, wenn man Nachrichten von Unbekannt bekommt. Aber klar, dann wird halt der Text "Bitte akzeptieren Sie diesen Absender als Kontakt, um den Link freizuschalten" ergänzt und die Leute machen das trotzdem.
»Wir waren schon immer schamlos darin, großartige Ideen zu stehlen.« – Steve Jobs
0
Mutabaruga03.04.25 17:32
Leben wir hier eigentlich im rechtsfreien Raum, dass das Phishing professionell und völlig ungeniert gemacht werden kann?
+3
OliverCGN03.04.25 20:16
Mutabaruga
Leben wir hier eigentlich im rechtsfreien Raum, dass das Phishing professionell und völlig ungeniert gemacht werden kann?
Ja, das tun wir! Ich wurde vor 2 Jahren von einem vermeintlichen Postbank-Mitarbeiter angerufen, der mir mitteilte, dass man ungewöhnliche Kontozugriffe aus der Türkei auf meinem Konto festgestellt hätte. In dem Augenblick, als ich das selbst prüfen wollte, habe ich per FaceID nicht nur meinen Login, sondern gleichzeitig seine Anfrage ein Gerät als Sicherheitsmerkmal hinzufügen zu dürfen freigeschaltet.

Geistesgegenwärtig habe ich sofort alle Ausgeloggt und mein Passwort geändert und den Fall unverzüglich zur Anzeige gebracht. Mir ist zum Glück kein Schaden entstanden.

Nach einigen Wochen rief mich jemand von der Kripo an und meinte, dass man das Verfahren eingestellt hätte, weil solche Anrufe grundsätzlich aus dem Ausland kämen und man da gar nicht handlungsfähig wäre. Die Aufklärungsquote tendiere gegen 0. Er berichtete außerdem von einem Fall, wo ein Mann gerade sein Haus verkauft und ein Luxus-Wohnmobil von dem Geld kaufen wollte; er wurde um über 300.000 € betrogen! Die Ermittlungsbehörden konnte dagegen nichts ausrichten.

Im Klartext: Wenn man sich geschickt anstellt, erwarten einen absolut keine Strafen, wenn man Leute um Ihre Ersparnisse bringt. Das finde ich extrem traurig!
+12
Moranai
Moranai04.04.25 08:11
Da hilft es nur, wenn man Anrufe aus dem Ausland von unbekannten nicht annimmt und falls man sich irgendwo anmelden soll, dann immer selbst über den Browser die Seite des Dienstes aufrufen und nie über den Link, der einem geschickt wird. Das hilft in den meisten Fällen. Beim Banking kann es trotzdem passieren, dass wenn man einen Auftrag freischaltet, dass dieser gefaked ist. Da kann man aber vor dem Freischalten prüfen, ob die Kontodaten so passen oder nicht und ob man selbst die Überweisung angestoßen hat oder nicht.
+2
OliverCGN04.04.25 09:24
Moranai
Da hilft es nur, wenn man Anrufe aus dem Ausland von unbekannten nicht annimmt und falls man sich irgendwo anmelden soll, dann immer selbst über den Browser die Seite des Dienstes aufrufen und nie über den Link, der einem geschickt wird. Das hilft in den meisten Fällen. Beim Banking kann es trotzdem passieren, dass wenn man einen Auftrag freischaltet, dass dieser gefaked ist. Da kann man aber vor dem Freischalten prüfen, ob die Kontodaten so passen oder nicht und ob man selbst die Überweisung angestoßen hat oder nicht.
Nein, leider nicht:

Eine Anrufer-ID lässt sich leicht faken: Bei dem Anruf von der Postbank wurde eine Rufnummer aus Frankfurt angezeigt.

Außerdem: Ich habe keinen Link angeklickt. Ich habe während des Telefonates meine Postbank-Banking-App gestartet. In diesem Augenblick hat FaceID mich eingeloggt und direkt im Anschluß seine Anfrage freigeschaltet. FaceID war in diesem Fall extrem kontraproduktiv!

Was mich besonderes geärgert hat: Jahrelang hab ich das Problem, dass diese dämliche App mich immer komplett ausgeloggt hatte, wenn ich zuerst die Website aufgerufen und dann erst die App gestartet hatte.
Aber wenn ein Krimineller sich einloggt funktioniert das Teil so, wie es eigentlich gedacht war… 😤
0
Legoman
Legoman04.04.25 11:42
Mutabaruga
Leben wir hier eigentlich im rechtsfreien Raum, dass das Phishing professionell und völlig ungeniert gemacht werden kann?
Scheint so.
Facebook (und andere Plattformen sicher auch) wird grad wieder überschwemmt mit Fakeshops.
Angebliche Geschäftsaufgabe oder super Rabatte, am besten noch mit "ich habe eine ganz geheime Info bekommen, wie man..."; dazu jede Menge fingierte Antworten von angeblichen glücklichen Käufern.
Relativ schnell zu entlarven:
Kein Impressum, kein Geschäft unter der angeblichen Adresse, nur Kartenzahlung, Seite grad erst angemeldet.
Ob es jetzt darum geht, möglichst schnell Vorauszahlungen oder die Kreditkarteninfos abzugreifen, ist ja relativ egal.

Aber eins ist allen gemeinsam:
Meldet man diese Betrüger an Facebook, bekommt man die Antwort "nicht entfernt, sieht für uns alles total supi aus".

Hier irgendwas oder irgendwen wegen Betrug oder Behilfe anzeigen zu wollen, ist am Ende Zeitverschwendung.

Ich möchte keine Bewertung wagen, ob das Team bei Facebook einfach nur blind und blöd ist oder ob kriminelle Geldgier dahintersteckt. Vermutlich beides, je nach Thema.

Da hilft nur Medienkompetenz. Solche Dinge einfach vorbeirauschen lassen.
Es nützt nicht mal, wenn man die Sachen blockiert - denn der Algorithmus bemerkt nur den Klick und wertet den als Interesse.
+1
PythagorasTraining
PythagorasTraining04.04.25 12:59
Gerade kam diese Nachricht auf meinem iPhone an:

Sofort als Spam gemeldet.

Danke MTN❗️
a² + b² = c² ist nicht der Satz des Pythagoras!
+3
Mutabaruga06.04.25 11:46
Die Post veröffentlicht ja eine Quote der erfolgreichen Zustellungen.

Vielleicht sollte die Staatsanwaltschaft mal die Quote der bearbeiteten zu den bekanntgewordenen Fällen publizieren. Davon ab gehen dann noch die Fälle, die eingestellt wurden.

Und das jedes Jahr, um den Zuwachs an Effektivität zu sehen.

So sieht qualitative Arbeit aus, damit sich Ehrlichkeit lohnt und nicht das Entgegengesetzte gefördert wird.
-1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.