Macs ferngesperrt - Digitale Lösegelderpressung

Derzeit häufen sich die Fälle, dass Mac-Nutzer erpresst werden. Plötzlich startet der Mac neu, anschließend verlangt der Mac die Eingabe eines sechsstelligen Codes. Unterhalb des Zahlenfeldes ist der Hinweis zu sehen, man solle eine E-Mail an apprestore05@gmx.com oder eine ähnlich lautende Adresse senden. Wer dieser Aufforderung nachkommt, erhält anschließend eine Antwort. Gegen Zahlung werde die Sperre aufgehoben und der Mac lasse sich wieder normal nutzen. Bisherigen Informationen befinden sich die Personen hinter der Masche in Russland.

Geklaute Account-Daten
Um den Mac aus der Ferne sperren zu können, ist sowohl die Apple ID als auch das Kennwort erforderlich. In den letzten Jahren kam es zu mehreren erfolgreichen Hackerangriffen auf große Anbieter wie Yahoo, Ebay und andere Unternehmen, die Millionen an Kundenaccounts speichern. War man so leichtsinnig und setzt bei einem essenziellen Account wie beispielsweise iCloud noch immer auf dieselben Login-Daten, so besteht die hohe Gefahr, dass jene Anmeldedaten auch anderen Personen bekannt sind.

Was an der Angelegenheit besonders problematisch ist
Das wirklich Kritische an der Angelegenheit ist allerdings nicht der Missbrauch gestohlener Account-Daten, sondern dass die Fernsperrung des Macs unter Umgehung eines wichtigen Sicherheits-Features von iCloud erfolgt. Die Deaktivierung des Macs ist nämlich trotz aktivierter Zwei-Faktor-Authentifizierung möglich (siehe Screenshot). Eigentlich sollte der Sinn dieses doppelten Schutzes aber darin bestehen, eben nicht alleine mit Apple ID und Passwort größtmöglichen Schaden anrichten zu können.


Auf Reddit melden sich inzwischen ebenfalls Benutzer zu Wort. Wir haben außerdem von einem deutschen Apple Service Provider den Hinweis erhalten, dass auch hierzulande Anwender ihren Mac plötzlich nicht mehr nutzen können. Auf dem iPhone erscheint eine Meldung, ob das Passwort geändert werden soll. Angegeben wird, von wo der Zugriff stattfand - im Falle der geschädigten Nutzer aus Russland. Während ein iPhone per Passcode aus dem Sperrmodus zu entfernen ist, funktioniert das auf einem Mac nicht. Dieser lässt sich nur vom Gerät aus entsperren - ein Mechanismus, auf den die Erpresser setzen.

Was im Fall der Fälle zu tun ist
Sollten Sie vor der geschilderten Problematik stehen, dann wenden Sie sich bitte umgehend an den Apple-Support. Dieser hat die Möglichkeit, die EFI-Sperre zu entfernen und Ihren Mac wieder zu aktivieren. Derzeit gibt es keinen anderen Weg - bis auf Zahlung an die Erpresser.

Kommentare

jhank24.07.17 17:37
Würde diesen Verbrechern nie Geld schicken, eher ein Leben lang meinen Daten hinterhertrauern, eh selbst Schuld wer keine Backups macht.
0
Michael Fuchs
Michael Fuchs24.07.17 17:46
Gegen Zahlung eines bis mehrerer Bitcoins werde die Sperre aufgehoben und der Mac lasse sich wieder normal nutzen...
Aktueller Kurs 2389€ für ein Bitcoin.. Also steht eher ein Neukauf an
Im Ernst: Festplatte Raus, neue rein, wenn es mit Apple-Support nicht klappen sollte.
Eventuell stelle ich mir zu einfach vor, als PC User
jhank
eh selbst Schuld wer keine Backups macht.
So sieht es aus!
-5
Muadib124.07.17 17:58
Michael Fuchs

Hi.

Wenn Ich das richtig verstanden habe, wird das EFI gesperrt. Das ist beim PC mit dem BIOS vergleichbar. Somit würde ein Festplatten Tausch nicht weiter helfen. Aber Apple hat da noch andere Möglichkeiten, wenn man nachweisen kann, dass man der Besitzer der Hardware ist.
+6
Michael Fuchs
Michael Fuchs24.07.17 18:20
Um den Mac aus der Ferne sperren zu können, ist sowohl die Apple ID als auch das Kennwort erforderlich. In den letzten Jahren kam es zu mehreren erfolgreichen Hackerangriffen auf große Anbieter wie Yahoo, Ebay und andere Unternehmen, die Millionen an Kundenaccounts speichern. War man so leichtsinnig und setzt bei einem essenziellen Account wie beispielsweise iCloud noch immer auf dieselben Login-Daten, so besteht die hohe Gefahr, dass jene Anmeldedaten auch anderen Personen bekannt sind.
Das ist fies. Letztendlich aber das alte Dilemma mit dem Passwort.
Zu schwach, zu allgemein.

Gerade nachgeschaut, ein Mainboard kostet 70€ zusätzlich.
Fällt vergleichsweise mit der Forderung nicht so ins Gewicht.

Ich denke, das wäre auch bei einem iMac machbar, da gibt es doch sicher auch Ersatzteile, auch wenn zu anderen Preisen.
0
nane
nane24.07.17 18:21
Das "Fern"-sperren des Macs funktioniert doch aber nur, wenn ich das "Meinen Mac suchen" in den iCloud Einstellungen aktiviert habe oder?
Das Leben ist ein langer Traum an dessen Ende kein Wecker klingelt.
+2
Oliver Ramroth24.07.17 18:25
nane
Das "Fern"-sperren des Macs funktioniert doch aber nur, wenn ich das "Meinen Mac suchen" in den iCloud Einstellungen aktiviert habe oder?
Richtig. Aber durch die "Lücke" des Zugriffs auf "Find my ..." ohne 2FA dürfte die Nutzung dieser Funktion in Zukunft ohnehin deutlich unattraktiver werden
+1
s_ko
s_ko24.07.17 18:33
Habe auch mal eine Verständnisfrage.
Wenn der von der Ferne gesperrt wird, kann man ihn doch aus der Ferne per iCloud wieder freischalten oder nicht? Den iCloud Zugriff sollte man ja selber noch haben.
+1
nane
nane24.07.17 18:35
Oliver Ramroth
OK, ein "erfolgreiches sperren" setzt aber doch 1. die Aktivierung des Dienstes durch iCloud voraus und zusätzlich muss doch auch GPS aktiv (und aktiviert) sein, sonst erzeugt der Aufruf via iCloud doch kein "sinnvolles" Ergebnis, oder wurde dieser Funktionsaufruf geändert?
Das Leben ist ein langer Traum an dessen Ende kein Wecker klingelt.
0
Oliver Ramroth24.07.17 18:36
s_ko
Habe auch mal eine Verständnisfrage.
Wenn der von der Ferne gesperrt wird, kann man ihn doch aus der Ferne per iCloud wieder freischalten oder nicht? Den iCloud Zugriff sollte man ja selber noch haben.
Nein. Ein Mac im Lost Mode bleibt in diesem, bis am Gerät der Code eingegeben wurde. Die Sperre kann man von außen nicht entfernen. Was das Ganze richtig hinterlistig macht: im EFI-Boot ist die Sperre ebenfalls hinterlegt. Also auch nach dem Entfernen der Firmware-Sperre durch Apple "merkt" der Mac, dass er gesperrt ist und aktiviert den Lost Mode nach dem Neustart wieder - und das auch, wenn man die EFI-Partition löscht. Ich suche gerade nach einer Lösung, wie man die Sperre gänzlich entfernen kann. Aber da hat Apple zum einen gut gearbeitet aber leider auch Missbrauch sehr viel folgenschwerer gemacht.
nane
OK, ein "erfolgreiches sperren" setzt aber doch 1. die Aktivierung des Dienstes durch iCloud voraus und zusätzlich muss doch auch GPS aktiv (und aktiviert) sein, sonst erzeugt der Aufruf via iCloud doch kein "sinnvolles" Ergebnis, oder wurde dieser Funktionsaufruf geändert?
Auch ohne GPS kann man sperren - nur halt nicht orten. Prinzipiell sind alle Geräte gefährdet, bei denen in den SystemeinstellungeniCloud "mein Mac suchen" aktiv ist. Wie die Erpresser an die Passwörter zur Apple ID gelangen ist noch die andere Frage. Evtl. ist hier die jüngste Phishing Attacke mit als Ursache zu sehen...
+4
camaso
camaso24.07.17 18:40
Plötzlich startet der Mac neu...

Wie kann das sein? Was löst diesen Neustart aus?
+1
Oliver Ramroth24.07.17 18:41
camaso
Plötzlich startet der Mac neu
Wie kann das sein? Was löst diesen Neustart aus?
Wenn über icloud.com die Sperre gesetzt wird, bekommt der Mac vom "Find my ..." Service die Nachricht gepusht sich zu sperren. Da dabei auch die Firmware-Sperre gesetzt wird, wird ein Reboot eingeleitet.
+5
Oliver Ramroth24.07.17 18:43
Hier die Lösegeldforderung:
Hello!
Your device is blocked for activation of the device:
Pay 50$ for a bitcoin address: 146J2DVPruDqM5dL2T9ehFychzqGU6NeUG
Buy bitcoins online: https://localbitcoins.net
How to buy bitcoins? https://localbitcoins.net/guides/how-to-buy-bitcoins
For purchase of bitcoins you need to be registered on the specified website.
Inform us about the payment and we will send the passcode.
The payment is given 24 hours if payment is not received during this time, then all your devices will be bl
0
camaso
camaso24.07.17 18:44
Achso, danke für die Erklärung. Also nur dann, wenn das PW bekannt ist, keine zusätzliche Schadsoftware nötig.
0
nane
nane24.07.17 18:50
Oliver Ramroth
Prinzipiell sind alle Geräte gefährdet, bei denen in den SystemeinstellungeniCloud "mein Mac suchen" aktiv ist

OK, genau das meinte ich - also "Mein Mac suchen" deaktivieren. Problem gelöst
Das Leben ist ein langer Traum an dessen Ende kein Wecker klingelt.
+3
s_ko
s_ko24.07.17 19:01
Oliver Ramroth danke für die Erklärungen.
Habe Mac suchen bei mir auch erst mal deaktiviert.

Na mal schauen, ob Apple demnächst hier eine Änderung einführt.
+2
coffee
coffee24.07.17 19:33
nane
Oliver Ramroth
Prinzipiell sind alle Geräte gefährdet, bei denen in den SystemeinstellungeniCloud "mein Mac suchen" aktiv ist

OK, genau das meinte ich - also "Mein Mac suchen" deaktivieren. Problem gelöst

Ja, DAS Problem ist damit gelöst, aber nicht das Problem, das entsteht, wenn dein MacBook gestohlen wird. Welches Risiko ist größer?
Simplicity is the ultimate Sophistication (Steve Jobs)
0
MCDan24.07.17 19:34
Ich habe iCloud erst gar nicht aktiviert. Weder auf dem Mac, noch auf dem iPhone.
-1
nane
nane24.07.17 19:40
coffee
Ja, DAS Problem ist damit gelöst, aber nicht das Problem, das entsteht, wenn dein MacBook gestohlen wird. Welches Risiko ist größer?
Mist! ...irgendwelche Vorschläge?
Das Leben ist ein langer Traum an dessen Ende kein Wecker klingelt.
0
coffee
coffee24.07.17 19:44
nane
coffee
Ja, DAS Problem ist damit gelöst, aber nicht das Problem, das entsteht, wenn dein MacBook gestohlen wird. Welches Risiko ist größer?
Mist! ...irgendwelche Vorschläge?

Das MacBook mit Handschelle und Kette "am Mann" fesseln. Sieht saublöd aus, ist aber relativ sicher. 😜
Simplicity is the ultimate Sophistication (Steve Jobs)
+3
chill
chill24.07.17 20:15
Ist mit EFI das Firmwarepasswort gemeint? Das kann der Telefonsupport nicht auslesen soweit ich weiß. Aber der Partnershop kann das. Richtig?
"¿ssıəɥɔs ɹəp llos sɐʍ" :ʇƃɐs əsıəʍ ɹəp 'ßıəʍ sɐʍ ɹə sɐp ßıəʍ əƃnlʞ ɹəp
+1
Hannes Gnad
Hannes Gnad24.07.17 20:26
Der AASP/PSP/Apple Store kann gegen Eigentumsnachweis den Rechner entsperren. Vorher sollte man aber eben seinen iCloud-Account wieder unter Kontrolle bringen (Kennwort ändern, 2FA einschalten usw.) und dort den Lost Mode für das Gerät wieder ausschalten.
+10
Oliver Ramroth24.07.17 20:43
Hannes Gnad
... dort den Lost Mode für das Gerät wieder ausschalten.
Hab heute fast ne Stunde mit Cork gechattet und viel getestet. Der Lost Mode kann nicht umgekehrt werden - außer durch Eingabe des Codes am Gerät. Das macht es ja so gefährlich. Hab jetzt auf meinen eigenen Macs Firmware Kennwort und FileVault aktiv und eben Find my Mac deaktiviert. Sicher ist sicher...

Die einfache Abfrage nach dem Geburtsdatum bei direktem Zugriff auf Find... würde das Problem beheben. Hoffentlich bessert Apple da schnell nach.

Um das Kundengerät wieder ans Laufen zu bringen sind wir leider noch nicht weiter gekommen. Einfach Löschen dürfen wir nicht, da auch Bootcamp genutzt wird. Aber natürlich ist nicht dokumentiert, wie man den Lost Mode mit der Brechstange wieder deaktiviert nachdem das Firmware Kennwort raus ist. Good System und auch Installer erkennen die Aktivierung und verlangen auch gleich nach dem Code noch vor der Sprachauswahl.

Hannes - hast Du 'ne Idee?
+2
Hans.J
Hans.J24.07.17 21:02
nane
coffee
Ja, DAS Problem ist damit gelöst, aber nicht das Problem, das entsteht, wenn dein MacBook gestohlen wird. Welches Risiko ist größer?
Mist! ...irgendwelche Vorschläge?

Da für diese Aktion das Passwort nötig ist:
- Für jeden Account ein anderes Passwort nutzen.
- Passwort der iCloud jetzt ändern.
Müsste reichen, oder?
+4
teorema67
teorema6724.07.17 21:25
Jahrelang wurde hier im Forum gepredigt, es gibt keine Malware für MacOS und es wird nie solche geben ... und jetzt das

SCNR
D'oh! (Homer Jay Simpson)
-17
Weia24.07.17 21:33
coffee
Ja, DAS Problem ist damit gelöst, aber nicht das Problem, das entsteht, wenn dein MacBook gestohlen wird. Welches Risiko ist größer?
Na, ganz sicher das aus dem Internet – da gibt es potentiell Milliarden Missetäter, klauen können Dein MacBook nur die paar Leute in Deiner Nähe.

Es ist mir ein absolutes Rätsel, wie man sicherheitsrelevante Funktionen – sei es nun bei der Hausautomatisierung (via HomeKit oder was auch immer) oder bei Find My Mac – übers Internet laufen lassen kann.
+4
nane
nane24.07.17 21:34
teorema67
Es ist ja auch keine Malware, es sind "verlorene" und "mehrfach" genutzte Passworte, die im Umlauf sind. Dazu noch ...ähm nennen wir es verbesserungsfähige Sicherheitsmechanismen.
Das Leben ist ein langer Traum an dessen Ende kein Wecker klingelt.
+4
teorema67
teorema6724.07.17 21:38
nane
teorema67
Es ist ja auch keine Malware, es sind "verlorene" und "mehrfach" genutzte Passworte, die im Umlauf sind. Dazu noch ...ähm nennen wir es verbesserungsfähige Sicherheitsmechanismen.
Ja, aber der damals schon falsche Mythos der Unangreifbarkeit des MacOS ist trotzdem futsch
D'oh! (Homer Jay Simpson)
-15
nane
nane24.07.17 21:46
teorema67
neeeeneeeeeneeeee... da muss ich mal voll den Fanboy raushängen lassen. Systeme die nicht absolut wasserdicht sind und mehrfach genutzte Passworte können wirklich jedes Betriebssystem durchlöchern. #fanboy
Das Leben ist ein langer Traum an dessen Ende kein Wecker klingelt.
+1
uepsilon
uepsilon24.07.17 21:50
Ich habe überall andere Passwörter. Find my Mac deaktiviert. Mal ne andere Frage. Wenn Hacker erfolgreich an die Daten kommen, ist die Länge des Passwortes irrelevant oder?
0
teorema67
teorema6724.07.17 22:21
nane
teorema67
neeeeneeeeeneeeee... da muss ich mal voll den Fanboy raushängen lassen. Systeme die nicht absolut wasserdicht sind und mehrfach genutzte Passworte können wirklich jedes Betriebssystem durchlöchern. #fanboy
Du hast recht, aber das ist nicht das Thema. Hier würde jahrelang von einigen (nicht von allen) propagiert, das MacOS sei nicht weniger als unangreifbar
D'oh! (Homer Jay Simpson)
-11
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen