Neue Phishing-Flut: Apples Tipps für den Umgang mit gefälschten E-Mails

Normalerweise sind Phishing und Scam für etwas versiertere Benutzer leicht zu identifizieren - meist sind diese in schlechtem Deutsch oder Englisch geschrieben und mit mies gestalteten Bildern versehen. Seit einigen Wochen änderte sich dies aber für Apple-Nutzer: Betrüger versuchen, mit recht gut gestalteten E-Mails Personen dazu zu bewegen, auf die enthaltenen Links zu klicken und auf der dann erscheinenden, gefälschten Seite Nutzername, Passwort oder andere Daten preiszugeben.


Das derzeitige E-Mail-System bietet keinerlei verbreitete Sicherheitsmechanismen, wie sich Sender und Empfänger einer E-Mail zweifelsfrei identifizieren lassen. Apple hat nun einige Tipps veröffentlicht, wie man sich als Nutzer verhalten soll, wenn man sich unsicher ist, ob eine E-Mail echt ist.


Dazu führt Apple an, dass jede E-Mail vom App Store, Apple Music und dem iTunes Store immer den vollen Namen und die Rechnungsadresse beinhalten - es ist unwahrscheinlich, dass Betrüger im Besitz dieser Informationen sind. Trotzdem bietet dieser Hinweis natürlich keinen vollumfänglichen Schutz. Am besten, so Apple, solle man nicht die Links in der E-Mail verwenden, um sich bei Apple anzumelden. Möchte man die Zahlungsart oder die Einkaufshistorie sehen, soll man dies am besten über die Einstellungs-App auf dem iPhone oder iPad sowie über iTunes auf dem Mac oder PC erledigen. Schutz bietet auch die Zwei-Faktor-Authentifizierung, die am mesten aktiviert sein sollte.

Wer solche Phishing-E-Mails erhält, kann Apple helfen: Um Nutzer besser schützen zu können, soll man E-Mails dieser Art an die E-Mail-Adresse reportphishing@apple.com weiterleiten, damit Apple diese auswertet.

Kommentare

rosss01.03.18 09:35
reportphishing@apple.com

Diese Weiterleitung sollte direkt in Apple Mail angeboten werden.

Ich bewege zweifelhafte Mails erst einmal in den Werbung Ordner, bevor ich sie öffne – dann werden keine Bilder geladen, die dem Absender das Öffnen der Mail mitteilen.

Ganz wichtig: erstmal auf den fett angezeigten Absendernamen links oben klicken, dann wird die Mailadresse des Absender angezeigt. Dann ist die Tarnung schnell kaputt. Die Absenderadresse kann meines Wissens nach auch gefälscht werden, wird aber oft noch vergessen.

Außerdem kann man (bitte Finger weg von der Maustaste!) in Mail den Mauszeiger über den Link bewegen, dann wird das wirkliche Ziel nach einem Moment angezeigt.

Und zum Schluss: Nicht den Link nutzen, sondern immer per Hand einloggen (wenn möglich).
+7
MikeMuc01.03.18 10:51
Apple sollte einfach klar und deutlich kommunizieren das in Mails von Apple keine klickbare Links sind. Oder in die hauseigenen Mailprogramme eine Hintergrundprüfung einbauen die Absender und Ziel der Links prüft. Jeder Kink der die Prüfung nicht besteht produziert dann nur einen Warndialog als Erziehungsmaßnahme und sonst nichts
0
ocrho01.03.18 20:59
Es gibt eine technische Lösung die sogar sehr einfach wäre: Apple signiert jede E-Mail mit einen elektronischen Zertifikat. Bei der Apple eigenen Software könnte sogar ein Zertifikat-Pinning eingebaut werden, dass dann Alarm schlägt, wenn E-Mails mit Apple-Domains nicht mit diesen Zertifikat signiert sind. Google setzt diese Technik sehr erfolgreich bei seinen eigenen Produkten wie dem Webbrowser Chrome ein. Die gleiche Technik könnte auch bei E-Mails eingesetzt werden – da muss man nicht erst warten bis ein neuer Welt-Standard in der Form eines RFC sich verbreitet hat.
+1
maczock02.03.18 20:38
dass jede E-Mail vom App Store, Apple Music und dem iTunes Store immer den vollen Namen und die Rechnungsadresse beinhalten - es ist unwahrscheinlich, dass Betrüger im Besitz dieser Informationen sind.

Im Gegenteil, bei jedem Webseitenbetreiber und jedem, der kommerziell Facebook, Twitter oder YouTube nutzt, ist es ist höchstwahrscheinlich, dass diese Daten vorhanden sind. Dank der vollkommen idiotischen deutschen Impressumspflicht, die es nicht erlaubt, Postfächer als Adressangabe zu benutzen. Der nächste Stalker und andere Irre können jederzeit vor der eigenen Tür auftauchen.

Wer sich vor Phishing ein wenig schützen will, dem bleibt nur, für alle Dienste, die was mit Geld zu tun haben, eine spezielle E-Mail-Adresse anzulegen. Und dann trotzdem auf keinen Link zu drücken. Direkte Links zu Logins sollten sowieso verboten werden. (wenn man schon so gerne was reguliert)
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen