Wie mein iPhone gleich zweimal gestohlen wurde, Folge 2

4 Sep 2019
Una nueva estafa pretende desvincular un iPhone robado de la ID de Apple de la víctima para aumentar su valor

Es ist fast ein Jahr her, dass wir über ein klassisches Phishing-Schema berichteten, bei dem ein gestohlenes iPhone vom Apple-ID-Konto des Opfers getrennt werden sollte. Auf diese Weise sollte das iPhone nicht nur in Form von Ersatzteilen – wie üblich –, sondern als vollwertiges Smartphone aus zweiter Hand verkauft werden.

Beim letzten Mal war das Glück auf der Seite der Betrüger, die durch Phishing den benötigten iCloud-Benutzernamen und das Passwort herausfinden konnten. Dieses Mal untersuchen wir ein komplexeres Schema zum Extrahieren vertraulicher Daten der Opfer, deren Mobiltelefon gestohlen wurde, einschließlich Plan B, der fast zwangsläufig auf jeden zutrifft, der es schafft, Plan A zu umgehen.

Schritt 1: Diebstahl des iPhones

Es begann alles recht gewöhnlich, als meine Kollegin Anna ihr Telefon auf einem Liegestuhl im Park vergaß. Als sie 20 Minuten später zurückkam, war das Telefon verschwunden. Niemand hatte etwas gesehen und als sie die Nummer wählte, war diese nicht mehr erreichbar. Ohne zu zögern aktivierte Anna den „Verloren“-Modus in der App „Find My iPhone“ über das Smartphone eines Freundes und gab so eine weitere Nummer an, über die sie für einen ehrlichen Finder erreichbar sein würde.

Einen Tag später schwand die Hoffnung auf einen Anruf des Finders und das Telefon blieb nach Angaben von „Find My iPhone“ offline. Sie überwand sich zu der Option „[Gerät] löschen“.

„Löschen ausstehend“-Status in der Find My iPhone App

Dieses nützliche Feature löscht alle Daten vom Telefon und macht es nutzlos, sobald es mit dem Internet verbunden wird. Aber es schien, dass der Dieb entweder ein iPhone-Magier war oder (wahrscheinlicher) ein Experte der dunklen Künste zur Trennung von Apple-Geräten von den iCloud-Konten ihrer Besitzer. So oder so, das Telefon war seit dem Moment, an dem es gestohlen wurde, nicht mal eine Sekunde online. Daher war ein Löschen und Bricken des Telefons keine Option mehr.

Zufälligerweise konnte, obwohl das Gerät durch die Touch-ID geschützt war, der Zugriff auf WLAN und mobile Daten abgeschaltet werden, ohne das Telefon entsperren zu müssen. Der Sperrbildschirm musste nur nach oben gewischt werden, damit das Steuerungscenter erreicht wird, in dem Sie den Flugmodus aktivieren können.

Das Kontrollzentrum kann über den Sperrbildschirm geöffnet werden

Das Kontrollzentrum ist standardmäßig über den Sperrbildschirm erreichbar

In den zwei Tagen blieb die SIM-Karte des Telefons entsperrt und die Betrüger hatten Zeit, sie zu nutzen und Annas Telefonnummer herauszufinden. Am dritten Tag wurde die alte SIM vom Telefonanbieter gesperrt und eine neue SIM-Karte mit derselben Nummer wurde in Annas neues Telefon eingefügt.

Schritt 2: Phishing-SMS

Am vierten Tag begannen die Betrüger, das gestohlene iPhone marktfähiger zu machen, indem sie es von Annas Apple-ID trennten. Zunächst führten Sie ein paar Anrufe mit einer Telefonnummer durch, die scheinbar aus den USA stammte. Jeder Versuch, dass am anderen Ende abgenommen wird, traf auf Schweigen.

Testanrufe der Betrüger

Testanrufe der Betrüger

Der Zweck dieser Anrufe war, dass die SIM neu ausgegeben und die Nummer wieder aktiviert wird. Sofort nach dem letzten Anruf empfing Anna die Textnachricht, dass ihr gestohlenes Telefon wieder online war und lokalisiert wurde.

Phishing-Nachrichten, die angeblich von Find My iPhone stammen

Phishing-Nachricht, die darüber informiert, dass das gestohlene iPhone online war und lokalisiert werden kann

Die Phishing-Nachricht war intelligent. Damit Anna keinen Verdacht schöpfte, wurde die Nachricht von einem Dienst versendet, der „Apple“ als Sender ersetzen könnte. Der Phishing-Link in der Nachricht sah auch recht plausibel aus. Wenn sie manuell eingegeben wurde, führte die URL zu einer nicht existierenden Seite. Aber ein Klick auf den Link würde sie zu einer Phishing-Seite weiterleiten. Was steckt dahinter?

Tatsächlich existiert die Domäne icloud.co.com nicht und gehört Apple. Jedoch ist im Link, der icIoud.co.com zeigt, dies ein großgeschriebenes I und kein kleingeschriebenes L. Nachdem Anna auf den Link klickte, wurde sie zu einer überzeugenden Phishing-Seite weitergeleitet, auf der sie aufgefordert wurde, ihre Apple-ID und Ihr Passwort einzugeben, um das verlorene Telefon zu finden. Ein gründlicher Blick auf die Seite würde zeigen, dass sich die Adresse geändert hat und somit eine Eingabe der Daten nicht sicher ist.

Die in der Nachricht verlinkte Phishing-Seite (mobile Version)

So wird die Phishing-Seite über einen mobilen Browser angezeigt

Interessanterweise unterschied sich die Seite je nach dem Gerät und Browser, mit dem sie aufgerufen wurde. Höchstwahrscheinlich nutzen die Angreifer diese Seite für verschiedene Phishing-Schemas, die für unterschiedliche Plattformen ausgelegt sind.

Die in der Nachricht verlinkte Phishing-Seite (Desktopversion)

Die Desktopversion derselben Phishing-Seite

Anna füllte das Phishing-Formular nicht aus, da Sie sofort bemerkte, dass der Dienst nicht echt war. Außerdem war ihr Telefon in der App „Find My iPhone“ noch immer offline, was sich seit dem Diebstahl nicht geändert hatte.

Das hätte das Ende gewesen sein können, aber ohne ein Trennen des Telefons von Annas Apple-ID würden die Diebe nicht so viel Geld für den Weiterverkauf erhalten. Also wechselten sie zu Plan B.

Schritt 3: Anruf eines „Freundes“

Drei Stunden nach der Phishing-Nachricht, als klar wurde, dass Anna ihre Kontoinformationen nicht auf einer Phishing-Seite eingeben würde, wurde sie angerufen. Der Anrufer stellte sich als Mitarbeiter eines Servicecenters vor, der das Preismodell und die Farbe des Telefons erwähnte und dann fragte, ob es gestohlen wurde. Er behauptete, dass das Telefon im Servicecenter wäre, das sich im Einkaufszentrum am anderen Ende der Stadt befindet, und sagte Anna, sie solle vorbeikommen und es abholen.

Da Anna den Phishing-Versuch noch frisch im Gedächtnis hatte, stellte sie ein paar berechtigte Fragen dazu, wie er an das Telefon und die Nummer gelangt sei, und testete so, ob der Anrufer selbst der Betrüger wäre. Der Fremde antwortete daraufhin barsch: „Wenn Sie Ihr Telefon nicht wollen, dann kommen Sie halt nicht.“

Er fügte hinzu, dass die Leute, die das Telefon zum Servicecenter gebracht hätten, zwielichtig schienen, weshalb er es in der Datenbank suchte und herausfand, dass es gestohlen wurde. Dieselbe (offensichtlich magische) Datenbank enthielt auch Annas Telefonnummer. Um es kurz zu machen: Sie hatte eine Stunde, um es abzuholen, bevor die Finder es wieder mitnehmen würden.

Lassen Sie uns hier über ein paar technische Details sprechen. Um zu erfahren, ob ein Telefon verloren wurde, muss es zunächst eingeschaltet werden. Das Telefon zeigt dann eine Benachrichtigung zum Verlust mit einer Telefonnummer an, um den Besitzer zu kontaktieren. Denken Sie daran, dass Anna die Nummer eines Freundes anstatt ihrer eigenen angab, da ihre alte SIM-Karte mit dem Telefon gestohlen und eine neue Karte verwendet wurde. Demnach würde, wenn jemand die Kontaktnummer verwenden möchte, die Nummer kontaktiert werden, die Anna angegeben hat.

Darüber hinaus prüfte Anna während der Unterhaltung mit dem angeblichen Servicecenter, ob ihr Telefon online gegangen wäre. Nachdem dem sie sah, dass das nicht der Fall war, informierte sie den Anrufer, worauf dieser schnell antwortete, dass das Telefon vielleicht bereits erneut mit einer anderen Apple-ID verbunden wurde. Wenn man Emotionen und psychologischen Druck mal beiseitelässt, wäre das ein klarer Moment, an dem der Betrug ganz offensichtlich wird. Aber sehen wir uns doch an, wie sich das Geschehen in der Realität entwickelte.

Als nächstes sagte der Mann, der sich als Servicemitarbeiter ausgab, dass Anna nicht erwarten könnte, dass er andere Kunden wegen ihr warten lassen würde und dass das Telefon zurückgegeben werden würde, wenn der Finder es abholen würde. Er bat Anna auch darum, anzurufen, wenn sie es in einer Stunde nicht zum Einkaufzentrum schaffen würde. Dann kam der Knaller: Er bat sie, die Originalverpackung des Telefons und ihren Ausweis mitzubringen. Und der Trick funktionierte. Aus Sicherheitsgründen nahm sie ein paar Freunde mit, rief ein Taxi und machte sich auf ihren Weg. Das Einkaufzentrum war 30 Minuten mit dem Auto entfernt und lag somit innerhalb der Frist.

Auf ihrem Weg rief Anna das „Servicecenter“ an und bat um ein Update. Der Mann forderte die auf, die App „Find my iPhone“ zu öffnen und begann, sie mit Fragen dazu zu bombardieren, was sie dort sah, was für eine Farbe der Punkt neben dem Telefonsymbol hatte usw., als ob er wirklich ihren Fall untersuchte.

Als Anna sage, sie sei fast da, bat er sie, sich in iCloud einzuloggen und zu prüfen, ob der Dienst erschienen sei, und forderte sie auf, die Schaltfläche „Löschen“ zu drücken und ihm zu sagen, ob die Warnmeldung bestimmte Wörter enthielt. Anna drückte auf die Schaltfläche und gab die Warnmeldung durch. Der Mann gab zufrieden an, dass jetzt alles klar sei: Das Telefon wurde von iCloud getrennt und ein erneutes Verbinden würde einen Klick benötigen, um die Trennung zu bestätigen, wonach es sich erneut verbinden würde.

Anna machte das natürlich nicht. Sie erinnerte sich trotz der stressigen Situation daran, dass ein Telefon unter keinen Umständen vom Konto des Besitzers getrennt werden dürfte. Also antwortete sie, dass sie das im Einkaufszentrum ausprobieren würde.

Ein paar Minuten später rief der Betrüger wieder an und war mit der effektivsten Social-Engeneering-Methode bewaffnet, die es gibt. Um Druck auf das Opfer auszuüben, behauptete er, die Finder seien zurück und wollten das Telefon abholen, also müsse er genau jetzt entscheiden, ob er ihnen das Telefon zurückgeben sollte.

Mit den typischen Hintergrundgeräuschen eines öffentlichen Ortes frage eine Stimme „Und?“ und der Betrüger sagte „Nur einen Moment, Jungs“, während er weiter darauf bestand, dass Anna das Telefon von der Cloud entfernte. Anna sagte darauf, dass sie beinahe da wäre und sie die Polizei informiert hätte, die auch auf dem Weg sei. Der Mann sagte, dass er alle Überwachungsvideos übergeben würde, dass er aber die Kunden nicht länger warten lassen könnte. Er sagte, dass er ihnen das Telefon geben würde.

Wie erwartet, fand Anna, als sie am Einkaufszentrum ankam, kein Servicecenter. Außerdem bestätigte ein Polizist später, dass ein solcher Ort nicht existierte, und sagte, dass Betrüger ihre Opfer oft zu diesem Ort schicken würden und berichtete über Schemas, die dem von Anna genau glichen.

Danach setzen sich die Betrüger nicht erneut mit Anna in Kontakt, jedoch erhielt sie in den darauffolgenden Tagen weitere Phishing-Nachrichten, ganz offensichtlich in der Hoffnung, dass sie nachgeben und ihr Passwort weitergeben würde.

Phishing-Nachrichten, die angeblich von Find My iPhone stammen

Die Phishing-Nachrichten hielten eine Zeit lang an

Letztendlich bekam Anna ihr iPhone nicht zurück. Aber sie schluckte auch nicht den Köder der Betrüger. Das gestohlene Telefon blieb mit ihrer Apple-ID verbunden und der Modus „[Gerät] löschen“ blieb aktiviert. Sobald es online wäre, würde es gelöscht und gebrickt werden, wodurch den Dieben nichts anderes übrigbleiben würde, als es in Einzelteilen zu verkaufen.

So gehen Sie vor, wenn Sie Ihr iPhone verlieren oder es gestohlen wurde

Insgesamt gibt es ein paar Tipps dazu, was Sie tun müssen, wenn Sie Ihr iPhone verlieren oder wenn es gestohlen wird.

  • Aktivieren Sie sofort den Modus „Verloren“ in Ihrer „Find my iPhone“-App.
  • Kontaktieren Sie Ihren Dienstanbieter und lassen Sie Ihre SIM-Karte sperren, insbesondere, wenn Sie sie nicht mit einem PIN-Code geschützt haben (standardmäßig sind PINs für gewöhnlich deaktiviert oder etwas Einfaches wie 0000).
  • Aktivieren Sie sofort den Modus „[Gerät] löschen“, wenn deutlich wird, dass Sie Ihr Telefon nicht zurückbekommen werden.
  • Denken Sie daran, dass SMS-Mitteilungen und insbesondere Sprachanrufe falsch sein können. Wenn die Informationen in den Mitteilungen nicht mit dem übereinstimmen, was Sie in „Find my iPhone“ sehen, versucht Sie wahrscheinlich jemand, aufs Glatteis zu führen.
  • Prüfen Sie Ihre E-Mails auf echte Nachrichten von „Find my iPhone“. Wenn Sie dort nichts finden, ist jede Nachricht, die Sie zu Ihrem Telefon erhalten, wahrscheinlich betrügerisch.
  • Geben Sie icloud.com manuell (und vorsichtig) in Ihren Browser ein und folgen Sie keinem Link von einer Textnachricht oder geben Sie niemals Ihre Apple-ID und Ihr Passwort auf einer Seite an, die Sie von einem Link aus geöffnet haben.
  • Bleiben Sie ruhig. Betrüger werden Sie sehr wahrscheinlich zu einer unüberlegten Entscheidung drängen. Das ist ein Standardtrick. Geben Sie hier nicht nach!
  • Löschen Sie niemals Ihr verlorenes Telefon aus der App „Find my iPhone“, ganz egal, wie viel Druck die Betrüger auf Sie ausüben.