Wie mein iPhone gleich zweimal gestohlen wurde

1 Aug 2018

Ort des Geschehens: Moskau, Russland. Zeitpunkt: 5 Minuten vor Anpfiff des Achtelfinales Russland gegen Spanien. Szenario: Kurz nachdem ich eine Bar betrete, um unsere Mannschaft anzufeuern, wird mir mein iPhone gestohlen.

Diese Geschichte wäre normalerweise keinen Blog-Eintrag wert gewesen, wären da nicht die ausgefeilten Tricks der Betrüger, die dafür sorgen, dass Opfer ihr Handy nie wieder zu Gesicht bekommen.

So lief das Ganze ab:

  • 17:00 Uhr: Das Spiel beginnt.
  • 17:01 Uhr: Ich betrete eine überfüllte Bar in Moskaus Innenstadt, in der Hoffnung noch einen Platz zu ergattern. Währenddessen halte ich die ganze Zeit über mein Smartphone in der Hand, um meine Freundin wissen zu lassen, wo sie mich finden kann.
  • 17:07 Uhr: Mein Freund bittet mich, meine Freundin anzurufen und ich stelle mit Entsetzen fest, dass mein Handy nicht mehr da ist.

Meine erste Reaktion? Ich habe natürlich sofort versucht, mein Handy von dem meines Freundes aus anzurufen. Ohne Erfolg – der Freiton brach nach ein paar Sekunden plötzlich ab. Und erst in diesem Moment wurde mir mit einem Schlag klar, dass ich mein iPhone nicht einfach nur verloren hatte, sondern dass es mir gestohlen wurde. Wann und wie das Ganze passiert sein sollte? Ich hatte keinen blassen Schimmer, denn eigentlich war ich mir hundertprozentig sicher, dass ich es die ganze Zeit über in der Hand gehalten hatte. Möglicherweise hatte ich es aber auch unbewusst für ein paar Minuten in meine Tasche gesteckt. Mein nächster Schritt? Ich begab mich auf die Suche nach dem diensthabenden Polizisten in der Bar. Dann kam mir ein erfreulicher Gedanke: die App Find My iPhone! Ich musste einfach nur den Verloren-Modus aktivieren und so mein Smartphone ausfindig machen.

Wenn Ihnen jemand Ihr PIN-geschütztes iPhone stiehlt, bleiben dem Dieb eigentlich nur zwei Möglichkeiten: entweder er fordert Lösegeld für die unversehrte Rückgabe des Handys oder er zerlegt es in Einzelteile und verkauft diese dann weiter. Denn um ein iPhone als Ganzes an den Mann zu bringen, muss es logischerweise erst entsperrt werden. Gehen wir von einem iPhone X aus, wäre dazu entweder das Gesicht des Opfers oder die korrekte PIN-Eingabe erforderlich. Darüber hinaus werden nach mehreren erfolglosen Entsperrversuchen weitere Versuche 1 Stunde lang vom iPhone blockiert – sollte es nach diesen 60 Minuten immer noch nicht mit der Entsperrung klappen, verwandelt sich das Smartphone, ähnlich wie bei Cinderella nach Mitternacht, in einen nutzlosen Kürbis. So schafft Apple Sicherheit.

Wenn Ihr iPhone verloren geht oder gestohlen wird, kann Ihnen die App „Find My iPhone“ dabei helfen, es wiederzubekommen oder wenigstens zu lokalisieren. Mithilfe der App können Sie das Gerät sperren und den Verloren-Modus aktivieren, der Ihnen erlaubt eine personalisierte Nachricht, wie beispielsweise „Ich habe mein iPhone verloren. Bitte rufen Sie mich unter folgender [Telefonnummer] an“ einzugeben, die dann auf dem Sperrbildschirm das Handys angezeigt wird. Aber nicht nur das: Darüber hinaus können Sie das Telefon auf einer Karte lokalisieren (wenn es nicht ausgeschaltet wurde). Auch ich habe die App benutzt – vielleicht wollte der Angreifer ja tatsächlich nur eine bestimmte Lösegeldsumme von mir haben oder war blöd genug, es wieder einzuschalten?

Psychologisches Phishing

An dieser Stelle fing das Ganze an, interessant zu werden. Denn eine Stunde später wurde die folgende Nachricht an die Nummer gesendet (die Handynummer meines Freundes), die ich in meiner Lock-Screen-Notiz des Verloren-Modus angegeben hatte.

iCloud FMI notification: Your iPhone X 64GB Space Gray was located on July 01, 2018 at 17:54. The SIM card number has been identified. Follow the link to view the iPhone's geolocation. The most recent location of your iPhone and information about the owner of the installed SIM card will be available within 24 hours. Copyright 2018 Apple Inc.

iCloud FMI Benachrichtigung: Ihr iPhone X 64GB Space Grey wurde am 1. Juli 2018 um 17:54 Uhr gefunden. Die SIM-Kartennummer wurde identifiziert. Folgen Sie dem Link, um die Geolokalisierung des iPhones anzuzeigen. Der neueste Standort Ihres iPhones und Informationen zum Besitzer der installierten SIM-Karte sind innerhalb von 24 Stunden verfügbar. Copyright 2018 Apple Inc.

Sehen Sie sich die Nachricht noch einmal genauer an. Fällt Ihnen irgendetwas auf? Ein paar Dinge sollten Ihnen sofort ins Auge stechen: Beispielsweise handelt es sich bei der Website-URL nicht um eine offizielle URL; Unternehmen erwähnen das Urheberrecht normalerweise nicht in einer SMS-Nachricht; und, warum sollte Apple anstelle einer Benachrichtigung in der Find-my-iPhone-App eine Textnachricht senden? Mit anderen Worten: hierbei handelt es sich um einen ziemlich geschickten Phishing-Versuch. Die Cyberkriminellen wissen genau, was sie tun: Die Nachricht wird gesendet, wenn das Opfer verzweifelt versucht, das verlorene Gerät wiederzubekommen, und vermutlich gestresst und psychisch labil ist.

Ehrlich gesagt habe auch ich mich so gefühlt. Ja, ich arbeite bei Kaspersky Lab und Phishing-Vorfälle sind mittlerweile zur Routine für mich geworden. Und ja, ich schreibe jeden Tag über die neuesten Cybertricks und Betrugsmaschen der Cyberkriminellen. Aber ich war in diesem Moment einfach total außer mir und griff nach jeder Gelegenheit, mein Telefon zurück zu bekommen, ohne wirklich darüber nachzudenken, was ich tat. Als die unglückselige SMS auf dem Handy meines Freundes eintraf, waren wir gerade auf der Polizeiwache. Meine Aussage wurde bereits aufgenommen und die Polizei war bereit mir zu helfen. Allerdings war dazu der Standort meines iPhones nötig.

Also tippte ich, wieder ohne darüber nachzudenken, auf den Link in der SMS, sah die familiäre iCloud-Benutzeroberfläche und gab meinen Benutzernamen und das Passwort ein. Beim ersten Mal erschien eine Fehlermeldung, die mich darauf hinwies, dass ich mein Passwort angeblich falsch eingegeben hatte. Also versuchte ich es noch einmal: wieder ohne Erfolg.

Ich öffnete also erneut die Find-My-iPhone-App, loggte mich ohne Probleme in meinen Account ein und… keine Spur mehr von meinem Handy. Es war einfach von der Karte und der Geräteliste verschwunden. Dann schaute ich mir die SMS auf dem Handy meines Freundes noch einmal genauer an und realisierte, was passiert war.

Die Phishing-SMS hatte mich auf eine gefälschte iCloud-Seite gelockt, auf der ich meine Zugangsdaten an die Cyberkriminellen weitergegeben hatte. Mithilfe dieser Daten konnten sie die Suchfunktion auf meinem Gerät sofort deaktivieren und über iCloud alle notwendigen Informationen löschen (alles, was sie dazu brauchten, waren meine Login-Daten, die ich ihnen Minuten zuvor ausgehändigt hatte). Nach einem Hard-Reset würden sie so ein praktisch neues iPhone X in den Händen halten, dem eine neue PIN zugewiesen und das für eine ordentliche Summe wiederverkauft werden könnte.

Natürlich habe ich mein iCloud-Passwort danach sofort geändert, aber es war bereits zu spät. Ich hatte nicht nur mein Telefon, sondern auch jede Hoffnung, es wiederzubekommen, verloren. Laut Apple Support ist die App „Find My iPhone“ die einzige Möglichkeit, ein abhandengekommenes Gerät zu verfolgen. Ist die App erst einmal deaktiviert, kommt auch das Gerät nicht mehr zurück.

Was hätte mich davor bewahren können?

  • Offensichtlich hätte das Schema nicht funktioniert, wenn ich nicht auf den Phishing-Link geklickt oder meine Anmeldeinformationen eingegeben hätte. Aber wie mein Fall zeigt, niemand ist immune gegen Phishing: Ich weiß zwar über alle möglichen Betrugsarten bestens bescheid, aber bin trotzdem in die Falle getappt.
  • Eine Zwei-Faktor-Authentifizierung für iCloud hätte mir unglaublich geholfen, selbst wenn ich auf den Phishing-Trick hereingefallen wäre. Ja, ich hätte den Betrügern zwar meinen Benutzernamen und mein Passwort gegeben, aber sie wären nicht in der Lage gewesen, die Login-Daten in irgendeiner Weise zu verwenden – denn dazu hätten sie ein zweites meiner Geräte benötigt. Die Moral der Geschichte: Aktivieren Sie die Zwei-Faktor-Authentifizierung, wann immer es möglich ist.