20.000 Euro Schaden
Apple-ID übernommen: Schweizer Behörde dokumentiert Fallbeispiel
Das Schweizer Bundesamt für Cybersicherheit (kurz: BACS) macht mit einem kürzlich veröffentlichten Fallbeispiel auf einen Umstand aufmerksam, der durch die starke Verbreitung so genannter Zwei-Faktor-Authentifizierungen beeinflusst wird: Smartphones geraten als zweiter Sicherheitsfaktor bei Logins zunehmend ins Visier von Cyberkriminellen.
Diese suchen gezielt nach Wegen, um über diese Geräte Zugriff auf notwendige Login-Daten zu erlangen. Eine dem BACS gemeldete Phishing-Attacke unterstreicht, dass bereits die Preisgabe nur eines Passworts signifikante Auswirkungen auf die Sicherheit der eigenen, digitalen Identität haben kann.
Falsche eSIM fängt 2-Faktor-Codes ab
So berichtet das BACS über einen kürzlich erfolgten Angriff auf das Kundenportal eines Mobilfunkanbieters, der die Vorgehensweise der Täter illustriert: Durch eine Phishing-Seite wurde einem Nutzer zuerst das Passwort für den Zugang entlockt, in einem zweiten Schritt (unter Vorgabe eines Gewinnspiels) wurde dieser Nutzer dann dazu gebracht, einen SMS-Code preiszugeben.
Mit diesen Informationen konnten die Angreifer dann eine eSIM erstellen und über diese alle SMS und Anrufe abfangen, die eigentlich an die Nummer des Opfers gerichtet waren.
20.000 Euro Schaden
Über die eSIM konnten sich die Angreifer dann auch den Zugang zu anderen wichtigen Konten des Opfers verschaffen, einschließlich der Apple-ID. Nach der Übernahme des Apple-Kontos gelang es den Angreifern, auf dort gespeicherte Backups zuzugreifen und weitere sensible Informationen zu extrahieren. Dies führte dazu, dass die Angreifer schließlich auch Krypto-Wallets des Opfers kompromittieren konnten. Der finanzielle Schaden dieses spezifischen Angriffs belief sich auf über 20.000 Schweizer Franken. Das BACS berichtet:
„[…] Damit hatten die Angreifer Zugriff auf alle Funktionen, die ein Apple-Konto bietet, einschliesslich der in der Cloud gespeicherten Backups. Die Angreifer spielten das Backup auf eines ihrer eigenen Smartphones zurück.
Dadurch erhielten die Angreifer weitere Informationen zu den vom Opfer verwendeten Apps und versuchten dann nach und nach, gezielt andere Konten zu kompromittieren. Normalerweise konzentrieren sich die Angreifer auf Standarddienste wie Facebook, Instagram und andere soziale Medien, welche die Mehrheit der Smartphone Nutzer installiert hat. Durch das Backup hatten die Angreifer aber in diesem Fall einen genauen Überblick über die installierten Apps. So konnten die Angreifer feststellen, dass das Opfer mehrere Apps für die Verwaltung von Krypto-Konten installiert hatte. Mit diesen Informationen gelang es ihnen wiederum, gezielt die Passwörter der Konten zurücksetzen und die Zahlencodes für die Zwei-Faktor-Authentifizierung der Authentificator Apps in ihren Besitz bringen. […]“
Angesichts solcher Vorfälle empfiehlt das BACS, stets kritisch mit Links in E-Mails oder SMS umzugehen, besonders wenn diese zur Eingabe persönlicher Daten auffordern.
Ich arbeite bei der Polizei und hatte vor ein paar Wochen den Fall ein Phishing SMS. Dabei wurden der Geschädigte auf eine falsche o2 Loginmaske geleitet. Das Ziel war hierbei auch ein eSIM-Profil über das Kundenkonto zu erhalten.
Die Leute sollten mehr sensibilisiert werden auf die Stimmigkeit der übermittelten URLs zu achten.
Da mittlerweile URLs so viele verschiedene Formen haben können, sowohl vom gleichen Anbieter als auch durch xn--scheme codierte URLs – ist es eigentlich unmöglich bis unpraktikabel, die Validität von URLs zu klären.
Speziell dann, wenn Deeplinks verschickt werden, die nicht mit der offiziellen Anbieter-URL funktionieren.
Das stimmt nicht. URL sind immer noch nach dem Schema [Server].[Domainname].[TLD] aufgebaut. Alles dahinter ist Pfad, aber der URL (Uniform Ressource locator) ist fix definiert und wurde seit seiner Erfindung durch Tim Berners Lee (CERN) nicht verändert.
@Josi: wenn mir mal das Verständnis für die Normalo-User fehlt, schaue ich mir die Proxy-Whitelist für die Office365 Services an, welche wir eineichten mussten. Ich hätte vielleicht bei 1/4 davon mit Sicherheit sagen können, dass sie Microsoft gehören.
MS gehören so 600+ Domains. Müsste man nicht alle aktiv verwenden, MS macht es aber trotzdem: zur ultimativen Verwirrung der User.
@Moss:
einfacher Trick: wenn ich ne Mail bekomme in der ich zu irgendwas aufgefordert werde, dann bin ich nicht faul und klicke alle Links an, sondern gebe die entsprechende URL im Browser ein… mit der Methode braucht keiner groß Ahnung von IT haben…
@Joey: Natürlich, aber eine URL von Hand abschreiben, von der man nicht 100% sicher ist, dass sie vom offiziellen Unternehmen stammt? Na dann viel Spass auf der Seite von microsoft365live.com. Wie sieht es mit Typos aus? meinebaank.com freut sich über die neuen Login-Infos. Was ist mit Links mit Parametern, ohne die der Request nicht klappt (Special Promo, jedoch nur mit 100-Stelligem Token als Query-Parameter im Link)?
Was ich sagen will: Viele Unternehmen erziehen die User regelrecht dazu das Falsche zu machen. 1 Login = 5 Redirects auf andere Domains (die man evtl. noch nie gesehen hat). „klicke hier für XY“ statt „öffne einfach die App/Website“. Ein einziges Login für das Kundenportal der Versicherung, die Seite fürs Bonusprogram und die App, aber selbstverständlich laufen alle unter einem anderen Branding bzw. anderer Domain.
Ganz wenig Mitgefühl haben die DAUs manchmal schon verdient ;)
Klar, die betrügerischen Absichten darf man nicht klein reden. Aber bei Phishing gehört schon eine große Komponente Mensch dazu. Man bekommt überall zig Bestätigungsmails, sei es, weil man einen Login mit einem bisher unbekannten Gerät hatte, Bestellbestätigung, Bestätigung der Änderung der Mailadresse oder Passwort usw. Betrug ist das eine, aber in der Gesellschaft mangelt es auch gewaltig an Sensibilisierung für das Thema.
Bedeutet eben man muss sich Zeit für das Thema nehmen. Aber man schaut lieber Katzenvideos.
Das stimmt natürlich. In dem Fall wäre eine aufgeklärtere Person da auch nicht drauf reingefallen. Glücklicherweise ist das ganze noch früh genug aufgefallen und es ist zu keinem wirtschaftlichen Schaden gekommen.
Gibt besseres als Katzenvideos
https://m.youtube.com/watch?v=Usx1zVWM6us
Sempervideo als Beispiel.
https://m.youtube.com/watch?v=Usx1zVWM6us
Katzenfotos sind sicherer…
2FA über SMS fail heut zu Tage nicht mehr Standard.
Stimmt. Der fail ist SMS
Bei sehr vielen Services wird SMS als fallback benutzt und kann sogar benutzt werden um TOTP zu reseten.
Wünschte mir auch, das mehr Services Passkeys als standart nutzen. Ist für mich am einfachsten mit meinem keepass file (webDAV sync)
strongbox auf iOS und KeePassSC auf Linux
Wenn ich solche Sachverhalte lese, dann frage ich mich doch, wie weltfremd, ja fast schon ignorant, man sein muss, um seine Daten auf die beschriebene Art und Weise bekannt zu geben.
Wer Auto fahren will, muss wissen wie das geht und muss die Verkehrsregeln beachten …
Und trotzdem geschehen Unfälle bei denen zu 99% die Menschen selbst schuldig sind.
Wenn man jetzt das Verhältnis der Autofahrenden und Internetnutzenden gleichsetzt, kommen sicher ein ähnlicher Faktor von Dämlichkeit heraus…
Also hier in Berlin fahren 90% der UBER-Fahrer auch ohne Kenntnis der StVo (und 25% wohl ohne Konzession :)
Falsches Thema.
IT Themen sind dann doch etwas komplexer.
Wenn ich daran denke, dass meine 80+ genötigt werden Onlinebanking zu machen …
Autofahren können sie. Wahrscheinlich besser, als die meisten hier.
80+ Verwandten
Haben e-Sims hier nicht ein systemimmanentes Problem?
Welches denn?
SIM-Karten lassen sich doch auch 1:1 duplizieren.
Nur, wenn du sie in die Finger bekommst.
Der Trick, eSims zu erbeuten, funktioniert deutlich einfacher, ich muss nicht physisch in die Nähe des Smartphones kommen.
Du kommst halt an eine e-Sim sehr leicht ran und kannst auch anderen sehr leicht eine e-Sim unterschieben.
Eine physische Sim bekommst du halt nicht so leicht aus dem Gerät, es sei denn du hast physisch zugriff.
Daher muss die Sicherheit für e-Sims deutlich höher sein. Hat aber Apple & Co nicht interessiert. Da hat man nur gesehen, dass man einen Slot und eine Gehäuseöffnung wegsparen kann und die Provider haben gesehen, dass sie keine Briefe mehr verschicken müssen.
So richtig verstehen kann ich es ja immer noch nicht… Ein Pissing war bis jetzt immer total leicht zu erkennen. Ich habe noch nie eine Pissing Mail oder SMS erhalten, wo ich dachte. Oh das könnte was echtes sein. Noch niemals
Pissing? :-)))) YMMD …. Phishing ;-)
LooL,
Wenn das die Autokorrektur war dann Ehre, vermutlich dann von der häufigen Eingabe gelernt. ;)
Die Mail uriniert nicht…. phishing mail wäre die richtige Formulierung…..
Da wurde der kink zu oft für die Tastatur trainiert :)
Ja, „Pissing Mails“ riecht man schon aus 100 Metern Entfernung ;)
Aber mal ernst, die werden immer besser. Nüchtern betrachtet checkt man das sicherlich, aber don’t Drink and check your Mails …
Schade keine vernünftigen Antworten, nur wegen Siri….
Man sollte sich eben nie über Links aus SMS und Mails einloggen, sondern immer über die Website direkt. Darüber hinaus den Browserverlauf regelmäßig löschen. Das schützt zwar nicht vor allen Betrügern, verringert aber doch das Risiko auf so etwas hereinzufallen.
So ist es!
Hahaha…’tschuldigung…aber selber schuld.
Allein die SMS weiterzuleiten:-) Hammer.
Und dann alle Passwörter bei Apple hinterlegt…wow.
Du bist wirklich arm.
Apple ID und wichtige Konten werden hier über YubiKeys abgesichert. Definitiv das Geld wert (man muss aber auf jeden Fall mehrere kaufen damit man Backups hat!)
Häh?
Das passiert wenn man Emails in HTML Format im Mail Programm darstellt und sich keine Infos über Social Kanäle mit dem Thema Sicherheit/Phishing informiert. Und Links kann man kopieren und in eine Textdatei einfügen um zuschauen wie sie aussehen, Unicode usw. Das passiert auch wenn im Browser oder in der DNS Ebene keine Domains kontrolliert werden. Browser Addon ublock, oder Brave Browser nutzen. DNS wäre NextDNS oder AdGuard DNS eine wahl. Das schlimmste ist aber das es mehrere 2FA Varianten existieren und die anfälligen über SMS noch verwendet werden. Obwohl diese Fälle für Kriminelle einladen dazu so was abzuziehen.
Mal ein etwas anders Beispiel: Ich erhielt eine E-Mail von Amex meine Kundendaten zu aktualisieren. Kam mir komisch vor und so habe ich die Mail an spoof@americanexpress.de geschickt. Eine Anti-Abuse-Mailbox. Nie eine Rückantwort von Amex erhalten. Dann kam irgendwann eine 2. Erinnerung von Amex zur Aktualisierung der Kundendaten. Also habe ich bei der Hotline von Amex angerufen. Keine 30 Minuten später :-(, hatte ich endlich einen Mitarbeiter dran (vermutlich Pakistan oder Indien, mit äußerst lauten Hintergrundgeräuschen > Großraumbüro). Ihm gab ich die Mail-Adresse durch und er bestätigte die Korrektheit der Anfrage. Die Daten dann aktualisiert. Was mich ärgert, dass ich nie eine Info von Amex bekam, das die E-Mail (an die spezielle Mailbox) echt war! Kommunikation geht anders…
1. bei AMEX steht recht verständlich, dass keine persönlichen Anfragen an spoof@ beantwortet werden. Sprich: keine Antwort auf „ist die von euch?“.
2. Einfach auf der AMEX Website einloggen. Soll/ muss ich Daten aktualisieren oder bestätigen, ist dass direkt nach dem Login ersichtlich und gelange dort zum entsprechenden Formular.
Warum man an einer Hotline Zeit verschwendet…
Der Fall klingt schon sehr konstruiert. Da muss man schon echt Hirn verloren haben…
Und die Kryptowallets bzw. Verwaltung auf dem gleichen Gerät mit dem man SMS für Gewinnspiele empfängt und Bankzugänge verwaltet. IT-Kompetenz muss Schulfach werden. Dringend.
In den allermeisten Fällen sieht man es aber hier auf dem iPhone wenn man eine SMS oder eine E-Mail bekommt und drauf klickt festhält kein Doppelklick, die kuriose Web Adresse sollte einen dann stutzig machen weil die in der Regel nie mit dem des Providers oder mit dem des vermeintlichen Anbieters übereinstimmt. Selbst wenn man draufgeht sieht man bei genauem hingucken dass man nicht richtig ist. Aber es ist nicht jeder drin im Thema, da gebe ich euch recht