Wer im Moment auch darunter leidet, dass zahlreiche Anfragen zum Zurücksetzen des Passwortes für Apple gestellt werden, könnte Opfer des sogenannten Push Bombing sein. Hierbei handelt es sich um einen Angriff, der gerade wieder vermehrt beobachtet wird. Der Prozess, um das Apple-Passwort zurückzusetzen, wird dabei von Kriminellen missbraucht, damit sie so an iCloud-Accounts der Nutzer gelangen.
In der Nachricht selbst steht dann, dass man das Gerät (zum Beispiel das iPhone) nutzen könnte, um das Passwort für den iCloud-Account zurückzusetzen. Wer so eine Nachricht erhält, kann dann wahlweise „Zulassen“ oder „Ablehnen“ klicken. Teilweise erhalten Nutzer sogar mehrere Dutzend derartiger Nachrichten, wie vor allem vor allem aus den USA berichtet wird.
So täuschen die Betrüger die Echtheit vor
Nach der Push-Nachricht täuschen die Betrüger einen angeblichen Apple-Anruf an. Die Nummer soll vom Apple-Support stammen, aber in Wahrheit versuchen Betrüger so, den Account zu ergattern. Wer den Anruf annimmt, wird einen angeblichen Support-Mitarbeiter von Apple sprechen, der sich nach einem Einmal-Code erkundigt. Dieser soll dem Opfer zugeschickt worden sein, wenn dieser sein Passwort zurückgesetzt hat. Der Code kommt per SMS. Wer also vorher auf die Push-Nachricht reagiert und das Zurücksetzen erlaubt hat, bekommt wirklich eine SMS.
Der Anruf allerdings ist Fake und es ist nicht Apple an der Leitung, sondern die Betrüger, die den Code haben wollen. Damit wäre es dann möglich, dass Passwort tatsächlich zurückzusetzen. Damit wird quasi die 2-Faktor-Authentifizierung komplett außer Kraft gesetzt, weil iPhone-Nutzer dem Betrüger freiwillig den Code zum Zurücksetzen des Passwortes anvertrauen.
Der Angreifer kann mit dem Code nun ein neues Passwort anlegen und damit den iCloud-Account beziehungsweise die ganze Apple-ID übernehmen.
Wichtig: Was man bei der Push-Nachricht geklickt hat, scheint wohl keinen Unterschied zu machen. Stattdessen wurde von den Betrügern bereits eine Passwort-zurücksetzen-Anfrage gestellt, wofür sie nur noch den Code benötigen. Diesen erhalten sie im schlimmsten Fall telefonisch, indem der Apple-Nutzer den Code tatsächlich freiwillig übergibt. Ob man Zulassen oder Ablehnen bei der Push-Nachricht geklickt hat oder sie ignoriert, ist komplett irrelevant.
Was ist das Ziel der Push-Nachrichten?
Das Ziel dieser vielen Push-Nachrichten ist also nicht, dass Betrüger tatsächlich dadurch schon irgendwelche Daten erhalten. Stattdessen werden die Apple-Nutzer schlichtweg solange „genervt“, dass sie sich vollkommen überfordert fühlen. Wer erst mal selbst das Push Bombing auf dem Gerät erlebt hat, weiß, wie fatal und nervig so etwas sein kann. Opfer fallen daher bei derartigen Attacken leichter darauf rein, dass ein angeblicher Support-Mitarbeiter (der aber keiner ist!) nach dem Code fragt.
Wichtig: Apple wird niemals nach diesem Code fragen. Generell fragt Apple nie nach dem Passwort eines Accounts und möchte logischerweise auch nicht den Code haben, um das Passwort zurücksetzen zu können. Das ist allein Sache des Account-Besitzers und daher sollte dieser Code niemals weitergegeben werden.
Diese Techniken haben nicht nur den Namen Push Bombing, sondern werden teilweise auch als MFA Fatique bezeichnet. Hintergrund ist, dass die Nutzer durch diese vielen Anfragen schlichtweg „erschöpft“ sind und daher nachgeben ohne nachzudenken.
Angreifer müssen ID und Handynummer kennen
Die Angreifer müssen für diese Methode sowohl die Apple-ID kennen, aber auch die dazugehörige Handynummer, sonst funktioniert es logischerweise nicht. Es ist also eine Methode, die nicht global ausgenutzt wird, sondern etwas, was vor allem gezielt bei Personen passiert. Man sollte daher einerseits gut auf seine Daten aufpassen (allgemein allerdings) und andererseits immer im Hinterkopf behalten, dass derartige Attacken nicht von Apple stammen, sondern von Kriminellen. Nutzer sollten niemals Passwörter, Daten oder auch Zurücksetzen-Codes weitergeben, auch nicht am Telefon!
Quelle: KrebsonSecurity