Thought Leadership
Eine neue Kampagne macht sich die automatisierten Sicherheitsmitteilungen von Apple zunutze, um gefälschte Benachrichtigungen über iPhone-Käufe zu versenden.
Die Grenzen zwischen legitimer Kommunikation und betrügerischen Absichten verschwimmen immer weiter. Ein aktueller Bericht von Bleeping Computer dokumentiert eine besorgniserregende Entwicklung, bei der Cyberkriminelle die Vertrauenswürdigkeit der offiziellen Apple-Infrastruktur ausnutzen, um hocheffektive Phishing-Kampagnen durchzuführen. Dabei werden keine gefälschten Absenderadressen verwendet; die E-Mails stammen tatsächlich von den Servern des Technologiegiganten aus Cupertino.
Der Kern dieser Methode liegt im Missbrauch der automatisierten Benachrichtigungsfunktion bei Kontoänderungen. Normalerweise dient dieser Mechanismus dazu, Nutzer sofort zu informieren, wenn sensible Daten in ihrer Apple-ID geändert wurden. Doch genau diese Schutzmaßnahme wird nun zur Waffe umfunktioniert.
Apple-ID wird zur Hackernachricht
Die Vorgehensweise der Hacker ist so simpel wie effektiv. Zunächst erstellen die Akteure eine neue Apple-ID oder nutzen ein kompromittiertes Konto. In den persönlichen Informationen dieses Kontos hinterlegen sie den eigentlichen Phishing-Text. Da die Namensfelder für Vornamen und Nachnamen in der Länge begrenzt sind, splitten die Täter den Ködertext geschickt auf beide Felder auf. In den Namensfeldern steht dann beispielsweise ein Text wie: Nutzer, Ihr iPhone-Kauf über 899 USD via PayPal wurde bestätigt. Zur Stornierung rufen Sie bitte die Nummer 1-802-353-0761 an.
Um den Versand der E-Mail auszulösen, nimmt der Angreifer eine Änderung an den Versandinformationen des Kontos vor. Dies triggert bei Apple einen automatisierten Sicherheitsalarm, der an die hinterlegte E-Mail-Adresse versendet wird. Da Apple in diesen standardisierten Benachrichtigungen den hinterlegten Namen des Kontoinhabers verwendet, wird der betrügerische Text direkt in das Layout der offiziellen Apple-Mail eingebettet.
Warum Spam-Filter versagen
Das größte Problem für die Verteidigungssysteme besteht darin, dass diese E-Mails technisch einwandfrei sind. Sie werden von der Adresse [email protected] versendet und stammen von IP-Adressen, die im Besitz von Apple sind. Analysen der E-Mail-Header bestätigen, dass die Nachrichten die strengen Authentifizierungsprüfungen für SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting, and Conformance) mit dem Status pass bestehen.
Für einen Spam-Filter sieht diese Nachricht aus wie jede andere legitime Sicherheitswarnung von Apple. Es gibt keinen bösartigen Link und keinen infizierten Anhang, den ein Virenscanner detektieren könnte. Der gesamte Angriff basiert auf dem Inhalt des Textfeldes und der psychologischen Wirkung auf den Empfänger.
Die Psychologie des Call-Back-Phishings
Diese Form des Angriffs wird als Callback-Phishing bezeichnet. Das Ziel ist es, den Nutzer in Panik zu versetzen, indem ein nicht autorisierter Kauf einer teuren Hardware vorgetäuscht wird. Der Empfänger glaubt, sein Konto sei gehackt oder seine Zahlungsinformationen missbraucht worden. Anstatt auf einen Link zu klicken, wird er dazu gedrängt, eine im Text angegebene Support-Nummer anzurufen.
Am anderen Ende der Leitung sitzen keine Apple-Mitarbeiter, sondern professionelle Betrüger. Sobald das Opfer anruft, versuchen die Scammer, das Vertrauen zu gewinnen und behaupten oft, das Konto müsse gesichert werden. Häufig werden die Opfer dann angewiesen, eine Fernwartungssoftware zu installieren. Sobald der Angreifer Zugriff auf den Computer des Opfers hat, können Bankdaten gestohlen, Ransomware installiert oder private Daten exfiltriert werden. In anderen Fällen werden die Nutzer direkt nach ihren Kreditkartendaten oder Passwörtern gefragt, um die vermeintliche Transaktion zu stornieren.
Sicherheitslücke bei Apple bekannt, jedoch ohne Lösung
Die Beobachtung dieser Kampagne zeigt, dass Bedrohungsakteure zunehmend dazu übergehen, Funktionen legitimer Webseiten zu kapern. Es ist nicht das erste Mal, dass Apple-Dienste auf diese Weise missbraucht werden. Ähnliche Vorfälle gab es bereits mit iCloud-Kalendereinladungen, bei denen Spam-Nachrichten direkt in den Kalendern der Nutzer auftauchten.
Obwohl Apple bereits über diese spezifische Missbrauchsmöglichkeit informiert wurde, scheint eine Lösung noch auszustehen. Das System erlaubt es nach wie vor, beliebigen Text in Namensfelder einzutragen, der dann in Sicherheits-Mails ungeprüft übernommen wird. Solange Apple keine strengere Validierung der Namensfelder einführt oder die Einbettung dieser Felder in Sicherheitsbenachrichtigungen unterbindet, bleibt die Lücke bestehen.
Ungewöhnliche Formatierung des Namens als Warnsignal
Nutzer sollten bei unerwarteten Sicherheitsbenachrichtigungen grundsätzlich skeptisch bleiben. Wenn eine E-Mail über einen angeblichen Kauf informiert, den man nicht getätigt hat, empfiehlt es sich, nicht die in der E-Mail angegebene Telefonnummer zu verwenden. Stattdessen sollten Nutzer die offizielle Apple-Webseite direkt im Browser aufrufen und sich dort in ihr Konto einloggen, um den Status ihrer Bestellungen und Kontoinformationen zu prüfen.
Ein klares Warnsignal bei diesen speziellen E-Mails ist die ungewöhnliche Formatierung des Namens und die Erwähnung von Drittanbietern wie PayPal innerhalb einer Apple-ID-Benachrichtigung. Apple wickelt Käufe normalerweise über das eigene Abrechnungssystem ab und würde niemals eine PayPal-Stornierungsnummer in ein Namensfeld einer Sicherheitswarnung schreiben. In einer Zeit, in der die Infrastruktur vertrauenswürdiger Unternehmen gegen ihre eigenen Kunden eingesetzt wird, bleibt die kritische Prüfung jeder automatisierten Nachricht eine wichtige Verteidigungslinie.
