iPhone-Ortung, Fotospeicherung, App-Käufe – all das und noch viel mehr läuft über die Apple-ID. Das ist bequem und ziemlich praktisch – wenn denn kein Fremder in das persönliche Apple-Universum eindringt. Ein persönlicher Leidensbericht.
Sonntagabend 18:41 Uhr. Nur mal schnell die Mails checken und dann gemütlich das Wochenende vor dem Fernseher ausklingen lassen. Eigentlich ein guter Plan – aber leider soll es nicht sein. Als ich mein Postfach öffne, fällt mir eine Mail mit dem vielsagenden Betreff Die Informationen deiner Apple‑ID wurden aktualisiert ins Auge.
Ich bin mir ziemlich sicher, dass ich meine Zugangsdaten seit mehreren Jahren nicht mehr geändert habe, also fange ich an nachzuforschen. Das Ergebnis ruiniert mir nicht nur meinen Sonntag-Abend, sondern auch mein Vertrauen in die schöne, neue digitale Zukunft.
Wie wurde mein Apple-Konto gehackt?
Der erste Gedanke, als ich die Mail anklicke, ist natürlich: Das muss sich um Phishing handeln - seit Monaten werde ich von dubiosen Unternehmen wie der Online-Pay-AG belästigt und auch die Marke Apple wurde wiederholt von Betrügern missbraucht, um Nutzer dazu zu bringen, ihre Zugangsdaten weiterzugeben. Leider handelt es sich bei der Mail, die ich erhalten habe, aber nicht um so einen Fall - die Botschaft stammt tatsächlich von Apple, wie ich nach einem Check der URL-Struktur und den Verlinkungen feststelle.
Der Inhalt der Nachricht lässt keinen Zweifel zu: Jemand hat sich mit meinen persönlichen Daten Zugang zu meinem Apple-Account verschafft und dort die Zahlungsmethode geändert – auf Kreditkarte. Einen Moment lang wundere ich mich noch darüber, was das soll – dann fällt mir aber schon die nächste E-Mail auf: Der Unbekannte hat nicht nur die Bezahlmethode geändert, sondern gleich einen Kauf über meinen Account getätigt.
Angeblich habe ich 22.000 Edelsteine für ein nicht näher bezeichnetes Mobile-Game gekauft. Ich schaue kurz auf meinem iPhone in der iTunes-Übersicht nach und tatsächlich: Knapp 100 Euro wurden mir für einen In-App-Kauf im Spiel Lords Mobile berechnet. Von dem Titel habe ich noch nie gehört, und echtes Geld für virtuelle Währungen in Spielen gebe ich grundsätzlich nicht aus.
Im Moment spielt das aber keine Rolle, da ich erst einmal einfach nur schockiert bin. Wie konnte sich jemand in meinen Account einhacken und sensible Daten ändern? Dank meiner täglichen Arbeit bei GIGA weiß ich ziemlich gut darüber Bescheid, wie Phishing funktioniert und gehe sehr vorsichtig mit meinen Daten um. Angebliche Gewinnspiele und Gutscheine auf Facebook und Co. meide ich wie die Pest, generell gehe ich online sehr vorsichtig mit Passwörtern und Login-Daten um.
Wie konnte das also trotzdem passieren? Und wurden jetzt wirklich 100 Euro von meinem Konto abgebucht? Ein Anruf beim Apple-Support wird mir etwas Aufklärung verschaffen.
Apple-Support reagiert zügig
Wie storniert man einen Kauf im iTunes-Store? Praktischerweise leitet mich die Google-Suche auf einen GIGA-Artikel, der das Vorgehen erläutert. Einige Minuten später kann ich dann einem Mitarbeiter des Apple-Supports telefonisch mein Anliegen schildern.
Zunächst werde ich gefragt, ob ich die Zwei-Faktor-Authentifizierung verwende. Das verneine ich, weil ich das bislang nicht für nötig gehalten hatte. Für die Apple-ID verwende ich einfach meine GMX-E-Mail-Adresse und ein sicheres Passwort – zumindest dachte ich bis jetzt, dass es sicher ist. Ich gebe dem Mitarbeiter die E-Mail-Adresse, daraufhin kann er den Kauf der Edelsteine nachvollziehen. Da die Frist von 14 Tagen noch nicht verstrichen ist, stellt das Stornieren kein Problem dar. Vermutlich hätte der Support aber auch noch später das Geld zurückgebucht, da ich dem Mitarbeiter glaubhaft versichern kann, dass nicht ich den Kauf getätigt habe.
Darum kapern Hacker fremde Accounts
Allerdings mache ich mir immer noch Sorgen darüber, dass mir Geld abgebucht wurde. Für mich gibt es hier Entwarnung: Der Apple-Mitarbeiter erklärt mir, dass der Unbekannte eine fremde Kreditkarte zu meinem Account hinzugefügt und dann über diese den Kauf getätigt hat. Als ich nachfrage, was das soll, bekomme ich die Masche der Betrüger erklärt: Ziel der Hacker ist es, die Accounts von beliebten Mobile-Spielen mit In-App-Purchases aufzurüsten und diese anschließend weiterzuverkaufen.
- Dazu erstellen die Hacker zunächst einen Account für das jeweilige Spiel – das geschieht unabhängig von der Apple-ID.
- Jetzt kapern die Betrüger eine fremde Apple-ID und …
- … fügen – sofern nicht schon vorhanden – Kreditkartendaten hinzu. Diese sind natürlich ebenfalls gestohlen.
- In dem Spiel wird nun per In-App-Kauf über das gekaperte Apple-Konto digitale Währung eingekauft.
- Das Spielerkonto ist nun aufgewertet und kann weiterverscherbelt werden.
Der Fachbegriff für diese spezielle Hacking-Methode lautet Account-Hijacking. Letztlich geht es dabei darum, mit dem fremden Account unbefugte Handlungen auszuführen, beispielsweise virtuellen Gegenständen für den eigenen Bedarf zu kaufen. Dem Benutzer muss dabei (wie in dem hier geschilderten Fall) nicht zwangsweise ein finanzieller Schaden entstehen, allerdings weiß man natürlich nie, was die Hacker als nächstes mit den eigenen Zugangsdaten anstellen.
Wie gelangen die eigenen Zugangsdaten in fremde Hände?
Bleibt die Frage: Wie konnte der Unbekannte überhaupt an meine Daten gelangen? Leider kann mir der Apple-Support darauf keine zufriedenstellende Antwort liefern. Der Mitarbeiter erwähnt, dass es bei der Apple-ID in der Vergangenheit wiederholt Probleme mit geklauten GMX-Adressen gegeben habe. Das ist eine Möglichkeit, allerdings habe ich für meine Apple-ID ein anderes Passwort als beim GMX-Account verwendet. Im Erpressungsfall der Turkish Crime Family verwendeten die Betrüger vermutlich Yahoo-Zugangsdaten für Apple-Konten, doch ein Yahoo-Konto besitze ich nicht.
Der Hacker müsste also irgendwie anders an meine Zugangsdaten gekommen sein. Die Ursache werde ich wohl leider nie genau herausfinden. Und deshalb bleibt bei mir am Ende auch ein ungutes Gefühl zurück: Der Apple-Support war sehr hilfsbereit, es wurde kein Geld abgebucht und außer einem vermurksten Sonntag-Abend ist kein bleibender Schaden entstanden. Aber wer kann mir sagen, dass so etwas nicht noch einmal passiert? Was mache ich, wenn das nächste mal jemand meinen PayPal-Account knackt und das gesamte Konto leer räumt? Muss ich einfach darauf hoffen, dass der Support im nächsten Unternehmen sich genau so kulant verhält wie Apple?
Fragen, auf die ich leider noch keine Antworten habe - vielleicht sollte ich ganz einfach sämtliche Online-Accounts löschen und alles so wie früher per Post und Telefon erledigen. Aber das geht heutzutage ja auch schlecht, oder?