Das Landeskriminalamt Niedersachsen (LKA) warnt aktuell vor einer Phishing-Kampagne von Cyberkriminellen, die auf Apple- oder Google-Mail-Kunden zielen. Es wird suggeriert, dass der iCloud-Speicher oder der Google Drive-Speicher voll sei. Es wird eine Möglichkeit angeboten, diesen Speicher gratis oder kostengünstig zu erweitern. Ziel ist es, den Nutzer zur Herausgabe der Zugangsdaten oder zum Abschluss eines Abos auf den gefälschten Landing-Pages zu verleiten.
Anzeige
Es sind wohl zwei verschiedene Kampagnen, die auf Apple- und Google-Nutzer abzielen, vor denen das Landeskriminalamt Niedersachsen (LKA) hier warnt.
Phishing-Mails zielen auf Apple-Kunden
So versenden Cyberkriminelle derzeit massenhaft Mails, die vorgeben, von Apple zu stammen. Dabei wird behauptet, der iCloud-Speicher sei voll und dieser könne gratis oder kostengünstig erweitert werden.
iCloud-Phishing-Mail, Quelle: LKA
Der iCloud-Speicher wird von von Apple offiziell für Nutzerinnen und Nutzer von z.B. iPhone, Mac oder iPad angeboten und bei der Geräteinbetriebnahme eingerichtet. Apple bietet dabei 5 GB Speicherplatz in der iCloud kostenfrei an. Dort können Fotos, Video, andere Dateien, Backups usw. online gesichert abgespeichert und nahezu zeitgleich auf allen angemeldeten Geräten bereitgehalten werden.
Anzeige
Sind diese 5 Gbyte Speicher voll, lässt sich die Speicherkapazität gegen entsprechende Zahlung an Apple (Monatsabo) aufstocken. Dies kann u.a. über die Webseite www.icloud.com bzw. apple.com/icloud aber auch über Einstellungen zur iCloud auf dem jeweilig genutzten Gerät direkt erfolgen.
Allerdings gibt es von Apple die Ankündigung, den Dienst Mein Fotostream der Cloud abzuschalten. Dazu werden Mail von Apple verschickt, die Informationen und Handlungsmöglichkeiten aufweisen. Genau auf diese Sachverhalt zielen die Cyberkriminellen ab. Durch gefälschte Mails, die den Anschein erwecken sollen, von Apple zu stammen, wird suggeriert, dass der Speicher bei iCloud voll sei.
Die Mails liegen in unterschiedlichen Varianten vor und verfolgen unterschiedliche Ziele (Beispiele finden sich auf der LKA-Seite mit der Warnung). Der Tenor der Mails ist, dass der iCloud-Speicher voll sei und man diesen erweitern müsste. Vereinzelt behaupten die Mails, man könne, wenn man schnell sei, kostenlos zusätzliche 50 GB erhalten. Die Mails sind beispielsweise mit Screenshots von echten Apple-Meldungen oder dem Logo der iCloud versehen.
Wer auf den Link in der Mail klickt, landet auf gefälschten Seiten, die Zugangsdaten abgreifen (Phishing), Adress- und Kreditkartendaten sammeln oder in eine Abofalle locken. Nicht immer ist beim Absender der Mail oder in der Adresszeile des Browsers sofort erkennbar, dass es keine offizielle Nachricht oder Webseite von Apple ist, schreibt das LKA. Vereinzelt vertrauen die Täter, dass dies nicht geprüft oder einfach nur übersehen wird. Auch werden gern Webadressen verwendet, die auf dem kleinen Screen eines Smartphones in der Adresszeile echt wirken, solange man die Adresszeile nicht bis zum Ende betrachtet.
Neben unberechtigten Zahlungen und ungewollter Werbung kann im schlimmsten Fall somit auch ein Zugriff auf die Geräte und hinterlegten Daten über den Apple-Account erfolgen, schreibt das LKA. Neben Verlust der Daten ist sogar eine Erpressung denkbar, wenn die Täter die Kontrolle über die Geräte übernommen haben. In der Warnung gibt das LKA den Hinweis, zusätzliche Sicherungsmöglichkeiten (z.B. 2-Faktor-Authentifizierung) einzurichten, um nicht auf die Masche hereinzufallen.
Zudem kann geschaut werden, welche Geräte und Kontaktdaten offiziell im Acount hinterlegt sind. Sollten bereits fremde oder bereits ausgemusterte Geräte oder unbekannte Daten vorhanden sein, sollten diese entfernt werden. Auch Apple informiert über Sicherheit und Phishing. Erstellen Sie beim Erkennen von Missbrauch auch Screenshots als Beweissicherung für eine mögliche spätere Anzeigenerstattung.
Vorsicht ist geboten, wenn plötzlich durch die vorherige Masche offizielle Bestätigungen z.B. auf einem iPhone im Display erscheinen, die ein Einloggen eines unbekannten Gerätes angeben. Hier sollten Sie nicht unüberlegt auf „Erlauben" klicken. Ggf. wird hier schon ein Fremdzugriff durch die Täter vorbereitet. Brechen Sie den Zugriff durch Ablehnen ab!
Sind Bank- und Kreditkartendaten im Spiel, so sollten Sie unverzüglich auch Ihr Kreditinstitut informieren. Ggf. sollte die Kreditkarte auch gesperrt werden. Missbräuchlichen Abbuchungen sollte widersprochen werden. Kontrollieren Sie in nächster Zeit auch ihre Kontoauszüge auf Unregelmäßigkeiten und handeln Sie entsprechend.
Adressdaten, die die Täter über die gefälschten Seiten erhalten haben, könnten zukünftig zum Beispiel für personalisierten Spam verantwortlich sein. Auch hier sollten Sie generell vorsichtig sein und nicht unbedarft auf Anhänge oder Links klicken.
Die Anzeigenerstattung sollte dann ein nächster Schritt sein. Dies können Sie in Ruhe nach der Account-Sicherung bei Ihrer örtlichen Polizeidienststelle oder ggf. über Ihre zugehörige Onlinewache machen. Bringen Sie dazu konkrete Daten, Kontoauszüge, Screenshots usw. mit. Wurden auf den Phishingseiten zudem Ausweisdaten als Bilddatei hochgeladen, teilen Sie dies auch unbedingt bei der Anzeigenerstattung mit.
Gleiche Masche zielt auf Google-Nutzer
In einem Nachtrag schreibt das LKA, dass die die ersten Mails, die vorgeben von Google zu stammen, aufgetaucht seien. Auch hier behaupten die Täter, dass der Speicherplatz für Google (z.B. Google Drive oder Google Foto) voll sein und man diesen im Rahmen eines Treueprogrammes kostenfrei auf 50 GB erweitern könne, bevor die Daten auf dem Google Drive gelöscht werden. Hierfür würde man lediglich eine Kreditkarte benötigen, die jedoch nicht belastet werde, um die Gmail-ID zu validieren. Die LKA-Seite enthält entsprechende Screenshots der Meldungen. Die Kampagne verfolgt die gleichen Motive und Ansätze wie oben für Apple beschrieben – Details lassen sich der LKA-Seite entnehmen.
Anzeige
Diese Mails bekomme ich seit circa _drei_ Monaten regelmäßig.
Gefühlt seit Jahren im Spam Ordner in allen Varianten und Versionen.
Mal ist es halt mehr und mal weniger. Da scheint jemand im LKA an Schlafapnoe zu leiden und wacht alle Weile mal auf und checkt seine/ihre E-Mails.
Diese Phishingmails kommen nicht nur bei den genanten Mailanbietern.
Da gibt es mehrere Varianten wie z.B. "ihr Postfach ist voll, klicken sie hier, um das Postfach zu bereinigen" oder "es hängen 10 Mails in der Warteschlange fest, klicken sie hier, um die zuzustellen", etc. etc.
Zu 99,9% in Englisch und als gefälschter Absender dann eine Adresse des Mailanbieters.
Unser Spamfilter filtert das effektiv raus.
Und das Phänomen ist nicht neu, sondern schon uralt.
Da pennen die beim LKA wohl tief und fest.
IT und Email ist ja noch unentdecktes Neuland bei deutschen Behörden.
Zum "pennen beim LKA wohl tief und fest" -> wohl kaum. Die betreffenden LKA-Seiten haben das Ziel, auf aktuelle Phishing- und Betrugskampagnen hinzuweisen – und die Medien greifen es dankenswerter Weise auf – gleiches gilt für das Phishing Radar der Verbraucherzentrale.
Und zum "klar, wir wissen das alle" – ich muss nur schauen, wie oft der Enkel-Trick, der Microsoft Support-Anfruf-Betrug oder auch simples Phishing – wahlweise mit DHL-Paketzustellung nur gegen Gebühr oder Download der App funktioniert. Die Fälle schlage ja teilweise bei mir ein, wo man sich vielleicht als Außenstehender fragt, wie man darauf hereinfallen konnte.
Ich würde auch niemals behaupten "passiert mir nicht". Mir ist ein Fall erinnerlich, wo mein Internet-Provider Probleme hatte, ein Leser morgens mit einer Mail "beim Provider gibt es E-Mail-Zustellprobleme" einschlug und ich dann auch noch Probleme hier mit dem Blog hatte. Als dann (nach Beseitigung der Störung) einen Stunde später eine E-Mail von "meinem Provider" mit dem Hinweis, drei Mails blieben hängen, und einem Link zum Abrufen, einschlug, war ich in meiner Erwartungshaltung so konditioniert, dass ich darauf herein gefallen bin. Blieb folgenlos, weil ich umgehend die Zugangsdaten geändert habe. Da ich doch regelmäßig über Phishing blogge, musste ich mich fragen, wieso mir das passiert ist. Antwort: Ziemlich viel Brass durch die Störungen am Morgen, sowie zufälligerweise eine bestimmte "Erwartungshaltung durch die Störung und die Leser-Mail zu E-Mail-Problemen". Ob Phisher da die großen Provider monitoren, weiß ich nicht – aber an dem Tag hat die Phishing-Mail perfekt gepasst – danach kam nie wieder eine solche Mail …
Daher veröffentliche ich solche Meldungen immer wieder als Beitrag in den Blogs – in der Hoffnung, dass da doch der eine oder andere Nutzer (über meine Social Media Kanäle) drüber liest und dann im Fall der Fälle ein Trigger "da war doch was" einsetzt.
Und jetzt habe ich das Thema "wir werden alle älter und gebrechlicher oder haben einen extrem schlechten Tag" noch nicht angesprochen. Mir ist eine zweite Episode nach meinem Genickbruch erinnerlich, wo ich per Taxi aus der Reha nach Hause gefahren wurde. Du zahlst deine 10 Euro Eigenbeteiligung für die Krankenkasse. War (nach vielen Wochen inkompletter Querschnittssymptomatik) so schlecht drauf, dass ich a) froh war, nach 4 Wochen Klinik und 5 Wochen Reha, wieder Zuhause zu sein, und b) es mit irrer Anstrengung geschafft habe, überhaupt aus der Taxe auszusteigen. Nach drei Schritten dämmerte mir "ok, Du hast 10 Euro bezahlt, der Typ hat dir das aber keine Quittung ausgestellt …" – als ich reklamieren wollte, fuhr der Typ schon schnell weg. Drei Wochen später bekam ich eine Rechnung "Eigenbeitrag 10 Euro", da nicht bezahlt. Der Taxi-Fahrer hatte die Situation imho ausgenutzt und die 10 Euro in die Tasche gesteckt. Das Lehrgeld hielt sich in Grenzen und normalerweise wäre mir das nicht passiert. Zeigt mir aber, dass einfach jeder in eine solche "intellektuelle Bredouille" kommen kann, wo alle Sicherungen durchbrennen. Aber manchmal hilft ein Trigger "moment, gerade noch was zu gelesen".