Zurück zur Startseite

Phishing über Apple-Benachrichtigungen: So erkennen Sie Fakes

Ein neuer Phishing-Angriffsvektor wird beschrieben, bei dem Angreifer schädliche Nachrichten in offizielle Apple-Benachrichtigungen über Konto-Datenänderungen einbetten. Der Angriff nutzt die legitime Infrastruktur des Unternehmens und besteht alle standardmäßigen E-Mail-Authentifizierungsprüfungen.

Neuer Phishing-Angriff über Apple-Benachrichtigungen: Details und Schutz
Advertisement 728x90

# Phishing über Apple-Benachrichtigungen: Wie Hacker Spam-Filter umgehen

Hacker haben gelernt, Phishing-Nachrichten in offizielle Apple-Benachrichtigungen einzubetten, indem sie die legitime Infrastruktur des Unternehmens nutzen. Diese E-Mails bestehen alle Authentifizierungsprüfungen – SPF, DKIM und DMARC – und wirken wie echte Warnungen vor Änderungen der Kontodaten. Dadurch können Angreifer Spam-Filter umgehen und das Vertrauen der Opfer gewinnen.

Angriffsmechanismus

Der Angreifer erstellt ein Apple-ID-Konto und ändert die Felder für Vor- und Nachname, indem er Phishing-Text dort einfügt. In einem Fall lautete das Vorname-Feld etwa: „You purchased an iPhone for $899 via PayPal“, und der Nachname enthielt eine Telefonnummer des „Support-Service“. Der Hacker ändert dann die Lieferdetails im Profil, was eine automatische Apple-Benachrichtigung über Kontändefänderungen auslöst.

Da Apple die vom Benutzer angegebenen Werte der Vor- und Nachname-Felder in den E-Mail-Text einfügt, wird die Phishing-Nachricht Teil der offiziellen Benachrichtigung. Die E-Mail wird von [email protected] mit der IP-Adresse 17.111.110.47 versendet, die Apple gehört, und besteht alle standardmäßigen E-Mail-Authentifizierungsprüfungen:

Google AdInline article slot
dkim=pass header.d=id.apple.com [email protected] header.b=o3ICBLWN
spf=pass (spf.icloud.com: domain of [email protected] designates 17.111.110.47 as permitted sender) [email protected]

Die Header-Analyse bestätigt, dass die E-Mail tatsächlich aus Apples Infrastruktur stammt:

  • Ursprungsserver: rn2-txn-msbadger01107.apple.com
  • Ausgangsrelay: outbound.mr.icloud.com
  • Absender-IP-Adresse: 17.111.110.47 (gehört Apple Inc.)

Verteilung über Mailinglisten

Zunächst wird die Benachrichtigung an die mit dem Angreiferkonto verknüpfte iCloud-Adresse gesendet. Die eigentlichen Opfer erhalten jedoch dieselbe E-Mail an externen Postfächern. Das deutet auf Weiterleitung oder einen Mailinglisten-Mechanismus hin. Möglicherweise fügt der Hacker Zieladressen zur Kontaktliste hinzu und nutzt beim Ändern des Profils eine Massenbenachrichtigungsfunktion.

Dieser Ansatz macht den Angriff besonders gefährlich: Der Empfänger sieht eine E-Mail, die alle technischen Authentifizierungsprüfungen bestanden hat, mit korrekten Headern und Absenderdomain. Sogar erfahrene Nutzer vermuten möglicherweise nichts Böses.

Google AdInline article slot

Ziele und Folgen

Ruft das Opfer die angegebene Nummer an, geben sich die Betrüger als Apple-Support-Mitarbeiter aus und behaupten, das Konto sei kompromittiert. Dann können sie:

  • Den Nutzer überzeugen, Fernzugriffssoftware zu installieren (z. B. AnyDesk oder TeamViewer).
  • Kreditkarten- oder Bankkontoangaben verlangen, um die „Transaktion zu stornieren“.
  • Den Zwei-Faktor-Code oder das Apple-ID-Passwort zu erlangen versuchen.
  • Über Fernzugriff Malware verteilen oder Daten stehlen.

Ähnliche Taktiken wurden zuvor bei iCloud-Kalender-Einladungsangriffen eingesetzt, bei denen Phishing-Nachrichten als Kaufbestätigungen getarnt waren. Der neue Angriffsvektor – über Profiländerungsbenachrichtigungen – wirkt noch überzeugender, da er mit der Kontosicherheit zusammenhängt.

Wichtige Punkte

  • Authentizität garantiert keine Sicherheit: Selbst E-Mails, die SPF/DKIM/DMARC bestehen, können schädlichen Inhalt enthalten, wenn Angreifer legitime Dienste missbrauchen.
  • Apple ist nicht direkt schuld: Die Schwachstelle rührt daher, dass das System Benutzerdaten in Benachrichtigungen ohne Bereinigung einfügt.
  • Kontaktangaben in Benachrichtigungen ignorieren: Offizieller Apple-Support fügt automatisierten E-Mails nie Telefonnummern bei.
  • Profiländerungen erfordern Verifizierung: Jede Kontodatenänderung muss per Zwei-Faktor-Authentifizierung bestätigt werden – die Benachrichtigung kann aber davor gefälscht werden.
  • Ungewöhnliche Namen in Konten überwachen: Zeigt Ihr Apple ID einen seltsamen Vor- oder Nachnamen, ist das ein Hinweis auf Kompromittierung.

Entwickler und Sicherheitsadministratoren sollten bedenken, dass vertrauenswürdige Zustellkanäle (einschließlich Benachrichtigungen großer Plattformen) für Social Engineering ausgenutzt werden können. Inhaltsfilterung allein auf Basis technischer Authentifizierung reicht nicht aus – semantische Analyse und Verhaltensmuster sind notwendig.

Google AdInline article slot

— Editorial Team

Advertisement 728x90

Weiterlesen