iPhone-PIN weg, Millionen entwendet: Wie Gauner Apples Ökosystem missbrauchen
Seit Monaten gibt es Berichte über Straftäter, die Menschen nicht nur ihr iPhone klauen, sondern das digitale Leben. Einer von ihnen erklärt, wie er arbeitet.
Angriff aufs iPhone (Symbolbild).
(Bild: MeskPhotography / Shutterstock)
Wie gelingt es Gaunern, nur per iPhone-PIN das digitale Leben von Nutzern zu übernehmen? Die Kriminellen hinter der Sicherheitslücke, die bereits seit mehreren Jahren besteht und von Apple demnächst mit neuen Anti-Diebstahl-Funktionen abgemildert werden soll, blieben bislang stets im Dunkeln. Dem Wall Street Journal ist es nun gelungen, mit einem verurteilten iPhone-Dieb zu sprechen, der laut eigenen Angaben zusammen mit 11 anderen Personen mehr als eine Million US-Dollar auf diese Art abgezockt haben will. Wie sich zeigt: Der Grad der Professionalität ist hoch.
Social Engineering oder Video
Der 26-jährige Aaron J. wurde bereits verurteilt und sitzt für mehrere Jahre in Minnesota im Gefängnis. Ihm gelang es nach eigenen Angaben, an einem guten Wochenende iPhones und iPads im Wert von 20.000 US-Dollar zu stehlen und zu verkaufen. Doch das war nicht alles: Bei jedem der Bestohlenen versuchte er zuvor, deren digitales Leben zu übernehmen – inklusive der Ausplünderung von Konten. Das Problem: Mit dem Einfallstor iPhone-PIN standen ihm alle Möglichkeiten offen.
An die PIN gelangte der Dieb (auch) durch Social Engineering. Wenn er anderen Menschen nicht beim Eingeben der PIN zusah und/oder diese per Video aufnahm, bot er ihnen Drogen an oder fragte sie einfach, ob er sich als angehender Rapper bei ihnen als Snapchat-Kontakt eintragen könne. "Nach einem kurzen Gespräch übergaben sie das Telefon an [ihn] und dachten, er würde seine Daten eingeben und es gleich wieder zurückgeben", schreibt das Wall Street Journal. "Ich sage dann: Hey, dein Telefon ist gesperrt. Wie lautet der Passcode?", so J. Die Opfer gaben diesen dann durch und der Kriminelle verschwand mit dem iPhone. Häufigste Opfer waren junge Männer im Hochschulalter.
iCloud-Passwort in Minuten geändert
Er habe dann innerhalb von Minuten zunächst das iCloud-Passwort geändert – was nach wie vor ohne Kenntnis des alten Passworts nur mit iPhone-PIN möglich ist. Dann schaltete er mit dem Passwort die "Wo ist?"-Funktion ab, um ein mögliches Tracking oder Fernlöschen zu stoppen. Schließlich änderte er mit der iPhone-PIN auch noch das Face-ID-Gesicht oder ergänzte ein weiteres. Damit gelangte er dann auch auf damit geschützte Banking-Apps, Paypal und Co., über die er sich Geld besorgte. Dank Face ID konnte er außerdem auf dem Gerät hinterlegte Apple-Pay-Karten nutzen und ging damit dann in Luxusläden shoppen. Besonders gerne erwarb er weitere Apple-Produkte, um diese dann zu verkaufen.
Geld mit dem geklauten iPhone machte J. dann aber auch noch: Er löschte das Gerät und konnte es so als Gebrauchtware prima an einen Hehler absetzen, der es dann in Asien verkaufte. Für ein iPhone 14 Pro Max gab es so bis zu 900 Dollar. Der Hehler selbst musste laut Wall Street Journal nur 120 Tage ins Gefängnis. Bezüglich möglicher neuer Sicherheitsfunktionen meinte J., es werde später sicher neue "Tricks" geben, um Apple-Geräte zu übernehmen. Besonders beliebt als Diebesware seien Pro-Modelle, Apples teuerste iPhones. Der Dieb achtete dabei stets auf die drei rückwärtigen Kameras. Android-Modelle klaute J. übrigens vergleichsweise selten.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)