Neue Smishing-Methode

Apple iMessage: Hacker umgehen Schutzfunktion

Apple, imessage phishing, imessage smishing, Smishing, iMessage, Phishing
LinkedInRedditWhatsAppPocket

Cyberkriminelle haben eine neue Methode entwickelt, um Daten von iMessage-Nutzern zu stehlen. Dabei setzen sie auf SMS-Phishing, auch bekannt als „Smishing“. Besonders beliebt sind Nachrichten, die vermeintliche Informationen über den Paketversand enthalten.

Diese Nachrichten verleiten Opfer dazu, darauf zu antworten oder Links zu öffnen. Wer dies tut, riskiert, sensible Daten wie Passwörter, Kreditkarteninformationen oder Adressdaten preiszugeben – Informationen, die von den Kriminellen für weitere Angriffe genutzt werden können.

Anzeige

Jake Moore, Sicherheitsexperte bei ESET, erklärt: „Cyberkriminelle sind äußerst kreativ, wenn es darum geht, Sicherheitsfunktionen zu umgehen. Smishing ist nach wie vor eine beliebte Angriffsmethode. Die meisten Menschen erkennen sie auf den ersten Blick, indem sie zum Beispiel sofort die Echtheit der Nachricht in Frage stellen. Dennoch fallen immer noch zu viele Nutzer darauf herein und lassen sich unter Druck setzen, einen fragwürdigen Link zu aktivieren.“

Die Methode der Angreifer

Apples iMessage-App bietet einen eingebauten Schutzmechanismus, der Links aus unbekannten Quellen standardmäßig deaktiviert. Dadurch werden Nutzer vor potenziellen Gefahren von fremden Absendern wie E-Mail-Adressen, Telefonnummern oder Websites bewahrt. Doch sobald ein Empfänger auf die Nachricht antwortet oder den Absender zu seinen Kontakten hinzufügt, wird dieser Schutz aufgehoben und die Links werden aktiviert.

Genau dieses Verhalten machen sich Cyberkriminelle zunutze. In letzter Zeit steigt die Anzahl der Smishing-Angriffe, bei denen Opfer dazu gebracht werden sollen, auf Nachrichten zu reagieren. Oft werden sie aufgefordert, mit einem einfachen „Y“ für „Yes“ zu antworten oder den Link direkt in ihrem Browser zu öffnen.

Anzeige

Was diese Methode besonders perfide macht: Eine solche Kommunikation ist nicht ungewöhnlich und wird auch von seriösen Absendern genutzt. Mobilfunkanbieter etwa, informieren ihre Kunden über verbrauchtes Datenvolumen und bieten direkt die Option an, mehr Datenvolumen hinzuzubuchen. Der Kunde antwortet auf die Nachricht mit dem gewünschten Tarif und erhält das Produkt unmittelbar. Diese Ähnlichkeit zwischen legitimen und betrügerischen Nachrichten erschwert es Nutzern, den Betrug rechtzeitig zu erkennen.

Besonders beliebt in Deutschland: Paket-Benachrichtigungen

In Deutschland setzen Cyberkriminelle häufig auf gefälschte Benachrichtigungen zu angeblich im Zoll festsitzenden Paketen oder fehlenden Adressdaten. Wie bei vielen anderen Phishing-Methoden bauen sie dabei gezielt Druck auf. Nutzer sollen innerhalb einer kurzen Frist reagieren, um beispielsweise vermeintliche Zusatzkosten zu vermeiden oder den Verlust der Lieferung zu verhindern.

Wer auf diese Nachrichten eingeht, wird auf Phishing-Seiten weitergeleitet, auf denen sie aufgefordert werden, sensible Daten einzugeben. Damit landen diese Informationen direkt bei den Angreifern. Noch problematischer: Sobald ein Nutzer auf die Nachricht antwortet, signalisiert er den Kriminellen, dass er generell anfällig für solche Angriffe ist, was zu weiteren Betrugsversuchen in der Zukunft führen kann.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Schutzmaßnahmen

Jake Moore warnt: „Vermeiden Sie es, auf Nachrichten von unbekannten Kontakten zu antworten, da dies den integrierten Schutz von iMessage außer Kraft setzt und Sie anfällig für Phishing macht. Prüfen Sie immer die Legitimität einer Nachricht, bevor Sie etwas unternehmen, besonders wenn sensible Informationen verlangt werden.“

Hier sind weitere Tipps, um sicher zu bleiben:

  • Keine Links von unbekannten Absendern anklicken: Seriöse Unternehmen oder Organisationen werden niemals per SMS Druck ausüben oder Links verlangen.
  • Skeptisch bei dringlichen Nachrichten bleiben: Lassen Sie sich nicht durch zeitliche Dringlichkeit unter Druck setzen und prüfen Sie die Echtheit der Nachricht sorgfältig.
  • Keine persönlichen Daten preisgeben: Seriöse Absender fragen keine sensiblen Informationen wie Passwörter oder Kreditkartendaten per SMS ab.
  • Offizielle Websites direkt aufrufen: Geben Sie die Adresse des Unternehmens selbst in den Browser ein, statt einem SMS-Link zu folgen.

Zusätzlich empfiehlt es sich, Online-Konten durch eine Zweifaktor-Authentifizierung zu schützen. Damit bleiben sensible Daten sicher, selbst wenn Zugangsdaten in falsche Hände geraten.

(vp/ESET Deutschland GmbH)


Anzeige

Artikel zu diesem Thema

Phishing-Klicks haben sich im Jahr 2024 fast verdreifacht
Untote identifizieren: Schutz vor Zombie-Phishing
Warnung vor Zunahme mobiler Phishing-Angriffe
Smishing, Vishing, Phishing – oder was?

Weitere Artikel

Ransomware-Angriffe auf AWS: Hunderttausende Account-Infos im Darknet
Deutschland auf Platz 4 bei Ransomware-Angriffen
Vom nigerianischen Prinzen zum Ferrari-CEO
Die drei größten Schwachstellen bei Cyberangriffen
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.