In den frühen Tagen des Internets waren Phishing-Attacken weit verbreitet. Da das Internet damals noch Neuland war, kannten sich viele Menschen damit nicht aus und fielen Betrügern zum Opfer. Das hat sich zwar geändert, doch auch die Betrüger haben sich mit der Zeit weiterentwickelt. Die Technik ist im Grunde die gleiche geblieben: Man versucht, offiziell zu wirken und ahnungslose Nutzer zu täuschen. Der Unterschied liegt jedoch darin, wie und wo sie versuchen, ihre Opfer zu erreichen. Als Beispiele seien hier der Google Docs-Phishing-Betrug und der Plex Media VPN-Phishing-Betrug genannt, die beide Anfang dieses Jahres im Umlauf waren. Das jüngste Ziel dieser Betrugsmasche könnten nun iOS-Geräte sein. Eine Schad-App kann Nutzern eine gefälschte Apple-Anmeldemaske anzeigen, die von der echten kaum zu unterscheiden ist. Wenn man dort sein Passwort eingibt, ist man dem Phishing erfolgreich zum Opfer gefallen.
Dieses Problem wurde vom Sicherheitsforscher Felix Krause identifiziert, der auch eine recht simple Lösung parat hat, mit der man erkennen kann, ob es sich um eine gefälschte oder eine echte Apple-Anmeldemaske handelt.
Gefälschte Apple-Anmeldemaske
Wenn Apple Sie zur Passworteingabe auffordert, gibt es in der Regel nur zwei Optionen: Entweder man gibt das Passwort ein oder man tippt auf „Abbrechen“, um die Aktion zu beenden. Wenn man den Verdacht hat, dass eine solche Eingabeaufforderung gefälscht ist, sollte man auf den Home-Button tippen/drücken. Eine gefälschte Apple-Anmeldemaske wird verschwinden, sobald man den Home-Button betätigt. Ist die Aufforderung jedoch legitim, bleibt sie auf dem Bildschirm sichtbar.
Muss Apple reagieren?
Krause betont, dass Apple sehr gewissenhaft bei der Überprüfung von Apps vorgeht, die im App Store eingereicht werden. So penibel, dass die Genehmigungszeit für eine App vor einigen Jahren recht lang war und Apple sich zunächst weigerte, sie aus Bequemlichkeitsgründen zu verkürzen. Das Unternehmen hat die Zeit zwar letztlich verkürzt, jedoch erst, nachdem es sicherstellen konnte, dass Apps auch innerhalb dieses kürzeren Zeitrahmens zuverlässig geprüft werden können. Apple leistet gute Arbeit, wenn es darum geht, schädliche Apps aus dem App Store fernzuhalten. Trotzdem hat Krause eine Reihe von Verbesserungen zusammengestellt, die Apple umsetzen und durchsetzen könnte, um Nutzer besser vor diesen Betrugsversuchen zu schützen. Eine vollständige Auflistung findet man in Krauses persönlichem Blog, wo auch erläutert wird, wie solche Betrügereien unentdeckt bleiben können.
Ich persönlich halte Krauses Vorschlag, Apple solle Entwickler zwingen, ein spezielles Icon für die App hinzuzufügen, die zur Passworteingabe auffordert, für sehr sinnvoll. Es ist leicht zu implementieren und eine visuelle Kennzeichnung ist in solchen Fällen immer von Vorteil.
Unseren Informationen zufolge gibt es derzeit keine App im App Store, die versucht, Nutzer auf diese Weise zu phishen. Gäbe es jedoch eine, würde man dies kaum vermuten, geschweige denn in der Lage sein, sie auf den ersten Blick zu erkennen. Krause will damit quasi alle Nutzer aufmerksam machen.