Wie Motherboard am Dienstag berichtete, haben Hacker, die unter dem Codenamen "Turkish Crime Family" firmieren, angeblich auf unbekannte Weise Zugriff auf Hunderte Millionen von Apple-E-Mail-Konten, einschließlich iCloud-Posteingängen mit E-Mail-Adressen auf @icloud- und @me-Domains.
Sie drohen damit, iOS-Geräte aus der Ferne zu löschen, es sei denn, Apple zahlt ein lächerliches Lösegeld. Es ist bemerkenswert, dass iCloud noch nie direkt gehackt wurde, und andere Gründe machen es schwierig, diese Geschichte zu schlucken.
Sie fordern, dass Apple bis zum 7. April ein Lösegeld in Form von:
- Entweder $ 75.000 in Kryptowährungen wie Bitcoin oder Ethereum;
- Oder iTunes-Geschenkkarten im Wert von 100.000 USD.
Wenn das Unternehmen Cupertino der Anfrage nicht nachkommt, wird die Gruppe die Konten zurücksetzen und alle Daten auf den zugehörigen Apple-Geräten effektiv löschen.
Als einer der Hacker versuchte, Druck von den Medien auszuüben, um die Zahlung von Apple zu erzwingen, sagte er: „Ich möchte nur mein Geld und dachte, dies wäre ein interessanter Bericht, den viele Apple-Kunden gerne lesen und hören würden.“
Die Gruppe hat ursprünglich ein YouTube-Video geteilt, das angeblich beweist, dass sie sich in den iCloud-Account einer älteren Frau gehackt haben. Das Video demonstrierte auch die Möglichkeit, die Geräte per Fernzugriff zu löschen. Dies ist trivial, wenn Sie auf die zugrunde liegenden Apple-IDs zugreifen können.
Abonniere iDownloadBlog auf YouTube
Es wurde anschließend entfernt, nachdem ein Mitglied des Apple-Sicherheitsteams das Lösegeld abgelehnt und die Deaktivierung des Videos beantragt hatte. Folgendes hat ein ungenanntes Mitglied des Apple-Sicherheitsteams vor einer Woche an die Hacker zurückgeschrieben:
Wir bitten Sie zunächst, das von Ihnen auf Ihrem YouTube-Kanal hochgeladene Video zu entfernen, da es unerwünschte Aufmerksamkeit erregt.
Zweitens möchten wir Sie darauf hinweisen, dass wir Cyberkriminelle nicht für Gesetzesverstöße belohnen.
Das mutmaßliche Apple-Teammitglied warnte die Gruppe, dass archivierte Mitteilungen an die Behörden gesendet werden. Die Firma Cupertino hatte sich zum Zeitpunkt des Schreibens nicht öffentlich zur Situation geäußert, sondern zu ihrer üblichen Vorgehensweise.
Dies ist eine lächerliche Geschichte, meiner persönlichen Meinung nach.
Erstens gibt es die Inkonsistenzen.
Die Hacker gaben ursprünglich an, 300 Millionen Konten für Lösegeld zu haben. Die Zahl änderte sich später auf 559 Millionen Konten. Wichtig ist, dass sie Motherboard keinen Datencache der angeblich gestohlenen iCloud-Konten zur Überprüfung der Ansprüche zur Verfügung stellten.
Der einzige Beweis, den sie erbrachten, waren angebliche Screenshots (Bilder sind leicht zu fälschen, wohlgemerkt) der angeblichen E-Mails zwischen der Gruppe und Mitgliedern des Apple-Sicherheitsteams.
"Motherboard hat nur einen Screenshot dieser Meldung gesehen und nicht das Original", heißt es in dem Artikel. Die Gruppe hat Motherboard vorübergehend Zugriff auf ein E-Mail-Konto gewährt, das angeblich für die Kommunikation mit Apple als Beweismittel verwendet wurde.
Dasselbe E-Mail-Konto wurde auch im inzwischen entfernten YouTube-Video verwendet.
Wenn Sie Zugriff auf 300 Millionen iCloud-Konten hätten, würden Sie nur 75.000 USD anfordern?
Es ist davon auszugehen, dass für einige der beanspruchten Konten die Zwei-Faktor-Authentifizierungsfunktion von Apple aktiviert ist. Das Problem ist, dass Apples Zwei-Faktor-Authentifizierungsserver noch nie in großem Maßstab direkt gehackt wurden. Kompromisslose Fotos von Prominenten aus iCloud-Konten? Das war nur kluges Social Engineering.
Ich meine, Sie sehen mich mit ernstem Gesicht an und sagen mir, dass sie Hunderte Millionen von iCloud-Konten, die unbekannten Benutzern gehören, allein durch Social Engineering kompromittiert haben.
Die lächerliche Bitte um iTunes Geschenkkarten ist auch hier bemerkenswert. Sie stellen nicht nur ernsthafte Bedrohungen wie diese aus und verlangen einen kleinen Betrag, während Sie Apple möglicherweise ausreichend Zeit geben, um Schwachstellen in iCloud-Systemen zu beheben.
Wenn ich "Turkish Crime Family" wäre, würde ich zunächst zehn Millionen Konten offline schalten, sodass Apple mich ernst nahm, bevor ich versuchte, das Unternehmen zu erpressen, und zwar nicht für dürftige 75.000 Dollar, sondern für einen siebenstelligen Betrag. Auf der anderen Seite war der Grund, warum sie nach einem kleinen Geldbetrag fragten, die Hoffnung, dass Apple schnell und leise zahlen würde.
LERNPROGRAMM: So schützen Sie Ihre Apple ID mit der Zwei-Faktor-Authentifizierung
Wenn Sie nach Millionen fragen, riskieren Sie, dass Apple sich eingehender mit ihnen befasst und möglicherweise das FBI kontaktiert (Beispiel: Apples aggressive Reaktion auf den gestohlenen iPhone 4-Prototyp im Jahr 2010). Ich bin mir nicht sicher, warum Motherboard diese Meldung als aktuell und verlässlich genug erachtete, um sie zu veröffentlichen, aber ich kaufe diese Geschichte überhaupt nicht.
Bist du? Und sollte Apple nachgeben und bezahlen, nur für den Fall?
Quelle: Hauptplatine