iCloud: Account-Klau mit Lösegeld-Forderungen
Der kurze Erfahrungsbericht, den uns ifun.de-Leser Benjamin heute zugeschickt hat, veranlasst uns dazu noch mal an die optionale zweistufige Bestätigung für Apple-IDs zu erinnern. Im geschilderten Fall ist Benjamin zwar glimpflich davongekommen, die Zahlungsaufforderungen nehmen in letzter Zeit jedoch merklich zu.
So berichtet Benjamin über eine „Mein iPhone Finden“-Nachricht, die in den Abendstunden auf dem Sperrbildschirm seines Gerätes angezeigt wurde und darauf schließen lässt, dass die Account-Diebe bereits beim Absenden der kurzen Meldung im Besitz der iCloud-Zugangsdaten waren.
Heute erhielt ich auf den Lockscreens meines iPhones und iPads die folgenden:
„iPad/iPhone verloren – For unlock device you need send voucher code by 50$/€ of this (PaySafeCard) to helpappleusa@gmail.com“
Gleichzeitig habe ich mehrere Emails von Apple erhalten, dass zum einen meine Apple ID für einen Login über einem Webbrowser verwendet wurde, zum anderen wurde die „iPhone Suchen„-Funktion verwendet, mit der beide Geräte als „verloren“ gekennzeichnet wurden.
Ich konnte zwar problemlos beide Geräte ganz normal entsperren – und habe dann direkt auch mein Apple ID-Passwort geändert – aber ein mulmiges Gefühl bleibt trotzdem. Vor allem, weil dem Hacker durch die Standortbestimmung nun meine Adresse bekannt sein könnte. Habt ihr von solchen Vorfällen schon gehört?
Leider ja. Abgesehen von den großen Phishing-Wellen, die meist automatisiert abzulaufen scheinen, liegen uns Meldungen zu ähnliche Fällen immer wieder vor. Wir können hier leider nur auf die zweistufige Bestätigung verweisen (die übrigens auch für iMessage aktiviert werden kann) und euch darum bitten, alte iCloud-Passwörter regelmäßig zu wechseln.
Im Bekanntenkreis kennen wir noch ehemalige MobileMe-Nutzer, die sich mit sechstelligen Passwörtern (alles Kleinbuchstaben und zudem im Wörterbuch vertreten) durchschlagen. Apple selbst hat die Passwort-Anforderungen in den letzten Jahren zwar deutlich verschärft, geht bislang jedoch nicht gegen alte iCloud-Konten vor, die sich gegen Ende der 2000er noch mit den Spitznamen der eigenen Haustiere registriert haben. Also: Bitte prüfen!
Also ich wurde als .Mac/MobileMe Nutzer bei einer Online-Bestellung dazu aufgefordert mein Kennwort zu aktualisieren, sonst konnte ich den Kauf nicht durchführen…
Mein @me.com Account würde auch ein neues Passwort vertragen, aber das mit dem Grossbuchstaben nervt mich :/
Wenn ich mich auf appleid.apple.com einloggen möchte um die 2 Stufige Authentifizieung zu aktivieren, müsste ich mein PW ändern… Also bleib ich wohl auf eigene Gefahr ohne :D
Was ist das denn für ein Quatsch… Ich habe auch die zweistufige aktiviert und mein altes Passwort behalten
@raZilein: Denk mal über die Nutzung von 1Password nach. Dann kannst du überall komplexe Passwöter nutzen und hast sie doch alle immer dabei.
Ging mir genauso. iPhone und iPad am Montagabend. Ich weiß nur noch nicht wie ich mein iPad entsperren soll, das will einen vier Ziffern Code, den ich nicht kenne :(
FBI fragen :-)
Was sagt der Apple Support dazu? Ruf einfach die 0800 Nummer an. Ich kennen einen Fall, bei dem sie das Gerät einfach entsperrt haben und dir gleichzeitig ein neues temporäres Passwort gegeben haben für iCloud.
Über Apple ID entsperren. Das was du meinst ist der sperrcode. Den hat dir jemand eingestellt wenn du es nicht selbst warst.
Die Zwei Faktor Authentifizierung hätte da allerdings auch nichts gebracht, da sie nicht bei „Find my iPhone“ wirkt! Dort kann man auch ohne Zwei Faktor Authentifizierung sein iPhone oder in diesem Fall ein fremdes iPhone sperren.
Das müsste Apple eigentlich auch besser absichern weil es nicht so cool ist wenn jemand meine Login Daten hat und somit mal mein iPhone aus der Ferne sperren oder noch schlimmer löschen kann.
Klar nützt die Zweistufen-Authentifizierung! Man braucht diese nämlich um erstmal über iCloud.com in das Nutzerkonto reinzukommen um dann das iPhone als verloren zu melden bzw. fernzulöschen! Ich würde allen empfehlen diese Authentifizierung einzurichten!
Nö. Login auf icloud.com und find my iphone nutzen geht ohne die Zweistufen-Authentifizierung.
Stimmt nicht.
Auch auf icloud.com fragt die Zweistufen-Authentifizierung auf welches Gerät der Code gesendet werden soll. Kürzlich mit meinem neuen Mac durchexerziert. Mag sein, dass es nur bei bisher nicht genutzten Mac/PC so ist, was aber bei den bösen Buben zu 100% der Fall ist.
Würde ja auch keinen Sinn ergeben, wenn das Gerät, welches gerade abhanden gekommen ist, den Code für die Authentifizierung erhält!
Hier steht doch, dass man es auch auf icloud.com braucht.
Dabei müssen Sie Ihre Identität über eines Ihrer Geräte oder über eine andere anerkannte Methode nachweisen, bevor Sie Folgendes tun können:
Anmelden bei der Seite Ihres Apple-ID-Accounts
Anmelden bei iCloud auf einem neuen Gerät oder auf iCloud.com
Anmelden bei iMessage, Game Center oder FaceTime
Tätigen eines Einkaufs mit einem neuen Gerät im iTunes Store, iBooks Store oder App Store
Erhalt von Support zur Apple-ID von Apple
Anders wäre ja auch Quatsch.
Natürlich braucht man die zwei Faktor Authentifizierung!
Allerdings konnte man das – meine ich – abschalten wenn man auf einem Gerät einloggt auf dem man es regelmäßig tut.
Bei Anmeldung auf anderen Geräten aber definitiv IMMER zwei Faktor.
Die Zwei-Faktor-Authentifizierung bringt in diesem Fall nichts. Loggt man sich bei iCloud.com ein, sind alle Funktionen bis auf Find My iPhone gesperrt, bis man seinen Code eingegeben hat. Diese „App“ kann man jederzeit öffnen und das Gerät suchen, den Code ändern oder das Gerät löschen.
Gleiches gilt für die iOS App Mein iPhone suchen. Dort kann man sich auch mit den Accountdaten anmelden und munter Geräte verfolgen, ändern oder Fernlöschen.
Hier sollte Apple mit einer Sicherheitsfrage arbeiten, da man diese auch ohne Handy beantworten kann.
Macht auch Sinn: nicht jeder hat mehrere Apple-Devices. Wenn ich dann mein iPhone verloren habe, ist es natürlich ganz toll, wenn dort der Code ankommt mit dem ich mich dann bei „Find my iPhone“ anmelden kann.
Das hatte ich auch mal. Auf irgend einem anderen angemeldeten Gerät wird ein Bestätigungscode vierstellig wird dann angezeigt. Den sollte man dann auch verwenden.
Nutze noch das alte 3GS und bekomme fast jeden Tag eine Meldung meine Apple ID mit meinem Passwort zu bestätigen. Hatte ich anfangs auch im guten Glauben gemacht, nun nervt die Meldung aber. Hin und wieder geb ich das PW mal ein, aber dennoch kommt sie immer wieder.
Hatte ich auch schon mal jorge, ist aber nach einem Neustart weg gewesen ist.
Wenn es denn klappt mit der Einrichtung der zweistufigen Authentifizierung. Während es für meinen iTunes-Store-Account problemlos funktioniert hat diese Funktion zu aktivieren, will das Formular von Apple bei meinem iCloud-Account (aus MobileMe-Zeiten) das ich die dafür hinterlegten Kreditkartendaten eingebe. Erst danach würde der Prozess zur Einrichtung der erhöhten Sicherheit starten. Gleichwohl diese mit absoluter Sicherheit korrekt sind, behauptet das Formular das der Sicherheitscode falsch sei. Mit dem Apple-Support hab ich mich zu diesem Thema noch nicht beschäftigt, weil mein letzter Kontakt mit Apple zu Kreditkarte und iCloud-Account nach der Verlängerung des Gültigkeitszeitraums der Karte recht fruchtlos war. Der Support war nicht in der Lage mein Problem zu lösen, musste dann selbst drauf kommen,
Mir ist just heute ähnliches passiert! Ich bekam eine eMail, dass jemand mit einem iPhone 5S und iOS 8.4 sich bei iCloud.com eingeloggt hat. Da ich davon nichts besitze, habe ich mich schnell einloggen wollen. Bevor dies ging, bekam ich eine Info, dass die email für die Wiederherstellung geändert wurde.
Ich konnte dann noch fix das PW ändern, scheint nichts passiert zu sein. Vermute, wenn ich nicht direkt am PC gesessen hätte, hätte das anders ausgesehen.
Das macht einem irgendwie Angst das Leute wenn Sie dein Passwort kennen das iPhone gleich komplett löschen können. Man könnte zwar mein iPhone suchen deaktivieren hätte aber dann diese Funktion dann halt nicht.. oder gibt es Alternativen? Außer mit Jailbreak jetzt (iGotYa)
Mich würde ja eher interessieren, wie sicher die Passwörter der hier Betroffenen war (Länge, Sonderzeichen, Zeichenabfolger oder Wörter)?
Da ich es jetzt schon eine Weile vergebens versuche und im Netz weder bei Apple noch in anderen Anleitungen eine Information dazu fand, mal eine ganz blöde Frage:
Funktionieren die anwendungsspezifischen Kennwörter für iMessage und FaceTime NUR in den Mac-Apps oder ebenfalls auf dem iPhone in den Einstellungen für iMessage und FaceTime?
Bei mir funktioniert am iPhone bei Eingabe eines solchen Kennwort nur eins: Das Fenster schüttelt sich kurz und dann passiert nichts… ;-)
Hilfe!
Das mit der 2 stufigen kann schnell zum Problem werden wenn man seine Apple id zwischendurch ändert. Es ist so schon ein Krampf wenn man ein eMail Anbieter wechselt. Apple rafft das einfach nicht. Nach Jahren will er auf einmal ein Passwort von der eMail Adresse haben die ich ja „nicht“ mehr habe. Also ich hab sie noch. Aber nur aus dem Grund das ich sie nicht löschen kann ohne mein YouTube Konto zu löschen. Unterm Strich habe ich die 2 Wege dingens wieder deaktiviert nachdem ich von einem iPhone auf das andere gewechselt hab. Das ist mir irgendwie zu heiss auf Dauer Deaktivierte Apple Geräte oder Apple Konten zu haben nur weil sich da eins ins andere Vermischt. Geänderte eMail und Geräte die Verkauft worden sind auf denen die Aktivierung hätte bestätigt werden müssen. Wenn man das MacBook wenigstens dazu nehmen könnte.
So kann man auf dem Gerät nicht bestätigen was man nicht mehr hat, das Zurücksetzen will Apple dann auf einmal auf die eMail die ich nicht mehr benutzen wollte abwickeln was aber dann auch nicht geht weil das nicht meine Apple ID eMail ist. Ich kam gut ins Schwitzen. Irgendwie ging es am Ende. Aber nicht wie es nach Anleitung hätte gehen sollen.
Hat zwar nichts mit dem aktuell hier diskutierten Thema zu tun; hier kurze Info: Die 9.3
Beta 4 im Rahmen AppleSeed ist heute Abend ausgerollt.
Ich habe NUR ein iPhone. Dann lohnt das nicht, oder? Was wenn ich mein iPhone verlege und über iCloud.com danach suchen möchte? Kann ich mich dort dann noch einloggen?
Iphone suchen geht ohne 2-Factor-Authentifizierung
Mein mir kam am Montag die Meldung dass mein apple ID gesparrt wurde. Ich könnte diese dann durch Eingabe des richtigen Passwort wieder entsperren. Hört sich danach an das versucht wird an iCloud Passwörter zu kommen. Andere Kommentare hier deute ähnliches an.
Futzi.2
Krass! Genau das Problem hatte ich letzten Monat! Das supa dupa System hat von mir verlangt meine alte emails Adresse auf einmal zu bestätigen. Problem war nur, diese war in der Zwischenzeit gelöscht.
Damit kein Missversändnis aufkommt, ich hatte die Email Adresse vor über einem Jahr geändert und regulär bestätigt. Auf einmal fragt mich das System nach einem Code der an die alte Adresse geschickt wurde.
Apple konnte trotz mehrere Besuche an der Genius Bar und Tickets nicht helfen. Hätte man so noch nie gesehen.
Einzige Option, eine neue Apple ID zu erstellen!?!
Ich hatte noch Glück im Unglück und konnte kostenpflichtig meine alte Email Adresse wieder bei dem Provider aktivieren und den verdammten Code eingeben.
Ich nutze die 2-Faktor Sicherunh trotzdem, stimme aber zu das nicht alles Tacko ist!
Gruss
Mag sein das an der Genius Bar keiner helfen konnte. Ich bin mit ähnlichem Problem bis zum Apple Support in Cork vorgedrungen. Bei mir gab es auch div. Klemmer, weil mein iCloud-Account (A-ID) noch mit einer nicht mehr existenten e-Mail verknüpft war, obwohl ich beim Wechsel der e-Mail die alte gelöscht habe, tauchte die immer noch in der iCloud auf. Der Support hat diese dann per Eingriff entfernt, begleitet von An-, Abmeldungen, Neustart etc. Alles Fernmündlich. Der Apple Support ist in solchen Belangen einsame Spitze!
Ich verstehe bis heute nicht, warum man sich z.B. in jedes dusselige freie wlan einloggt, ohne ein VPN zu nutzen. Das muss in diesen Fällen nicht ausschlaggebend sein, andererseits sollte man ruhig mal eine Minute über seine Sicherheit nachdenken.
Dabei sind Apps wie F-Secure Freedom narrensicher. Mittels Code wvp539 verlängert sich der Testzeitraum von 14 Tagen sogar auf 90 Tage. Im Haushalt läuft das auf allen iDevices, Mac und PC.
Jeder der eine Fritzbox (oder auch andere Router mit entsprechenden Funktionen) zuhause nutzt, sollte einen VPN-Zugabg einrichten und seinen Traffic mithilfe des Fernwartungstools routen.
Ich war vor kurzem im Urlaub und habe dort in freien Netzen nur via VPN gesurft. Der Traffic lief dann immer über meinen Anschluss zuhause.
Abgesehen davon kann man auch noch mit seinem eigenen Telefonanschluss im Ausland telefonieren, wenn man ein entsprechendes VoIP-Gerät eingerichtet hat ;)
Ich danke euch für diesen Tip und all dem Stress denn ich so nun in den letzten Stunden hatte. Top… Man hat ja auch sonst nichts zu tun. Account gesperrt, weil bei Apple einiges nicht funktionierte. So könnte man beispielsweise keine beantworteten Sicherheitsfragen absenden. Egal von welchem Gerät ich es versuchte. Das führte dann natürlich zu einer Sperrung der Apple ID. Super !
Heute ging es dann wieder und ich konnte zumindest den Account reaktivieren. Aber hey… Die 2 Stufen-Anmeldung kann ich trotzdem noch nicht nutzen, da Apple so große Änderungen auf einmal am Account nicht zulässt. Also alles für die Katz.
Da wundert sich einer war Leute diese Anmeldung noch nicht nutzen -_-‚
Ich lasse es auch, weil ich brauch keine heulende Freundin, die nicht an ihre e-Mails kommt, die beruflich genutzt werden, mehr.
Es gibt doch diesen MEGA ZURÜCKSETZ SCHLÜSSEL oder WIEDERHERSTELLUNGSSCHLÜSSEL den man mal ausdrucken konnte und eingeben kann, wenn alles nix mehr hilft. Musste jder machen der auf iCloud wechselte. Kann man mit dem sein Gerät nicht wieder herstellen, falls der Account mal gehackt und verschlüsselt wurde?
Ist bei mir zuhause abgeheftet, für den Fall der Fälle.