Jeder Apple-Nutzer kennt sie bereits: Die nervige iTunes-Aufforderung «Sign In to iTunes Store» (dt. Melde dich beim iTunes-Store an). Ohne zu zögern geht man der Aufforderung nach – und tappt somit vielleicht direkt in eine Phishing-Falle.
Denn wie der Software-Entwickler Felix Krause auf seinem Tech-Portal berichtet, eignen sich die Fenster perfekt dafür, um Passwörter von Nutzern zu klauen. So hat er im Selbstversuch ein identisches Pop-up-Fenster erstellt. Eine Hürde sei zwar die Sicherheitsprüfung von Apple. Doch professionelle Entwickler könnten solch ein Pop-up auch nachträglich hineinschmuggeln. Eines, das sich erst nach der Zulassung im App-Store aktiviert.
Attacke mit Home Button bekämpfen
Mit einem ganz einfachen Trick kann man aber erkennen, ob es sich um eine Phishing-Attacke handelt. Drückt man den Home Button und schliesst sich dann die App inklusive Dialog, war es eine Attacke. Bleiben dagegen die App und das Pop-up-Fenster beim Drücken des Home Buttons geöffnet, handelt es sich um keinen Betrugsversuch.
User sollten daher ihr Passwort nie direkt ins Fensterchen eingeben, sondern dieses sofort über den Home Button schliessen. Zudem reicht es nicht, nur auf «cancel» zu drücken. Tut man das – oder gibt man nur einen Buchstaben ein – haben die Betrüger das Passwort wahrscheinlich bereits geklaut.
Damit aber nichts schiefläuft, rät Krause, das Kennwort für die Apple-ID in Zukunft über die Einstellungen einzugeben.