Die amerikanische Cyber-Abwehrbehörde hat Nutzer von Google-, Microsoft- und Apple-Diensten gewarnt, ihre Konten angesichts der sich weiterentwickelnden Hackertaktiken zu schützen. Um diesen Bedrohungen entgegenzuwirken, empfiehlt die Behörde, Passwörter zu ändern, die SMS-basierte Zwei-Faktor-Authentifizierung abzuschaffen und Passkeys einzuführen. Hacker entwickeln ihre Methoden weiter, um Benutzerkonten ins Visier zu nehmen, indem sie legitime automatisierte Nachrichten von Google, Apple oder Microsoft in ihre Pläne integrieren. Diese Nachrichten, die echt erscheinen, dienen als Täuschungsmethode und verleiten Benutzer dazu, vertrauliche Informationen ohne Verdacht preiszugeben. Apple hat ausdrücklich den Einsatz ausgefeilter Taktiken hervorgehoben, die darauf abzielen, persönliche Daten von Benutzern zu extrahieren. Angreifer nutzen diese Strategien, um Anmeldeinformationen und Sicherheitscodes zu erhalten, die unbefugten Zugriff auf Konten gewähren. Solche Methoden basieren auf psychologischer Manipulation, um Standard-Sicherheitsprotokolle zu umgehen. Vorfälle vom letzten Monat verdeutlichen die Schwere dieser Angriffe. Hacker aktivierten automatisierte Apple-Sicherheitsnachrichten auf den Geräten der Opfer und führten gleichzeitig Telefonanrufe durch. Bei diesen Anrufen gaben sich die Täter als Vertreter des Apple-Supports aus und erweckten so die Illusion der Legitimität, Informationen zu extrahieren. Inhaber eines Google-Kontos sind mit parallelen Risiken konfrontiert. In einer aktuellen Anfrage auf Reddit wurde beschrieben, wie ein Angreifer Sicherheitshinweise direkt an das Telefon eines Benutzers sendete. Der Mechanismus beinhaltet, dass jede Person einen Kontowiederherstellungsprozess für die Ziel-Google-Adresse einleitet, wodurch die automatischen Benachrichtigungen ausgelöst werden. Diese Aufforderungen weisen die Empfänger ausdrücklich an, sie zu ignorieren, es sei denn, der Benutzer selbst hat die Wiederherstellung gestartet. Diese Schutzmaßnahme zielt darauf ab, Ausnutzung zu verhindern, doch Angreifer umgehen sie, indem sie ihre Aktionen genau planen. Im dokumentierten Reddit-Fall spiegelte der Angriff die jüngsten Apple-Vorfälle wider. Eine Person kontaktierte das Opfer telefonisch und behauptete, sie gehöre zum „Sicherheitsteam von Google“, und zwar genau zeitgleich mit dem Eintreffen der automatischen Aufforderung. Durch diese Synchronisierung wurde das Opfer dazu gebracht, den Bestätigungscode aus der Nachricht auszusprechen, was zur vollständigen Kompromittierung seines Kontos führte. Für solche Szenarien gibt Apple klare Hinweise. Benutzer, die einen unaufgeforderten oder verdächtigen Anruf von jemandem erhalten, der vorgibt, von Apple oder dem Apple-Support zu sein, sollten den Anruf sofort beenden und jede weitere Interaktion vermeiden, bei der Anmeldeinformationen oder Codes preisgegeben werden könnten. Google verstärkt dieses Protokoll durch eine eigene Richtlinie. Das Unternehmen betont, dass es niemals Benutzer anruft, um Passwörter zurückzusetzen oder Kontoprobleme zu beheben. Google erklärte: „Bitte weisen Sie Ihre Leser noch einmal darauf hin, dass Google Sie nicht anrufen wird, um Ihr Passwort zurückzusetzen oder Kontoprobleme zu beheben.“ Diese direkte Kommunikation unterstreicht das Engagement des Unternehmens für die Sensibilisierung der Benutzer. Bei unerwarteten Sicherheitsaufforderungen müssen Benutzer deren Herkunft überprüfen, bevor sie antworten. Wenn vom Benutzer kein Kontowiederherstellungsprozess, kein Zurücksetzen des Passworts oder kein Gerätewechsel eingeleitet wurde, müssen diese Aufforderungen vollständig ignoriert werden. Das Klicken auf die damit verbundenen Links birgt das Risiko einer weiteren Gefährdung. Das Teilen von Codes, die in solchen Aufforderungen per E-Mail, SMS oder Telefon eingehen, stellt eine kritische Sicherheitslücke dar. Seriöse Unternehmen fordern diese Informationen nicht über diese Kanäle an. Jeder gleichzeitige Versuch, diese Daten zu erfragen, deutet auf einen laufenden Angriff hin und erfordert die sofortige Einstellung der Maßnahmen zum Schutz des Kontos.
