Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Online-Kunden des Apple Stores betrogen: Kriminelle entführen Apple-Produkte

Sicherheitsforschern stießen jetzt auf eine bisher ungewöhnliche Trickserei findiger Betrüger. Auf Phishing-Webseiten abgegriffene Daten dienten den Kriminellen über Monate hinweg dazu, Apple-Produkte über gefälschte Second-Hand-Plattformen anzubieten, um an Kreditkarteninformationen zu gelangen. Die aufgegebenen Bestellungen wandelte die Betrüger über den Apple Store in tatsächliche Buchungen um und verliehen dem Vorgang somit eine gewisse Glaubwürdigkeit. Im Hintergrund allerdings sammelten die Diebe die Kartendaten.


Abholung im Apple Store erweckt den Anschein von Seriosität
Im Rahmen der diesjährigen „Blackhat Asia“ stellten die Fachleute die bis dato wenig erforschte Betrugsmasche vor. Insgesamt habe man tausendfach Phishing-Domains inspiziert, deren Ziel es war, Kunden beliebter Second-Hand-Marktplätze auszutricksen. Dabei gingen die Täter raffiniert vor. Neben den Kreditkartendaten erfasste man die notwendigen persönlichen Daten, mit deren Hilfe sich ein Bestellprozess „entführen“ ließ. Die Angreifer nutzten die im Online-Store aus Cupertino angebotene Methode „Eine andere Person wird diese Artikel abholen“.

Gefälschten Handelsplattformen dienten als Tarnung, vorhandene Eingabefelder lieferten die eingegebenen Daten direkt an die kriminelle Bande. Die Bestellung wurde dann interessanterweise mit den Daten des Kunden bei Apple platziert. Ebenso die Ware konnte dieser dann mit dem übermittelten QR-Code im Anschluss in einem Apple Store seiner Wahl vor Ort abholen. Der Betrag war natürlich nicht vor Ort zu entrichten, sondern durfte bequem im Nachhinein an die Betrüger gezahlt werden. Diese hatten sich für den Kauf bereits anderweitig erbeutete Kreditkartendaten zunutze gemacht.


Augen auf beim Online-Kauf
In dem von den Sicherheitsspezialisten unter dem Namen „Operation PoisonedApple“ veröffentlichten Dokument sind die verschiedenen Methoden ausführlich erläutert und mit anschaulichem Bildmaterial hinterlegt. Hierin ist zudem von einer anhaltenden Bedrohung die Rede, wobei die Ziele und das Vorgehen der Angreifer durchaus weiter variieren können. Die Attacken bewegten sich zwar hauptsächlich um den Großraum Japan, jedoch sei nicht auszuschließen, dass es ähnliche Varianten ebenfalls bis in unsere Gefilde geschafft haben – die Sicherheitslage sei bis dato unverändert. Mit den abgegriffenen Daten komme es neben dem klassischen Fall des Kreditkartenbetrugs des Öfteren ebenso zu auffälligen Reklamationen von Apple-Waren.
Eskalationskurs: ARM kündigt Qualcomm die Design-Lizenz
Eskalationskurs: ARM kündigt Qualcomm die Desig...
AirPods Pro als Hörgerät: Sorge bei etablierten Herstellern, Aktienkurse reagieren
AirPods Pro als Hörgerät: Sorge bei etablierten...
Kuo: Release der Apple Watch Ultra 3 und SE 3 im nächsten Jahr
Kuo: Release der Apple Watch Ultra 3 und SE 3 i...
Apple TV+: Strategiewechsel?
Apple TV+: Strategiewechsel?
watchOS 11: Apple trennt sich von vier Zifferblättern
watchOS 11: Apple trennt sich von vier Zifferbl...
Kurz: 5G-Netze noch mit sehr wenigen Nutzern +++ Apple Pencil als TV-Antenne (Patent)
Kurz: 5G-Netze noch mit sehr wenigen Nutzern ++...
M4-Benchmarks: Deutliche Leistungssteigerung im Vergleich zum M3
M4-Benchmarks: Deutliche Leistungssteigerung im...
Musikbranche verklagt KI-Anbieter
Musikbranche verklagt KI-Anbieter

Kommentare

beanchen24.04.24 11:53
Ich hab den Artikel jetzt mehrmal gelesen und verstehe kein Wort.

Über beliebte Handelsplattformen, die aber doch gefälscht sind, werden Kreditkartendaten erbeutet, die die Gauner aber gar nicht brauchen, weil sie sich die schon woanders besorgt haben ...!?

Hä?
Unterwegs in Analogistan: https://www.zdf.de/comedy/heute-show/heute-show-spezial-vom-19-januar-2024-100.html
+12
Zerojojo24.04.24 12:31
Ich versteh es auch nicht. Geht es den Betrügern nur um die Kreditkartendaten? Warum wären sie dann so nett und geben wirklich eine Bestellung für dich bei Apple ab? Damit man kein Misstrauen schürt und nicht prüft, ob die Kreditkarte von dritter Hand ausgelastet wird?
+7
beanchen24.04.24 12:38
Zerojojo
Damit man kein Misstrauen schürt und nicht prüft, ob die Kreditkarte von dritter Hand ausgelastet wird?
So wie ich es lese zahlt der Besteller doch aber gar nicht mit seiner Kreditkarte, sondern im Nachgang.

Der Text ist einfach nur wirr. Wenn ich es nicht besser wüsste, könnte man beim lesen glauben selbst auf einer Phishing-Seite gelandet zu sein und nicht bei MTN ...
Unterwegs in Analogistan: https://www.zdf.de/comedy/heute-show/heute-show-spezial-vom-19-januar-2024-100.html
+7
Markim
Markim24.04.24 13:31
Also ich verstehe auch nicht, wie die Masche funktionieren soll.
+3
caba
caba24.04.24 13:43
Ich verstehe es so:
Irgendwo auf Fake-Seiten werden persönliche und Kreditkartendaten abgegriffen. Mit diesen Daten bestellen die Betrüger dann etwas im Apple Online-Store und geben an, es in einer Filiale abzuholen. Sie holen es ab und der dessen Daten verwendet wurden, bleibt auf den Kosten sitzen, wird ja von seiner Kreditkarte abgebucht.
Die Frage ist nur, wie der Bestohlene davon nichts merken kann. Bei einer Bestellung bekommt man ja eine E-Mail-Bestätigung.
Meinungen sind keine Ideen, Meinungen sind nicht so wichtig wie Ideen, Meinungen sind nur Meinungen. (J. Ive)
0
MacMichael24.04.24 14:41
Der Trick ist, dass die Fake-Seite zunächst mal auch eine Bestellung über Apple ausliefert, die von denen auch bei Apple dann bezahlt wird. Damit erhält der Kunde das bestellte Produkt, nur eben von Apple und nicht von der Fake-Seite. Damit geht der Kunde davon aus, dass alles in Ordnung ist, fordert auch das Geld nicht zurück.

Die Trickser haben aber jetzt die Kreditkartendaten, ohne das der Betrogene das merkt und treiben damit ihr Spiel.

So habe ich das verstanden.
+5
innug24.04.24 15:36
Ich habe es so nicht direkt aus dem Text, könnte mir aber vorstellen, dass es so läuft: die fake-Handelsplatformen (imitieren zB ebay oder Amazon) sammeln einerseits Kreditkartendaten und persönliche Daten, die für Käufe bei Apple nötig wären und andererseits werden darüber auch direkte Zahlungen an die Betrüger vorgenommen. Mit den Kreditkartendaten werden wiederum Bestellungen im original Apple Store online vorgenommen, sowohl für die Opfer der ersten wie auch der zweiten Variante. Somit landen immer mehr Kreditkartendaten oder direkte Zahlungen bei den Betrügern, ohne, dass diese je mit der Ware zu tun hätten. Und die Opfer müssen die Ware zurückgeben, wenn rauskommt, dass sie nicht rechtens bezahlt wurde.
+1
beanchen24.04.24 15:37
@caba
Das wäre ein simpler Kreditkartenbetrug. Passt aber nicht zum Text. Der Kunde zahlt ja gar nicht, auch nicht bei Abholung (ich verstehe da Kunde holt ab). Erst hinterher überweist er das Geld an den Betrüger.

@MacMichael
Also so eine Art Schneeballsystem, mit den Daten wird dann der nächste Betrug veranstaltet?
Unterwegs in Analogistan: https://www.zdf.de/comedy/heute-show/heute-show-spezial-vom-19-januar-2024-100.html
0
beanchen24.04.24 15:40
@innug
Wenn dem so ist, würde das eine extreme Schwachstelle bei Kreditkartenzahlungen bei Apple aufdecken. Die Ware wird mit geklauten Kreditkartendaten bezahlt und bis zur Abholung im Store fällt das keinem auf?
Unterwegs in Analogistan: https://www.zdf.de/comedy/heute-show/heute-show-spezial-vom-19-januar-2024-100.html
+1
DeepVolt24.04.24 15:41
Ohne die Grafiken im Link ist der Artikel kaum zu verstehen.
Das dort Beschriebene klingt für mich nach einer etwas abgewandelten Form des Dreiecksbetruges nur das hier der Betrüger am Schluss ‚sauberes‘ Geld hat.

Käufer gibt Betrüger Geld für Ware die der Betrüger mit erbeuteten KK-Informationen 3. bezahlt. Käufer bekommt Ware. Betrüger hat Geld. 3. Partei ist Geld los.

Ich vermute mal dem Käufer wird das Apple Device zu einem konkurrenzlos günstigen Preis angeboten, das steht aber nicht genauer da (so im Sinne: ich bekomme Mitarbeiterkonditionen oder so)… aber warum sonst sollte Käufer das Gerät von privat kaufen und geht nicht einfach gleich in den Apple Store.
+3
innug24.04.24 15:51
@beanchen
Das stimmt. So würde ich es mir jedenfalls anhand des Textes zusammenreimen.

Im Grunde entspricht das ja auch dem von DeepVolt beschriebenen Dreiecksbetrug. Nur denke ich, dass sich die 3. Partei über die Bank zumindest das Geld zurückholt was beim weiteren Missbrauch abgeflossen ist und der Käufer die Ware zurückgeben muss, also er in erster Linie sein Geld los ist, abhängig davon, wie bezahlt wurde.
+1
AnTwuan25.04.24 00:31
Erklärung:

Die „Betrüger“ haben es letztendlich nur auf die Kreditkarten Daten abgesehen. Nicht auf das bestellte Apple Produkt. Dieses erhält der Kunde ja am Ende trotzdem.
Ich bestelle also auf der Betrüger Seite ein iPhone 15 und gebe meine Kreditkarten Daten auf der Betrüger Seite an. Name, Anschrift etc. gebe ich auch direkt ein. Somit haben die Betrüger alle meine Daten und bestellen das von mir vermeintlich bestellt Gerät, direkt bei Apple. Ich erhalte eine Benachrichtigung per email und kann das Gerät auch vor Ort abholen. Ich fühle mich sicher.
Aber genau darum ging es den Betrügern nicht. Ich habe ihnen gewartet Geld „überwiesen“, damit bestellen sie jedoch das offizielle Produkt bei Apple.
Der eigentliche betrug fand bereits statt. Sie haben meine Kreditkarten Daten, meinen Namen etc.

So habe ich es verstanden.
-1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.