iPhone per iCloud von Erpressern gesperrt: Was Sie tun können

Kriminelle versuchen, iPhone-Nutzer per Fernsperrung zur Zahlung eines Lösegeldes zu bringen. Der Angriff funktioniert selbst bei aktivem Zwei-Faktor-Schutz. Mac & i zeigt, wie Sie die Kontrolle über das iPhone zurückerhalten – ohne zu bezahlen.

Erneut setzen Kriminelle auf Apples Fernsperr- und Ortungsfunktion “Mein iPhone suchen”, um Nutzer zu erpressen: Sie sperren iPhone, iPad oder iPod touch und wollen den Zugriff erst nach Zahlung eines Lösegeldes wieder freigeben. Als Kontaktadresse wird dabei in einer Nachricht auf dem iPhone gewöhnlich eine E-Mail-Adresse angezeigt, die suggeriert, eine Support-Kontaktadresse des Herstellers zu sein, etwa apple.help@xxx.com, apple.device@xxx.com oder auch apprestore05@xxx.com. Auch Nutzer in Deutschland sind von derartigen Angriffen betroffen, wie Leser berichten.

Für Nutzer, die die Fernsperrfunktion noch nie in Aktion gesehen haben, ist der Angriff besonders erschreckend: Das iPhone zeigt nur noch einen geänderten Lockscreen mit der Nachricht der Erpresser. Bei aktiver Nutzung des iPhones wird man plötzlich ausgesperrt. Der Angriff setzt voraus, dass “Mein iPhone suchen” aktiv ist – das ist allerdings standardmäßig der Fall, wenn man sich mit einer Apple-ID bei der Einrichtung des Gerätes anmeldet. Der Erpresser muss zudem in Besitz von Benutzername und Passwort des Nutzers sein, um die Fernsperrung über iCloud auslösen zu können.

Zwei-Faktor-Schutz verhindert iCloud-Fernsperre nicht

Apples Zwei-Faktor-Authentifizierung (oder ältere zweistufige Bestätigung) schützen nicht vor dem Angriff: Das Fernsperren von Geräten ist auch ohne Eingabe des Autorisierungs-Codes möglich, um einem Nutzer im Falle eines Diebstahls oder Verlustes weiterhin die Fernortung und Sperrung von einem anderen Gerät aus zu ermöglichen, schließlich ist der zweite Faktor – das iPhone – nicht mehr im Besitz.

Wenn der Angreifer sich bei iCloud.com einloggt, erhalten Sie immerhin einen Warnhinweis: Die Meldung lautet „Apple-ID-Anmeldung angefordert“ und zeigt Ihre Apple-ID respektive E-Mail-Adresse sowie eine Kartenansicht, die den groben Standort der Anfrage wiedergibt – diese kommt laut Nutzerberichten oft aus Russland. Selbst wenn Sie den Hinweis sehen und den Zugriff „nicht erlauben“, kann der Angreifer das Gerät dennoch sperren.

Wie Sie wieder Kontrolle über iPhone und Apple-ID erhalten

Haben Sie längst eine eigene PIN für Ihr iPhone gesetzt, können Sie das Gerät trotz Fernsperre problemlos damit öffnen. Sie benötigen die PIN für die Code-Sperre, diese funktioniert unabhängig von einer SIM-PIN, die möglicherweise zusätzlich zum Einsatz kommt.

Drücken Sie auf dem neuen Sperrbildschirm mit dem vollflächigen Hinweis “iPhone verloren” (und dem darunter erscheinenden Text des Angreifers) einfach den Home-Button und geben dann Ihren Code ein – iPhone oder iPad sollten sich wie gewohnt entsperren. Öffnen Sie anschließend die iOS-Einstellungen und tippen ganz oben auf Ihren Namen, dies führt zu den Apple-ID-Einstellungen. Wenn Sie dort nun „Passwort & Sicherheit“ auswählen, können Sie Ihr „Passwort ändern“, dafür müssen Sie nochmals Ihren Geräte-Code eingeben – also die vier oder sechsstellige PIN (oder ein alphanumerisches Passwort, falls gesetzt). Der Angreifer wird damit ausgesperrt.

Falls Sie dasselbe Passwort für unterschiedliche Dienste verwenden, ändern Sie dieses unbedingt auch bei den anderen Anbietern – und verwenden Sie künftig für jeden Dienst unbedingt ein anderes Passwort.

Nutzern ohne aktive Code-Sperre droht Datenverlust

Haben Sie jedoch keine PIN für die Code-Sperre gesetzt, können die Erpresser einen eigenen sechsstelligen Code eintragen, der das iPhone oder iPad sperrt. Sie haben dann tatsächlich keinen Zugriff mehr. Das Einloggen bei “Mein iPhone suchen” (entweder auf iCloud.com oder über ein anderes Gerät mit der App „Mein iPhone suchen“) ermöglicht Ihnen zwar, den vom Erpresser gesetzten Verloren-Modus wieder zu beenden, Ihr iPhone bleibt aber mit dem neuen Code gesperrt!

Loggen Sie sich von einem anderen Gerät aus bei iCloud.com ein, öffnen dort die „iPhone-Suche“ und deaktivieren Sie den Verloren-Modus – dies entsperrt das Gerät allerdings nicht.

In diesem Modus erhalten Sie übrigens auf diesem Gerät keinen Autorisierungs-Code mehr für einen durch Apples Zwei-Faktor-Schutz abgesicherten Account. Tippen Sie beim Einloggen auf appleid.apple.com oder icloud.com deshalb auf „Keinen Bestätigungscode erhalten“ und lassen diesen dann als Textnachricht zustellen, die das iPhone allerdings ebenfalls nicht empfangen kann. Anschließend steht dann aber ein automatisierter „Anruf“ zur Wahl – dieser kommt auch im weiterhin aktiven Verloren-Modus durch. Hier wird Ihnen der erforderliche Code mündlich mitgeteilt, den Sie nun eingeben können, um auf die Account-Einstellungen zuzugreifen und das Passwort zu ändern. Hierfür müssen Sie erst Ihr altes und dann zweimal ein neues Passwort eingeben. Dafür gilt es, Apples übliche Vorgaben zu beachten.

Wiederherstellung des iPhones nur durch DFU-Modus möglich

Um das weiterhin gesperrte iPhone oder iPad wieder nutzen zu können, müssen Sie dieses wiederherstellen – und zwar von Grund auf. Wenn Sie kein aktuelles Backup haben, gehen dadurch möglicherweise Daten verloren. iTunes (auf Windows-PC oder Mac) kann das iPhone auch nicht einfach so wiederherstellen, weil es gesperrt ist und Sie den Code nicht kennen, selbst der von Apple beschriebene Wartungszustand hilft nicht weiter.

Stattdessen müssen Sie das Gerät in den sogenannten DFU-Modus versetzen: Schließen Sie es dafür an den Computer an, öffnen iTunes frisch und halten anschließend Standby- und Home-Taste gleichzeitig für genau acht Sekunden gedrückt. Lassen Sie nach Ablauf der acht Sekunden die Standby-Taste los, halten den Home-Button aber weiter gedrückt, bis iTunes einen Hinweis anzeigt, ein iPhone im Wiederherstellungsmodus wurde entdeckt. Das Display des iPhones muss zu diesem Zeitpunkt komplett schwarz sein. Sollte dort stattdessen das iTunes-Logo erscheinen und ein Lightning-Kabel, dann sind sie im Wartungszustand, der die Wiederherstellung aus dem Verloren-Modus allerdings nicht erlaubt.

Wenn Sie Ihr iPhone erfolgreich wiederhergestellt haben, benötigen Sie Ihre Apple-ID, um die Aktivierungssperre aufzuheben. Geben Sie den Benutzernamen und das (gerade geänderte) neue Passwort ein, um das Gerät wieder in Betrieb zu nehmen. Sie können es nun aus einem iCloud-Backup wiederherstellen oder aus einem lokalen iTunes-Backup – falls vorhanden. Bei aktivem Zwei-Faktor-Schutz benötigen Sie dafür den Autorisierungs-Code: Dieser muss wieder per SMS-Textnachricht oder Sprachanruf übermittelt werden, wenn Sie kein weiteres autorisiertes iOS-Gerät (oder Mac) besitzen, um den Code zu empfangen.

Wie Sie sich vor der iCloud-Fernsperre schützen

Der wichtigste Schutz für iPhone und iPad: Richten Sie unbedingt einen Code ein, falls nicht schon längst geschehen. Während laut Apple rund neun von zehn Nutzern bei Touch-ID-Geräten die essentielle Schutzfunktion aktivieren, dürfte auf älteren Geräten so mancher auf den Code verzichten. Besonders bei einem iPad, das meist zu Hause auf dem Couch-Tisch liegt, bietet sich an, die Codesperre aus Bequemlichkeit abzuschalten oder gar nicht erst zu aktivieren. Ein Angreifer kann dann allerdings wie schon beschrieben einen eigenen Code setzen und den Nutzer damit wirklich aussperren. Wer kein aktuelles Backup hat, verliert unter Umständen Daten.

Generell ist ein aktuelles Backup von Vorteil, nur dann lässt sich das iPhone wieder einfach frisch ohne Datenverlust aufsetzen, selbst wenn die Angreifer die Kontrolle über das Gerät zwischenzeitlich erlangt hatten.

Auch wenn es gegen diesen speziellen Angriff nur bedingt schützt: Aktivieren Sie unbedingt Apples Zwei-Faktor-Authentifizierung, falls nicht schon längst geschehen. Andere wichtige iCloud-Daten kann ein Angreifer dann nämlich nicht mehr einsehen, selbst wenn dieser Ihr Passwort kennt.