Abo
  • Services:
Anzeige
One-Click-Betrug gegen iOS-Nutzer auf einer japanischen Seite
One-Click-Betrug gegen iOS-Nutzer auf einer japanischen Seite (Bild: Symantec)

One-Click-Fraud: Social Engineering mit dem iOS Developer Enterprise Program

One-Click-Betrug gegen iOS-Nutzer auf einer japanischen Seite
One-Click-Betrug gegen iOS-Nutzer auf einer japanischen Seite (Bild: Symantec)

In Japan gibt es derzeit Versuche, iOS-Nutzer anzugreifen. Eine Sicherheitslücke ist nicht betroffen. Die Angreifer setzen stattdessen auf ein Unternehmensangebot von Apple und auf Nutzereingaben. Erfolg hat die One-Click-Fraud-Kampagne allenfalls bei naiven Nutzern.

Symantec berichtet von einem Angriff auf japanische Nutzer mit Hilfe signierter Apps. Diese Apps lassen sich, so sieht es iOS vor, auch außerhalb des App Stores vertreiben. Auch wir haben schon Apps ohne App Store installiert. Diese Funktion ist vor allem für Unternehmenskunden gedacht. Die wollen ihre Anwendungen nicht unbedingt für alle öffentlich im App Store verteilen. Stattdessen wird die App beispielsweise über das Intranet verteilt.

Anzeige

Die Angreifer machen sich diese Funktion nun zunutze, um über Werbeseiten oder auch übernommene Webseiten solche Apps zu verteilen. Diese One-Click-Fraud-Kampagne setzt dabei darauf, den Nutzer zu einem Click zu verleiten, um die Anwendung zu installieren. Laut Symantec ist nicht klar, ob die Angreifer selbst Teil des Enterprise Developer Programs sind, mit dem das möglich ist, oder sie schlicht einen Inhaber angegriffen haben.

Apples iOS fragt den Nutzer mehrfach ab

Die Angreifer setzen auf die Naivität der Nutzer. Ihnen kommt vermutlich der Umstand entgegen, dass sich iOS-Nutzer vergleichsweise sicher fühlen und damit ein geringeres Gefahrenbewusstsein haben. Dass der Angriff überhaupt funktioniert, verwundert dennoch. Bei den Angriffsseiten blendet sich ein Dialog ein, der noch einmal nachfragt, ob die App wirklich installiert werden soll.

Selbst nach der Installation ist es immer noch nicht möglich, die App zu starten. Apples iOS warnt noch einmal davor. Dieses Mal beschwert sich das Betriebssystem über die nichtvertrauenswürdige Software. Es fehlt nämlich das Unternehmenszertifikat, dem zunächst das Vertrauen ausgesprochen werden muss. In Firmen ein üblicher Vorgang.

Nach dem Start behauptet die Software irgendwann, dass der Nutzer ein Abo abgeschlossen hat und fordert diesen zur Zahlung auf. Auch das ist reines Social Engineering der Schadsoftware und kein Ausnutzen von Softwarefehlern.

Trotz der ganzen Hürden scheint sich die Verteilung so weit zu lohnen, dass die Schadsoftware-App einen Kampagnenstatus erreicht hat. Es gibt damit genug Anwender, die darauf hereinfallen.

Rechtsmanagement kann helfen

Das Vorgehen der Angreifer ist damit vergleichbar mit dem, was unter Windows lange verbreitet wird. Ein Großteil der Schadsoftware nutzt auch unter Windows keine Sicherheitslücken mehr aus, sondern nutzt mehr oder weniger gutes Social Engineering. Gegen Social Engineering können sich Unternehmen mit entsprechendem Rechtemanagement noch halbwegs schützen. Der Endanwender kennt aber häufig nicht einmal die Unterscheidung zwischen Standard- und Administrationsrechten.

Ein derartiges Rechtemanagement gibt es für Endanwender unter iOS ohnehin nicht, von den setzbaren Einschränkungen einmal abgesehen. Diese sind aber durchaus nützlich. Bestimmte Aufgaben, die ein Anwender sehr selten macht, sollten über die Restriktionen in iOS abgeschaltet werden. Wer beispielsweise selten Apps den Zugang zum Mikrofon gibt, der kann dies von Anfang an komplett unterbinden und nur bei Bedarf freischalten, auch wenn die Bedienung hakelig ist.

So lässt sich das auch grundsätzlich mit der Installation von Apps handhaben. Doch das dürfte bei den wenigsten Anwendern praxisnah sein.

Ob sich hierbei ein Trend entwickelt, iOS-Anwender mit Enterprise-Apps anzugreifen, lässt sich noch nicht sagen. Stellt sich ein gewisser Erfolg ein, ist mit Nachahmern zu rechnen.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. Zühlke Engineering GmbH, München, Stuttgart, Hannover
  2. BIOTRONIK SE, Berlin
  3. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  4. adesso AG, verschiedene Standorte in Deutschland, Istanbul (Türkei)


Anzeige
Blu-ray-Angebote
  1. (u. a. Der Marsianer, The Hateful 8, Interstellar, Django Unchained, London Has Fallen, Olympus Has...
  2. (u. a. Der Hobbit 3 für 9,99€ u. Predator für 12,49€)
  3. (u. a. Die Goonies, John Mick, Auf der Flucht, Last Man Standing)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Apple

    iOS 10.3 sucht nach verlorenen Airpods

  2. Beta 1

    MacOS Sierra 10.12.4 mit Blaulichtfilter als Nachtmodus

  3. Spielebranche

    Goodgame Studios entlässt weitere 200 Mitarbeiter

  4. Project Scorpio

    Neue Xbox ohne ESRAM, aber mit Checkerboard

  5. DirectX 12

    Microsoft legt Shader-Compiler offen

  6. 3G-Abschaltung

    Telekom-Mobilfunkverträge nennen UMTS-Ende

  7. For Honor

    PC-Systemanforderungen für Schwertkämpfer

  8. Innogy

    Telekom will auch FTTH anmieten

  9. Tissue Engineering

    3D-Drucker produziert Haut

  10. IBM-Übernahme

    Agile 3 bringt Datenübersicht in die Chefetage



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Donald Trump: Ein unsicherer Deal für die IT-Branche
Donald Trump
Ein unsicherer Deal für die IT-Branche
  1. Potus Donald Trump übernimmt präsidiales Twitter-Konto
  2. USA Amazon will 100.000 neue Vollzeitstellen schaffen
  3. Trump auf Pressekonferenz "Die USA werden von jedem gehackt"

Begnadigung: Danke, Chelsea Manning!
Begnadigung
Danke, Chelsea Manning!
  1. Die Woche im Video B/ow the Wh:st/e!
  2. Verwirrung Assange will nicht in die USA - oder doch?
  3. Whistleblowerin Obama begnadigt Chelsea Manning

Mi Mix im Test: Xiaomis randlose Innovation mit kleinen Makeln
Mi Mix im Test
Xiaomis randlose Innovation mit kleinen Makeln
  1. Smartphone-Hersteller Hugo Barra verlässt Xiaomi
  2. Xiaomi Mi Note 2 im Test Ein Smartphone mit Ecken ohne Kanten

  1. Re: Hahahahah ... jetzt kommt die Ernüchterung...

    nf1n1ty | 00:30

  2. Re: Unverständlich

    Thegod | 00:24

  3. Re: Also im Grunde genau so gut wie die PS4 Pro?

    Thegod | 00:22

  4. Re: Gab es das nicht als App?

    Keksmonster226 | 00:20

  5. Clickbait Artikel der den Sinn der Quelle nicht...

    Thegod | 00:20


  1. 22:59

  2. 22:16

  3. 18:21

  4. 18:16

  5. 17:44

  6. 17:29

  7. 16:57

  8. 16:53


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel