iPhone PIN Abgriff als neue Abräum Masche.

[dg2rbf]

Hi,
Das ist besser als nix.
LG Franz

 

[Kutzi]

Jetzt bloß nicht den Bildschirmzeitcode vergessen

 

[oktagon]

... Das Apple-Passwort aus dem Schlüsselbund ...

Meinst Du das Passwort zu Deiner Apple-ID? Hattest Du das im Schlüsselbund?

 

[ekki161]

Bildschirmzeitcode vergessen

Oder 'ausspionieren' lassen.

 

[TomIpad]

Meinst Du das Passwort zu Deiner Apple-ID? Hattest Du das im Schlüsselbund?

Ja, Fehler kommen vor ... und ich dachte schon warum schaut mich keine mehr an, dabei ist es das iPhone und der Code.

 

[tbo]

Denk an Apple Pay - die Kriminellen haben damit bezahlt. Was irgendeine Bankingapp verlangt ist dann egal, sehr viele User wie auch ich haben zusätzlich zur Bankingapp auch die Kreditkarte mit Apple Pay im Einsatz.

Im Zweifel wird es hier wie bei einer gestohlenden Kreditkarte sein, man muss sie schnell sperren lassen und die bezahlungen reklamieren.

 

[FelixMacintosh]

@rene12 kannst du dir sparen, da ja als allererstes (Stand jetzt) das Passwort geändert wird. Genau das ist ja auch das Problem. Eben dass das AppleID PW geändert werden kann, wenn man nur den Emtsperrcode des iPhones kennt.

Ich denke, dass das von Apple zeitnah geändert wird, denn Joana Stern ist halt auch nicht irgendwer und hat schon einen gewissen Einfluss.

Ich denke nicht das Apple da viel machen kann. Oder etwas ändern wird. Der Problematik sind sie sich sicher bewusst. Der nicht kalkulierbare Faktor ist halt der Diebstahl. Da kann Apple nix machen. Sie könnten vielleicht eine zeitliche Limitierung bei Änderung von FaceID einführen. Was aber auch wieder zu der Problematik führt das wenn du wirklich betroffen währest in deiner Handlungsfreiheit beschränkt bist. Ist halt eine Zwickmühle.

 

[Kutzi]

Wie ist es denn bei Android? Ich wüsste jetzt keinen Weg wie man diese Sache verhindern soll. Irgendeinen Weg muss es ja geben um das Passwort zurückzusetzen. Das einzige sichere wäre vielleicht Briefe durch die Gegend zu schicken, wie es meine Bank macht wenn man sich aus der TAN-App ausgesperrt hat.

 

[ekki161]

Wie ist es denn bei Android?

Kommt ein wenig auf die Version an.

Diese Woche mit einem Motorola Android 10 -meine ich- via Passwort vergessen auf dem entsperrten Grät konnte ich sofort ein neues Passwort zum Google-Account festlegen, da das Smartphone ja 'vertrauenswürdig' war.

Auf einem Pixel 5 und aktuellem Android via Passwort vergessen / andere Methode / Link zum Zurücksetzen/Ändern des PW wird an die Mailadresse geschickt - nach 6 Stunden! = Schlechter für den Dieb.

Das Opfer hätte da also zumindest mehr Zeit zum Schützen seiner ID.

 

[And0411]

Das hat nichts mit dem "Aluhut" zu tun, sondern mit Sicherheitsbewusstsein & Lebenserfahrung, wird aber als Konter-Argument in solchen Gemengelagen gerne verwendet.

Aus beruflichen Gründen weiß ich, wie sorglos viele Menschen sind, dabei geht es nicht um die Nutzung des Smartphones für Bankgeschäfte. Das sind gerade die älteren Menschen, ein Highlight im letzten Jahr war, als ein Paar um die 70 um 2500 € erleichtert wurde, sie wurden am Geldautomaten ausgespäht und waren dann leichte Opfer. Die Begründung, warum sie soviel Bargeld auf einmal abholen, war der Hammer: Wir holen immer unser ganzes Geld am Monatsanfang ab, EC-Karten sind nicht sicher und online Banking sowieso nicht. Die Leute, die die Pin auf einem Zettel an der Karte haben, gibt es auch noch, an denen ist es vorbei gegangen, dass man die PIN frei wählen kann, ein wichtiges Geburtsdatum kann sich jeder merken.
Früher wurden die Leute nur beklaut und direkt an der Haustür betrogen, die Formen der Kriminalität haben sich geändert, sie gehen mit der technischen Entwicklung. Viele dieser Taten ließen sich mit Um- und Vorsicht leicht verhindern und so ist es auch mit dieser neuen Masche.

 

[518iT]

Zu Apple Pay: für Besitzer einer Smartwatch wäre es eine gute Idee, die Kreditkarte auf dem Telefon zu löschen

 

[tbo]

Ich würde es ja begrüßen, wenn Apple bei Passwort-Änderungen noch einen zweiten optionalen Faktor einbauen würde. Eine E-Mail-Adresse die nicht auf dem iPhone abrufbar ist oder ein Security Key oder eine Bestätigung auf einem anderen Gerät. Nicht unüberwindbare Hürden für einen Dieb aber doch Hürden.

 

[ekki161]

Eine E-Mail-Adresse die nicht auf dem iPhone abrufbar ist

Wie sollte das gelöst werden?

Zeitversatz von einigen Stunden wäre schon ganz gut, allerdings nicht für die Fälle, wo ich meine Zugangsdaten selbst verschludert habe und schnellstmöglich wieder an meine Accountdaten möchte.

 

[tbo]

Wie sollte das gelöst werden?

Zeitversatz von einigen Stunden wäre schon ganz gut, allerdings nicht für die Fälle, wo ich meine Zugangsdaten selbst verschludert habe und schnellstmöglich wieder an meine Accountdaten möchte.

Ich sachte doch, eine dritte E-Mail-Adresse, diese könnte dann nur an einem anderen Gerät abgerufen werden, besser natürlich ein Security Key.

 

[Biphant]

@FelixMacintosh ich habe die Originalquellen gelesen (also das WSJ mit dem
...
Bei dieser beschriebenen Methode, müsste man das iPhone also schneller löschen, als die Diebe die AppleID Kapern. Da das innerhalb einer Minute geschehen kann, ist es eben bei dieser Art von Diebstahl fast ausgeschlossen, sein iPhone zu löschen.

Du sagst Kapern der AppleID geht innerhalb von einer Minute. Es geht sogar noch schneller. Er braucht dafür keine 5 Sekunden:

Situation X: Dieb klaut iPhone mit Entsperrcode und macht folgende Schritte:
1. Flugmodus ein
2. "Wo ist" aus
3. Appleid PW ändern
4. Wiederherstellungsschlüssel entfernen, anschließend setzt er einen eigenen, damit Apple nicht mehr beim Resetten des PWs unterstützen kann.

Wenn keine weiteren Vorsichtsmaßnahmen getroffen, kann der Dieb dann 1. den Flugmodus einschalten und seelenruhig 2-4 durchführen.
Et voilà, iPhone und Apple-Account wurden vollständig gekapert.

2-4 kann ich im Fall von X verhindern, wenn ich einen Bildschirmzeit-Code einrichte und Änderungen an Accounts und Codes verbiete.
Das hat den Riesenvorteil, dass mein Account nicht übernommen werden kann, das iPhone ist dann aber trotzdem weg.

1 kann ich nicht verhindern, was immer noch ärgerlich ist. So könnte der Dieb das Handy irgendwo nach Brasilien in den Urwald schmuggeln und da in Ruhe das iPhone resetten, aber immerhin sind meine Daten dann nicht gestohlen worden.

 

[Killerkaninchen]

2-4 kann ich im Fall von X verhindern, wenn ich einen Bildschirmzeit-Code einrichte und Änderungen an Accounts und Codes verbiete.

Hey @Biphant,

danke für den Tipp -- leider kenne ich mich mit Bildschirmzeit gar nicht aus.
Wie kann ich diese Funktion so einstellen, dass Änderungen an Accounts und Codes verboten werden?

Lieben Gruß
Killerkaninchen

 

[ekki161]

eine dritte E-Mail-Adresse, diese könnte dann nur an einem anderen Gerät abgerufen werden,

Und wie genau soll das umgesetzt werden? Wer 'verhindert', dass dieser Mailaccount nicht doch auf dem gestohlenen iPhone/iPad eingerichtet wurde?

 

[Biphant]

Hey @Biphant,

danke für den Tipp -- leider kenne ich mich mit Bildschirmzeit gar nicht aus.
Wie kann ich diese Funktion so einstellen, dass Änderungen an Accounts und Codes verboten werden?

Lieben Gruß
Killerkaninchen

Hi @Killerkaninchen , ich habe Dir hier mal den Kommentar für das das Vorgehen eines Heise-Nutzers verlinkt:
https://www.heise.de/forum/heise-online/Kommentare/Nur-mit-iPhone-PIN-Diebe-raeumen-Apple-ID-und-Bankkonten-ab/Tipp-Aenderung-der-Apple-ID-laesst-sich-durch-Bildschirmzeit-sperren/posting-42341836/show/

 

[SirVikon]

Du sagst Kapern der AppleID geht innerhalb von einer Minute. Es geht sogar noch schneller. Er braucht dafür keine 5 Sekunden:

Situation X: Dieb klaut iPhone mit Entsperrcode und macht folgende Schritte:
1. Flugmodus ein
2. "Wo ist" aus
3. Appleid PW ändern
4. Wiederherstellungsschlüssel entfernen, anschließend setzt er einen eigenen, damit Apple nicht mehr beim Resetten des PWs unterstützen kann.

Wenn keine weiteren Vorsichtsmaßnahmen getroffen, kann der Dieb dann 1. den Flugmodus einschalten und seelenruhig 2-4 durchführen.
Et voilà, iPhone und Apple-Account wurden vollständig gekapert.

2-4 kann ich im Fall von X verhindern, wenn ich einen Bildschirmzeit-Code einrichte und Änderungen an Accounts und Codes verbiete.
Das hat den Riesenvorteil, dass mein Account nicht übernommen werden kann, das iPhone ist dann aber trotzdem weg.

1 kann ich nicht verhindern, was immer noch ärgerlich ist. So könnte der Dieb das Handy irgendwo nach Brasilien in den Urwald schmuggeln und da in Ruhe das iPhone resetten, aber immerhin sind meine Daten dann nicht gestohlen worden.

Also wenn du Schritte 1 bis 4 in 5 Sekunden schaffst, dann herzlichen Glückwunsch, Flash

Genau das meine ich mit einer Minute.

 

[Biphant]

Also wenn du Schritte 1 bis 4 in 5 Sekunden schaffst, dann herzlichen Glückwunsch, Flash

Genau das meine ich mit einer Minute.

Du brauchst nur 1 in 5 Sekunden schaffen, danach kannst Du Dir für 2-4 mehr Zeit nehmen.