Gefälschte Apple Rechnung für App Store-Kauf im Umlauf  vom 07.01.2020

Angebliche Bestellbenachrichtigung und Steuerrechnung

© H.J. Henschel, LKA NI

"Neues Jahr - Neues Glück" - so denken wohl auch die Cyberkriminellen grad. Nach einer kurzen Winter-Weihnachtspause versuchen es die Täter erneut bei Apple-Usern mit gefälschten Bestellbestätigungen.
Erst im Oktober kursierte diese Masche und wir warnten hier. Nun werden nahezu gleich aussehende Mails verschickt, die suggerieren sollen, man selbst oder ein Fremder hätte über die Apple-ID etwas eingekauft. Vermutlich erhoffen sich die Täter hier auch Apple-Neulinge, die erst zu Weihnachten ein neues iPhone bekommen haben und somit unerfahren auch versehentlich Käufe getätigt haben könnten.
Hinzugekommen ist jedoch nun der Upload von persönlichen Dokumenten/Selfies (siehe weiter unten).

"Vielen Dank, dass Sie sich für den App Store entschieden haben- Ihre Bestellung wurde aufgegeben." Mit einem minimalistischem Apfel-Logo und keiner Nennung von persönlichen Daten (Namen oder Apple-ID) wollen die Täter so die Aufmerksamkeit auf die angehängte PDF-Datei lenken.

Beispiel-Mail (Inhalte können unterschiedlich sein):

Leitet Herunterladen der Datei ein

Beispiel-PDF (Inhalte und Links sind unterschiedlich und zum Teil bereits nicht mehr erreichbar):

Leitet Herunterladen der Datei ein

Wer dann einen der enthaltenen Links anklickt, landet auf einer gefälschten Webseite im Apple-Design.
Je nach Endgerät wird die endgültige Webadresse mehr oder weniger übersichtlich in der Adressleiste dargestellt. Offensichtlich sollen hier wieder vermehrt mobile Endnutzer angsprochen werden, die dann das eigentliche Ziel nicht ohne genaueres Nachschauen erkennen (siehe rot markierter Adressbereich im übernächsten Bild).

Beispiel Screenshot der gefälschten Webseite über iPhone Browser Safari:

 Leitet Herunterladen der Datei ein

Screenshot der gefälschten Webseite im Browser am PC (die eigentliche Domain ist im Bild in der Adresszeile rot hinterlegt):

Leitet Herunterladen der Datei ein

Im Anschluss erfolgt noch eine kurze Rückfrage die bestätigt werden muss.

Leitet Herunterladen der Datei ein

Wer dann seine Login-Daten eingegeben hat und die beabsichtigte Zahlung durch "Abbrechen jetzt" widerrufen möchte, wird nun um die Eingabe von persönlichen Daten und Zahlungsdaten gebeten.

 Leitet Herunterladen der Datei ein

Im Anschluss soll man mit Kreditkarte in der Hand ein Selfie hochladen. "Nimm Selfie mit Holding Card"

Leitet Herunterladen der Datei einSchließlich erfolgt die Aufforderung zum Hochladen von Ausweisdokumenten (Vorder- und Rückseite) "NEHMEN SIE EIN SELBST MIT":

Leitet Herunterladen der Datei ein

Wer "erfolgreich" seine Daten somit an die Täter übermittelt hat, wir im Anschluss nach einer Erfolgsmeldung auf die echte Webseite von Apple umgeleitet.

Wie soll ich mich verhalten?

Wer bereits auf die Masche hereingefallen ist, sollte sich unverzüglich mit dem Öffnet externen Link in neuem FensterApple-Support in Verbindung setzen bzw. sich auf der echten Öffnet externen Link in neuem FensterApple-ID Webseite einloggen und die Zugangsdaten ändern. Es wird angeraten, zusätzliche Absicherungen (z.B. 2-Faktor-Authentifizierung) einzurichten.

Zudem sollte im Anschluss Anzeige bei der örtlichen Polizeidienststelle erstattet werden.

Durch die Vernetzung der Geräte über die Cloud können Fremde mit der Apple-ID auf Daten und Geräte zugreifen und diese ggf. Fernsperren/Löschen. Auch Erpressungen sind hier denkbar.

Weiterhin sollte unverzüglich das Kreditinstitut oder die Bank benachrichtigt werden, dessen Zahlungsdaten man eingegeben und als Selfie hochgeladen hat. Eine Sperrung der Karte sollte durch die Bank veranlasst werden. In dringenden Fällen können Sie dies auch über die 116 116 machen.

Leider kann das hochgeladene Personalausweisdokument durch die Täter für diverse Zwecke im Netz missbraucht (Betrug, Konteneröffnung usw.) werden. Wichtig ist, dass Sie bei der Anzeigenerstattung unbedingt darauf hinweisen. Weitere Hinweise zu dieser Thematik finden Sie auch Öffnet externen Link in neuem Fensterhier bei uns.