Mac-Anwender, die in ihren iCloud-Einstellungen die Option „Meinen Mac suchen“ aktiviert haben, werden laut Macrumors derzeit von Cyberkriminellen erpresst. Diese nutzen die iCloud-Funktion „Mein iPhone finden“ zur Sperrung des Macs. Anschließend verlangen sie ein Lösegeld von aktuell 0,01 Bitcoin, was etwa 30 Euro entspricht. Da Apple diese Funktion nicht mit einer Zwei-Faktor-Authentifizierung absichert, nützt es auch nichts, wenn der Mac-Anwender diesen Schutzmechnismus für seine Apple-ID aktiviert hat.
Für den Zugang zu „Mein iPhone suchen“ mit der man Macs aus der Ferne sperren oder löschen kann, benötigt man lediglich die Apple ID und das dazugehörige Passwort. An diese Daten gelangen die Cyberkriminelle entweder durch einen erfolgreichen Phishing-Angriff oder erbeutete Zugangsdaten anderer Dienste. Da viele Anwender oft ein Passwort zur Anmeldung verschiedener Dienste nutzen, lassen sich Zugangsdaten zu iCloud beispielsweise auch aus Angriffen auf andere Dienste wie Yahoo, die über 1 Milliarde Zugangsdaten verloren haben, leicht rekonstruieren.
Apple kann Sperrung aufheben
Solange die Schwachstelle von Apple nicht behoben wird, sollten Nutzer die Funktion „Meinen Mac suchen“ unter Systemeinstellungen – iCloud deaktivieren. Wessen Mac bereits gesperrt ist, muss das Lösegeld nicht zahlen, um wieder Zugang zu seinem Rechner zu erhalten. Der Apple-Support kann diese Sperre aufheben. Einen Nachweis, dass einem das Gerät gehört, sollte man allerdings zur Hand haben.
Da die Funktion zur Sperrung des Macs das EFI des Rechners nutzt, bringt es auch nichts, die Festplatte einfach zu tauschen. Erst, wenn das EFI entsperrt ist, erfolgt der Zugriff auf die Festplatte oder SSD. Die Cyberkriminellen nutzen also keine Ransomware, die die Daten auf der Festplatte verschlüsseln, sondern eine im Mac eingebaute Sicherheitsfunktion, die Apple leider nicht mit einer Zwei-Faktor-Authentifizierung schützt. Wird der gleiche Angriff auf ein iPhone ausgeführt, bleibt dieser wirkungslos. Anders als beim Mac wird ein iPhone oder ein iPad mit dem Code gesperrt, den der Nutzer festgelegt hat. Eine Änderung dieses Codes ist über iCloud.com nicht möglich. Nur wenn der Nutzer keine PIN eingerichtet hat, kann man eine neue über iCloud.com vergeben und das Gerät sperren.
Um Macs besser zu schützen, müsste also jeder Nutzer, wenn er sich mit seiner Apple-ID anmeldet, eine zusätzliche PIN oder ein lokales Passwort einrichten, sodass, wie im Fall von iPhone und iPad, Cyberkriminelle keine Chance hätten, den Mac aus der Ferne zu sperren.
Darüber hinaus sollten Anwender natürlich nicht ein und dasselbe Passwort für mehrere Dienste verwenden. Gelangen wie im Fall von Yahoo Zugangsdaten von einer Milliarde Nutzer in die Hände von Cyberkriminellen, sollte man, wenn man über ein Konto des angegriffenen Dienstes verfügt, die Zugangsdaten für alle Konten, die man mit diesem Passwort geschützt hat, sofort ändern.
So funktioniert die Sperre eines Macs.
1. Anmeldung an https://www.icloud.com/#find und Gerät auswählen (Sollte hier keines erscheinen, ist der Dienst „Mein Mac finden“ deaktiviert)
2. Auf „Sperren“ klicken und anschließend mit einem Klick auf die Schaltfläche „Sperren“ des Popup-Fensters den Vorgang bestätigen
3. Nun wird ein PIN-Code vergeben. Nur mit diesem lässt sich der Mac wieder entsperren
4. Optional eine Nachricht eingeben. Hier dürfen die Erpresser die Kontodaten und den Betrag angeben. Derzeit verlangen die Cyberkriminellen 0,01 Bitcoin, was etwas mehr als 30 Euro entspricht.
5. Anschließend ist der Mac gesperrt. Allerdings nur ein echter Mac, der über ein vollfunktionsfähiges EFI verfügt. Mac-Nachbauten, die allgemein als Hackintoshs bekannt sind, lassen sich nicht sperren, da offenbar einige EFI-Funktionen nicht zur Verfügung stehen.
6. Auf dem Mac erfolgt nun ein Neustart. Dann stoppt der Boot-Prozess und ein PIN-Eingabefeld erscheint, zusammen mit der Forderung der Erpresser.