Apple-ID-Phishing: „MFA-Bombing“-Welle nach Weihnachten

Nach den Feiertagen greifen Kriminelle mit einer neuen Angriffswelle Apple-Nutzer an. Die Methode: Hunderte legitime Passwort-Benachrichtigungen und gefälschte Support-Anrufe sollen Nutzer in die Falle locken.

Die Sicherheitslage für Apple-ID-Nutzer hat sich nach Weihnachten dramatisch verschärft. Sicherheitsexperten und Verbraucherschützer warnen eindringlich vor einer ausgeklügelten Phishing-Kampagne, die die Aktivierungswelle neuer iPhones und iPads ausnutzt. Die Angreifer setzen auf eine als „MFA-Bombing“ bekannte Taktik, um die Zwei-Faktor-Authentifizierung zu umgehen.

„Push-Bombing“: Die Flut der Benachrichtigungen

Die Angreifer nutzen eine Schwachstelle im Apple-ID-Wiederherstellungsprozess. Sie lösen dabei wiederholt legitime Passwort-Reset-Anfragen aus, die als Systembenachrichtigungen auf allen Geräten des Nutzers auftauchen. Das Ziel: Den Nutzer mit Dutzenden oder Hunderten von Pop-ups zu nerven oder in Panik zu versetzen, bis er aus Verzweiflung auf „Erlauben“ oder „Akzeptieren“ klickt. Ein einziger Klick genügt, um den Angreifern Zugriff auf das Konto zu verschaffen.

Die neue MFA‑Bombing‑Taktik ist besonders heimtückisch – Dutzende Systembenachrichtigungen und gefälschte Support‑Anrufe verwirren selbst vorsichtige Nutzer. Ein kostenloses Anti‑Phishing‑Paket erklärt in einer klaren 4‑Schritte‑Anleitung, wie Sie solche Angriffe erkennen, Notfallcodes sichern und Ihr Konto effektiv schützen. Praxisnahe Checklisten und Hinweise zu psychologischen Angriffsmustern helfen sofort. Jetzt Anti-Phishing-Paket gratis herunterladen

Die Methode ist tückisch, weil sie echte Apple-Systeme nutzt. Die Benachrichtigungen sind keine Fälschungen – sie werden nur in böswilliger Absicht massenhaft ausgelöst.

Der gefälschte Anruf vom „Apple-Support“

Scheitert die Benachrichtigungs-Flut, folgt oft Phase zwei: ein Telefonanruf. Die Betrüger geben sich als Apple-Mitarbeiter aus, spoofen offizielle Support-Nummern und behaupten, das Konto sei angegriffen worden. Die vielen Benachrichtigungen würden das beweisen. Sie bieten an, das Konto zu „sichern“ – und fordern dabei den 6-stelligen Verifizierungscode oder das Passwort.

Dabei gilt eine klare Regel: Der echte Apple-Support ruft niemals unaufgefordert an, um Codes oder Passwörter abzufragen. Jeder derartige Anruf ist betrügerisch.

Echte Apple-Mails als Trojaner

Besonders heikel: Die Angreifer nutzen in dieser Kampagne auch echte Apple-Infrastruktur. Sie generieren gültige Support-Tickets oder Bestätigungs-E-Mails von Apples eigenen Servern. Diese Nachrichten stammen von legitimen apple.com-Adressen, umgehen Spamfilter und wirken absolut authentisch. Diese „Living-off-the-Land“-Taktik macht es Sicherheitssystemen schwer, die Angriffe automatisch zu erkennen.

Warum gerade jetzt? Das „Neues-Gerät“-Risiko

Der Zeitpunkt ist kein Zufall. In den Tagen nach Weihnachten aktivieren Millionen Nutzer neue Apple-Geräte und sind daher besonders aufmerksam für Setup-Benachrichtigungen und Sicherheitsabfragen. Die Verbraucherzentrale warnt regelmäßig, dass Feiertage Hochrisiko-Zeiten für Phishing sind. Apple-IDs sind ein lukratives Ziel – sie schützen oft den Zugang zu iCloud, Fotos, Zahlungsmethoden und persönlichen Daten.

So schützen Sie sich: Vier goldene Regeln

1. Ignorieren Sie die Flut: Kommen Dutzende Passwort-Reset-Benachrichtigungen, die Sie nicht ausgelöst haben, klicken Sie nicht. Lehnen Sie die Anfragen ab oder lassen Sie sie einfach verfallen.
2. Legen Sie sofort auf: Bei einem unerwarteten Anruf von „Apple Support“ – sofort auflegen. Bei echten Sorgen kontaktieren Sie Apple über die offizielle Website.
3. Geräteliste prüfen: Kontrollieren Sie regelmäßig in den Einstellungen, welche Geräte mit Ihrer Apple-ID verbunden sind.
4. Hardware-Keys nutzen: Für besonders sensible Konten bieten Hardware-Sicherheitsschlüssel wie YubiKey einen wirksamen Schutz vor „Push-Bombing“.

Ausblick: Angriffe werden raffinierter

Experten rechnen damit, dass diese „MFA-Fatigue“-Angriffe bis ins Frühjahr 2026 anhalten werden. Während sich biometrische Verfahren und Passkeys durchsetzen, werden Kriminelle ihre Social-Engineering-Taktiken weiter verfeinern. Apple wird voraussichtlich in künftigen iOS-Updates die Häufigkeit von Passwort-Reset-Anfragen begrenzen, um die Wirksamkeit der Benachrichtigungs-Flut einzudämmen. Bis dahin bleibt Wachsamkeit die beste Verteidigung.

PS: Haben Sie gerade ein neues iPhone aktiviert? Das kostenlose iPhone‑Starterpaket führt Sie Schritt für Schritt durch Einrichtung, Apple‑ID‑Verwaltung und die wichtigsten Sicherheitseinstellungen – inklusive Hinweise, wie Sie verbundene Geräte prüfen und Zwei‑Faktor‑Optionen korrekt konfigurieren. Ideal für Einsteiger, die ihr Gerät sicher nutzen möchten. iPhone‑Starterpaket kostenlos downloaden