„Du hast dein Speicherlimit erreicht“ – iCloud-Mail stammt nicht von Apple!

Mich hat am Wochenende eine E-Mail erreicht, in der behauptet wurde, dass ich mein iCloud-Speicherlimit erreicht hätte. Da ich nichts automatisch übertragen lasse und auch sonst so gut wie nichts in die Apple-Cloud kopiert habe, war ich sehr verwundert über diese Mail. Darüber hinaus gab es keine persönliche Anrede (eigentlich üblich bei Apple) und es wurden „als Teil deines Treueprogramms“ zusätzliche 50 GB kostenlos angeboten (sehr unüblich bei Apple). Dafür sollte man auf einen großen, blauen Button klicken. Dieser lenkt von den vielen kleinen Hinweisen ab, dass es sich hier um eine Phishing-Mail handelt. Im Folgenden findet ihr alle Details.

Inhalt der iCloud Phishing-Mail, mit der eure Daten geklaut werden sollen

Auf den ersten Blick sieht die E-Mail recht offiziell aus. Der Absender wird mit „iCloud“ angegeben, ein großes iCloud-Logo unter einem kleinen Apple-Logo und dem Hinweis „Du hast dein Speicherlimit erreicht“ fällt zudem als erstes ins Auge. Der Betreff ist etwas komisch, denn da wird eine förmlichere Anrede gewählt: „Ihr iCloud-Speicher ist voll.. – Nr.[Zahlenfolge]“ Als Hauptteil der E-Mail gibt es diesen holprig formulierten Text, wieder mit informeller Anrede:

Lieber Kunde,
Aber als Teil deines Treueprogramms kannst du jetzt zusätzliche 50 GB kostenlos erhalten, bevor die Dateien auf deinem iCloud Drive gelöscht werden.
50 GB ERHALTEN

Hinweis dazu: Die Dateien in der iCloud werden nicht einfach so gelöscht, nur weil der Speicher ausgereizt ist. Natürlich bleiben euch eure Dateien erhalten, wenn der Speicher voll ist. Ihr müsst dann nur mal manuell ausmisten und / oder die automatische Übertragung von Backups, iPhone-Fotos und dergleichen stoppen. Außerdem wird in der Fake-Mail kein Datum angegeben, zu dem der Speicher angeblich gelöscht werden soll. Hier soll einfach nur Panik und ein schnelles, unbedachtes Handeln provoziert werden. Fallt da bitte nicht drauf rein.

Apple fragt euch zur Validierung nie nach Kreditkarten-Infos!

Wer kleine Schrift nicht so gut erkennt, sollte heranzoomen oder die Brille aufsetzen. Denn bereits ganz oben, noch über den Logos und dem Speicherlimit-Hinweis, kann man folgendes lesen:

Geben Sie Ihre Kreditkarteninformationen für Ihre Apple-ID-Validierung ein, registrieren Sie sich jetzt

Und unter dem Haupttext steht auch noch einmal:

Nach der Anmeldung musst du deine Kreditkartendaten zur Validierung deiner Apple ID eingeben.

Wir werden keinen Betrag einziehen.

Das ist alles ganz großer Unsinn. Die Apple-ID ist der einzige Weg, über den ihr euch bei Apple anmelden und eure Identität bestätigen müsst, um auf eure iCloud und andere Dienste zuzugreifen. Die Validierung per Kreditkarteninformationen wird nicht durchgeführt. Wenn ihr also irgendeinen Link in der Mail klickt und dann eure Daten (Apple-ID, Passwort und Kreditkarten-Informationen) angebt, dann seid ihr schnell euren Apple-Account, alle gespeicherten Daten sowie euer Geld los.

Ist mein iCloud-Speicher wirklich voll?

Bevor ihr aus Panik und dem 50-Gigabyte-Versprechen auf den Link in der Mail klickt, beruhigt euch. Atmet tief durch und meldet euch erst einmal auf der offiziellen iCloud-Webseite https://www.icloud.com/ an. Schaut dort, wie es um euren Speicher steht und ob es einen Hinweis auf das Erreichen eines Limits gibt. Sollte das zufällig der Fall sein, unternehmt dort auf der offiziellen Seite die nötigen Schritte. Die E-Mail ist trotzdem Fake und die Leute dahinter sind darauf aus, eure Daten und euer Geld zu klauen.

Die üblichen Indizien: So erkennt man eine Fake E-Mail

Neben den genannten Ungereimtheiten im Text sowie dem Hinweis auf die anzugebenden Kreditkarteninfos – was bereits alle Alarmglocken schellen lassen sollte – gibt es noch die üblichen Fake-Indizien. Wenn ihr regelmäßig im Sir Apfelot Blog vorbeischaut, kennt ihr sie schon:

  • Als Absender wird zwar „iCloud“ genannt, aber schaut man die Absender-Adresse genauer an, dann steht da nichts von Apple oder iCloud. Sie lautet stattdessen reminder-5283@gilt.com.
  • Die „Antwort an“-Adresse ist eine wilde Zeichenfolge und endet ebenfalls auf @gilt.com.
  • Fast alle Flächen, Texte und Bilder in der E-Mail sind mit der gleichen Verlinkung ausgestattet.
  • Wo man also hin klickt, man landet wahrscheinlich auf der Scam-Seite, die variation.bad.mn[Zeichenfolge] lautet.
  • Am Ende gibt es noch einen Hinweis zum angeblichen Abbestellen der Hinweis-Mails, der aber mit „Um diese zu stoppen, gehen Sie bitte hier oder schreiben Sie an […]“ sehr fragwürdig formuliert ist (auch die dortige Verlinkung führt zur Phishing-Seite)

Was passiert, wenn man auf den Link klickt?

Ich war nicht so mutig wie Jens, der für die Recherche zu einer Google Drive Spam-Mail einfach das verlinkte PDF geöffnet hat. Ich habe mir erst einmal eine Webseite gesucht, über deren Server ich ein virtuelles Betriebssystem ausführen und darin dann den Link öffnen konnte. In dieser virtuellen Online-Ausgabe von Windows habe ich dann den Link aus der Mail geöffnet. Etwas antiklimaktisch wurde damit lediglich eine Seite angezeigt, auf der man wieder auf einen „50 GB Erhalten“-Button klicken sollte. Schaut man sich aber die URL in der Adresszeile an, dann sieht man schon, dass hier von Apple und iCloud nicht die Rede sein kann.

Ich habe meine Daten eingegeben. Was soll ich jetzt tun?

Habt ihr den Link in der Phishing-Mail angeklickt und sowohl die E-Mail-Adresse als auch das Passwort eurer Apple-ID nebst euren Kreditkarteninformationen eingegeben, dann solltet ihr schnell handeln. Als erstes solltet ihr euer Apple-ID Passwort ändern – offizielle Anleitung vom Apple Support. Anschließend solltet ihr bei eurer Bank oder eurem Kreditkarteninstitut anrufen und die Karte sperren lassen. Falls ihr eure E-Mail-Adresse in Kombination mit dem alten Apple-ID-Passwort irgendwo anders verwendet, ändert auch dort das Passwort.

Was sind bad.mn und gilt.com?

Beim Aufrufen von variation.bad.mn wird mir ein 404-Fehler aufgezeigt. Die Seite konnte also nicht gefunden werden. Rufe ich lediglich bad.mn auf, dann werde ich auf die Seite eines DNS- und Hosting-Services (freedns.afraid.org) umgeleitet. Scheinbar funktionieren also nur Links der Seite, die noch weitere Zeichenfolgen aufweisen – und sie leiten dann nochmal auf komplett andere Seiten um, wie auf obigem Screenshot zu sehen ist. Kleiner Hinweis am Rande: Die Top-Level-Domain .mn steht für Webseiten aus der Mongolei.

Bei GILT handelt es sich offenbar um einen Online-Shop für Mode und Accessoires. Ruft man gilt.com auf, dann wird man direkt auf die /boutique-Unterseite geleitet, wo es Designer-Mode, Kategorien für Damen, Herren und Kinder sowie weiteres gibt. Komisch fand ich nur, dass direkt das Anlegen eines Accounts verlangt wird. Man kann sich nicht ohne die Angabe einer E-Mail-Adresse bzw. ohne einen Login umsehen. Das fand ich schon wieder suspekt. Aber es hat nichts direkt mit der Mail zu tun.

Was hat es mit 616 Corporate Way Ste.2-9092 auf sich?

Ganz unten im Mailtext wird eine Adresse genannt, die wie alles andere auch nichts mit Apple zu tun hat. Denn es wird eine angebliche Adresse im US-Bundesstaat New York angegeben – Apple hingegen sitzt in Cupertino, Kalifornien. Die in der Mail angegebene Adresse lautet 616 Corporate Way Ste.2-9092 Valley Cottage, NY 10959. Interessant ist, dass sie bei der Eingabe in einer Suchmaschine bereits vervollständigt wird, wenn man nur „616 Corporate“ eingibt. Sie wird also oft gesucht. Die Suchergebnisse weisen auf verschiedenste Scam-Maschen hin, im Namen von Amazon, REWE, McDonald’s, LIDL, PayPal, etc. Die Adresse wird wohl oft genutzt.

Was soll ich machen, wenn ich eine Phishing- / Scam-Mail bekomme?

Erst einmal zwei Sachen, die ihr nicht machen solltet: Antworten und auf irgendeinen Link klicken. Wenn ihr die Mail an Apple melden wollt, damit die Profis dort die nötigen Schritte einleiten können, dann leitet sie an reportphishing@apple.com weiter (das habe ich auch gemacht). Weitere Infos dazu gibt es in diesem Support-Dokument. Weiterhin könnt ihr eine Meldung an die Verbraucherzentrale und an die Polizei abgeben. Wollt ihr euch wegen einer E-Mail aber nicht so viel Stress aufhalsen, dann löscht sie einfach. Viel Erfolg, und lasst euch nicht reinlegen!

Hat dir der Artikel gefallen und helfen dir die Anleitungen im Blog? Dann würde ich mich freuen, wenn du das Blog über eine Steady-Mitgliedschaft unterstützen würdest.

3 Kommentare zu „„Du hast dein Speicherlimit erreicht“ – iCloud-Mail stammt nicht von Apple!“

  1. Hallo!
    Danke für diesen Artikel, der mich nach vielen Recherchen ein wenig beruhigt hat. Ich bin normalerweise sehr wachsam, aber ich bin wie ein Anfänger darauf reingefallen und habe auf den blauen Button für 50GB icloud geklickt, bevor ich die Webseite, die sich geöffnet hat, schnell geschlossen habe. Da du den Test gemacht hast, denkst du, dass mein PC durch diese Aktion infiziert worden sein könnte (Macbook)? Ich habe es mit Anti-Virus-Logis überprüft und nichts gefunden. Danke im Voraus für deine Aufklärung!

    1. Hallo LouR! Ich antworte mal für Johannes. In der Regel sind diese Webseiten darauf aus, deine Zugangsdaten und Kreditkartendaten zu stehlen. Daher vermeiden sie es, dir auch noch ein Virus unterzuschieben, da dann ein Virenscanner anspringen könnte, der dich warnt. Wenn du auch einen Scan hast laufen lassen, bin ich relativ sicher, dass du dir nichts eingefangen hast.

      1. Vielen Dank für deine Antwort! Ja, die Suche nach Malware hat nichts ergeben. Ich werde für alle Fälle ein Backup machen und wachsam bleiben.
        Schönen Abend noch!

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Im Sir Apfelot Blog findest du Ratgeber, Anleitungen und Testberichte zu Apple Produkten wie iPhone, iPad, Apple Watch, AirPods, iMac, Mac Pro, Mac Mini und Mac Studio.

Specials