Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Masche bei der Betrugsmethode des SMS-Phishing (Smishing) ausgemacht. Wie beim E-Mail-Phishing geht es Angreifenden beim Smishing darum, Zugangsdaten etwa zum Online-Banking oder anderen sensiblen Diensten zu erbeuten.
Schon im Frühjahr war eine regelrechte Welle über Smartphone-Nutzende hereingebrochen. Dabei hatten die Kriminellen per SMS vorgetäuscht, dass den Nutzenden ein Paket zugestellt werden oder eine Sendung zurück an den Absender gehen solle. Damals hatten die Experten des BSI das Android-Botnetz Moqhao hinter den Angriffen identifiziert. In Deutschland sei diese Methode hauptsächlich genutzt worden, um Android-Schadsoftware wie „Flubot“ und „Teabot“ zu verbreiten, so die Behörde.
Das ist die neue Methode ohne Paketbezug
Nachdem sich die Versuche offenbar nicht als durchschlagend erfolgreich erwiesen hatten, setzen die Angreifenden jetzt auf eine etwas andere „Nutzenargumentation“. Aktuelle Smishing-Nachrichten gaukeln Nutzenden vor, sie müssten aktiv werden, um eine zunächst nicht zustellbare Sprachnachricht zu empfangen. Manche Phishing-SMS behauptet zudem, das Gerät des Nutzenden sei mit einer Schadsoftware befallen und es sei notwendig, ein Sicherheits-Update zu installieren.
Wie bislang schon beinhalten die SMS einen Link. Einmal geklickt, führt der vermeintlich zu einer Anleitung zum Download der Sprachnachricht beziehungsweise des angeblichen Sicherheits-Updates. Erst mit dem Download dieser Datei wird der zu erwartende Schaden initiiert, warnt das BSI in einer aktuellen Meldung. Die Handlungsempfehlung ist eindeutig. „Klicken Sie nicht auf enthaltene Links. Laden Sie keine Dateien aus unbekannter Quelle herunter. Löschen Sie die verdächtige SMS-Nachricht unverzüglich“, empfiehlt die Behörde.
Die Smishing-Nachrichten, die einen Schadsoftwarebefall suggerieren, sind laut BSI häufig mit der Behauptung gekoppelt, die privaten Fotos der Nutzenden seien ins Internet geleakt worden. Dadurch soll Druck auf die Nutzenden ausgeübt werden, den empfohlenen Download schnellstmöglich zu veranlassen. Auch hier sollten Betroffene dem Druck nicht nachgeben. Auch hier würde eine Infektion des Gerätes erfolgen.
So gehen Betroffene vor
Laut BSI hätten die Mobilfunkprovider zwar Filter im Einsatz, um den Versand von Smishing-Nachrichten zu verhindern. Durch das ständige Nachsteuern der Angreifenden könnten diese Filter aber keinen vollständigen Schutz bieten. Dabei griffen die Kriminellen häufig auf einfache Tricks zurück, etwa den Einbau „absichtlicher Buchstabendreher, Schreibfehler oder zufälliger Zeichenketten“, um die Spamfilter der Betreiber zu narren.
Empfängern einer solchen Smishing-Nachricht empfiehlt das BSI die umgehende Löschung. Betroffenen, die bereits geklickt haben, rät das BSI dazu, das Smartphone in den Flugmodus zu versetzen, den Provider zu informieren und das eigene Bankkonto im Auge zu behalten. Zudem soll Strafanzeige unter Vorlage des Smartphones erstattet werden.
Danach bleibe Nutzenden indes der Vorgang des kompletten Werks-Resets nicht erspart. Zwar gingen dabei alle gespeicherten und installierten Daten verloren, anders sei es aber nicht möglich, „die über die aktuellen SMS-Spam-Nachrichten verteilten Android-Schadprogramme vollständig zu entfernen“.