Weil sie seine Ehefrau hereinlegten: Sicherheitsforscher hackt Betrügerbande
Smishing wird von Cyberkriminellen gerne eingesetzt. (Foto: Sadi-Santos / Shutterstock)
Eine Betrügerbande, die weltweit agiert, indem sie bis zu 100.000 betrügerische SMS pro Tag versendet, hat sich in einem Fall mit dem Falschen angelegt.
Der Sicherheitsforscher sammelte über Monate Beweise
Smishing Triad, so der Name des verbrecherischen Netzwerkes, ist Anfang dieses Jahres mit gefälschten, vermeintlichen SMS-Nachrichten der US-Post United States Postal Service an die Kreditkartendaten vieler nichtsahnender Menschen gekommen. Diese Art des Onlinebetrugs nennt sich Smishing. Unter ihnen waren auch jene der Frau von Grant Smith, einem Sicherheitsforscher.
Dieser setzte sich daraufhin das Ziel, die Betrügerbande auffliegen zu lassen. Laut der Computerzeitschrift Wired war er dabei sehr erfolgreich: Nach einigen Wochen spürte Smith die chinesische Gruppe hinter den Massen-Smishing-Angriffen auf, hackte sich in ihre Systeme und sammelte Beweise. In den folgenden Monaten sammelte er die Daten vieler Opfer und leitete diese an Ermittler:innen weiter, damit die Kreditkarten dieser Menschen vor betrügerischen Aktivitäten geschützt werden konnten.
Bande erbeutete mehr als 1,2 Millionen Informationen
Mehr als 50.000 E-Mail-Adressen hätten die Verbrecher:innen erbeutet, darunter auch jene von Universitäten, staatlichen und sogar militärischen Einrichtungen. Insgesamt seien die Betrüger:innen an mehr als 1,2 Millionen Informationen gekommen. „Das zeigt das Ausmaß des Problems“, sagte Smith, der seine Ergebnisse an diesem Wochenende auf der Sicherheitskonferenz Defcon vorstellt. Eine Erkenntnisse hat er bereits auf seinem Blog veröffentlicht. Laut ihm ist das Ausmaß des Betrugs noch viel größer, da die Bande wohl auch in mindestens sechs weiteren Ländern aktiv war.
Smith ging bei seinem Kampf gegen die Cyberkriminalität sehr akribisch vor: Er durchforstete Reddit und andere Onlinequellen, um Leute zu finden, die den Betrug gemeldet hatten. Einige der betrügerischen Webseiten sammelten täglich Tausende persönliche Daten, darunter Namen, Adressen, Kreditkartennummern und Sicherheitscodes, Telefonnummern, Geburtsdaten und Bankwebseiten der Opfer.
Sinnvolle und weniger sinnvolle Passworttipps
Smishing-Attacken laut Expert:innen gefährlicher als Phishing-Angriffe
Mit dieser Menge an Informationen können Betrüger:innen Online-Einkäufe mit den Kreditkarten tätigen. Smith leitete seine Informationen dem FBI, Banken und dem United States Postal Inspection Service (USPIS) weiter.
Die Smishing Triad versendet laut den Untersuchungen täglich zwischen 50.000 und 100.000 Nachrichten. Die betrügerischen Nachrichten werden per SMS oder über Apples iMessage verschickt. Laut Expert:innen ist die Verwendung von Textnachrichten eine direktere und erfolgreichere Art des Phishings, als das Versenden von E-Mails mit bösartigen Links.
