- Eine Welle von betrügerischen Textnachrichten, die angeblich vom USPS stammen, hat Menschen dazu gebracht, ihre Kreditkartendaten preiszugeben. Grant Smith, ein Sicherheitsforscher, verfolgte die Smishing-Betrüger und sammelte umfangreiche Beweise gegen sie. Die von Smith gesammelten Daten halfen dabei, die Karten von Tausenden vor betrügerischen Aktivitäten zu schützen. Die Smishing-Triade, eine chinesischsprachige Gruppe, verwendet weltweit verschiedene Online-Plattformen für ihre Betrügereien. Ihre Methoden sind erfolgreich, da sie Textnachrichten verwenden, die direkte Benachrichtigungen senden, was effektivere Phishing-Angriffe ermöglicht.
Die Flut von Textnachrichten begann bereits Anfang des Jahres einzutreffen. Sie trugen eine ähnliche Botschaft: Der United States Postal Service versucht, ein Paket zuzustellen, benötigt jedoch weitere Details, einschließlich Ihrer Kreditkartennummer. Alle Nachrichten verwiesen auf Websites, auf denen die Informationen eingegeben werden sollten. Wie tausende andere erhielt auch der Sicherheitsforscher Grant Smith eine USPS-Paketnachricht. Viele seiner Freunde hatten ähnliche Texte erhalten. Einige Tage zuvor, sagt er, habe seine Frau ihn angerufen und gesagt, dass sie versehentlich ihre Kreditkartendaten eingegeben habe. Da nach den Feiertagen wenig los war, begann Smith eine Mission: Die Betrüger aufzuspüren.
Die Jagd nach digitalen Gaunern
Im Laufe einiger Wochen verfolgte Smith die chinesischsprachige Gruppe hinter den Textnachrichten, hackte in deren Systeme, sammelte Beweise für deren Aktivitäten und begann einen monatelangen Prozess, bei dem er die Daten der Opfer sammelte und sie an USPS-Ermittler und eine US-Bank übergab, was es ermöglichte, die Karten der betroffenen Personen vor betrügerischen Aktivitäten zu schützen. Insgesamt gaben Menschen 438.669 eindeutige Kreditkarten auf 1.133 von den Betrügern verwendeten Domains ein, sagt Smith, ein Red-Team-Ingenieur und Gründer der Offensive-Cybersecurity-Firma Phantom Security. Viele Menschen gaben jeweils mehrere Karten ein, sagt er. Über 50.000 E-Mail-Adressen wurden protokolliert, darunter Hunderte von Universitäts-E-Mail-Adressen und 20 militärische oder staatliche E-Mail-Domains. Die Opfer waren über die gesamten Vereinigten Staaten verteilt – Kalifornien, der Staat mit den meisten, hatte 141.000 Einträge – insgesamt wurden mehr als 1,2 Millionen Informationen eingegeben.
Smith auf Spurensuche
„Dies zeigt das Ausmaß des Problems“, sagt Smith, der seine Erkenntnisse bei einer bevorstehenden Veranstaltung präsentieren wird. Doch das Ausmaß des Betrugs ist wahrscheinlich viel größer, sagt Smith, da er nicht alle betrügerischen USPS-Websites aufspüren konnte und die Gruppe hinter den Bemühungen mit ähnlichen Betrügereien in mindestens einem halben Dutzend anderer Länder in Verbindung gebracht wurde. Die Verfolgung der Gruppe dauerte nicht lange. Smith begann, die betrügerische Textnachricht zu untersuchen, die er erhalten hatte, indem er den verdächtigen Domainnamen überprüfte und den Datenverkehr von der Website abfing. Eine Pfad-Traversal-Schwachstelle, gepaart mit einer anderen Sicherheitslücke, erlaubten ihm, Dateien vom Server der Website zu stehlen und Daten aus der verwendeten Datenbank zu lesen.
„Ich dachte, es gäbe nur eine Standardseite, die alle verwendeten“, sagt Smith. Beim Eintauchen in die Daten von dieser ersten Website fand er den Namen eines chinesischsprachigen Telegram-Kontos und -Kanal, der ein Smishing-Kit verkaufte, das Betrügern die einfache Erstellung gefälschter Websites ermöglichte. Details zum Telegram-Benutzernamen waren zuvor von einer Cybersicherheitsfirma veröffentlicht worden, die die Betrüger als die „Smishing-Triade“ bezeichnete. Die Firma hatte zuvor eine separate SQL-Injection in den Smishing-Kits der Gruppe gefunden und Smith eine Kopie des Werkzeugs zur Verfügung gestellt.
Neue Angriffsmethoden
Smith begann, das Kit rückzuentwickeln, fand heraus, wie alles verschlüsselt wurde, und entwickelte eine effizientere Methode, um die Daten zu erfassen. Von dort aus, sagt er, konnte er Administratorpasswörter auf den Websites knacken – viele waren nicht von den Standard-Benutzernamen „admin“ und dem Passwort „123456“ geändert worden – und begann, Opferdaten schneller und automatisiert aus dem Netzwerk von Smishing-Websites zu extrahieren. Die meistbesuchten Seiten sammelten täglich Tausende persönlicher Informationen, darunter Namen, Adressen, Kreditkartennummern und Sicherheitscodes, Telefonnummern, Geburtsdaten und Bankwebsites.
Smith meldete seine Erkenntnisse an eine Bank, die ihn nach seinen ersten Blog-Beitrag kontaktiert hatte. Er berichtete die Vorfälle auch dem FBI und später dem United States Postal Inspection Service. Ein nationaler Informationsbeauftragter des USPIS, Michael Martel, sagt, die von Smith bereitgestellten Informationen würden als Teil einer laufenden Untersuchung verwendet. Martel verweist auf laufende Bemühungen, die Amerikaner zu schützen, Opfer zu identifizieren und die böswilligen Akteure zur Rechenschaft zu ziehen.
Weitreichende Aktionen
Die Smishing-Triade ist äußerst aktiv. Zusätzlich zur Nutzung von Postdiensten als Köder für ihre Betrügereien hat die chinesischsprachige Gruppe Online-Banking, E-Commerce und Zahlungssysteme in den USA, Europa, Indien, Pakistan und den Vereinigten Arabischen Emiraten ins Visier genommen. Laut Shawn Loveland, COO von Resecurity, verschickt die Gruppe zwischen 50.000 und 100.000 Nachrichten täglich. Die Nachrichten werden mittels SMS oder Apple’s iMessage gesendet, wobei letzterer verschlüsselt ist. Die Gruppe verkauft das Smishing-Kit auf Telegram für eine monatliche Abonnementgebühr von 200 US-Dollar, was es ihnen ermöglicht, beträchtliche Gewinne zu erzielen.
Die relativ niedrigen Kosten für das Smishing-Kit bedeuten, dass Betrüger, die es nutzen, wahrscheinlich erhebliche Profite erzielen. Die Verwendung von Textnachrichten, die sofort eine Benachrichtigung senden, ist eine direktere und erfolgreichere Methode des Phishings im Vergleich zum Versenden von E-Mails mit bösartigen Links. Smishing hat zugenommen, aber es gibt einige verräterische Anzeichen: Wenn Sie eine Nachricht von einer unbekannten Nummer oder E-Mail erhalten, die einen Link enthält oder etwas Dringendes von Ihnen verlangt, sollten Sie misstrauisch sein.
