Jonathan Stutz - stock.adobe.com
Smishing und Co.: Die Hauptmethoden des SMS-Betrugs
Der Kommunikationsweg SMS wird von Kriminellen auf unterschiedlichste Weise für Betrugsversuche missbraucht. Die Bedrohungslage betrifft Unternehmen wie Anwender gleichermaßen.
Seit Anfang 2010, als Messenger-Dienste wie WhatsApp, Signal und Threema auf breiter Front Einzug hielten, galt die SMS weitgehend als totgesagt oder wurde nur noch wenig genutzt. Doch das Gegenteil ist der Fall: Sie ist tatsächlich immer noch lebendig und wird von vielen Einzelhandelsunternehmen und Logistikfirmen wie UPS, DHL und anderen genutzt, um zum Beispiel Kunden über den Versand von Paketen zu informieren.
Cyberkriminelle nutzen die Technologie ebenfalls und setzen mit Smishing (SMS-Phishing) eine Social-Engineering-Methode ein, die vor allem auf ältere Verbraucher abzielt, aber dennoch lukrativ genug erscheint. Zu Beginn des Jahres wurde ein Opfer von ihrem Telekommunikationsanbieter mit einer Strafe in Höhe von 600 Euro belegt, nachdem sie auf einen Betrugslink geklickt und einen Banking-Trojaner auf ihrem Telefon installiert hatte. Dies deutet natürlich nicht nur auf eine Haftungslücke bei den Providern hin – schlimmer noch – es bedeutet, dass die Opfer dadurch auch noch doppelt abkassiert werden.
Doch nicht nur die Logistikbranche muss sich mit dieser Thematik auseinandersetzen. Auch Banken hatten jahrelang ein Problem mit SMS-TAN und noch immer werden im Namen von Sparkassen gefälschte Nachrichten per SMS verschickt.
Ein Beispiel ist dieser Artikel bei Verbraucherschutz.com vom Februar 2021, wo eine betrügerische SMS der Sparkasse an Kunden verschickt wurde. Auch die Commerzbank, die Deutsche Bank und die Targo Bank sind von dieser Betrugsart betroffen. Die Bedrohungslage trifft jedoch nicht nur Verbraucher, sondern durchaus auch die Unternehmen selbst. Die Methode wiederum heißt Business E-Mail Compromise (BEC) und wird anders als der Name erwarten lässt durchaus auch per SMS durchgeführt.
Angriffsvarianten per SMS
Im Folgenden werden die drei wichtigsten Angriffsmethoden per SMS skizziert:
SMS-Betrug über Smishing. Smishing ist eine Social-Engineering-Methode, bei der eine Textnachricht an einen Empfänger gesendet wird, um ihn dazu zu bringen, auf einen bösartigen Link zu klicken. Der Link führt zu einer gefälschten Website, die sofort eine bösartige Datei auf das Gerät des Opfers herunterlädt. Das Gerät enthält oft Hacking-Tools wie Trojaner, die Zugriff gewähren und zum Beispiel eine ständige Verbindung zu einem C&C-Server (Command-and-Control-Server) ermöglichen.
Social Engineering über Vishing (Voice-Phishing) oder Coaching-Sitzungen. Der Betrüger holt das Opfer ans Telefon – möglicherweise durch die Fälschung einer SMS-Nachricht von einer Bank oder einem anderen Anbieter zum Beispiel mit der Aufforderung: „Ihre Bank muss mit Ihnen über eine Sicherheitsmeldung für Ihr Konto sprechen, bitte rufen Sie uns jetzt unter dieser Nummer an“. Am Telefon überredet der Betrüger das Opfer, seine Zugangsdaten und OTP-Codes einzugeben.
BEC- beziehungsweise CEO-Fraud. Das Ziel sind hier nicht Verbraucher, sondern die Unternehmen selbst, dabei ist es ganz gleich, welcher Branchenfokus. Ziel sind zumeist die Mitarbeiter aus der Buchhaltung, nämlich die, die Transaktionen auslösen können. Sie erhalten unter anderem auch SMS-Nachrichten, die angeblich vom Chef stammen oder vom Vorgesetzten, mit der Aufforderung so schnell wie möglich Geld auf Konten im Ausland zu überweisen.
Diese Konten sind mit anderen Konten verknüpft, so dass nach ein paar Tagen nicht mehr nachzuvollziehen ist, wo das Geld eigentlich gelandet ist. Andere Angreifer versuchen Gehaltsabrechnungen zu fälschen, indem sie Mitarbeiter der Lohnbuchhaltung dazu zu bringen, dass sie die Löhne auf ein drittes Konto zu überweisen, das den Cyberkriminellen gehört.
„SMS-Betrug in seinen verschiedenen Formen ist ein anhaltendes Phänomen, dessen Auswirkungen auf Verbraucher und Unternehmen nicht ignoriert oder unterschätzt werden dürfen.“
Ingo Deutschmann, BehavioSec.
Verhaltensbiometrie als Schutz vor SMS-Fraud
Security-Hersteller haben in den letzten Jahren eng mit der Industrie zusammengearbeitet, um diese und andere SMS-Schwachstellen zu beheben und die Konten der Verbraucher und ihre Bankdaten durch den Einsatz von verhaltensbiometrischen Verfahren zu schützen. Die Technologie kann diese weniger sicheren OTP-Methoden (One-Time Password, Einmalpasswort) ergänzen, egal ob sie online oder in einer mobilen Banking-App implementiert sind.
Sie verbessert die digitale Identitätsprüfung und das Vertrauen für Bankinstitute, indem sie sicherstellt, dass die Identität unter der Kontrolle des tatsächlichen Bankkunden steht – und nicht des Betrügers, der das Handy des Bankkunden oder dessen Daten per SMS gestohlen hat.
Dies gelingt durch die Erkennung der digitalen Identität des Anwenders mit Hilfe seines individuellen Swipe- und Tippverhaltens auf einem Endgerät. Dabei ist es egal, ob es sich um ein mobiles Gerät, einen PC, ein Notebook oder aber ein Tablet handelt. Zum Sammeln der Verhaltensdaten wird unter anderem ein Gyrometer und Accelerometer verwendet. Sie messen, wie und wo auf einem Gerät getippt und geswiped wird und wieviel Zeit dafür aufgewendet wird.
Aus diesen Daten entsteht dann ein Nutzerprofil, das ständig dazu lernt und immer genauer auf das Verhalten des Nutzers eingestellt wird. Bei Abweichungen beim Verhalten wird die verdächtige Aktion genauer untersucht und anhand eines Scorings analysiert. Bei höheren Summen und ungewöhnlichen Transaktionszielen wird genau auf abnormales Verhalten geachtet.
So kann sichergestellt werden, dass der eingeloggte Nutzer auch wirklich der Inhaber des Accounts ist, und nicht ein Cyberkrimineller, der sich auf irgendeinem Weg die Zugangsdaten des Kontos erschlichen oder Credentials gestohlen hat. Auch Bots können dadurch sofort erkannt werden, denn Maschinen verhalten sich ganz anders beim Eingeben von Informationen als Menschen. Der Unterschied besteht schon einmal bei der Tippgeschwindigkeit und wie schnell bestimmte Informationen verfügbar sind und eingegeben werden.
Betrugsprävention durch kontinuierliche Authentifizierung
SMS-Betrug in seinen verschiedenen Formen ist ein anhaltendes Phänomen, dessen Auswirkungen auf Verbraucher und Unternehmen nicht ignoriert oder unterschätzt werden dürfen. Auch wenn die SMS als Kommunikationsmittel immer mehr an Einfluss verliert, wird sie als eines der vielen Mittel eingesetzt, um an Credentials von Nutzern zu gelangen oder mittels BEC und CEO-Fraud Geld von den Unternehmen selbst zu erpressen.
Eine Möglichkeit, Fraud und eben auch SMS-Fraud zu verhindern, ist der Einsatz von Verhaltensbiometrie bei der Authentifizierung im eigenen Account. Account-Takeover-Angriffe und Manipulation können erkannt und über automatisierte Systeme verhindert werden. Besonders Unternehmen aus der Finanz-, Versicherungs- und Handelsbranche setzen verstärkt Verhaltensbiometrie ein, um sich und ihre Kunden und sich selbst zu schützen.
Über den Autor:
Ingo Deutschmann ist SVP Development bei BehavioSec.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
