Sicherheitsforscher warnen Verizon-Benutzer vor einem aggressiven Smishing-Betrug
Phishing war schon immer einer der Favoriten der Cybercrooks. Dafür gibt es einige gute Gründe. Sie müssen nicht über viele technische Fähigkeiten verfügen, um einen erfolgreichen Phishing-Betrug durchzuführen, und selbst große Kampagnen erfordern keine großen Investitionen in Geld und Zeit. Trotz aller Warnungen reicht das Social Engineering in den E-Mails immer noch aus, um Benutzer dazu zu bringen, auf Links zu klicken und vertrauliche Informationen weiterzugeben.
Smishing ist eine Variante von Phishing, die sich an Mobiltelefonbenutzer richtet und über Textnachrichten erfolgt. Smishing-Angriffe sind bei weitem nicht so häufig wie herkömmliche Betrugsversuche. Wie eine kürzlich durchgeführte Kampagne für Verizon-Benutzer zeigt, bietet diese Technik einige deutliche Vorteile, die einige Cyberkriminelle in Versuchung führen könnten.
Table of Contents
Crooks versuchen, Verizon-Kunden aus ihren persönlichen Daten herauszuholen
Der Betrug wurde von HowToGeek entdeckt und gemeldet, und Chris Hoffman, Chefredakteur der Website, beschrieb den Smishing-Angriff als "den raffiniertesten, den es je gab". Obwohl diese Aussage zur Debatte stehen mag, besteht kaum ein Zweifel daran, dass die Kriminellen über die Operation nachgedacht haben.
Wie Sie sich vorstellen können, beginnt der Angriff mit einer SMS, in der angegeben wird, dass "die Sicherheit Ihres Verizon-Kontos überprüft werden muss". Wenn Sie auf einen Link klicken, können Sie "Ihr Konto validieren und verhindern, dass Ihr Zugriff deaktiviert wird". Wie Sie sehen können, ist die Grammatik so umständlich, wie Sie es von dieser Art von Angriff erwarten würden. Was etwas ungewöhnlich ist, ist die Tatsache, dass die Linkbenutzer, auf die sie klicken müssen, keinen URL-Verkürzungsdienst durchlaufen haben. Abgesehen davon, wenn Sie es nicht zu genau betrachten, könnten Sie sich täuschen lassen, dass es wirklich vom Telekommunikationsanbieter kommt.
Der von HowToGeek beschriebene Link führte zu einer Phishing-Seite, die auf vwireless[.]xyz (das zum Zeitpunkt des Schreibens nicht verfügbar war) gehostet wurde und als "schockierend überzeugend" beschrieben wurde. In der Tat sehen die Screenshots dem Original ziemlich ähnlich, und es gibt keine offensichtlichen grammatikalischen Fehler, was darauf hindeutet, dass die Gauner, anstatt die Betrugsseiten selbst zu erstellen, ein leicht verfügbares Phishing-Kit verwendeten, das auf den unterirdischen Märkten gekauft wurde.
Die gefälschte Website fordert zunächst Ihre Handynummer oder Benutzer-ID und Ihr Passwort an. Danach werden Sie nach der PIN-Nummer Ihres Kontos gefragt, und schließlich wird Ihnen mitgeteilt, dass Sie einige persönliche Daten angeben müssen. Auf dieser Seite erfahren Sie, dass Sie Verizon dabei helfen, Ihr Konto besser zu schützen, wenn Sie Ihren Namen, Ihre Adresse und Ihre fünfstellige Postleitzahl eingeben. Nachdem Sie alle Details bekannt gegeben haben, werden Sie zur echten Verizon-Website weitergeleitet.
Auf der Phishing-Seite können Sie nur dann durchklicken, wenn Sie alle Felder ausgefüllt haben. Als die Reporter von HowToGeek sie testeten, verwendeten sie gefälschte Informationen, die zeigen, dass die Betrugswebsite die Daten nicht in Echtzeit validiert.
Der potenzielle Schaden ist ziemlich bedeutend
Wenn Ihnen all das bekannt vorkommt und Sie der Meinung sind, dass Sie in die Falle geraten sind, müssen Sie Verizon anrufen und das Problem sofort beheben, denn wenn sie Ihr Konto erfolgreich übernehmen, können die Gauner allerlei Chaos anrichten. Sie können ein neues Smartphone bestellen und es Ihrer Rechnung gutschreiben. Außerdem können sie einen SIM-Tausch-Angriff gegen Sie durchführen. Wenn Sie dasselbe Kennwort auf mehreren Websites wiederverwendet haben, können Sie Opfer von Anmeldeinformationen werden und den Zugriff auf andere Konten verlieren.
Alles in allem könnte es sich für die Gauner auszahlen, Verizon-Kunden im Visier zu haben, und mit ihrer Entscheidung, lieber Smishing als traditionelles Phishing zu betreiben, hoffen sie, die Anzahl der Opfer zu maximieren.
Smishing vs. Phishing: Welches ist das Beste?
Der Hauptvorteil von Smishing besteht darin, dass das Opfer während der Operation unweigerlich am Telefon ist. Der kleinere Bildschirm erschwert das Erkennen der verräterischen Anzeichen eines Betrugs. Wie bereits erwähnt, sieht die URL in der Textnachricht auf den ersten Blick halb legitim aus. Da der Bildschirmbereich knapp ist, kann die Adressleiste eines mobilen Browsers die meiste Zeit ausgeblendet bleiben. Infolgedessen ist es wahrscheinlicher, dass Sie nicht erkennen, dass Sie sich an der falschen Adresse befinden.
In diesem Fall ist das Auswählen der Textnachricht anstelle der herkömmlichen Phishing-E-Mail ein besonders guter Anruf, da Verizon Sie als Telekommunikationsanbieter wahrscheinlich per SMS kontaktiert. Ein weiterer Faktor, der die Erfolgschancen der Gauner verbessert, ist die Tatsache, dass E-Mail-Phishing-Betrug zwar schon seit Jahren besteht, Smishing jedoch ein relativ neuer Trend ist und weniger Menschen wissen, dass das System für die Arbeit über Textnachrichten angepasst wurde.
Wie immer ist Vorsicht und Bewusstsein die beste Verteidigung gegen solche Angriffe. Benutzer müssen lernen, dass Gauner jetzt SMS verwenden, um Menschen dazu zu bringen, ihre Informationen weiterzugeben, und sie müssen verstehen, dass ein Link in einer unerwarteten Textnachricht genauso gefährlich sein kann wie ein Link in einer E-Mail.
