239445

Phishing per SMS

30.06.2006 | 14:01 Uhr |

Identitätsdiebe gehen andere Wege, sie versenden auch SMS an potenzielle Opfer und nutzen Internet-Telefonie.

Während sich klassische Phishing-Methoden wie das Versenden von fingierten Bank-Mails anscheinend immer noch lohnen, testen Identitätsdiebe bereits neue Wege. Dazu zählen auch der SMS-Versand und die Nutzung von VoIP (Voice over Internet Protocol, Internet-Telefonie), wie die Virenforscher von F-Secure in ihrem Weblog berichten.

Sie führen ein Beispiel aus Island und Großbritannien auf, bei dem massenhaft SMS an Mobilfunknummern geschickt wurden. Darin wurde den Empfänger mitgeteilt, sie seien bei einer Partneragentur namens "Irreal Dating" eingetragen. Dieser Dienst würde zwei US-Dollar pro Tag kosten und um sich abzumelden, sollten die Empfänger auf die angegebene Website gehen.

Dort wartete bereits ein Abmeldeformular, in das nur noch die Handy-Nummer eingetragen werden musste. Bei Versuch das Formular abzuschicken wurde jedoch ein Programm-Download gestartet, während die Web-Seite genaue Anweisungen lieferte, wie damit zu verfahren wäre. Wer dem Folge leistete, auf dessen PC wurde ein Trojanisches Pferd installiert. Dieses verwandelte den Rechner in einen "Zombie-PC", also in einen fremdgesteuerten Teil eines Botnets.

Die Website existiert immer noch, die Malware wurde jedoch anscheinend inzwischen entfernt. Mittlerweile treten die Täter unter einem anderen Namen auf: "SMS True Date Service". Es ist wohl nur eine Frage der Zeit, bis auch in Deutschland Mobilfunknummern, die mit automatischen Scripten im Web eingesammelt werden, Ziel solcher betrügerischen SMS werden.

Eine andere Masche sind so genannte "VoIP-Bots" - automatische Programme, die Anrufe mittels Internet-Telefonie tätigen und auf Anrufbeantwortern aufgezeichnete Ansagen hinterlassen. Darin geht es zum Beispiel um eine Klärung angeblicher Unregelmäßigkeiten auf dem Kreditkartenkonto, es wird um einen Rückruf gebeten. Die Täter haben zuweilen vorgearbeitet und kennen bereits einen Teil der Informationen, etwa aus unzureichend geschützten Datenbanken von Online-Shops. Die fehlenden Daten holen sie sich über einen fingierten Anruf.

Schlecht vor Missbrauch geschützte VoIP-Dienste und SMS-Gateways ermöglichen den Tätern die kostenlose Nutzung dieser Dienste, sodass der gegenüber Massen-Mailings erhöhte Aufwand angesichts des erwarteten Gewinns kaum ins Gewicht fallen dürfte.

0 Kommentare zu diesem Artikel
239445