Smishing (im)possible? Phishing-Angriffe per SMS häufen sich

In den letzten Tagen gehen vermehrt verdächtige SMS-Nachrichten bei Mitarbeiterinnen und Mitarbeitern von Unternehmen und Behörden ein, mit Texten wie „Ihr Paket wurde verschickt. Bitte überprüfen und akzeptieren Sie es. [Link]“. Bei dieser Art von SMS handelt es sich um einen Phishing-Versuch per SMS, auch „Smishing“ genannt. Dies bezeichnet einen Betrugsversuch, bei dem automatisiert oder gezielt SMS mit irreführenden Informationen versandt werden, um die Empfänger zur Herausgabe sensibler Daten zu verleiten. Unser Artikel erklärt, wie die Angriffe funktionieren und wie man sich dagegen schützen kann.

https://research.hisolutions.com/2021/01/phishing-per-sms-smishing-angriffe-haeufen-sich/

Phishing per SMS – Smishing-Angriffe häufen sich

Von Thomas Fischer und Jann Klose, HiSolutions AG.

In den letzten Tagen gehen vermehrt verdächtige SMS-Nachrichten bei Mitarbeiterinnen und Mitarbeitern von Unternehmen und Behörden ein, mit Texten wie „Ihr Paket wurde verschickt. Bitte überprüfen und akzeptieren Sie es. [Link]“.

Bei dieser Art von SMS handelt sich um einen Phishingversuch per SMS, auch Smishing genannt. Dies bezeichnet einen Betrugsversuch, bei dem automatisiert oder gezielt SMS mit irreführenden Informationen versandt werden, um die Empfänger zur Herausgabe sensibler Daten zu verleiten.

Wie funktioniert Smishing?

Beim Smishing versenden die Täter SMS im Namen von vertrauenswürdigen Institutionen wie Banken oder Telekommunikationsanbietern mit dem Vorwand eines fingierten Problems. Einige Beispiele sind:

  • Eine Bank meldet merkwürdige Aktivitäten auf dem Konto
  • Ein Dating-Service bestätigt die vermeintliche Eröffnung eines Premiumkontos
  • Der Telefonanbieter erhebt auf einmal Extragebühren für gewisse Leistungen
  • Man erhält eine Rückzahlung aus einem Bonusprogramm
  • Man wird beschuldigt, Zahlungen nicht getätigt zu haben
  • Ein Paket wurde verschickt, und es gibt Probleme mit der Zustellung

Alle SMS sollen dazu verleiten, einen Link anzuklicken und dort dann Daten einzugeben. Entweder wollen die Cyberkriminellen persönliche Daten stehlen, die sie nutzen können, um sich zu bereichern, oder die Nutzerinnen und Nutzer werden verleitet, Malware herunterzuladen, die sich permanent auf dem Smartphone installiert.

Wie kann ich mich gegen Smishing schützen?

Der Schutz gegen Smishing ist ganz einfach: Tatsächlich muss man gar nichts tun, um sicher zu sein. Der Angriff kann nur Schaden anrichten, wenn der Köder geschluckt wird. Wird die SMS einfach löscht, kann nichts weiter passieren.

Woran kann ich Smishing erkennen?

Was ist zu beachten, um solche Angriffe zu bemerken? Einige Faustregeln helfen:

  • Kein Finanzinstitut oder Händler sendet eine Textnachricht, um Kontodaten zu erfragen oder zur Bestätigung der PIN aufzufordern. Wer sicher gehen will, ruft Bank oder Händler direkt an, um nachzufragen.
  • Kein Klicken auf einen Link oder eine Telefonnummer in einer Nachricht, bei der man sich nicht sicher ist.
  • Ausschau halten nach verdächtigen Nummern, die nicht wie typische Telefonnummern anmuten, z. B. „5000“. Diese Nummern verweisen oft auf E-Mail-zu-SMS-Services, die häufig von Betrügern genutzt werden, um die Preisgabe der echten Telefonnummern zu vermeiden.
  • Möglichst keine Speicherung von Kreditkarten- oder Banking-Informationen auf dem Smartphone – oder aber die Verwendung eines sicheren Passwortsafes. Wenn die Informationen gar nicht erst vorhanden sind, können Diebe sie auch nicht stehlen, selbst wenn sie Malware auf dem Handy installieren.

Meldung von Smishing-Angriffen, um auch andere Benutzer zu schützen.

Beim Smishing – genau wie beim Phishing – geht es darum, möglichst viele Nutzerinnen und Nutzer hinters Licht zu führen. Bei dieser Methode verlassen sich Kriminelle darauf, dass ein Teil der Opfer mitspielt und auf einen Link klickt oder Informationen preisgibt. Der einfachste Schutz vor solchen Angriffen ist tatsächlich, ganz einfach nichts zu tun. Diese Awareness muss sich allerdings möglichst weit verbreiten

Bitte warnen Sie andere Nutzer in Ihrer Organisation – zum Beispiel durch eine Meldung an den IT-Sicherheitsbeauftragten (IT-SiBe). Und sollte doch einmal ein Smishing / Phishing gegen Sie geklappt haben, kann die sofortige Meldung des Vorfalls helfen, Schäden von der Organisation abzuwenden.

Oh Autsch! OAuth-Phishing

Multi-Faktor-Authentisierung gehört inzwischen zum Stand der Technik und ist regelrecht ein Standard im stärker exponierten Cloud-Umfeld. Um ihren Erfolg beim Abgriff von Zugangsdaten weiterhin zu sichern, nutzen Angreifer nun Authentisierungstoken für Cloud-Apps, denn: Wurde eine Angreifer-App mit ausreichend Berechtigungen versehen, können darüber weitreichende Schäden in der gesamten IT-Umgebung verursacht werden. Inzwischen warnt Microsoft Unternehmenskunden vor dieser Angriffsmethode. Es gibt also genug Gründe, sich mal mit den methodischen Details auseinanderzusetzen.

OAuth-Phishing

Im Rahmen von COVID-19 wurden viele neue Phishing-Kampagnen verzeichnet – darunter auch sogenannte OAuth-Phishing-Angriffe gegen Office 365. Hierbei werden Phishing-Mails an Benutzer gesendet, die, wenn sie auf den in der Mail enthaltenen Link klicken, gefragt werden, ob sie Berechtigungen an eine App übergeben wollen. Mit der Bestätigung autorisiert der Benutzer dann die App für den Zugriff auf seine Daten. Der Ablauf des OAuth-Phishings ist in der untenstehenden Abbildung dargestellt.

Ablauf OAuth-Phishing

Doch die Vorgehensweise ist nicht neu. Bereits 2017 kam es zu einer großen Phishing-Welle, die Google Docs-Benutzer dazu einlud, ein geteiltes Dokument aufzurufen. Für diese Angriffe mittels OAuth-Apps werden die Funktionalitäten des OAuth-Protokolls genutzt. Mit OAuth kann ein Benutzer einer Anwendung den Zugriff auf seine Daten erlauben, die von einem anderen Dienst bereitgestellt werden. Der Zugriff der Anwendung erfolgt dabei ohne Benutzerkennung und Passwort. Somit können auch eine Passwortänderung oder die Einführung einer Multifaktorauthentifizierung die Vergabe der Berechtigungen nicht mehr rückgängig machen.

Es wird hier also keine Schwachstelle im OAuth-Protokoll ausgenutzt. Stattdessen wird der Benutzer dazu gebracht, Berechtigungen zu übergeben, ohne dass ihm dies bewusst ist. Hierzu werden Links mit zu Office 365 oder Google G Suite ähnlich klingenden Domainnamen verwendet, und auch die App-Namen werden so gewählt, dass ein unbedarfter Benutzer diese mit dem jeweiligen Cloud-Dienst assoziiert.

Ein OAuth-Phishing-Angriff ist im Nachhinein schwer erkennbar, da kein schadhafter Code ausgeführt wird. Stattdessen können Daten gelesen und je nach Berechtigung auch geändert oder gelöscht werden. So kann ein Angriff unbemerkt bleiben oder wird erst dann bemerkt, wenn in einer weiteren Angriffsphase Daten verschlüsselt wurden oder ein CEO-Fraud begangen wurde.

Damit es erst gar nicht zu einem Zugriff mittels OAuth-Phishing kommt, sind folgende Maßnahmen zu empfehlen:

  1. Schulung der Mitarbeiter, um OAuth-Phishing-Angriffe zu erkennen
  2. Drittanbieter-Apps nur mittels Whitelisting zulassen oder die Nutzung ganz untersagen
  3. In Office 365 können Drittanbieter-Apps mittels der CASB-Lösung von Microsoft (Cloud App Security) überwacht werden. Dieses Feature steht jedoch nur in der E5-Lizenz zur Verfügung.

Falls man vermutet, dass man mittels einer OAuth-App kompromittiert wurde, dann kann man dies in Office 365 über das von Microsoft für Office 365 veröffentlichte Vorgehen[1] nachvollziehen und die Berechtigungen der jeweiligen App deaktivieren. Grundsätzlich sollte die verdächtige App deaktiviert werden und es sollten die Berechtigungen entzogen werden. Anschließend sollten die Zugriffsprotokolle überprüft werden, um den Umfang der Kompromittierung zu verstehen.


[1] https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/detect-and-remediate-illicit-consent-grants

Wolkenphisher: Cloud-Dienste als Angriffsvektoren

Cloud-Dienste entwickeln sich aufgrund ihrer Verbreitung und Vielfalt immer mehr zu möglichen Angriffsvektoren. Der Security-Journalist Brian Krebs berichtet von einem Fall, in dem ein Benutzerkonto eines cloudbasierten CRM nicht mittels Multi-Faktor-Authentifizierung geschützt war und hierdurch eine Phishing-Kampagne angeblich im Namen der Firma durchgeführt werden konnte.

https://krebsonsecurity.com/2019/08/phishers-are-angling-for-your-cloud-providers/