Auch deutsche Nutzer betroffen: Riesige Smishing-Kampagne umfasst 194.000 Domains
Sicherheitsforscher von Palo Alto Networks (PAN) warnen vor einer laufenden Smishing-Kampagne (SMS-Phishing), die nach aktuellen Erkenntnissen mittlerweile mehr als 194.000 Domains umfasst. Laut Blogbeitrag der Forscher(öffnet im neuen Fenster) hat die Kampagne ihren Ursprung in China und wird einer Cybergruppierung namens Smishing Triad zugeschrieben. Zu den Opfern zählen Nutzer auf der ganzen Welt.
Palo Alto Networks hatte schon vor Monaten auf Linkedin(öffnet im neuen Fenster) vor der Smishing-Kampagne gewarnt, fand damals jedoch nur etwa 10.000 damit verbundene Domains. Später stellten die Forscher fest, dass das Ausmaß weitaus größer ist. Zunächst warnten sie vor über 91.000 beteiligten Domains(öffnet im neuen Fenster) . Im neuen Bericht ist sogar von 194.345 Stück die Rede.
Täglich neue Domains
Registriert wurden alle beteiligten Domains den Angaben zufolge am oder nach dem 1. Januar 2024 bei einem in Hongkong ansässigen Registrar namens Dominet (HK) Limited. Ein Großteil davon verschwindet aber schnell wieder: Nur sechs Prozent der involvierten Domains bleiben länger als drei Monate aktiv. Fast 30 Prozent werden sogar innerhalb von nur zwei Tagen wieder verworfen.
"Diese hohe Fluktuation zeigt deutlich, dass die Strategie der Kampagne auf einem kontinuierlichen Zyklus neu registrierter Domains basiert, um einer Entdeckung zu entgehen" , schlussfolgern die PAN-Forscher. "Die Kampagne ist stark dezentralisiert. Angreifer registrieren täglich Tausende von Domains und wechseln ständig zwischen ihnen."
Bei der Angriffsinfrastruktur greife Smishing Triad mit einem Anteil von 58 Prozent primär auf Systeme in den USA zurück, insbesondere auf dort beheimatete Clouddienste. Hier folgt China mit 21 Prozent erst auf Platz 2, gefolgt von Singapur mit einem Anteil von 19 Prozent. Mit 0,5 Prozent steht auch ein kleiner Teil der Infrastruktur in Deutschland.
Eine branchenübergreifende Bedrohung
Die Forscher gehen aufgrund des großen Umfangs der Kampagne davon aus, dass sich dahinter eine große und vor allem über Telegram beworbene Phaas-Operation (Phishing as a Service) verbirgt. Um Besucher auf die beteiligten Domains zu leiten, verschicken die Angreifer laut Blogbeitrag massenhaft SMS und bedienen sich darin ausgeklügelter Social-Engineering-Techniken.
Die Nachrichten seien "genau auf die Opfer zugeschnitten, um sie zu sofortigem Handeln zu bewegen" und vermittelten stets ein Gefühl der Dringlichkeit, heißt es. Dabei nutzten die Angreifer bereits verfügbare persönliche Daten der Zielpersonen sowie technische und juristische Fachbegriffe, um ihre SMS professioneller und glaubhafter wirken zu lassen.
Zu den Angriffszielen zählen weltweit zahlreiche teils kritische Dienste aus verschiedenen Branchen wie Finanzen, Krypto, Gesundheitswesen, Strafverfolgung, E-Commerce, Social Media und Online-Gaming. Auch Zollabfertigungen sowie namentlich nicht genannte Paketzustelldienste unter anderem aus Deutschland sollen betroffen sein.
Anwendern wird empfohlen, unerwarteten SMS aus unbekannten Quellen stets mit Misstrauen zu begegnen. "Wir empfehlen, alle Anfragen, die dringende Maßnahmen fordern, über die offizielle Website oder Anwendung des jeweiligen Dienstleisters zu überprüfen. Dabei sollten keine Links angeklickt und keine Rufnummern aus der verdächtigen Nachricht angerufen werden" , so die Forscher.