Smishing schickt Opfer in falsche Cloud

SMS-Scammer nutzen Cloud-Speicher von Amazon, Google oder IBM, um ihre Opfer auf bösartige, statische Webseiten zu locken. Aufgrund der Verbreitung per SMS werden Firewalls umgangen.

Cloud-Speicher erfreuen sich im beruflichen Umfeld und auch bei Privatnutzern zunehmender Beliebtheit. Der Trend zum dezentralen Arbeiten hat der Akzeptanz von Online-Speichern noch einen gehörigen Schub verpasst. Aber auch Cyberkriminelle setzen Cloud-Lösungen für ihre Zwecke ein, wie eine nun bekannt gewordene Smishing-Kampagne, also eine Phishing-Kampagne per SMS zeigt.

Sicherheitsforscher von Enea berichten, dass Kriminelle dabei die Möglichkeit ausnutzen, neben Dateien auch statische Webseiten auf den Cloud-Speichern zu hosten, in deren Quellcode Spam-URLs eingebettet wurden. Diese URLs werden über authentisch wirkende Textnachrichten verbreitet, wodurch Beschränkungen einer möglicherweise vorhandenen Firewall geschickt umgangen werden. Die Nutzer sollen dazu gebracht werden, von ihren mobilen Geräten auf Links zur genutzten Cloud-Plattform zu klicken, die sie dann automatisch zu der statischen Website in der Cloud weiterleiten oder umleiten, ohne dass der Nutzer dies bemerkt.

Ziel dieser Angriffsart ist es vorrangig, den Filtern der Firewalls zu entgehen und dabei möglichst vertrauenswürdig auf das Opfer zu wirken. Um das zu bewerkstelligen, erhält dieser daher zunächst eine harmlos wirkende SMS. Die Nachrichten enthalten oft ein besonders verlockendes Angebot oder erwecken den Eindruck von Dringlichkeit. So verleiten sie die Empfänger dazu, auf einen Link zu klicken. Dieser Link leitet sie dann jedoch auf eine bösartige Website um, die geschickt als legitime Website getarnt ist.

Laut der Untersuchung von Enea wird beispielsweise die Domain "storage.googleapis.com" von Google Cloud Storage von Angreifern verwendet, um auf eine statische Webseite zu verweisen, die in einem Bucket auf der Plattform gehostet wird. Die Spam-Webseite wird von dieser Website mit der "HTML-Meta-Refresh"-Methode geladen, einer Technik, die in der Web-Entwicklung verwendet wird, um eine Webseite nach einem bestimmten Zeitraum automatisch zu aktualisieren oder weiterzuleiten. Diese gefälschten Websites, die etwa auf Cloud-Speicher-Buckets mit Namen wie "dfa-b.html" auf Google Cloud Storage gehostet werden, zielen darauf ab, persönliche Informationen wie Bankdaten zu stehlen, sobald die Nutzer sie eingeben, beispielsweise um eine auf der Website angebotene Geschenkarte zu kaufen.

Der Schutz vor derartigen Phishing-Kampagnen ist schwierig, da die Kriminellen beim Smishing herkömmliche Sicherheitsmaßnahmen wie Firewalls geschickt umgehen und das Blocken von URLs zu Cloud-Anbietern wenig sinnvoll ist. Das Das 8com Cyber Defense Center hebt in diesem Zusammenhang hervor, dass auch vermeintlich "alte" Kommunikationswege wie SMS von Cyberkriminellen genutzt werden.