Sicher & Anonym

Betrugsserie per SMS: BSI warnt vor "Smishing"-Welle zur Paketverfolgung

Auf immer mehr Mobiltelefonen gehen SMS etwa zur Sendungsnachverfolgung ein, über die der Banking-Trojaner FluBot installiert wird. Das BSI mahnt zur Vorsicht

Foto: Adem Ay / Unsplash

Seit Tagen erhalten Nutzer von Smartphones und anderen Handys verstärkt Kurznachrichten, die zum Klicken eines Links auffordern. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dahinter eine "Smishing"-Welle ausgemacht (SMS-Phishing), über die per gefälschten Mitteilungen Zugangsdaten ergaunert werden. Aktuell befinde sich in den Handy-Mitteilungen ein Link, hinter dem sich in den meisten aktuell beobachteten Fällen das Android-Schadprogramm FluBot verberge.

Malware-App für Android, Phishing-Websites für iOS

Dieser Banking-Trojaner, der vertrauliche Daten auszuspähen und Apps für die Online-Kontenführung oder zur Depotverwaltung anzuzapfen versucht, ist laut dem BSI seit etwa November 2020 im Umlauf. Die Täter geben etwa vor, dass die Empfänger der SMS bald ein Paket erhalten oder eine Sendung zurück an den Absender gehen soll. Android-Nutzer bekommen über den Link die schädliche FluBot-App zum Download angeboten, die dann zahlreiche Berechtigungen einfordert. Dabei tarnen die Kriminellen die Malware als eine für die Paketverfolgung angeblich notwendige Anwendung von bekannten Logistikunternehmen wie DHL, Deutsche Post oder FedEx.

Auf iPhones oder iPads funktioniert der Download nicht. Nutzer von Geräten mit iOS-Systemen landen in der Regel auf Werbe- oder Phishing-Seiten. Dort lauern Abofallen, Angebote für dubiose Geldanlagen oder andere Schadsoftware.

Nicht auf den Link klicken!

Beim Erhalt einer verdächtigen SMS sei es wichtig, nicht auf den Link zu klicken und die Nachricht umgehend nach Erhalt zu löschen, rät das BSI. "Sollte Ihnen der Absender oder die Absenderin bekannt sein, rufen Sie ihn oder sie zum Beispiel an und fragen Sie nach der Richtigkeit." Zugleich sei es empfehlenswert, den Absender über das Betriebssystem zu sperren. Generell sollte unter Android die Installation von Apps aus unbekannten Quellen deaktiviert werden. Über den Mobilfunkanbieter lasse sich zudem eine Drittanbietersperre aktivieren, um unerwünschte Abbuchungen zu vermeiden.

Nutzer, die auf einen einschlägigen Link geklickt oder sogar bereits den Trojaner installiert haben, sollten der Behörde zufolge das Gerät in den Flugmodus schalten und so vom Mobilfunknetz trennen. Im Anschluss sei der Provider über den Fall zu informieren. Parallel sollten Betroffene ihr Bankkonto und Ihren Zahlungsdienstleister auf nicht selbst veranlasste Abbuchungen überprüfen.

Empfehlung: Strafanzeige erstatten

"Erstatten Sie Strafanzeige bei der örtlichen Polizeidienststelle", empfiehlt das BSI weiter. Dabei sollte das Smartphone für "Beweissicherungen" mitgenommen werden. Im Anschluss sollte das Gerät auf die Werkseinstellungen zurückgesetzt werden. Alle gespeicherten und installierten Daten gingen dabei zwar verloren. Der Schritt sei aber nötig, "um die über die aktuellen SMS-Spam-Nachrichten verteilten Android-Schadprogramme vollständig zu entfernen".

"Seit den Ostertagen ist in manchen Fällen sogar eine persönliche Anrede zu beobachten", verweist das Amt auf neue Tricks der Betrüger. Das Smishing-Phänomen an sich sei nicht neu. So habe es das "Bürger-CERT" etwa schon in einem Newsletter Mitte Februar aufgegriffen. Damals sei Betroffenen auf diesem Weg das Android Schadprogramm MoqHao untergejubelt worden.

SMS-Flut losgetreten

Auch Strafverfolgungsbehörden wie das Polizeipräsidium Nordhessen, die Kollegen in Neubrandenburg und das Landeskriminalamt Niedersachsen warnten bereits vor der perfiden Betrugswelle. Die hessischen Ordnungshüter mahnten dabei zur besonderen Vorsicht: Aufgrund der hohen Nachfrage im Online-Handel während der Corona-Pandemie "erwarten viele Menschen tatsächlich ein Paket und klicken auf den folgenschweren Link in der SMS." Der Trojaner verbreite sich dann "wie ein Schneeballsystem unter den gespeicherten Kontaktdaten des Betroffenen". Dies löse eine regelrechte SMS-Flut aus.

Die IT-Sicherheitsfirma Eset wittert hinter der Serie derweil einen Zusammenhang mit den jüngsten Problemen rund um ein massives Datenleck bei Facebook. Die Kampagne nehme in Deutschland rasant Fahrt auf. Der Einsatz solcher gestohlenen Datensätze sei nicht unüblich und beschleunige die Verbreitung der Schad-App enorm. FluBot wird laut dem Unternehmen offenbar in Untergrundforen als Malware-as-Service angeboten zu werden: "Die Täter scheinen die Infrastruktur des Banking-Trojaners lediglich gemietet zu haben." Festnahmen vermeintlicher Hintermänner in Spanien hätten die Welle nicht abgeschwächt.

 

 

Quelle: heise Online Redaktion

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben