Social-Engineering
SMS-Phishing: Hacker bestehlen iranische Bürger in Milliarden-Höhe
Gefälschte Nachrichten im Namen der iranischen Regierung
Check Point Research enttarnte eine große Social-Engineering-Kampagne im Iran . Internet-Verbrecher schicken dort SMS im Namen der iranischen Regierung, um Staatsbürger zu verleiten, verseuchte Android-Anwendungen herunterzuladen. Diese wiederrum tarnen sich als offizielle Apps der Behörden, wie der Elektronische Iranische Gesetzesdienst, und bitten Nutzer um personenbezogene Informationen, wie Kreditkarten und die über SMS geschickte Kennung zur Multi-Faktor-Authentifizierung.
Außerdem knacken die Anwendungen das Smartphone – dirigiert von einem Command-and-Control-Server – und stehlen SMS-Nachrichten. Darüber hinaus gehen die Hacker dazu über, Geld-Überweisungen an sich vorzunehmen und zusätzlich das Handy in einen Bot zu wandeln. Dieses wirkt nun wie ein klassischer Wurm und verschickt SMS an andere Handys. So verbreitet sich die Malware schnell. Die Sicherheitsforscher von Check Point gehen von tausenden infizierter Geräte aus und einer gestohlenen Summe von 1000 US-Dollar bis 2000 US-Dollar (882 Euro bis 1764 Euro) je Gerät. Das häuft sich zu einer Menge von mehreren Milliarden iranischer Rial (1 Euro ist 1,13 Rial). Die gestohlenen Daten der Nutzer sind zudem, laut der Forscher, frei im Internet verfügbar.
Abbildung: Angriffsweg der Social-Engineering-Attacken im Iran.
Besorgniserregend: Die Hacker verkaufen ihre Software über Telegram-Kanäle für mindestens 50 US-Dollar (44 Euro) bis 150 US-Dollar (132 Euro) als Android Campaign Kit. Es beinhaltet die verseuchten Anwendungen, die Infrastruktur dahinter und eine Konsole zur Kontrolle des Vorgangs über Telegram Bots, die einfach genug zu bedienen ist, dass sogar unerfahrene Angreifer sie nutzen können.
Diese Entdeckung fällt mitten in eine Reihe größerer virtueller Attacken gegen den Iran, darunter Angriffe auf den Zugverkehr und Tankstellen. Alexandra Gofman, Threat Intelligence Team Leader bei Check Point Software Technologies, erklärt: „Für die Bevölkerung des Iran werden zunehmend Cyber-Angriffe zur Beeinträchtigung ihres Alltags. Es begann mit dem Angriff auf die Eisenbahn, den wir einer Gruppe namens Indra zuordnen konnten. Sie setzten sich bei Tankstellen und bei der nationalen Luftfahrtgesellschaft fort. Jetzt erleben wir eine weitere Attacke, die für Schlagzeilen und Chaos sorgt und vielen Menschen im Iran schaden kann. Wir sehen keinen direkten Zusammenhang zwischen dieser Attacke und den großen zuvor. Wir gehen außerdem davon aus, dass diese jüngste Attacke nur finanziell motiviert ist. Die Kriminellen stammen wahrscheinlich aus dem Iran.
Beispiellos sind die Geschwindigkeit und Verbreitung dieser Kampagne, die sich an die breite Öffentlichkeit richtet. Die Kampagne nutzt Social Engineering und fügt ihren Opfern trotz der geringen Qualität des Angriffs und der technischen Einfachheit der Software großen finanziellen Schaden zu. Für diesen Erfolg gibt es einige Gründe: Erstens, wenn es sich um offiziell aussehende Regierungsnachrichten handelt, sind viele Bürger geneigt, auf den angegebenen Link zu klicken. Zweitens, es verbreiten sich diese Kampagnen aufgrund des Bot-Netz-Charakters dieser Angriffe, bei denen jedes infizierte Gerät den Befehl erhält, weitere Phishing-SMS zu versenden, schnell an eine große Zahl anderer Geräte. Zu bedenken ist: Obwohl diese speziellen Kampagnen derzeit im Iran weit verbreitet sind, können sie in jedem anderen Teil der Welt plötzlich stattfinden. Ich denke, es ist daher wichtig, das Bewusstsein für Social-Engineering-Methoden zu schärfen.“
