Kategorien
Seiten
-

IT Center Blog

Wie kommt der Banking-Trojaner zu mir? Per E-Mail? NEIN: per SMS!

24. März 2021 | von

Als Mitarbeitender eines „Security Operations Center“ (SOC) erhält man viele ungewöhnliche E-Mails. Zusätzlich finden aber auch die üblichen SPAM E-Mails ihren Weg ins Postfach. Ob Phishing in Form einer Aufforderung sein Passwort sofort zu ändern, Sextortion oder E-Mails, die darüber informieren, der Rechner sei gehackt worden; diese Methoden sind inzwischen bekannt.

Interessant wird es bei ungewöhnlichen Vorgängen, wie beispielsweise einer SMS. Der SOC-Mitarbeitender erhielt eine SMS, die von seinem Smartphone sofort als „SPAM“ markiert wurde:

Quelle: Eigene Darstellung

WAS? SPAM per SMS?

Das weckt Neugierde! Dabei lautete die Meldung wie folgt:

            “Ihr Paket wurde verschickt. Bitte

            überprüfen und akzeptieren Sie es.

            http://tinyurl.com/********”

Ein gefährliches Geschenk! Auf diesen Link solltet ihr lieber nicht klicken!

In Corona-Zeiten ist eine solche Aufforderung natürlich besonders verlockend. Märkte sind geschlossen und der Online-Einkauf boomt. Jeder erwartet irgendwann ein Paket, oder? Diese Meldung ist etwas zu lapidar. Natürlich durfte der Empfänger dieser SMS im Rahmen seiner beruflichen Aktivität bereits einiges an Erfahrungen in dieser Hinsicht sammeln. Bei dieser Art SMS lassen sich einige Muster erkennen.

Da will doch jemand, dass ich draufklicke, oder?

An dieser Stelle wird es spannend (und auch ein wenig technisch). Bei dieser Web-Adresse handelt es sich um einen Link zum URL-Verkürzungsdienst „tinyurl“. Dieser Dienst ermöglicht es dem Nutzenden eine lange URL zu hinterlegen, die dann über eine recht kurze URL, wie beispielsweise in der oben dargestellten SMS einfach weitergeleitet wird. „bitly“ wäre ein weiterer dieser Dienste.

Diese Dienste lassen sich gut dazu nutzen, eine URL wie “http://hier-gibts-viren.de” zu verstecken. In solchen Fällen öffnet ein SOC-Mitarbeitender den Link selbstverständlich nicht über sein Smartphone oder im Webbrowser, sondern nutzt Spezialwerkzeuge, wie beispielsweise “Curl” oder “Wget”, um solch eine URL zu öffnen. Das Ergebnis lautet “404 – page not found”. Das Ergebnis wäre übrigens dasselbe, wenn man diese URL vom PC aus öffnen würde.

Doch was hat es damit auf sich?

Erstmal ganz wichtig: Jeder Webbrowser übermittelt, welche Software er auf welchem Betriebssystem ist. Diese übermittelte Information nennt sich User-Agent-String. In diesem User-Agent-String tauchen also unter anderem Informationen wie „Windows“, „Mac OS X“, „Linux“, „Android“ auf. In diesem Fall kommt lediglich beim User-Agent „Android“ etwas „sinnvolles“ von der Webseite zurück. Ein JavaScript-Programm dekodiert dann den verschlüsselten Text und spuckt folgende Meldung auf das Endgerät aus:

“Um bessere Suchergebnisse zu erhalten, aktualisieren Sie bitte auf die neueste Chrome-Version.

Im Hintergrund würde dann automatisch eine neue Software für das Android Smartphone heruntergeladen werden. Was dann genau passieren würde, weiß der SOC-Mitarbeitender nicht, denn es wurde nie ausprobiert. Was Virenscanner dazu meinen, kann jedoch bei einem Dienst nachgeprüft werden, den jeder kennen sollte. Dieser geniale und dazu noch kostenlose Dienst nennt sich virustotal.com. Nutzende haben dort die Möglichkeit URLs und Dateien hochzuladen und die Meinungen von diversen Virenscanner zu diesen Inhalten zu erhalten.

In dem Fall der SMS war das Ergebnis bei einigen Virenscanner eindeutig: ein Banking-Trojaner. Alle Details des VirusTotal Scans könnt ihr übrigens unter der dazugehörigen URL einsehen.

Wenn es sich bei dieser SMS um einen Einzelfall gehandelt hätte, wäre dieser Text vielleicht nicht entstanden. Drei Wochen später erhielt der SOC-Mitarbeitender jedoch eine weitere ähnliche SMS. Vor dieser neuen “Seuche” sollten wir uns also in Zukunft schützen. Bleibt also immer kritisch – nicht nur bei E-Mails, sondern eben auch bei SMS. Im Zweifel könnt ihr jederzeit Dienste wie virustotal.com um Rat bitten.

 

Verantwortlich für die Inhalte dieses Beitrags sind Jens Hektor und Stéphanie Bauens.

7 Antworten zu “Wie kommt der Banking-Trojaner zu mir? Per E-Mail? NEIN: per SMS!”

  1. Mihael sagt:

    Danke für diesen Beitrag. Ich nehme virustotal.com gleich mal in meine Lesezeichenleiste mit auf. Dieses Smishing hat ja inzwischen total Überhand genommen.

    • Kaminski, Nicole Terese sagt:

      Hallo Mihael,
      vielen Dank für deinen Kommentar!
      Mit diesen Beitrag möchten wir genau das erreichen: Aufmerksamkeit und Sensibilisierung für dieses Thema 🙂

      Viele Grüße,
      das IT Center Blog Team

  2. Markus sagt:

    Interessanter Beitrag.
    Es wäre noch interesant, wenn es von virustotal.com ein Applet geben würde, das man direkt in den Browser einbinden könnte und somit automatisch vor virusbeladenen URLS direkt gewarnt wird.
    Frohe Ostern 🙂

  3. Uwe Werner sagt:

    Sehr geehrte Damen und Herren,

    interessanter Artikel. Wurde an unsere Kunden weitergeleitet! Neben „Virustotal.com“ fällt mir spontan noch „https://virusscan.jotti.org/de“ der ähnliches bietet. Nicht ganz so viele Antiviren Scanner.

    Viele Grüße
    Uwe Werner

    • Jörres, Linda sagt:

      Hallo Uwe,
      vielen Dank für dein positives Feedback und deinen Hinweis!
      Wir werden die Information gerne an unsere zuständige Fachabteilung weiterleiten.
      Viele Grüße,
      das IT Center Blog Team