{"id":8645,"date":"2021-03-24T13:00:13","date_gmt":"2021-03-24T12:00:13","guid":{"rendered":"https:\/\/blog.rwth-aachen.de\/itc\/?p=8645"},"modified":"2023-05-17T11:51:23","modified_gmt":"2023-05-17T09:51:23","slug":"spam-per-sms","status":"publish","type":"post","link":"https:\/\/blog.rwth-aachen.de\/itc\/2021\/03\/24\/spam-per-sms\/","title":{"rendered":"Wie kommt der Banking-Trojaner zu mir? Per E-Mail? NEIN: per SMS!"},"content":{"rendered":"<div class=\"twoclick_social_bookmarks_post_8645 social_share_privacy clearfix 1.6.4 locale-de_DE sprite-de_DE\"><\/div><div class=\"twoclick-js\"><script type=\"text\/javascript\">\/* <![CDATA[ *\/\njQuery(document).ready(function($){if($('.twoclick_social_bookmarks_post_8645')){$('.twoclick_social_bookmarks_post_8645').socialSharePrivacy({\"txt_help\":\"Wenn Sie diese Felder durch einen Klick aktivieren, werden Informationen an Facebook, Twitter, Flattr, Xing, t3n, LinkedIn, Pinterest oder Google eventuell ins Ausland \\u00fcbertragen und unter Umst\\u00e4nden auch dort gespeichert. N\\u00e4heres erfahren Sie durch einen Klick auf das <em>i<\\\/em>.\",\"settings_perma\":\"Dauerhaft aktivieren und Daten\\u00fcber-tragung zustimmen:\",\"info_link\":\"http:\\\/\\\/www.heise.de\\\/ct\\\/artikel\\\/2-Klicks-fuer-mehr-Datenschutz-1333879.html\",\"uri\":\"https:\\\/\\\/blog.rwth-aachen.de\\\/itc\\\/2021\\\/03\\\/24\\\/spam-per-sms\\\/\",\"post_id\":8645,\"post_title_referrer_track\":\"Wie+kommt+der+Banking-Trojaner+zu+mir%3F+Per+E-Mail%3F+NEIN%3A+per+SMS%21\",\"display_infobox\":\"on\"});}});\n\/* ]]> *\/<\/script><\/div><p>Als Mitarbeitender eines &#8222;Security Operations Center&#8220; (SOC) erh\u00e4lt man viele ungew\u00f6hnliche E-Mails. Zus\u00e4tzlich finden aber auch die \u00fcblichen SPAM E-Mails ihren Weg ins Postfach. Ob Phishing in Form einer Aufforderung sein Passwort sofort zu \u00e4ndern, Sextortion oder E-Mails, die dar\u00fcber informieren, der Rechner sei gehackt worden; diese Methoden sind inzwischen bekannt.<\/p>\n<p>Interessant wird es bei ungew\u00f6hnlichen Vorg\u00e4ngen, wie beispielsweise einer SMS. Der SOC-Mitarbeitender erhielt eine SMS, die von seinem Smartphone sofort als &#8222;SPAM&#8220; markiert wurde:<\/p>\n<div id=\"attachment_8650\" style=\"width: 810px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2021\/03\/SMS_SPAM.jpg\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-8650\" class=\"wp-image-8650\" src=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2021\/03\/SMS_SPAM.jpg\" alt=\"\" width=\"800\" height=\"450\" srcset=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2021\/03\/SMS_SPAM.jpg 807w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2021\/03\/SMS_SPAM-300x169.jpg 300w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2021\/03\/SMS_SPAM-768x432.jpg 768w\" sizes=\"auto, (max-width: 800px) 100vw, 800px\" \/><\/a><p id=\"caption-attachment-8650\" class=\"wp-caption-text\">Quelle: Eigene Darstellung<\/p><\/div>\n<p><!--more--><\/p>\n<h2>WAS? SPAM per SMS?<\/h2>\n<p>Das weckt Neugierde! Dabei lautete die Meldung wie folgt:<\/p>\n<p><em>\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/em><em>\u201cIhr Paket wurde verschickt. Bitte<\/em><\/p>\n<p><em>\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 \u00fcberpr\u00fcfen und akzeptieren Sie es.<\/em><\/p>\n<p><em>\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 http:\/\/tinyurl.com\/<\/em><em>********\u201d<\/em><\/p>\n<p>Ein gef\u00e4hrliches Geschenk! Auf diesen Link solltet ihr lieber nicht klicken!<\/p>\n<p>In Corona-Zeiten ist eine solche Aufforderung nat\u00fcrlich besonders verlockend. M\u00e4rkte sind geschlossen und der Online-Einkauf boomt. Jeder erwartet irgendwann ein Paket, oder? Diese Meldung ist etwas zu lapidar. Nat\u00fcrlich durfte der Empf\u00e4nger dieser SMS im Rahmen seiner beruflichen Aktivit\u00e4t bereits einiges an Erfahrungen in dieser Hinsicht sammeln. Bei dieser Art SMS lassen sich einige Muster erkennen.<\/p>\n<h2>Da will doch jemand, dass ich draufklicke, oder?<\/h2>\n<p>An dieser Stelle wird es spannend (und auch ein wenig technisch). Bei dieser Web-Adresse handelt es sich um einen Link zum URL-Verk\u00fcrzungsdienst &#8222;tinyurl&#8220;. Dieser Dienst erm\u00f6glicht es dem Nutzenden eine lange URL zu hinterlegen, die dann \u00fcber eine recht kurze URL, wie beispielsweise in der oben dargestellten SMS einfach weitergeleitet wird. &#8222;bitly&#8220; w\u00e4re ein weiterer dieser Dienste.<\/p>\n<p>Diese Dienste lassen sich gut dazu nutzen, eine URL wie \u201chttp:\/\/hier-gibts-viren.de\u201d zu verstecken. In solchen F\u00e4llen \u00f6ffnet ein SOC-Mitarbeitender den Link selbstverst\u00e4ndlich nicht \u00fcber sein Smartphone oder im Webbrowser, sondern nutzt Spezialwerkzeuge, wie beispielsweise \u201cCurl\u201d oder \u201cWget\u201d, um solch eine URL zu \u00f6ffnen. Das Ergebnis lautet \u201c404 \u2013 page not found\u201d. Das Ergebnis w\u00e4re \u00fcbrigens dasselbe, wenn man diese URL vom PC aus \u00f6ffnen w\u00fcrde.<\/p>\n<h2><strong>Doch was hat es damit auf sich?<\/strong><\/h2>\n<p>Erstmal ganz wichtig: Jeder Webbrowser \u00fcbermittelt, welche Software er auf welchem Betriebssystem ist. Diese \u00fcbermittelte Information nennt sich User-Agent-String. In diesem User-Agent-String tauchen also unter anderem Informationen wie &#8222;Windows&#8220;, &#8222;Mac OS X&#8220;, &#8222;Linux&#8220;, &#8222;Android&#8220; auf. In diesem Fall kommt lediglich beim User-Agent &#8222;Android&#8220; etwas &#8222;sinnvolles&#8220; von der Webseite zur\u00fcck. Ein JavaScript-Programm dekodiert dann den verschl\u00fcsselten Text und spuckt folgende Meldung auf das Endger\u00e4t aus:<\/p>\n<p><em>\u201cUm bessere Suchergebnisse zu erhalten, aktualisieren Sie bitte auf die<\/em><em> neueste Chrome-Version.<\/em><em>\u201d<\/em><\/p>\n<p>Im Hintergrund w\u00fcrde dann automatisch eine neue Software f\u00fcr das Android Smartphone heruntergeladen werden. Was dann genau passieren w\u00fcrde, wei\u00df der SOC-Mitarbeitender nicht, denn es wurde nie ausprobiert. Was Virenscanner dazu meinen, kann jedoch bei einem Dienst nachgepr\u00fcft werden, den jeder kennen sollte. Dieser geniale und dazu noch kostenlose Dienst nennt sich <a href=\"https:\/\/www.virustotal.com\/\">virustotal.com<\/a>. Nutzende haben dort die M\u00f6glichkeit URLs und Dateien hochzuladen und die Meinungen von diversen Virenscanner zu diesen Inhalten zu erhalten.<\/p>\n<p>In dem Fall der SMS war das Ergebnis bei einigen Virenscanner eindeutig: ein Banking-Trojaner. Alle Details des VirusTotal Scans k\u00f6nnt ihr \u00fcbrigens unter der <a href=\"https:\/\/www.virustotal.com\/gui\/file\/92159956991a93d6153454883472e3ad19896e87afdc3f9eb058a67ea4aae22d\/detection\">dazugeh\u00f6rigen URL<\/a> einsehen.<\/p>\n<p>Wenn es sich bei dieser SMS um einen Einzelfall gehandelt h\u00e4tte, w\u00e4re dieser Text vielleicht nicht entstanden. Drei Wochen sp\u00e4ter erhielt der SOC-Mitarbeitender jedoch eine weitere \u00e4hnliche SMS. Vor dieser neuen \u201cSeuche\u201d sollten wir uns also in Zukunft sch\u00fctzen. Bleibt also immer kritisch \u2013 nicht nur bei E-Mails, sondern eben auch bei SMS. Im Zweifel k\u00f6nnt ihr jederzeit Dienste wie <a href=\"https:\/\/www.virustotal.com\/\">virustotal.com<\/a> um Rat bitten.<\/p>\n<p>&nbsp;<\/p>\n<p>Verantwortlich f\u00fcr die Inhalte dieses Beitrags sind <a href=\"https:\/\/www.itc.rwth-aachen.de\/go\/id\/epvp\/gguid\/0x557BA092EFB82F45A9305B664D9E72B9\/allou\/1\/\">Jens Hektor<\/a> und <a href=\"https:\/\/www.itc.rwth-aachen.de\/cms\/IT-Center\/IT-Center\/Team\/~epvp\/Mitarbeiter-CAMPUS-\/?gguid=0x2C5E1B0A3DA32A45AB293A42E93EEC07&amp;allou=1&amp;lidx=1\">St\u00e9phanie Bauens<\/a>.<\/p>","protected":false},"excerpt":{"rendered":"<p>Als Mitarbeitender eines &#8222;Security Operations Center&#8220; (SOC) erh\u00e4lt man viele ungew\u00f6hnliche E-Mails. Zus\u00e4tzlich finden aber auch die \u00fcblichen SPAM E-Mails ihren Weg ins Postfach. Ob Phishing in Form einer Aufforderung [&hellip;]<\/p>\n","protected":false},"author":2051,"featured_media":8650,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"c2c_always_allow_admin_comments":false,"footnotes":""},"categories":[314],"tags":[61,49],"class_list":["post-8645","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-sicherheit","tag-it-sicherheit","tag-spam"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/8645","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/users\/2051"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/comments?post=8645"}],"version-history":[{"count":9,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/8645\/revisions"}],"predecessor-version":[{"id":15634,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/8645\/revisions\/15634"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/media\/8650"}],"wp:attachment":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/media?parent=8645"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/categories?post=8645"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/tags?post=8645"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}