So tricksen Betrüger die SMS-Filter der Provider aus

Phishing Report: More business-related phishing emails in circulation

Das BACS warnt vor einer Zunahme von Textnachrichten, welche die SMS-Filter der Schweizer Mobilfunkanbieter umgehen.

Phishing-Attacken per Textnachricht haben zuletzt stark zugenommen. Nach einer Welle von Textnachrichten, die angeblich auf eine nicht bezahlte Parkbusse hinweisen, folgen nun vermeintliche Paketbenachrichtigungen.

Interessanterweise kommen diese Textnachrichten allerdings nicht mehr über die klassische SMS, sondern über den RCS-Dienst, der vor allem bei Android-Geräten verbreitet ist oder über iMessage, dem Textnachrichtendienst von Apple. Auf diese Weise können die Betrüger die SMS-Filter der Mobilfunkprovider umgehen.

Angebliche Parkbussen

Das Bundesamt für Cybersicherheit (BACS) hat in den letzten zwei Wochen zahlreiche Meldungen über Textnachrichten erhalten, in denen behauptet wird, dass der Empfänger eine Parkbusse oder eine Busse für eine Geschwindigkeitsübertretung nicht bezahlt habe. Der Empfänger wird in der Nachricht unter Druck gesetzt, um auf den angegebenen Link zu klicken und dort persönliche Daten anzugeben.

Bei dem Link handelt es sich um einen so genannten Link-Shortener, also einen Kurz-Link. Diese Links werden häufig in Textnachrichten verwendet, um Platz zu sparen, haben aber den Nachteil, dass nicht ersichtlich ist, auf welche Seite der Link letztendlich führt. In den aktuellen Fällen führt der Link auf eine Phishing-Seite, auf der die Kreditkartendaten eingegeben werden sollen.

Falsche Paketnotifikationen

Beim zweiten Fall, den das BACS hervorhebt, geht es um eine bereits bekannte Vorgehensweise, die in der letzten Woche nun zusätzlich vermehrt via Textnachrichten verbreitet wurde. Dabei handelt es sich um Benachrichtigungen, in denen behauptet wird, ein Paket könne nicht zugestellt werden oder man müsse für eine Lieferung aus dem Ausland noch Zollgebühren bezahlen.

Dieses Vorgehen ist seit Jahren zu beobachten. Es gibt dabei zwei Varianten: Die eine Variante läuft auf ein klassisches Phishing hinaus. Die andere Variante führt in eine so genannte Abofalle, bei der der Nutzer ein nutzloses Abo abschliesst, das schnell zu einer Abbuchung von mehreren hundert Franken führen kann. Auch hier setzten die Angreifer in der letzten Woche beim Versand vermehrt auf den Nachrichtendienst iMessage von Apple.

RCS als neuer Verteilkanal

Auffällig ist, dass beide oben genannten Varianten nicht mehr über die klassische SMS, sondern über den sogenannten Rich Communication Service (RCS) respektive über iMessage versendet werden. RCS hat eine lange Geschichte und ist ein Kommunikationsstandard im Mobilfunk, der als Ersatz für den Kurznachrichtendienst SMS konzipiert wurde. Die Entwicklung geht auf das Jahr 2008 zurück, hat sich aber in den letzten Jahren noch nicht flächendeckend durchgesetzt.

Der Dienst wird vor allem auf Android-Geräten genutzt. Im September 2024 hat aber auch Apple den RCS in iOS18 implementiert, was dem Dienst weiteren Auftrieb geben dürfte. RCS funktioniert ähnlich wie WhatsApp, teilt aber das Adressbuch nicht mit dem jeweiligen Anbieter. Im Gegensatz zur klassischen SMS oder MMS, bei welcher der Versand separat berechnet wird, fallen bei RCS oder iMessage nur die Kosten für den Datenverkehr an.

Allerdings dürfte die Verwendung von RCS bei den Betrügern vor allem einen anderen Grund haben. Seit 2022 haben Swisscom, Salt und Sunrise einen SMS-Filter eingeführt. Der SMS-Filter ist dynamisch und überprüft täglich automatisiert und anonymisiert mehrere Millionen SMS-Nachrichten nach bestimmten Kriterien wie zum Beispiel gefährlichen Links. Mit dem Einsatz von RCS oder iMessage umgehen die Betrüger diese Filter. Die betrügerischen Textnachrichten kommen so ungehindert zu den potentiellen Opfern, was auch den sprunghaften Anstieg der Meldungen in den letzten beiden Wochen erklären dürfte.

Empfehlungen des BACS

Ignorieren Sie solche Textnachrichten.

Geben Sie auf keinen Fall sensible Daten wie Kreditkartendaten oder Passwörter auf einer Seite ein, welche Sie über einen Link in einer Textnachricht geöffnet haben.

Dasselbe gilt auch für E-Mails.

Seien Sie besonders vorsichtig bei Kurz-Links. Überprüfen Sie, ob Sie auch wirklich auf der richtigen Seite gelandet sind.