Thought Leadership
Kriminelle nutzen gefälschte Captchas um Nutzer zum Senden teurer Auslands SMS zu verleiten. Das Ergebnis sind hohe Gebühren durch Telefonbetrug weltweit.
Sicherheitsforscher von infoblox warnen vor einer technologisch ausgefeilten Methode des Betrugs im Bereich der Telekommunikation. Diese Methode missbraucht das alltägliche Vertrauen der Nutzer in Sicherheitsüberprüfungen im Internet. Bei dieser speziellen Masche werden Captchas als Werkzeug für den sogenannten International Revenue Share Fraud eingesetzt. Das Ziel dieser Abfragen ist es normalerweise zu beweisen, dass ein Mensch und kein Computer vor dem Bildschirm sitzt. In diesem Fall verleiten die manipulierten Seiten die Besucher jedoch dazu, unbemerkt kostspielige SMS Nachrichten an Ziele im Ausland zu versenden. Anstatt die Sicherheit zu erhöhen dienen diese Abfragen einzig der Bereicherung krimineller Netzwerke.
Manipulierte Sicherheitsabfragen als Falle für Mobilfunkrechnungen
Die Funktionsweise dieser Kampagnen ist ebenso simpel wie effektiv gestaltet. Nutzer gelangen häufig über Domains die bekannten Marken täuschend ähnlich sehen oder durch bösartige Werbung auf die präparierten Webseiten. Dort erscheint ein täuschend echt wirkendes Captcha. Sobald der Anwender auf eine Antwortmöglichkeit klickt, wird im Hintergrund ein Befehl in JavaScript ausgeführt. Anstatt den Zugriff auf die gewünschten Inhalte freizugeben, öffnet das System die Anwendung für Kurznachrichten auf dem Smartphone des Opfers. Die Nachricht ist bereits mit einem Text wie zum Beispiel „Ich möchte fortfahren“ und einer Liste von vielen Empfängern ausgefüllt. Ein einziger Klick des Nutzers auf die Schaltfläche zum Senden löst daraufhin den Versand von Nachrichten an viele internationale Rufnummern gleichzeitig aus. In aktuellen Untersuchungen generierte eine einzige Sitzung bis zu 60 solcher Nachrichten was zu unmittelbaren Kosten von etwa 30 US Dollar führen kann.
Automatisierte Prozesse leiten SMS Nachrichten an teure Auslandsziele
Diese Form des Betrugs macht sich das globale System der Abrechnung zwischen Mobilfunk Anbietern zunutze. Wenn eine Nachricht in das Ausland versendet wird zahlt der Anbieter des Absenders eine Gebühr an den Anbieter im Zielland um die Verbindung abzuschließen. Betrüger mieten gezielt Blöcke von Rufnummern in Ländern mit besonders hohen Gebühren oder einer schwachen Kontrolle durch die Behörden an. Zu den identifizierten Zielen gehören unter anderem Aserbaidschan und Ägypten sowie Myanmar und Kasachstan oder auch die Ukraine. Durch spezielle Verträge zur Beteiligung am Umsatz erhalten die Hintermänner einen Prozentsatz dieser hohen Entgelte für die Verbindungen. Berichte über weltweiten Betrug zeigen, dass künstlich aufgeblähter Datenverkehr die finanziell schädlichste Form des Missbrauchs von Kurznachrichten weltweit ist. Viele Anbieter von Telekommunikation melden in diesem Bereich signifikante Verluste die jedes Jahr in die Milliarden gehen.
Das System der Umsatzbeteiligung durch internationale Gebühren
Die technische Infrastruktur hinter diesen Kampagnen ist hochgradig professionell aufgebaut. Die Verbreitung der Seiten erfolgt über komplexe Systeme zur Verteilung von Datenverkehr. Diese Systeme fungieren als intelligente Weichen welche die Besucher filtern. Sie leiten gezielte Opfer auf die schädlichen Seiten weiter, während Forscher oder automatisierte Programme oft auf harmlose Inhalte umgeleitet werden um die Entdeckung zu erschweren. Fachleute konnten nachweisen, wie Nutzer über eine lange Kette von Umleitungen zu den gefälschten Captcha-Seiten geführt wurden. Ein weiteres technisches Merkmal ist das Hijacking der Zurück Schaltfläche im Browser. Hierbei nutzt die Webseite Methoden um den Verlauf im Browser zu manipulieren. Wenn ein Nutzer versucht die Seite zu verlassen, wird er in einer Schleife gefangen gehalten und immer wieder auf die Betrugsseite oder eine andere schädliche Adresse zurückgeführt.
Manipulation der Browser Steuerung und gezielte Umleitungen
Die Analysen der Netzwerke zeigen dass die Infrastruktur für diesen Betrieb seit mindestens Juni 2020 besteht. Ein großer Teil der verwendeten Adressen wird bei einem Anbieter in Spanien gehostet der unter der Bezeichnung Adam Ecotech bekannt ist. Die Akteure arbeiten dabei oft als Partner eines Netzwerks für Werbung, das sich auf das Modell Click2SMS spezialisiert hat. Dieses Modell generiert Einnahmen durch die direkte Abrechnung über den Anbieter des Mobilfunks. Dabei werden Nutzer mit nur einem Klick zum Versenden von Nachrichten animiert. Die Seiten mit den Betrugsversuchen enthalten oft einen rechtlich wirkenden Text im Kleingedruckten. Dieser soll als Ausschluss der Haftung fungieren. Darin wird die Abfrage als ein Austausch von Dienstleistungen deklariert. Die Verantwortung für die Recherche der Kosten für den Versand ins Ausland wird dabei dem Nutzer zugeschoben. Fachleute bewerten dies als eine bewusste Irreleitung der Konsumenten.
Professionelle Netzwerke nutzen Schwachstellen der Telekommunikation
Die Gefahr für den Einzelnen ist bei dieser Form des Betrugs schwer zu erkennen, da die Kosten oft erst nach Wochen auf der monatlichen Abrechnung der Mobilfunkkosten erscheinen. Zu diesem Zeitpunkt haben die meisten Betroffenen den Besuch der Webseite bereits wieder vergessen. Auch die Anbieter der Netze tragen einen großen Schaden davon. Sie müssen einerseits die Gebühren an die Zielländer abführen und werden andererseits mit Beschwerden der Kunden und Rückbuchungen konfrontiert. Da die Operationen über viele verschiedene Länder und unterschiedliche Anbieter verteilt sind, ist es für eine einzelne Behörde fast unmöglich, das gesamte Ausmaß des Betrugs zu erfassen. Dies erlaubt es den kriminellen Gruppen über lange Zeiträume unentdeckt zu bleiben und ihre Kampagnen immer wieder anzupassen. Die Fragmentierung der rechtlichen Rahmenbedingungen in verschiedenen Ländern spielt den Tätern dabei zusätzlich in die Hände.
Notwendige Vorsicht bei Aufforderungen zur Identitätsbestätigung
Die zentrale Empfehlung von Experten lautet: Senden Sie niemals eine SMS Nachricht um zu beweisen, dass Sie ein Mensch sind oder um eine Prüfung durch ein Captcha zu bestehen. Echte Systeme zur Verifizierung der Identität erfordern niemals den manuellen Versand von Nachrichten durch den Nutzer selbst. Seriöse Anbieter nutzen für solche Zwecke Verfahren die innerhalb des Browsers ablaufen und keine Kosten verursachen. Sollten Sie auf eine Aufforderung stoßen die Ihre App für Kurznachrichten öffnet, sollten Sie den Vorgang sofort abbrechen und das Fenster oder den Tab im Browser schließen. Es ist zudem ratsam, regelmäßig die Einzelverbindungsnachweise der Telefonrechnung zu prüfen um unberechtigte Abbuchungen frühzeitig zu erkennen. Nur durch erhöhte Aufmerksamkeit und das Wissen um diese technischen Tricks lässt sich ein finanzieller Schaden durch diese globale Betrugsmasche effektiv vermeiden.
