SMS-Verifizierung in der Hand von Kriminellen
SMS-Verifizierungsservices für die Registrierung für viele Online-Dienste werden von Cyberkriminellen dafür missbraucht, um massenhaft Wegwerfkonten zu registrieren oder zu erstellen, die sie für Betrug oder andere kriminelle Aktivitäten nutzen.
Save to Folio
Originalartikel von Zhengyu Dong, Ryan Flores, Vladimir Kropotov, Paul Pajares, Fyodor Yarochkin
Die Verifizierung per SMS (Short Message Service) bei der Registrierung für viele Online-Dienste – von kleinen Verkaufsplattformen bis zu multinationalen Organisationen, die kritische Dienstleistungen anbieten – ist zur Standardauthentifizierung geworden. Bestätigungscodes werden von Anbietern von Einmalpasswörtern (One Time Password, OTP) per SMS verschickt und als Teil des Zweifaktor-Authentifizierungsprozesses (2FA) verwendet. Die Plattformen gehen davon aus, dass die SMS-Verifizierung ausreicht, um die „Ein-Konto-pro-Person-pro-Smartphone“-Regel zu gewährleisten und Fake-Personen oder Bots von ihren Plattformen fern zu halten. Tatsächlich betrachten viele IT-Abteilungen weltweit die SMS-Verifizierung als „sicheres“ Validierungsinstrument für Benutzerkonten. In den letzten Jahren haben nun die Anbieter von Diensten für SMS-verifizierte Konten (Phone Verified Accounts, PVA) im Internet zugenommen, wobei Mobilnummern zum Zweck der Erstellung von Konten verkauft werden. Diese Art von Service nutzen Cyberkriminelle dafür, um massenhaft Wegwerfkonten zu registrieren oder telefonverifizierte Konten zu erstellen, um Betrug oder andere kriminelle Aktivitäten durchzuführen. Wir haben die Straftaten und Aktionen aufgezeigt, die durch solche Dienste ermöglicht werden, sowie die Auswirkungen dieser Dienste auf die Integrität der SMS-Kontoverifizierung.
Die Methoden zur Umgehung der SMS-Überprüfung sind nicht neu. Zu den älteren gehören das Vermieten von virtueller Handynummern, die Nutzung eines SMS-Gateway-Dienstes oder von VoIP-Systemen sowie der Kauf von vorgefertigten PVA im Untergrund. Moderne Services verkaufen lediglich die eigentlichen Verifizierungscodes, die zum Zeitpunkt der Kontoregistrierung benötigt werden.
Bei unserer Untersuchung von SMS-PVA-Services fanden wir einen Betreiber, der seinen Dienst (Smspva[.]net) auf einem Botnet mit Tausenden von infizierten Android-Telefonen aufgebaut hatte. Hier gibt es zwei Möglichkeiten: Die Smartphones könnten durch eine Malware infiziert werden, die der Benutzer versehentlich herunterlädt, oder es könnte schon bei der Herstellung des Geräts eine Malware geladen worden sein. Alle Details dazu beinhaltet der Bericht „SMS PVA: An Underground Service Enabling Threat Actors to Register Bulk Fake Accounts“.
Die betroffenen Android-Geräte werden verwendet, um die SMS-Verifizierungscodes ohne das Wissen und die Zustimmung ihrer Besitzer zu empfangen, zu parsen und zu melden. Durch die Verwendung infizierter Smartphones und die Konzentration auf Kontoverifizierungscodes können Betreiber von SMS-PVA-Diensten kostengünstigen Zugang zu Tausenden von Mobilfunknummern in verschiedenen Ländern anbieten und so massenhaft neue Konten registrieren und sie für bösartige Aktivitäten nutzen.
Elemente der SMS PVA Service-Operationen
Smspva[.]net und andere SMS PVA Services umfassen im Wesentlichen folgende Bestandteile: Mobilnummern (in vielen verschiedenen Ländern) werden nur die einmalige Verwendung geliefert. Plattformnutzer können lediglich für bestimmte Anwendungen eine SMS anfordern, die vom Dienstanbieter festgelegt werden.
Anpassbare Regular Expressions (Regex), die von Command and Control (C&C) bereitgestellt werden, sorgen dafür, dass die SMS-Abfangfunktionalität nicht nur auf Verifizierungscodes beschränkt ist. Vielmehr kann sie auf das Sammeln von OTP-Tokens ausgeweitet oder sogar als Überwachungsinstrument eingesetzt werden. Textnachrichten, die von bestimmten Diensten gesendet wurden und mit der vom C&C der Kriminellen bereitgestellten Regex übereinstimmen, werden abgefangen, damit der Benutzer des Android-Geräts nicht die bösartigen Aktivitäten entdecken kann. Die Malware bleibt unauffällig und sammelt nur die Textnachrichten, die mit der angeforderten Anwendung übereinstimmen, so dass sie diese Aktivität über lange Zeiträume hinweg unbemerkt fortsetzen kann.
Der SMS-PVA-Dienst kontrolliert auch die Art der Plattformen, auf denen die Kunden SMS empfangen können. Damit stellen die Betreiber des Dienstes sicher, dass auf den infizierten Telefonen keine offensichtlichen bösartigen Aktivitäten stattfinden. Wenn der Dienst beispielsweise den Diebstahl der Zweifaktor-Authentifizierung (2FA) für Banking-Apps zuließe, würden die echten Nutzer alarmiert werden und Maßnahmen ergreifen, was dazu führen würde, dass der SMS-PVA-Dienst seinen Wert verliert.
Online-Plattformen und -Dienste authentifizieren neue Konten häufig, indem sie bei der Registrierung den Standort des Nutzers überprüfen. So kann beispielsweise eine IP-Adresse verlangt werden, die mit dem geografischen Standort der für das Konto verwendeten Telefonnummer übereinstimmt. Um dies zu umgehen, verwenden SMS PVA-Anwender IP-Maskierungsdienste von Drittanbietern, wie z. B. Proxys oder virtuelle private Netzwerke (VPNs), um die IP-Adresse, die aufgezeichnet wird, zu ändern, wenn sie versuchen, eine Verbindung zu einem gewünschten Dienst herzustellen. Mithilfe der Trend Micro™ Smart Protection Network™ (SPN) Telemetrie haben wir festgestellt, dass die Benutzer von SMS PVA-Diensten eine Vielzahl von Proxy-Diensten und verteilten VPN-Plattformen verwenden, um die IP-Geolokalisierungsprüfungen zu umgehen.
Einzelheiten zum Ablauf der Aktionen beinhaltet der Originalbeitrag.
Missbrauch von SMS PVA Services
Für Kriminelle bieten diese SMS PVA Services mehrere Vorteile. Sie können Anonymität bewahren und ihre Online-Identitäten besser verstecken. Die Verwendung von Einmalnummern für Kontoregistrierungen verhindert, dass diese Konten und Nummern mit ihnen in Verbindung gebracht werden. Die Verknüpfung von SMS-PVA-Telefonnummern mit Online-Finanzdiensten ermöglicht eine „Kauf jetzt, zahl später“-Mikrofinanzierung - im Gegenzug können diese Konten für illegale Käufe oder Geldwäsche genutzt werden.
Koordiniertes nicht echtheitsgetreues Verhalten kann genutzt werden, um Informationen (oft Fehlinformationen) in sozialen Netzen in großem Umfang zu verbreiten und zu verstärken - und zwar sowohl schnell als auch mit der notwendigen Präzision. Sie können die öffentliche Meinung manipulieren, um Marken, Dienstleistungen, politische Ansichten und Regierungsprogramme zu vermarkten.
Des Weiteren ermöglicht SMS PVA Scammern, Massenkonten in Messaging-Apps zu registrieren und diese dann für Social Engineering zu nutzen. Die Betrügereien reichen von der Arbeitsvermittlung über Paketzustellung und Aktienanlagen bis hin zu Heiratsschwindel. Die meisten dieser Nachrichten werden über beliebte Messaging-Apps wie Line, WhatsApp und WeChat verschickt.
Die Opfer
Die Opfer sind zum einen Besitzer von infizierten Smartphones, deren Datensicherheit bedroht ist, denn die Services haben Zugriff auf private Daten, Nachrichten und Anwendungen. Zudem können die Mobilnummern für illegale Aktivitäten eingesetzt werden.
Zudem werden Online-Plattformen und –Services zu Opfern, denn diese kriminellen Aktivitäten bedeuten auch, dass die SMS-Verifizierung als Methode der Benutzerauthentifizierung nicht völlig zuverlässig ist und keine Garantie für authentisches Verhalten bietet- es kann mehrere verifizierte Konten geben, die betrügerisch sind und sich wie Bots verhalten.
Single Sign-on Services, die es Benutzern ermöglichen sollen, sich mit einem einzigen Satz von Authentifizierungsdaten bei einer Gruppe von Diensten anzumelden, sind ebenfalls betroffen. So können beispielsweise Google- oder Apple-Konten für die Anmeldung bei anderen Plattformen verwendet werden. Diese Konten werden durch einen SMS-Bestätigungscode verifiziert, aber die gesamte andere Kommunikation erfolgt wahrscheinlich über die Plattform oder App selbst. Die Nutzung von SMS-PVA-Diensten zur Erstellung dieser Konten kann auch zu Risiken der Benutzer-Identität und des Identitätsdiebstahls führen. Zum Beispiel setzen Regierungsportale und Finanzdienste die "Ein-Konto-pro-Person"-Regel oft einfach durch SMS-Bestätigung durch.
Sicherheitsempfehlungen
Online-Plattformen müssen sich über die Schwächen dieser Verifizierungsmethode klarwerden und Gegenmaßnahmen treffen. Nutzer, die sich Gedanken machen über die Sicherheit ihrer Geräte können Trend Micro Mobile Security-Lösungen einsetzen, die bösartige Anwendungen erkennen und den Verkehr von und zu C&C-Servern blockieren. Aber auch die Smartphone-Hersteller sollten auf die Sicherheit achten, indem sie ihr Produkt von der Erstellung der Firmware über die Montage bis zum Versand im Auge behalten. Und schließlich müssen auch die Authentifizierungsdienste und die Anbieter von Online-Plattformen konkrete Maßnahmen ergreifen, um die SMS-Überprüfung zu verbessern und zu verhindern, dass das System des SMS-Betrugs weiter floriert.
Der vollständige Bericht kann heruntergeladen werden: „SMS PVA: An Underground Service Enabling Threat Actors to Register Bulk Fake Accounts“