Smishing-Angriffe: Chinesen steuern globale Handy-Betrugswelle
Eine professionelle Cyberkriminalitätsgruppe nutzt Phishing-as-a-Service und täuscht weltweit Banken sowie Online-Shops vor. Über 70 Prozent der gefälschten Seiten sind weniger als eine Woche online.
Eine hochprofessionelle Cyber-Gang mit mutmaßlichen Verbindungen nach China hat seit Januar 2024 fast 200.000 gefälschte Internetseiten registriert, um Handynutzer weltweit zu betrügen. Die als “Smishing Triad” bezeichnete Gruppe täuscht dabei Banken, Behörden und Online-Shops vor – und nutzt ein perfides “Phishing-as-a-Service”-System.
Das zeigt ein aktueller Bericht der Cybersecurity-Firma Palo Alto Networks, den Forscher des Unit 42-Teams diese Woche veröffentlichten. Besonders tückisch: Die Betrüger nutzen vor allem amerikanische Cloud-Dienste für ihre Infrastruktur, während die Domains über Hong Kong registriert werden. Diese dezentrale Struktur macht es extrem schwer, die Angriffe zu stoppen.
SMS-Betrug mit System
Die Kriminellen setzen auf SMS-Nachrichten (sogenannte “Smishing”-Angriffe), die Panik erzeugen sollen. Typische Maschen: Angebliche Mautstrafen, Paketprobleme oder verdächtige Kontoaktivitäten. Was früher hauptsächlich per E-Mail-zu-SMS-Gateway lief, kommt heute direkt von echten Telefonnummern – oft aus den Philippines (+63) oder den USA (+1).
Die gefälschten Websites haben eine erstaunlich kurze Lebensdauer: Über 71 Prozent sind weniger als eine Woche online, fast 30 Prozent sogar nur zwei Tage oder kürzer. Diese Taktik soll Sicherheitsfilter austricksen.
Cyberkriminalität als Dienstleistung
Hinter dem Erfolg der Kampagne steckt die Industrialisierung des Cybercrime. Plattformen wie EvilProxy, ONNX oder W3LL verkaufen Phishing-Tools im Abo-Modell – komplett mit Kundensupport und professionellen Website-Vorlagen für Microsoft, Google und andere Marken. Selbst Zwei-Faktor-Authentifizierung können diese Tools umgehen.
Das Perfide: Aus einfachen Betrugs-Werkzeugen ist eine ganze Gemeinschaft entstanden, die Kit-Entwickler, Datenlieferanten und die eigentlichen Angreifer vernetzt. Cyberkriminalität wird so zum Geschäftsmodell für jedermann – technische Vorkenntnisse nicht erforderlich.
Handy-Angriffe auf dem Vormarsch
Die Zahlen sprechen eine klare Sprache: 76 Prozent aller Unternehmen wurden bereits Ziel von SMS-Betrugsversuchen. Nutzer vertrauen Textnachrichten mehr als E-Mails – ein fataler Fehler. Besonders in Zeiten von Homeoffice und privaten Handys am Arbeitsplatz wird das zur Gefahr für Firmen.
Die Kosten sind dramatisch: Phishing-Angriffe verursachen durchschnittlich 4,88 Millionen Euro Schaden pro Vorfall. Als Reaktion entwickeln Sicherheitsfirmen wie Arsen neue Tools – etwa “Smishing-Simulationen”, mit denen Unternehmen ihre Mitarbeiter trainieren können.
Anzeige: Passend zum Thema Smartphone-Sicherheit: Viele Android-Nutzer übersehen 5 Schutzmaßnahmen, die Smishing, Datenklau und Schadsoftware wirksam ausbremsen. Ein kostenloser Ratgeber zeigt Schritt für Schritt, wie Sie WhatsApp, Online-Banking und Shopping ohne teure Zusatz-Apps absichern – inklusive Checklisten und wichtiger Update-Tipps. Machen Sie Ihr Android in wenigen Minuten spürbar sicherer. Jetzt das kostenlose Android-Sicherheitspaket anfordern
KI macht Betrüger noch gefährlicher
Experten warnen: Künstliche Intelligenz wird SMS-Betrug noch raffinierter machen. Personalisierte, täuschend echte Nachrichten sind bereits heute möglich – morgen werden sie perfekt sein.
Schutzmaßnahmen für alle:
– Misstrauen bei unangefragten SMS, besonders mit Zeitdruck
– Niemals direkt auf Links klicken – lieber die offizielle Website ansteuern
– Zwei-Faktor-Authentifizierung nutzen, am besten per App statt SMS
Firmen sollten außerdem:
– Regelmäßige Sicherheitstrainings durchführen
– Erweiterte E-Mail-Schutzlösungen einsetzen
– Ein “Zero-Trust”-Sicherheitsmodell etablieren
– Notfallpläne für erfolgreiche Angriffe bereithalten
