Großangelegte mobile Phishing-Kampagne bedroht US-Zahlungskarten

Überblick: Mobile Phishing-Attacken nehmen US-Zahlungskarten ins Visier

IT-Sicherheitsforscher warnen vor einer ausgeklügelten Welle mobiler Phishing-Angriffe – auch als „Smishing“ bekannt –, die mutmaßlich von chinesischsprachigen Cyberkriminellen ausgehen. Innerhalb von etwas mehr als einem Jahr sollen dadurch bis zu 115 Millionen US-Zahlungskarten kompromittiert worden sein. Die Auswertung von SecAlliance verdeutlicht, wie moderne Social-Engineering-Techniken mit Methoden zur Umgehung von Echtzeit-Authentifizierungen und skalierbaren Phishing-Infrastrukturen verschmelzen und so eine neue Dimension des Kartenbetrugs schaffen.

So funktionieren die Kampagnen

Phishing-Kits und Verbreitung

Kernstück der Operationen sind wiederverwendbare Phishing-Toolkits, die über einen Telegram-Kanal mit dem Namen „dy-tongbu“ verbreitet werden. Diese Kits sind speziell auf Tarnung ausgelegt: Sie nutzen Geofencing, um die Sichtbarkeit auf bestimmte Regionen zu begrenzen, blockieren bestimmte IP-Adressen und User-Agents, um Sicherheitsforschende auszuschließen, und sind auf Mobilgeräte zugeschnitten, sodass die Seiten nur potenziellen Opfern präsentiert werden.

Soziale Manipulation und Zustellwege

Die Angreifer versenden in der Regel SMS, iMessages oder RCS-Nachrichten, die legitime Benachrichtigungen vortäuschen – beispielsweise angebliche Paketbenachrichtigungen, Mautgebühren oder Account-Bestätigungsaufforderungen. Über eingebettete Links gelangen die Empfänger zu mobiloptimierten, gefälschten Verifizierungsseiten. Die Opfer werden dazu gebracht, persönliche Daten sowie Kartendaten einzugeben; die Seiten sind dabei zeitlich auf die Zustellung von Einmalpasswörtern (OTP) abgestimmt, um die Erfolgsquote zu erhöhen.

Technische Weiterentwicklung: Missbrauch von OTP und Digital Wallets

Sobald Kriminelle in Echtzeit Zugang zu Zugangsdaten und OTPs erhalten, hinterlegen sie die Karten direkt in digitalen Wallets auf ihren eigenen Geräten. Dadurch sind sie in der Lage, sogenannte Card-not-present-Transaktionen durchzuführen und die gestohlenen Daten sogar an physischen Terminals, im Online-Handel oder an Geldautomaten ohne die originale Plastikkarte zu verwenden. Forscher werten diesen Schritt zur Nutzung digitaler Brieftaschen als tiefgreifenden Wandel im Vorgehen von Kartenbetrügern.

Wer steckt dahinter?

Ermittler konnten eine Person namens „Lao Wang“ als Schlüsselfigur hinter einer weitverbreiteten Plattform zum Abgreifen mobiler Zugangsdaten identifizieren, die mittlerweile von zahlreichen Cybercrime-Gruppen eingesetzt wird. Das dahinterstehende Ökosystem ist hochentwickelt: Es umfasst fingierte Online-Shops, Schein-Brokerage-Seiten, Geräte mit vorinstallierter Betrugssoftware, betrügerische Händlerkonten sowie bezahlte Anzeigen auf großen Plattformen, die gezielt Nutzer auf die betrügerischen Seiten lenken.

Produktmerkmale, Vergleiche und Vorteile von Anti-Betrugslösungen

Geldinstitute und Anbieter von Sicherheitssoftware passen sich an. Moderne Anti-Fraud- sowie Mobile-Security-Lösungen beinhalten mittlerweile folgende Funktionen:

• Verhaltensbiometrie zur Erkennung verdächtiger Interaktionen, die OTP-Schutzmechanismen umgehen
• Geräte-Fingerprinting und kryptografische Attestierung zur Überprüfung von Wallet-Provisionierungen
• Echtzeit-Scoring von Transaktionen und adaptive MFA-Anforderungen
• Intelligente SMS-Filterung mit Zugriff auf aktuelle Bedrohungsinformationen und URL-Umschreibung

Verglichen mit klassischen Virenschutzprogrammen und simplen SMS-Filtern bieten diese modernen Lösungen einen höheren Schutz, da sie gezielt auf Betrugsmuster wie Verhaltensweisen, Geräteintegrität und Transaktionskontext reagieren, anstatt nur auf bekannte Signaturen zu setzen.

Anwendungsfälle und Marktrelevanz

Zu den Hauptanwendungen verbesserter Betrugsabwehr zählen: Emittenten verhindern die Übernahme von Konten, Anbieter digitaler Wallets prüfen Provisionierungsanfragen, Händler reduzieren Rückbuchungen und Telekommunikationsunternehmen schützen ihre Kunden vor Smishing. Mit dem weltweiten Wachstum von digitalen Zahlungen und Wallets steigt auch die Nachfrage nach hochleistungsfähigen Anti-Betrugstechnologien, Tokenisierungsdiensten und Transaktionsüberwachung – ein entscheidender Wachstumsfaktor für Fintech- und IT-Sicherheitsunternehmen.

Praktische Tipps: So erkennen Sie, ob Sie betroffen sind

Da diese Angriffe im Verborgenen ablaufen und keine zentrale Übersicht über betroffene Karten existiert, empfiehlt es sich, eigeninitiativ mögliche Missbrauchsfälle aufzuspüren:

• Überprüfen Sie Ihre aktuellen Konto- und Kreditkartentransaktionen auf unübliche Buchungen.
• Durchforsten Sie Ihre digitalen Wallets nach unbekannten Karten oder Geräten.
• Seien Sie wachsam gegenüber OTP-Anfragen oder Bestätigungen, die Sie nicht selbst angefordert haben.
• Nehmen Sie Dienste zur Benachrichtigung über Datenlecks in Anspruch, um zu prüfen, ob Ihre Daten öffentlich wurden.
• Aktivieren Sie Sofortbenachrichtigungen bei allen Transaktionen und setzen Sie niedrige Meldeschwellen.
• Erwägen Sie den Austausch Ihrer Bankkarte, falls Sie verdächtige Aktivitäten entdecken.

Fazit

Moderne Smishing-Kampagnen haben sich von simplen SMS-Betrugsmaschen zu hochpräzisen Angriffen entwickelt, bei denen soziale Manipulation, das Echtzeit-Abgreifen von Zugangsdaten und die Bereitstellung in digitalen Wallets ineinandergreifen. Unternehmen müssen aufrüsten und neben klassischem Schutz gezielt auf Verhaltensanalysen, Tokenisierung und Geräteüberprüfung setzen. Privatpersonen sollten wachsam sein, ihre Konten beobachten, Benachrichtigungen nutzen und bei verdächtigen Verifizierungsanfragen besonders aufmerksam werden.