Schutz vor der Bedrohung durch SMS PVA

Originalartikel von Trend Micro Research

Die Sicherheitsüberprüfung von Identitäten über SMS erfreut sich großer Beliebtheit. In den letzten Jahren haben viele große Internetplattformen und -dienste die SMS-Verifizierung als Mittel der Identitätsüberprüfung bei der Kontoerstellung eingeführt. Bestätigungscodes, von OTP-Anbietern per SMS verschickt, werden auch als Teil der Zweifaktor-Authentifizierung verwendet. Doch mittlerweile haben Kriminelle das Geschäft mit SMS PVA (Phone Verified Accounts) entdeckt. Wir haben anhand eines solchen Dienstes die Bedrohung, die davon ausgeht, dargestellt sowie die Vorteile, die sich für Cyberkriminelle ergeben. Die Bedrohung darf nicht auf die leichte Schulter genommen werden. Wir zeigen, wie der Schutz mithilfe von Best Practices aussehen kann.

Bild 1. Facebook und Telegram Posts von ReceiveCode

Dieser Screenshot zeigt, welche Länder in erster Linie die Dienste von ReceiveCode nutzen und damit von smspva.net betroffen sind. Die Telemetriedaten unseres Smart Protection Networks ermöglichen es auch, den User-Agent der infizierten Geräte der wahrscheinlichen Marke und dem Modell zuzuordnen. Das folgende Diagramm zeigt eine Aufschlüsselung der Mobiltelefone, bei denen wir festgestellt haben, dass sie mit dem Backend von smspva.net kommunizieren:

Bild 2. Infizierte Smartphone-Marken und -Modelle

Bei den betroffenen Geräten handelt es sich meist um in China hergestellte Billigmarken. Lava ist eine indische Marke, aber einige Modelle werden auch in China hergestellt, wie etwa Iris 88.

Dies deutet darauf hin, dass es irgendwo in der Lieferkette bei der Herstellung dieser preisgünstigen Geräte zu einer Kompromittierung gekommen sein könnte, so dass die dex-Datei zum Abfangen von SMS bereits vorinstalliert ist oder ein Downloader die Datei zu einem späteren Zeitpunkt installiert.

Die meisten der betroffenen Dienste sind Messaging-Apps wie LINE, WeChat, Telegram und WhatsApp. Messaging-Apps sind derzeit das größte Ziel von smspva.net-Nutzern und lassen sich mit dem Anstieg von Spam und Betrug durch gefälschte Konten auf diesen Plattformen in Verbindung bringen. Auch Social-Media-Plattformen wie TikTok, Twitter und Facebook gehören dazu.

Empfehlungen

Nachdem unsere Online-Identitäten immer mehr mit unseren realen Personas verbunden werden, steigt auch der Bedarf an verifizierten Accounts, um authentisches Verhalten zu gewährleisten und realen Schaden zu verhindern.

Derzeit ist die SMS-Verifizierung der einzige weit verbreitete Mechanismus, der sicherstellt, dass Konten von und für echte Personen erstellt werden und nicht von Bots, gefälschten Persönlichkeiten oder Trollfarmen. Die Existenz von SMS-PVA-Diensten macht deutlich, dass die einmalige SMS-Verifizierung als einziges Mittel zur Überprüfung, ob ein Konto von einer echten Person erstellt wurde, unzureichend ist. Daher einige Tipps, mit deren Hilfe die Bedrohung durch Dienste wie smspva.net gemindert werden kann:

Für Online-Plattformen und -Services

  • Beachten Sie, dass eine einmalige SMS-Verifizierung nicht ausreicht. SMS-PVA-Dienste missbrauchen die Tatsache, dass die SMS-Verifizierung nur einmal bei der Kontoeröffnung erfolgt. Diesem Missstand kann durch regelmäßige Überprüfungen entgegengewirkt werden, um sicherzustellen, dass die zur Verifizierung des Kontos verwendete Mobilnummer auch wirklich die vom Kontoinhaber genutzte ist. Manche Anwendungen senden dagegen In-App-Verifizierungen, wenn festgestellt wird, dass die Anwendung online ist. Diese Art der Überprüfung verhindert jedoch nicht die Nutzung von SMS-PVA-Diensten für den Erwerb von Anwendungskonten.
  • Seien Sie vorsichtig, wenn Sie Anmelde- oder Ingame-Bonusprogramme mit Geldwert starten. Kriminelle Gruppen machen aus Anmelde- und Spielboni schnell Geld, da sie in der Lage sind, Massenkonten zu erstellen. Beim Start dieser Programme sollten strengere Maßnahmen gelten, und Unternehmen sollten zusätzlich zur SMS-Verifizierung weitere Überprüfungen durchführen, um Missbrauch zu verhindern. Überprüfen Sie das Herkunftsland des Mobiltelefons anhand des erstellten Kontoprofils, um einige gefälschte Konten zu erkennen. Wenn zum Beispiel die Handynummer nicht mit der ethischen Herkunft, der Sprache, dem Profilfoto und/oder der Anmelde-IP-Adresse des erstellten Kontos übereinstimmt, ist dies ein Warnsignal. Wenn die Nutzeraktivität nicht dem typischen Verhalten eines Nutzers aus dieser Region entspricht, ist dies ebenfalls ein Zeichen dafür, dass das Konto möglicherweise mit Hilfe von SMS-PVA-Diensten registriert wurde und eine zusätzliche Überprüfung erforderlich ist.
  • Achten Sie auf die Wiederverwendung eines Profil-Avatars oder eines Profil-Attributs, da dies ebenfalls ein Warnsignal ist. Dies gilt insbesondere für Konten, die für Partnerschafts-, Spam- und Aktienanlagebetrug aufgesetzt werden. Diese Konten werden massenweise erstellt, wobei Fotos attraktiver Personen als Profilfotos wiederverwendet und die Namen für die Konten zufällig generiert werden.
  • Fahnder sollten sich an den Inhalten der Nachrichten orientieren. Die meisten gefälschten Konten posten oder senden dieselben Nachrichten, die als erster Anhaltspunkt für die Überprüfung der Echtheit des Kontos verwendet werden können.

Für Smartphone-Anbieter

  • Stellen Sie die Herkunft der Geräte sicher, die Sie unter Ihrem Namen verkaufen. Es gibt gut dokumentierte Fälle, in denen Geräte mit Malware vorher infiziert waren. Wir empfehlen, in unserer Geräteliste im Abschnitt Statistiken zu prüfen, welche Unternehmen am Herstellungsprozess beteiligt sind, sowohl bei der Montage als auch bei der Erstellung der Firmware. Andere Sicherheitsanbieter haben ebenfalls Listen von identifizierten device33 aus früheren Kompromittierungen der Lieferkette veröffentlicht. Es wäre ratsam, die beteiligten Anbieter zu überprüfen und entsprechende Maßnahmen zu ergreifen.
  • Seien vorsichtig bezüglich ROM-Images und Aktualisierungen. Stellen Sie sicher, dass alle in den Standard-ROM-Images der Geräte enthaltenen Anwendungen, das ROM-Image selbst und die Komponenten, die ROM-Updates (FOTA/OTA) durchführen, vertrauenswürdig sind und/oder aus vertrauenswürdigen Quellen stammen.

Für Verbraucher

  • Achten Sie beim Kauf Ihres Smartphones auf die Sicherheit. Informieren Sie sich über den Hersteller Ihres Mobiltelefons und finden Sie heraus, ob er einen guten Ruf in Sachen Sicherheit hat, bevor Sie es kaufen.
  • Sichern Sie Ihr Telefon. Stellen Sie sicher, dass auf Ihrem Smartphone keine Malware läuft, die es diesen SMS-PVA-Diensten ermöglicht, Ihre Handynummer zu missbrauchen.
  • Analysieren Sie regelmäßig den Inhalt des Geräts. Trend Micro bietet Mobile Security-Lösungen, die bösartige Anwendungen erkennen können.
  • Wählen Sie nur vertrauenswürdige Anwendungen. Installieren Sie keine Apps aus nicht vertrauenswürdigen Quellen auf Ihrem Gerät.
  • Verwenden Sie keine ungeprüften ROM-Images auf Ihren Telefongeräten.

Um weitere Details zum Thema zu erhalten, können Sie das Whitepaper downloaden.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.