"Roaming Mantis"-Bande

Das steckt hinter den merkwürdigen Post-SMS, die Tausende Schweizer erhalten

Uhr
von Oliver Wietlisbach / watson, yzu

Die kriminelle Bande "Roaming Mantis" flutet Schweizer Handys seit Monaten mit betrügerischen Phishing-Nachrichten im Namen der Post. Sie haben einen neuen Trick, die SMS-Filter von Swisscom und Co. zu umgehen.

(Source: Romolo Tavani / stock.adobe.com)
(Source: Romolo Tavani / stock.adobe.com)

Betrüger kennen kein Januarloch. Auch in den ersten Tagen und Wochen des neuen Jahres werden Schweizerinnen und Schweizer massenhaft mit Phishing-Textnachrichten belästigt. Bei der aktuellen Smishing-Kampagne (Phishing per SMS) werden die Textnachrichten im Namen der Post verschickt. Sie sehen beispielsweise so aus.

Wir haben Security-Experte Daniel Stirnimann von Switch, das Bundesamt für Cybersicherheit, die Kantonspolizei Zürich, die Post sowie Swisscom gebeten, die drängendsten Fragen zu dieser massiven Smishing-Welle zu beantworten.

Was führen die Betrüger im Schilde?

Weil die Adresse unvollständig sei, könnte die Sendung nicht zugestellt werden. Man soll daher die Adresse aktualisieren, heisst es in der Fake-Nachricht im Namen der Post. Der Link führt auf eine perfekt gemachte Kopie der Post-Webseite. Dort soll man seine Adresse inklusive E-Mail-Adresse und Telefonnummer aktualisieren. Für die erneute Zustellung werde eine Servicegebühr von 0.27 Franken fällig. Diese könne man bequem online per Kreditkarte bezahlen.

Phishing-SMS im Namen der Post

Die echte Post fragt nie per E-Mail, SMS oder Telefon nach Passwörtern oder Kreditkartenangaben. (Source: Screenshot / Watson)

Die Kriminellen haben es auf die persönlichen Daten sowie die Kreditkartendaten abgesehen, um sich unrechtmässig zu bereichern. "Die Daten werden meistens für Käufe eingesetzt, können aber auch für Abo-Fallen verwendet werden", sagt die Kantonspolizei Zürich.

Von wem kommen diese Nachrichten? Wer sind die Kriminellen?

"Die Kriminellen hinter diesen Kampagnen sind unter dem Namen 'Roaming Mantis' bekannt. Eine Gruppierung aus Asien, die neben asiatischen Ländern seit 2019 vermehrt auch diverse europäische Länder im Visier hat", sagt Security-Experte Daniel Stirnimann von der Stiftung Switch, die für den Betrieb und die Sicherheit der Schweizer Internetadressen verantwortlich ist.

Die Gruppe hat bei uns bereits im Juni 2019 im Namen der Schweizerischen Post Apple-ID-Phishing betrieben. Die Kriminellen kauften mit den ergaunerten Daten von Apple-Usern vor allem iTunes-Gutscheine auf Kosten der Opfer.

"Seit November 2022 haben wir Roaming Mantis praktisch nicht mehr in der Schweiz beobachtet", sagt Stirnimann. Sehr geholfen habe, dass Swisscom im März 2022 einen SMS-Filter einführte. Sunrise und Salt zogen nach.

Seit ungefähr August 2023 sei Roaming Mantis wieder aktiv in der Schweiz, seither vor allem mit Kreditkarten-Phishing. Die Kriminellen haben einen Weg gefunden, den SMS-Filter zu umgehen.

Ist der Empfang oder das Lesen der Nachricht gefährlich?

Nein.

Ist das Öffnen des Links in der Nachricht gefährlich?​

Nein, das Öffnen der Phishing-Webseite an sich ist nicht gefährlich. Es gibt laut Switch und den IT-Spezialisten der Post keine Hinweise, dass die Kriminellen nebst dem Adressen- und Kreditkarten-Phishing versuchen, den potenziellen Opfern eine Schadsoftware unterzujubeln.

Selbstverständlich sollte man verdächtige Links trotzdem nie anklicken und insbesondere keine Apps installieren, die über Links in Chat-Nachrichten verschickt werden. Bereits 2019 versuchten die gleichen Kriminellen Android-User zur Installation einer schädlichen App zu verleiten. Gelang dies, wurden die Kontaktdaten gestohlen und die Mobilgeräte für den weiteren SMS-Versand missbraucht.

Woran sind die Phishing-Nachrichten zu erkennen?

Auch diese Nachricht in einwandfreiem Deutsch kommt nicht von der Post, wie z. B. anhand der Nummer +84 zu erahnen ist.

Auch diese Nachricht in einwandfreiem Deutsch kommt nicht von der Post, wie z. B. anhand der Nummer +84 zu erahnen ist. (Source: Screenshot / Watson)

Tobias Lang, Mediensprecher der Post, schreibt auf Anfrage:

  1. "Die Nummer mit +84 deutet auf keine Post-Nummer hin und der Link bitly.ws/ hat keinen Zusammenhang mit der Post."
  2. Der Link in der Textnachricht führt auf die Webseite chpost24.top/ch. "Das ist zum einen kein sicherer Link (https:// fehlt) und auch keine Post-Webseite. Erkennen lässt sich das daran, dass der hinterlegte Link nicht auf post.ch, poste.ch, posta.ch oder swisspost.ch bzw. swisspost.com endet."
  3. "Auch der vermeintliche Zahlungsbetrag von 0.27 CHF ist verdächtig." Er ist bewusst so tief gewählt, damit möglichst viele ohne zu überlegen bezahlen und die Kreditkartendaten eintippen.

In diesem Beispiel dürfte die SMS mit dem verdächtigen Absender +84 von einem infizierten Smartphone eines anderen Opfers der kriminellen Bande Roaming Mantis stammen, vermutet Stirnimann. Diese Person weiss vermutlich nicht, dass ihr Handy für den Phishing-Betrug missbraucht wird.

Aber nicht immer machen es uns die Betrüger so einfach: Bei Phishing-SMS lässt sich der Name des Absenders mit Web-Tools faken – entsprechend glaubwürdiger wirken die Nachrichten.

Wichtig: Ganz grundsätzlich "fragt die Post ihre Kundinnen und Kunden nie per E-Mail, SMS oder Telefon nach persönlichen Sicherheitselementen wie Passwörtern oder Kreditkartenangaben", stellt Mediensprecher Lang klar.

Ein knappes Zeitlimit oder ein scharfes S (ß) sind klare Hinweise für Phishing.

Ein knappes Zeitlimit oder ein scharfes S (ß) sind klare Hinweise für Phishing. (Source: Screenshot / Switch, Daniel Stirnimann)

Betrugsversuche sind oft daran zu erkennen, dass die Kriminellen ihre Opfer mit einem knappen Zeitlimit unter Druck setzen. Man müsse z. B. innert 12 Stunden handeln, sonst werde das Paket zurückgeschickt.

Warum erhalten so viele Menschen diese angebliche Post-SMS?

Die Kriminellen haben teils von SMS auf RCS-Nachrichten auf Android (siehe Screenshot) und iMessage auf dem iPhone umgestellt, um die SMS-Filter von Swisscom und Co. zu umgehen.

Die Kriminellen haben teils von SMS auf RCS-Nachrichten auf Android (siehe Screenshot) und iMessage auf dem iPhone umgestellt, um die SMS-Filter von Swisscom und Co. zu umgehen. (Source: Screenshot /Watson)

Swisscom, Sunrise und Salt nutzen SMS-Filter gegen betrügerische Phishing-SMS. "SMS mit Links werden automatisiert und anonymisiert mit einer Blacklist gefährlicher URLs abgeglichen", erklärt eine Swisscom-Mediensprecherin. SMS mit gefährlichen Links werden anschliessend blockiert. Dies scheine "gut zu funktionieren", sagt Security-Experte Stirnimann. Ansonsten würden noch weit mehr gefährliche SMS auf unseren Handys landen.

Das Problem: Die Kriminellen umgehen die SMS-Spamfilter der Mobilfunkprovider immer öfter. Hierzu versenden sie statt SMS neuerdings iMessage-Nachrichten an iPhone-User oder RCS-Nachrichten – quasi der Nachfolger der SMS – an Android-Smartphones.

Diese moderneren und von Apple und Google gepushten Textnachrichten werden von Swisscom und Co. nicht gefiltert. Die Kriminellen haben folglich auf iMessage und RCS umgesattelt, "weil sie realisiert haben, dass die Schweiz das grossflächig unterstützt, es aber dafür keinen Spam-Filter gibt", erklärt Stirnimann.

Warum filtern die Mobilfunkprovider diese Spam-Nachrichten nicht?

RCS-Chat statt SMS: Die SMS-Spam-Filter von Swisscom und Co. greifen bei iMessage, WhatsApp oder RCS-Nachrichten nicht.

RCS-Chat statt SMS: Die SMS-Spam-Filter von Swisscom und Co. greifen bei iMessage, WhatsApp oder RCS-Nachrichten nicht. (Source: Screenshot / Watson)

Der SMS-Filter der Mobilfunkprovider greift bei der neuen Phishing-Kampagne nicht. Textnachrichten wie "RCS und iMessage, aber auch WhatsApp und Co. kann Swisscom nicht filtern. Dies können nur die jeweiligen Dienstanbieter übernehmen", sagt der grösste Schweizer Mobilfunkanbieter. Swisscom spielt den Ball also Google, Apple und Meta zu.

Anders als bei den alten, unverschlüsselten SMS-Nachrichten sehen die Mobilfunkprovider den Inhalt von verschlüsselten WhatsApp- oder iMessage-Nachrichten nicht und können sie deshalb nicht blockieren. Der Inhalt kann folglich erst auf dem Endgerät von der jeweiligen Chat-App von Apple, Meta etc. auf Phishing analysiert werden.

Google versucht betrügerische Chatnachrichten daher direkt auf dem Smartphone zu blockieren. Das funktioniert umso besser, je schneller die Phishing-Nachrichten von den Betroffenen gemeldet werden.

Googles Messages-App versucht verdächtige RCS-Nachrichten auf dem Endgerät zu erkennen und direkt in den Spam-Ordner zu verschieben.

Googles Messages-App versucht verdächtige RCS-Nachrichten auf dem Endgerät zu erkennen und direkt in den Spam-Ordner zu verschieben. (Source: Screenshot / Watson)

Machtlos gegen Phishing sind Google und Apple also auch bei verschlüsselten Nachrichten nicht. Wichtig ist, dass die Chat-Apps einen Spam-Schutz integriert haben. "Meistens kann man verdächtige Nachrichten als solche markieren und zurückmelden", sagt Stirnimann.

Bei RCS-Nachrichten, gewissermassen dem SMS-Nachfolger, sei die Ende-zu-Ende-Verschlüsselung zudem "standardmässig inaktiv", sagt der Sicherheits-Experte. "Hier, denke ich, können sowohl Apple, Google und die Mobilprovider etwas unternehmen", sprich Spam-RCS-Nachrichten abfangen, bevor sie auf dem Handy eintreffen. Swisscom sagt jedoch, dass man RCS nicht mehr unterstütze. "Wir sehen den Traffic darum nicht und können ihn deshalb nicht filtern. Es gibt darum aktuell keine Pläne für eine solche Filterlösung."

Was soll ich tun, wenn ich eine verdächtige Nachricht erhalte?

"Man muss in erster Linie gut prüfen, ob die Telefonnummer des Absenders Sinn macht, die Sprache richtig ist und ob ein valider Absendername draufsteht", antwortet die Post. Besonders wichtig: "Links unbedingt überprüfen, bevor man draufklickt." Sicherheits-Experte Stirnimann hat dafür einen Tipp:"Ein einfacher Tipp ist, bei einer verdächtigen Nachricht vorerst nichts zu unternehmen und z. B. mindestens 24 Stunden zu warten. Die meisten Phishing-Seiten sollten nach 24 Stunden blockiert sein. Alternativ wenden sich Betroffene telefonisch an das Unternehmen und erkundigen sich über die Echtheit der Nachricht."

Wer auf Nummer sicher gehen will, ruft die Webseite der Post oder des jeweiligen Paketdienstes im Browser direkt auf, um die Sendungsverfolgung einzugeben und den Status des Paketes zu prüfen.

Alternativ kann man einen zugesandten Link mit der Webseite CheckShortURL testen. Diese zeigt an, zu welcher Webseite man weitergeleitet würde, wenn man den meist kryptischen Short-Link anklickt. Erkennen lässt sich der Betrugsversuch daran, dass der hinterlegte Link nicht auf post.ch führt, sondern auf Webseiten wie chpost24.top/ch.

Phishing-SMS im Namen der Post

Die Phishing-Webseite sieht, abgesehen von der URL, sehr professionell aus. (Source: Screenshot / Watson)

Beim kleinsten Verdacht gilt: "Empfängerinnen und Empfänger von solchen SMS sollten den darin angegebenen Link nicht anklicken und niemals Aufforderungen nachkommen, eine Fernwartungssoftware zu installieren", schreibt das Bundesamt für Cybersicherheit BACS.

Die Post rät ihren Kundinnen und Kunden, wenn eine Nachricht verdächtig erscheint, sich an den Kundendienst (Contact Center 0848 888 888) zu wenden oder sich auf der Website der Post zu informieren.

Zudem hilft eine Meldung an das Nationale Zentrum für Cybersicherheit (reports@antiphishing.ch), damit Phishing-Seiten schneller vom Netz genommen werden können.

Das Video der Post erklärt, wie man Phishing erkennen kann. (Source: Youtube)

Woher haben die Kriminellen meine Handynummer?

"In der Regel werden die Nummern zufällig ausgewählt, allenfalls stammen sie auch aus Datenleaks", heisst es bei der KAPO Zürich. Auch die Post geht davon aus, dass die Kriminellen die Handynummern auf Online-Telefonverzeichnissen abgrasen oder im Darknet günstig kaufen.

Eventuell stammen die Nummern auch aus früheren Malware-Kampagnen, "wo sie auf infizierten Android-Geräten die Adressbücher gestohlen hatten", vermutet Stirnimann.

Allerding müssen die Kriminellen die Nummern nicht zwingend stehlen oder kaufen. Mit einer simplen Excel-Formel lassen sich beliebig viele, potenzielle Handy-Nummern von z. B. Swisscom-Kunden erstellen.

Warum lohnen sich grossflächige Phishing-Angriffe, obwohl kaum jemand darauf hereinfällt?

Phishing-Angriffe laufen grösstenteils automatisiert ab. Laut Kapo Zürich werden "Hunderte Personen gleichzeitig angeschrieben, damit die Erfolgsquote höher ausfällt". Das Bundesamt für Cybersicherheit BACS schreibt auf Anfrage: "Solange auch nur ein Bruchteil der angeschriebenen Personen den Angriff nicht erkennt, lohnt sich dies für die Angreifer. Denn der Versand von SMS ist relativ kostengünstig, sodass der ‹Return on Investment› relativ schnell erreicht sein dürfte."

Kommt hinzu: Sofern die Kriminellen die SMS über zuvor infizierte Smartphones verschicken, fallen für sie gar keine Kosten an.

"Ausserdem machen es sich die Angreifer zunutze, dass seit der Pandemie viele Personen zu Online-Bestellungen übergegangen sind. Die Wahrscheinlichkeit ist also relativ gross, dass die eine oder andere Person, die eine solche SMS erhält, tatsächlich auf eine Lieferung der Post wartet", so das BACS.

Sei die Phishing-Website wie in der aktuellen Kampagne gut gemacht, "erhöht sich die Chance für die Angreifer, dass einige Empfängerinnen und Empfänger den Betrugsversuch nicht als solchen erkennen".

Wie ist es den Kriminellen möglich, im grossen Stil Textnachrichten zu versenden?

"Für den Massenversand der SMS werden sogenannte SMS-Gateways (Software oder Hardware) verwendet", erklärt die KAPO Zürich. Diese erlauben über Web-Anwendungen den grossflächigen Versand von Phishing-SMS aus dem Ausland.

Die Phishing-Betrüger legen sich also bei den Anbietern solcher SMS-Dienste einen Account an und können mit sogenannten Large Accounts ohne grosse Kosten mit einem Klick Tausende Schweizer Handynummern erreichen. SMS-Gateway-Anbieter verlangen im Darknet aktuell knapp 0,004 Franken für den Versand einer Phishing-SMS.

"Hier hilft der SMS-Filter massiv und ist ein wirksames Instrument, um Kunden vor Betrugs- und Spam-SMS zu schützen", schreibt Swisscom. Wie bei Punkt 6 und 7 erklärt, hilft der Filter jedoch nur, wenn die Betrüger tatsächlich SMS versenden, und eben nicht RCS-Nachrichten, iMessage, WhatsApp etc.

Was tun die Behörden und Provider?

Der Kampf gegen Phishing ist ein Katz-und-Maus-Spiel und Polizei und Behörden hinken den Kriminellen stets einen Schritt hinterher. "Bei entsprechenden Meldungen auf Cybercrimepolice.ch ersuchen wir bei den ausländischen Hostern und Registraren um Sperrung der betrügerischen Domain hinter dem Link", sagt die Kapo Zürich. Doch wird eine Phishing-Webseite gesperrt, bringt die Täterschaft postwendend eine neue online.

Grundsätzlich gilt: "Wenn niemand die Phishing-URL meldet, dann wird sie auch nicht blockiert", sagt Stirnimann von Switch. "Bei den aktuellen Gegenmassnahmen schätze ich, dass die Kriminellen mit circa drei Phishing-Seiten pro Tag auskommen. Wären wir schneller im Blockieren, würden sie die Zahl erhöhen."

Auch "Swisscom sperrt ihr bekannte betrügerische Webseiten regelmässig für ihre Kunden und arbeitet hierzu eng mit den Behörden zusammen", teilt das Unternehmen mit. Zudem sei der SMS-Filter auch in Zeiten von WhatsApp, iMessage und RCS-Nachrichten "sehr wichtig im Kampf gegen Spam und Phishing, denn SMS funktioniert unabhängig vom Endgerät und damit ist es viel einfacher für Spammer und Betrüger, viele Nutzer zu erreichen". Man stelle aber fest, "dass wenn wir eine Türe schliessen, die Spammer und Betrüger eine neue suchen und ihre Vorgehensweise laufend anpassen."

Müssen wir nun einfach mit Spam-SMS leben?

Zu einem gewissen Grad sicher. "Neben den bekannten Betrugsversuchen via E-Mail (z. B. Phishing) sehen wir einen Anstieg von betrügerischen SMS seit ungefähr zwei Jahren – dies scheint ein weltweiter Trend zu sein", schreibt Swisscom.

Dafür gibt es mehrere Gründe: Phishing-Kampagnen per SMS (Smishing) sind ohne grosses Know-how durchführbar und günstig (siehe Punkt 9). Gleichzeitig können die Betrüger mit WhatsApp, iMessage oder RCS-Nachrichten die bisherigen SMS-Filter umgehen und mit KI-Tools beliebige Variationen von Textnachrichten und Fake-Webseiten in diversen Sprachen schnell und fehlerfrei erstellen.

"Phishing ist nach wie vor eine der beliebtesten Angriffsformen, weil sie sich mit relativ einfacher Infrastruktur und ohne Expertenwissen durchführen lässt", sagt Max Klaus, stellvertretender Medien- und Informationsverantwortlicher, Bundesamt für Cybersicherheit BACS.

Dies bestätigen auch die beim Bundesamt für Cybersicherheit BACS eingehenden Meldungen. So erhielt das BACS 2023 9359 Meldungen zu Phishing, was einem wöchentlichen Durchschnitt von 180 Meldungen entspricht – Tendenz steigend.

Der oben stehenden Grafik zeigt deutlich, dass sich – wie alle anderen Angriffe – auch Phishing-Angriffe wellenartig ereignen.

 

Gemeldete Phishing-Versuche 2023: Die Grafik zeigt, dass sich Phishing-Angriffe wellenartig ereignen. (Source: BACS)

Dieser Artikel erschien zuerst bei "Watson".

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
TfoKtG8o