Fakes CAPTCHA: Neue Betrugsmasche leert dein Handykonto

Sicherheitsexperten warnen vor einer groß angelegten Kampagne, bei der falsche CAPTCHA-Seiten unbemerkt teure SMS ins Ausland verschicken.

Der sogenannte „SMS-Pumping“-Betrug belastet nicht nur die Mobilfunkrechnungen der Opfer massiv. Er spült den Hintermännern durch Umsatzbeteiligungsmodelle im Telekommunikationssektor hohe illegale Gewinne in die Kassen.

Millionen Smartphone-Nutzer setzen sich täglich unbewusst Risiken aus, während Kriminelle immer raffiniertere Wege finden, mobile Endgeräte für ihre Zwecke zu missbrauchen. Dieser kostenlose PDF-Ratgeber zeigt Ihnen 5 einfache Schritt-für-Schritt-Maßnahmen, um Ihr Android-Smartphone effektiv vor Hackern und Datenmissbrauch zu schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken

So funktioniert die perfide Masche

Der Betrug beginnt unspektakulär: Ein Nutzer besucht eine scheinbar legitime Webseite. Häufig landen Opfer über Tippfehler-Domains (Typosquatting) oder automatisierte Weiterleitungssysteme auf diesen Seiten.

Dort erscheint eine täuschend echt wirkende CAPTCHA-Abfrage. Statt Bilder mit Ampeln auszuwählen, werden die Anwender zu einfachen Fragen über ihr Gerät oder die Internetgeschwindigkeit verleitet.

Jede Interaktion mit diesen gefälschten Elementen löst im Hintergrund eine Kette technischer Prozesse aus. Eine JavaScript-Funktion namens „makeTrackerDownload.php“ öffnet automatisch die SMS-App des Smartphones. Die Nachrichten sind bereits mit Empfängern und Inhalten wie „Ich möchte fortfahren“ vorausgefüllt.

Besonders perfide: Der Verifizierungsprozess umfasst vier Schritte. Bei jedem wird der Nutzer aufgefordert, die vermeintliche Bestätigung abzusenden. Ein einziger Durchlauf kann bis zu 60 SMS-Nachrichten an über 50 verschiedene Ziele verschicken.

Die Forscher David Brunsdon und Darby Wise dokumentierten, dass die Betrüger gezielt Nummern in 17 Ländern ansteuern. Dort fallen besonders hohe Zustellgebühren an.

Das lukrative Geschäftsmodell dahinter

Der finanzielle Schaden pro Sitzung liegt bei rund 30 US-Dollar. Für die Betrüger ist es ein hochskalierbares Geschäft auf Basis des International Revenue Share Fraud (IRSF).

Sie mieten oder leasen Telefonnummernbereiche in Ländern mit hohen Terminierungsentgelten. Bekannte Zielregionen: Aserbaidschan, Myanmar, Ägypten und Kasachstan. Aber auch europäische Ziele wie die Niederlande, Belgien, Polen und Spanien wurden identifiziert.

Sendet ein Opfer eine SMS an eine dieser Nummern, muss der heimische Mobilfunkanbieter eine Gebühr an den Netzbetreiber im Zielland entrichten. Die Betrüger erhalten einen Anteil dieser Gebühren als Provision.

Da die Kosten oft erst Wochen später auf der Rechnung erscheinen, bleibt der Betrug zunächst unbemerkt. Wenn die Rechnung eintrifft, haben die Betroffenen die Interaktion längst vergessen.

Zusätzlich setzen die Hintermänner auf „Back-Button Hijacking“. Ein Skript verhindert, dass Nutzer die betrügerische Seite durch die Zurücktaste verlassen können. Der Browserverlauf führt immer wieder auf die Betrugsseite zurück – bis der Nutzer den Browser komplett schließt.

Ein veraltetes System oder unbemerkte Sicherheitslücken machen Smartphones oft erst zur leichten Beute für solche manipulativen Browser-Angriffe. Erfahren Sie in diesem gratis Report, wie Sie durch die richtigen Updates und Einstellungen Sicherheitslücken dauerhaft schließen und Ihr Gerät rund um die Uhr absichern. Kostenlosen Android-Sicherheits-Report herunterladen

Die Entwicklung der Bedrohungslage

Die Experten von Infoblox beobachten diese Kampagne seit Frühjahr 2020. In den letzten Monaten stellten sie eine deutliche Weiterentwicklung der Infrastruktur fest.

Die Angreifer nutzen ein komplexes Geflecht aus über 13.500 Domains. Allein in vier Monaten registrierten sie über 226.000 DNS-Abfragen im Zusammenhang mit diesen Aktivitäten. Die Kampagne ist nicht auf bestimmte Regionen beschränkt, sondern zielt weltweit auf Nutzer ab.

Ein wesentlicher Erfolgsfaktor: die sogenannte „CAPTCHA-Müdigkeit“. Da Internetnutzer täglich mehrfach ihre Identität bestätigen müssen, sinkt die Wachsamkeit gegenüber ungewöhnlichen Aufforderungen.

Pieter Arntz, Analyst bei Malwarebytes, betont die Gefahr dieser „ClickFix“-Angriffe. Im Gegensatz zu herkömmlicher Malware wird keine Schadsoftware installiert. Der gesamte Angriff findet im Browser statt und nutzt Standardfunktionen des Betriebssystems. Das macht die Erkennung durch Antivirenprogramme deutlich schwieriger.

So schützt du dich vor dem SMS-Betrug

Sicherheitsexperten empfehlen folgende Verhaltensregeln:

Keine SMS für Verifizierungen: Ein legitimes CAPTCHA wird niemals dazu auffordern, eine SMS zu senden. Echte Verifizierungen finden ausschließlich im Browserfenster statt.

Regelmäßige Rechnungskontrolle: Prüfe deine Mobilfunkrechnungen monatlich auf kleine, ungewöhnliche Beträge für internationale Kurzmitteilungen.

Sperrung von Premium-Diensten: Viele Anbieter ermöglichen es, den Versand von SMS an internationale oder teure Sonderrufnummern standardmäßig zu sperren.

Vorsicht bei Weiterleitungen: Wenn eine Webseite ungewöhnlich viele Weiterleitungen durchläuft oder die Adresse nicht zum erwarteten Dienst passt, schließe die Seite sofort.

Browser bei Blockade schließen: Funktioniert die Zurücktaste nicht, beende den gesamten Browser-Tab oder die App zwangsweise.

Google hat das Back-Button Hijacking offiziell als bösartig eingestuft. Ziel ist es, solche Seiten künftig stärker zu sanktionieren und technisch zu blockieren.

Die Grenzen zwischen Web-Betrug und Telekommunikationskriminalität verschwimmen zunehmend. Früher war die Installation dubioser Apps nötig, um Kosten zu verursachen. Heute reicht eine geschickte Manipulation gewohnter Browser-Interaktionen. Die Wachsamkeit der Nutzer bleibt das wichtigste Glied in der Verteidigungskette.

de | wissenschaft | 69375055 |