SMS Spam DHL

Inhaltsverzeichnis

Die SMS
User-Agent Switch
Datensammlung
Google Safe Browsing
Cloudflare hilft Phishing
Wenig Risiko
Weitere Link

Der primäre Kommunikationskanal für Werbung und Phishing ist natürlich die E-Mail per SMTP über das Internet. Das ist schnell, billig und anscheinend weiterhin lukrativ. Aber ab und an verirrt sich auch eine SMS auf mein Smartphone, welche auch nicht "erwartet" ist. Was steckt dahinter?

Die SMS

Im Sommer 24 sind gleich zwei SMS kurz hintereinander bei mir aufgeschlagen und ich war schon etwas neugierig, was dahinter steckt.

Die Rufnummern +353 ist ein Hinweis auf "Irland" aber wie Mailadressen können auch SMS-Nummern durchaus gefälscht werden und es lohnt sich eigentlich nicht, diese Nummern zu melden oder nachzuverfolgen. Zumal es schon einige Hinweise auf Missbrauch gibt.

Ländervorwahl irland
https://www.laendervorwahl.org/vorwahl/00353
Spam Anrufe aus Irland
https://telefonnummer.net/laendervorwahl/00353
Direkt mit dem Betrüger quatschen: Achtung vor +353 Anrufen
https://www.vicotec.de/direkt-mit-dem-betruger-quatschen-achtung-vor-353-anrufen.html
BEE SECURE weist auf aktuelle +353-Betrugsmasche hin
https://gouvernement.lu/de/actualites/toutes_actualites/communiques/2021/04-avril/23-snj-beesecure-betrugsmasche.html

Sofern also nichts ungewöhnliches und wer drauf einfällt, sollten wirklich überlegen, ob er nicht besser auf Internet verzichtet.

User-Agent Switch

Der Versuch die Webseite https://dhl-track.cc/DE in einem abgesicherten PC per Browser zu öffnen, wurde ohne weitere Schnörkel unterbunden.

Im Chromium Debugger sehe ich auch "nur" den einfachen Text. Erst wenn ich mich als "IPhone per User-Agent ausgebe, sehe ich die klassische Phishing-Seite:

Datensammlung

Im nächsten Dialog werde ich aufgefordert, meine Postadresse einzugeben, d.h. Name, Straße, PLZ, Ort und zusätzlich auch Telefonnummer und Mailadresse um dann im dritten Dialog die "Gebühr" von 0,29€ per Kreditkarte zu bezahlen.

Spätestens hier sollten Sie abbrechen, denn wenn Sie tatsächlich ihre echte Kartennummer samt dem Sicherheitscode (CVE) eingeben, öffnen Sie ihren digitalen Geldbeutel für den Betrüger. Mit den Daten kann er relativ problemlos dann bei anderen Webseiten "bezahlen" und auf ihre Kosten einkaufen. Die betrügerische Webseite prüft die eingegebene Daten direkt, um Spaßeingaben o.ä. gleich zu erkennen.

An der Stelle habe ich dann auch abgebrochen und die VM mit dem Browser wieder in den Ursprungszustand zurück versetzt.

Google Safe Browsing

Als ich wenige Minuten danach die Domain noch einmal ansurfen wollte, hat mein Browser schon mit einem "Gefährliche Webseite" gewarnt.

Anscheinend hat der Spammer so viele SMS-Meldungen versendet, die dann zu entsprechenden Meldungen bei "Google Safe Browsing" geführt haben, dass diese Domain entsprechend geflaggt wurde. Das funktioniert natürlich "nur" auf PCs mit einem Browser, die in diesem Fall die "Safe Browsing"-Funktion von Google integriert haben. Auf Mobilgeräten ist dies nicht immer der Fall. Das mag auch der Grund sein, die Browserweiche am Anfang über den "User-Agent" einzusetzen und so die Windows-Anwender auszusperren.

Übrigens: Auf einem IPhone haben sowohl Edge (Google Safe Browsing) als auch Edge (Defender SmartScreen) diese URL auch mit der Warnung versehen. Safari hingegen hat den Zugriff weiterhin erlaubt.

Cloudflare hilft Phishing

Der Whois-Eintrag der Domain dhl-track.cc, den ich z.B. über https://who.is/whois/dhl-track.cc abgefragt habe, liefert nur die Information, das wohl "gname.com" der Domain-Reseller ist, der die Kommunikation mit dem eigentliche Inhaber abwickelt. Der Inhaber bleibt so verborgen und selbst gname ist angeblich in Kalifornien aber die Supportnummer mit +65 verweist auf Singapur und eine CC-Domain kostet ca. 6,60$ im ersten Jahr. Die Namenserver werden von Cloudflare bereitgestellt

Aber auch die Webseite läuft über Cloudflare:

Lauf https://ipinfo.io/172.67.158.52 und https://ipinfo.io/104.21.90.167 gehören beide IP-Adresse zum AS13335 von Cloudflare.

Anscheinend erfreut sich Cloudflare besonderer Beliebtheit in kriminellen Kreisen, um ihre Dienste hochverfügbar und skalierbar bereitzustellen. Über die "Abuse"-Thematik bei Cloudflare habe ich schon mehrfach berichtet, dass auf eine Meldung in der Regel keine Rückantwort oder Reaktion erfolgt.

Wenig Risiko

Leider erfolgt die Kommunikation per SMS, wie auch bei Diensten per WhatsApp, Facebook, Twitter/X und vielen nicht er SMTP, sondern komplett an der Firmenkommunikation vorbei. Damit kann auch kein Spamfilter in der Cloud oder OnPremises hier die Anwender vor diesen störenden oder auch gefährlichen Nachrichten schützen. Die Fokussierung des Angreifers auf Mobilegeräte, indem der UserAgent ausgewertet wird, erschwert ein irrtümliches Klicken auf einem Windows Computer zusätzlich, so dass es aktuell eher Privatpersonen gefährdet, die dann die URL-Domain nicht betrachten und auf nicht verifizierten Seiten ihre Adressdaten und Kreditkartendaten eingeben. Da muss schon viel schief gehen aber ich bin sicher, dass auch das gelingt.

Die Frage ist wieder eher, wie einfach kriminelle Kreise eine Domain kaufen, bei Cloudflare eine Webseite und über einen Kreditkartenservice an ihre Geld kommen. In Zeiten, in denen Sie in Deutschland eine SIM-Karte (Mobilfunk) und Bandverbindung nur mit Personalausweis bekommen, machen Sie Anbieter wie Cloudflare und der unbekannte SMS-Dienstleister in Irland es sich sehr einfach, ohne Verifikation des Kunden ihre Dienste anzubieten. Leider sind wohl die Kosten von Cloudflare für so ein Hosting so niedrig, dass es immer noch günstiger ist, als alle Neukunden einer Identitätsprüfung zu unterziehen. Wir werden also auch zukünftig mit solchen SMS-Meldungen leben müssen.

Weitere Link

Spam und Phising
S.ID ist nicht S.DE
Phishing SMS mit Link zu S.ID ähnelt der Toplevel Domain s.de der Sparkassen