Apple iMessage: ESET warnt vor Phishing-Falle

Neue SMS-Phishing-Methode macht Nutzer laut ESET anfällig für Online-Betrug

[datensicherheit.de, 15.01.2025] Cyber-Kriminelle haben nach ESET-Erkenntnissen eine neue Methode gefunden, um an Daten von „iMessage“-Nutzern zu gelangen: Mit SMS-Phishing-Nachrichten (sogenanntes Smishing), zum Beispiel Benachrichtigungen über den Paketversand, bringen sie ihre Opfer demnach derzeit dazu, darauf zu antworten und damit Phishing-Links zu aktivieren. „Wer hierauf hereinfällt, gibt persönliche Daten wie Passwörter, Kreditkarteninformationen oder Postadressen preis und macht sich zur Zielscheibe für weitere Phishing-Angriffe!“, warnt ESET in einer aktuellen Stellungnahme.

ESET-Sicherheitsexperte „Smishing“ nach wie vor eine beliebte Angriffsmethode

„Cyber-Kriminelle sind äußerst kreativ, wenn es darum geht, Sicherheitsfunktionen zu umgehen“, betont Jake Moore, Sicherheitsexperte bei ESET, und führt aus: „Smishing ist nach wie vor eine beliebte Angriffsmethode. Die meisten Menschen erkennen sie auf den ersten Blick, indem sie zum Beispiel sofort die Echtheit der Nachricht in Frage stellen. Dennoch fallen immer noch zu viele Nutzer darauf herein und lassen sich unter Druck setzen, einen fragwürdigen Link zu aktivieren.“

Apples „iMessage-App“ deaktiviere Links aus fremden Quellen, um Nutzer vor unbekannten Absendern zu schützen, sei es eine E-Mail-Adresse, eine Telefonnummer oder ein Link zu einer Website. „Wenn der Empfänger jedoch auf eine Nachricht antwortet oder den Absender zu seinen Kontakten hinzufügt, werden die Links wieder aktiviert.“

Art der Kommunikation laut ESET nicht ungewöhnlich – wird auch von legitimen Absendern verwendet

Diese Funktion nutzten Cyber-Kriminelle gezielt aus: In letzter Zeit häuften sich SMS-Phishing-Angriffe, bei denen die Angreifer ihre Opfer dazu verleiteten, auf die Nachricht zu antworten. Meist sollten sie mit einem „Y“ für „Yes“ reagieren oder alternativ den Link im „Safari“-Browser öffnen.

Das Perfide laut Moore: „Diese Art der Kommunikation ist nicht ungewöhnlich und wird auch von legitimen Absendern verwendet. Mobilfunkbetreiber nutzen sie beispielsweise, um ihre Nutzer über verbrauchtes Datenvolumen zu informieren und direkt zusätzliches Volumen anzubieten und zu verkaufen. Die Kunden schreiben dann den gewünschten Tarif zurück und erhalten umgehend das bestellte Produkt.“

Abbildung: ESET

ESET zeigt ein Beispiel für eine Smishing-Nachricht

ESET-Warnung für Deutschland: Angebliche Paket-Benachrichtigungen bei Hackern beliebt

Deutsche Nutzer erhielten häufig Benachrichtigungen über angeblich im Zoll festsitzende Pakete oder fehlende Adressdaten. Wie bei vielen anderen Phishing-Methoden bauten die Hacker hinter den Nachrichten gezielt Druck auf, indem sie für die Rückmeldung eine kurze Frist setzten.

„Kommen Nutzer der Aufforderung nach, werden sie auf eine Phishing-Seite weitergeleitet, auf der sie ihre persönlichen Daten eingeben sollen und sie damit direkt in die Hände der Kriminellen legen.“ Hinzu komme: Wenn Nutzer auf diese Nachricht antworteten, aktivierten sie nicht nur den bösartigen Link – sie signalisierten ihrem Gegenüber auch, „dass sie generell anfällig für Phishing-Nachrichten sind“. Im schlimmsten Fall ziehe dies weitere Betrugsversuche in der Zukunft nach sich.

ESET-Sicherheitsempfehlungen:

„Vermeiden Sie es, auf Nachrichten von unbekannten Kontakten zu antworten, da dies den integrierten Schutz von ,iMessage’ außer Kraft setzt und Sie anfällig für Phishing macht. Prüfen Sie immer die Legitimität einer Nachricht, bevor Sie etwas unternehmen, besonders wenn sensible Informationen verlangt werden!“, legt Moore abschließend nahe. Davon abgesehen sollte man eigene Online-Konten mit einer Zweifaktor-Authentifizierung (2FA) absichern – damit blieben sensible Daten sicher, „selbst wenn Zugangsdaten in die falschen Hände geraten“.

Weitere ESET-Tipps:

• Klicken Sie niemals auf Links in SMS von unbekannten Absendern: Seriöse Unternehmen oder Organisationen fordern Sie nicht unter Druck per SMS dazu auf, Links anzuklicken!
• Bleiben Sie skeptisch bei dringlichen Nachrichten: Lassen Sie sich nicht verunsichern und prüfen Sie die Echtheit der Nachricht, insbesondere wenn der Absender künstlich Druck aufbaut!
• Geben Sie keine persönlichen Daten preis: Seriöse Unternehmen fragen niemals Daten wie Passwörter, Kreditkartendaten usw. per SMS ab!
• Rufen Sie offizielle Websites direkt auf: Besuchen Sie die Website des Unternehmens direkt, indem Sie die Adresse selbst im Browser eingeben, anstatt einem SMS-Link zu folgen!

Weitere Informationen zum Thema:

BLEEPINGCOMPUTER, Lawrence Abrams, 12.01.2025
Phishing texts trick Apple iMessage users into disabling protection

welicesecurity by eseT, Jake Moore, 22.01.2021
Scams / Smishing: What it is and why we fall for these scams so easily / Here’s how to spot scams where criminals use deceptive text messages to hook and reel in their marks