Angriff via iMessage und RCS: Dracula bedient mehr als 20.000 Phishing-Domains

Sicherheitsforscher des britischen IT-Dienstleisters Netcraft warnen in einem am 27. März veröffentlichten Blogbeitrag vor einer neuen Phaas-Plattform (Phishing as a Service) namens Dracula. Diese bietet Cyberkriminellen einen einfachen Zugang zu markenbezogenen Phishing-Kampagnen.

Dracula komme bereits auf mehr als 20.000 Phishing-Domains mit 11.000 unterschiedlichen IP-Adressen zum Einsatz, erklärten die Sicherheitsexperten. Seit Anfang 2024 kämen im Durchschnitt 120 neue Domains pro Tag hinzu.

Gehostet würden die Phishing-Seiten mit einem Anteil von 32 Prozent meistens via Cloudflare. Der Anbieter werde in der Dokumentation von Dracula empfohlen, um die IP-Adresse des zugrundeliegenden Servers zu verschleiern. Anbieter wie Tencent, Quadranet und Multacom kämen aber ebenfalls häufig zum Einsatz.

Mehr als 200 Phishing-Vorlagen verfügbar

Entwickelt wurde Dracula laut Netcraft von einem unter dem gleichen Namen auftretenden Telegram-Nutzer. Die Plattform bietet Cyberkriminellen den Angaben zufolge rund 200 Phishing-Vorlagen, um Webseiten bekannter Marken aus über 100 verschiedenen Ländern zu imitieren.

Hauptziel sind Postdienste wie DHL, jedoch gibt es auch Vorlagen für andere Organisationen wie Versorgungseinrichtungen, Banken, Behörden, Fluggesellschaften oder Telekommunikationsunternehmen.

Die Einrichtung einer Phishing-Seite sei mit Dracula sehr einfach, erklärten die Forscher. Die Phaas-Plattform verwende "die Open-Source-Container-Registry Harbor, um Docker-Images von in React erstellten Phishing-Webseiten zu hosten", hieß es.

Nach Auswahl einer Zielmarke müsse lediglich ein Skript ausgeführt werden, um die Webseite und das zugehörige Admin-Panel einzurichten. Die Bezahlung für Dracula erfolge auf monatlicher Basis über ein Abomodell.

Netzbetreiber können Nachrichten nicht filtern

Anstelle der klassischen SMS verwenden die Angreifer laut Netcraft in der Regel iMessage oder die Rich Communication Services (RCS), um Nutzern von iPhones oder Android-Smartphones Phishing-Nachrichten mit betrügerischen Verlinkungen zuzustellen.

"Diese Nachrichten können kostenlos versendet werden, genießen das Vertrauen der Verbraucher und ermöglichen es, von den Netzbetreibern eingerichtete Filter zu umgehen, die verhindern, dass betrügerische SMS-Nachrichten an potenzielle Opfer zugestellt werden", erklärten die Forscher.

Denn sowohl für RCS als auch für iMessage kommt eine Ende-zu-Ende-Verschlüsselung zum Einsatz. Diese bietet Anwendern zwar einen wertvollen Schutz für ihre Privatsphäre, sorgt aber auch dafür, dass die Netzbetreiber die Inhalte der Nachrichten nicht prüfen und infolgedessen auch nicht filtern können.

Die geräteinterne Spamerkennung von Google und Apple sowie Spamfilter-Apps von Drittanbietern seien folglich der primäre Schutz vor dem Empfang solcher Mitteilungen, erklärten die Netcraft-Forscher.

Sie empfehlen Anwendern, beim Empfang von Nachrichten unbekannter Absender skeptisch zu bleiben. Erkennen ließen sich Phishing-Angriffe häufig durch eine fehlerhafte Grammatik, Rechtschreibfehler, eine vorgetäuschte Dringlichkeit oder Angebote, die "zu gut sind, um wahr zu sein". "Wenn Sie eine Nachricht von einer Organisation erwarten, navigieren Sie zu deren offizieller Website und folgen Sie keinen Links", so die Forscher.

Weitere wertvolle Hinweise zur Erkennung von Phishing sowie möglichen Schutzmaßnahmen sind auf der Webseite des BSI zu finden.