SMS-URL-Links vor dem Anklicken überprüfen

Im Gegensatz zu Internet-Browsern und E-Mail-Programmen, die URL-Links anzeigen, können Benutzer nicht mit dem Mauszeiger über einen Link fahren, um zu sehen, was er wirklich ist oder wohin er führt. Die gute Nachricht ist, dass das, was die Benutzer sehen, auch das ist, was sie bekommen. Sie brauchen nicht mit dem Mauszeiger darüber zu fahren. Was sie sehen, ist der echte Link, zumindest der erste Link, der angezeigt wird. Es gibt keinen sekundären Link unter der Haube, der der echte Link ist, wie es bei Nicht-SMS-Nachrichten der Fall ist.

Wenig Tools für SMS-Link-Checks

Die schlechte Nachricht ist, dass die meisten der in SMS angezeigten Links „verkürzte“ Links sind, die zu anderen Links führen. Diese können wiederum zu anderen Links führen, ohne dass es eine gute Möglichkeit gibt, sie zu überprüfen oder zu filtern. Leider gibt es weitaus weniger Methoden und Tools, um die in einer SMS-Nachricht angezeigten Links daraufhin zu untersuchen, ob sie zu einer legitimen oder bösartigen Website führen. In der Welt der Nicht-SMS-Nachrichten können Benutzer nicht nur mit dem Mauszeiger über den Link fahren, sondern es gibt wahrscheinlich mehrere Tools zur Inhaltsüberprüfung. Diese Werkzeuge versuchen zu bestimmen, ob der betreffende Link bösartig ist oder nicht.

In der normalen Computerwelt verfügt der Internet-Browser oder das E-Mail-Programm in der Regel über eine integrierte Inhaltsprüfung. Darüber hinaus wird wahrscheinlich ein Antivirenprogramm installiert sein, das alle heruntergeladenen Inhalte prüft, und der Benutzer oder das Unternehmen verfügen möglicherweise über zusätzliche Prüfschichten, die alle dazu beitragen, bösartige Inhalte zu erkennen und zu blockieren. Sie sind zwar nicht immer erfolgreich, aber zumindest haben Benutzer eine Chance, sich umfassend zu schützen.

Smishing-Nachricht nutzen meist verkürzte URLs

Es gibt eine Reihe von Tricks, die von SMS-Phishern eingesetzt werden und die Überprüfung von Smishing erschweren. Hier sind einige der Probleme und wie man sie entschärfen kann. Die meisten SMS-Links werden mit „Verkürzungsdiensten“ erstellt, die Benutzer zu einem längeren Ziellink (z. B. https://info.example.com/dsdata/trinity004/tlreport.html) führen und ihn durch etwas Kürzeres ersetzen (z. B. https://t.co/ls4raG). Diese Dienste kamen in Mode, als Twitter nur 140-Zeichen-Nachrichten zuließ. Jede enthaltene URL konnte leicht alle 140 Zeichen in Anspruch nehmen oder zumindest so viele, dass es schwierig wurde, eine sinnvolle Nachricht zu schreiben. Heute gibt es Dutzende von URL-Verkürzungsdiensten wie etwa ly, gl (Google), com oder co (Twitter).

Es ist selten, dass eine Smishing-Nachricht keine verkürzte URL verwendet. URL-Verkürzungen sind so verbreitet und nützlich, dass Malware-Entwickler oft ihre eigenen Verkürzungsdienste entwickeln, um verkürzte URLs zu generieren, die legitim aussehen (z. B. https://m.awss.com/s14/microsoft.com).

Verschachtelte, verkürzte URLS

Das Gute an verkürzten URLs ist, dass sie erweitert werden können, ohne dass man sie tatsächlich anklicken muss. Es gibt fast so viele Expander-Websites, die verkürzte URLs für den Benutzer erweitern. Man kopiert oder tippt die verkürzte URL ein, und die Seite zeigt an, wie die längere URL ersetzt wird. Eine Möglichkeit ist Expand URL (z. B. https://www.expandurl.net/expand).

Leider verwenden viele Cyberschmuggler „verschachtelte“ verkürzte URLs, eine Art digitale russische Matrjoschka-Puppen. Sie haben eine verkürzte URL, die zu einer weiteren verkürzten URL führt, die wiederum zu einer weiteren verkürzten URL führt. Es hat sich herausgestellt, dass viele Malware- und URL-Überprüfungsdienste Verschachtelungen gar nicht oder nur bis zu einer bestimmten Anzahl von Verschachtelungen (etwa drei oder vier) verarbeiten. Je mehr Verschachtelungen eine Smishing verwenden kann, desto wahrscheinlicher ist es, dass er der Malware-Erkennung entgeht.

Link zu einer Inspektionsstelle einreichen

Benutzer können den Link jederzeit zu einem Online-URL-Prüfdienst wie VirusTotal von Google kopieren oder neu eingeben. VirusTotal überprüft den übermittelten Link und den daraus resultierenden Inhalt mit allen Antiviren-Scan-Engines, die in der Lage sind, URLs zu scannen, die ihnen während der Übermittlung zur Verfügung stehen, was bei der letzten Zählung (am 8.11.22) 68 waren.

Viele wirklich bösartige Links werden von keinem der Antiviren-Scanner auf VirusTotal als bösartig erkannt. Ein Wert von 0/68 sollte nicht als Garantie dafür genommen werden, dass die URL sicher ist. Das Gleiche gilt für andere Websites zur Inhaltskontrolle, wie Google Safe Browsing. Sie lassen sich so verwenden, dass wenn die Eingabe als sauber eingestuft wird, man trotzdem misstrauisch bleiben sollte. Wenn jedoch zwei oder mehr Antivirenprogramme den übermittelten URL-Link als bösartig erkennen, ist er definitiv bösartig, und das Prüfprogramm hilft in der Regel, die verwendete Malware-Variante zu identifizieren.

URL-Detonation auf einem sicheren Computer

Benutzer können auch den Link zu einer bekannten, sauberen, vertrauenswürdigen, abgeschotteten virtuellen Maschine eingeben oder kopieren und für die forensische Untersuchung verwenden. Dieser virtuelle Computer sollte nicht mit dem lokalen Netzwerk verbunden sein. Die einzige Verbindung, die sie haben sollte, ist eine Verbindung zum Internet. Man sollte sich bei keiner Anwendung, keiner Website oder keinem Dienst anmelden, bei der oder dem man sich normalerweise anmeldet. Dies meint zumindest nicht mit denselben Anmeldenamen und Passwörtern. Benutzer müssen davon ausgehen, dass jeder aktive Malware-Inhalt, den sie versehentlich ausführen, alle Passwörter abgreifen kann, die sich im Image der virtuellen Maschine befinden.

Zur Ausführung von forensischen Images bietet sich die kostenlose Sysinternals-Prozess-Utilitie von Microsoft an, einschließlich Autoruns und Process Explorer, sowie Sysinternals TCPView. Für schnelle oder detaillierte forensische Untersuchungen können diese Dienstprogramme alles außer Malware-Code-Analysen durchführen.

Im Zweifelsfall löschen

Es kann jedoch sehr knifflig sein, einen URL-Link aus einer SMS-Nachricht zu kopieren, ohne ihn versehentlich auszuwählen oder zu aktivieren. Deshalb sollten sich Benutzer informieren, wie das Telefon mit der bevorzugten SMS-Anwendung funktioniert, damit sie URL-Links kopieren und einfügen können. Es schwebt immer die Sorge mit, durch ein Versehen eine potenziell bösartige URLs zu aktivieren. In der Regel handelt es sich dabei um verkürzte URLs, die sich leicht neu eingeben lassen.

Es ist eine gute Wahl unerwartete SMS-Nachrichten mit einem Link einfach zu löschen. Gelegentlich erhalte ich gültige SMS-Nachrichten von Anbietern, aber keine, die einen Notfall darstellen und bei denen ich unbedingt sofort auf einen Link klicken muss. In 99 Prozent der Fälle handelt es sich um einen Spam- oder Phishing-Angriff, so dass man sie getrost ignorieren kann.

Warum entwickelt niemand eine App, die SMS-URLs prüft?

Man könnte nun fragen, warum niemand einen URL-Überprüfungsdienst für SMS einrichtet. Das liegt daran, dass die Anbieter von SMS-Anwendungen Dritten nicht gestatten, sich mit ihren Anwendungen zu verbinden. Das hat Sicherheitsgründe. Wenn sie legitimen Anbietern erlauben, sich mit der Anwendung zu verbinden, erhöht sich das Risiko, dass auch unseriöse Anbieter Zugang erhalten. Also verwerfen sie es und lassen niemanden an ihre SMS-Anwendungen heran oder kontrollieren sie. Wahrscheinlich ist das eine kluge Entscheidung von ihnen. Und wenn Benutzer auf einen SMS-Link klicken, wird dieser im Browser geöffnet, und es lässt sich nur hoffen, dass der Browser bessere Möglichkeiten zur Inhaltskontrolle hat. Aber sich auf diese Hoffnung zu verlassen, ist keine gute Sicherheitsstrategie. Benutzer sollten stattdessen die oben aufgeführten Empfehlungen anwenden, wenn sie eine SMS-URL prüfen wollen, bevor sie darauf klicken.

Bildung ist der Schlüssel gegen Phishing

IT-Sicherheitsfachleute müssen Mitarbeiter und Familie sowie Freunde über SMS-Phishing-Nachrichten aufklären. Sie sollten zunächst aufklären, was SMS-Phishing eigentlich ist, und einige bekannte Beispiele nennen. Die meisten Leute wissen bereits über SMS-Phishing Bescheid, aber es wird einige Leute geben, die es nicht wissen.

Sie sollten ihnen beibringen, wie man einen Smishing-Angriff erkennt und wie man ihn behandelt. Sie müssen Freunden und Kollegen mitteilen, wie sie jeden Phishing-Angriff erkennen können, auch einen Phishing-Angriff per SMS. Wenn die Nachricht unerwartet kommt, der Absender zum ersten Mal um etwas Neues bittet und wenn das, worum der Absender das Opfer bittet, den Benutzern oder den Interessen des Unternehmens schaden könnte. Ein Beispiel dafür ist, wenn diese vertrauliche Informationen weitergeben oder eine Datei herunterladen sollen. In diesem Fall sollten die Benutzer es langsam angehen lassen und sich genauer informieren, bevor sie klicken.

Fazit

SMS-Phishing ist auf dem Vormarsch. Smishing wird immer ausgereifter und raffinierter. Am besten ist es, gute Gewohnheiten zur Überprüfung von SMS-URLs zu entwickeln und zu lehren.

Roger A. Grimes

Data-Driven Defense Evangelist bei KnowBe4