Woche 50: Angriffe auf App-Anbieter über «SMS-Traffic Pumping»

20.12.2022 - In der vergangenen Woche gingen beim NCSC mit 635 Meldungen praktisch gleich viele Meldungen ein wie in der Vorwoche. Besonders aufgefallen ist ein Fall, bei dem Angreifer versuchen, bei der App-Registrierung mittels «SMS-Traffic Pumping» und der Verwendung von ausländischen Telefonnummern an Geld zu kommen.

Angriffe auf Apps mit Registrierfunktion über Telefonnummern

Die Registrierung mit Telefonnummer ist heute bei Smartphone-Apps eine verbreitete Möglichkeit, um einen Account eindeutig zuzuordnen. Nach erfolgter Registrierung wird durch den Anbieter der App eine SMS mit einem Prüf-Code versendet. Erst nach der Eingabe dieses Prüf-Codes, kann die jeweilige App genutzt werden. Dieses einfache Registrieren ohne Passwort und E-Mail-Adresse ist benutzerfreundlich und relativ sicher, weil damit Registrierungen mit ungültigen Telefonnummern schnell erkannt werden können.

Registrierungsprozess mit Telefonnummer für eine Smartphone-App, rechts der Erhalt des Prüf-Codes.
Registrierungsprozess mit Telefonnummer für eine Smartphone-App, rechts der Erhalt des Prüf-Codes.

Bereits zum wiederholten Mal wurde dem NCSC nun der Missbrauch einer derartigen SMS-Registrierung eines App-Anbieters gemeldet. Die Angreifer haben sich automatisiert mehrere hunderttausend Mal mit ausländischen Telefonnummern registriert. Die SMS mit dem Prüf-Code wurden daraufhin an Telefonnummern in verschiedene Länder versendet, und zwar an solche, die für den Versand von SMS zusätzliche Kosten geltend machen (sogenannte Roaming- oder Interworking-Anteile). Mit der starken Netzwerkauslastung steigen folglich auch die Kosten. Die App-Anbieter sind verpflichtet, den durch die Registrierungs-SMS erzeugten Datenverkehr zu bezahlen, selbst wenn dieser betrügerisch ist. Von den auf diese Weise erzeugten Kosten fliesst dann ein gewisser Anteil zu den Angreifern.

Ohne geeignete Massnahmen können sich für die App-Anbieter durch diese Angriffe hohe Kosten ergeben. Das Vergrössern – oder Aufpumpen – von Netzwerkverkehr nennt sich «Traffic Pumping», mit SMS entsprechend «SMS-Traffic Pumping».

Empfehlungen für App-Anbietende:

  • Richten Sie für den Versand von SMS unbedingt Limiten ein, beispielsweise wie viele SMS kurz nacheinander versendet werden können.
  • Schränken Sie die Registrierung auf Telefonnummern ein, welche für Ihre App «normal» sind, beispielsweise Nummern mit Vorwahlen für die Schweiz.
  • Lassen Sie durch Ihren Provider den Versand von SMS an Nummern, die Zusatzkosten verursachen, unterbinden.
  • Vereinbaren Sie mit Ihrem SMS-Provider Kostenlimiten, bei deren Erreichung der Versand weiterer SMS gestoppt wird.
  • Richten Sie ein Monitoring ein, um den Versand solcher SMS zu überwachen.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 20.12.2022

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2022/wochenrueckblick_50.html