Barracuda full logo

Der lange Arm des Gesetzes beginnt endlich, Smishing zu unterbinden.

Themen:
26. Nov.. 2025
|
Mike Vizard

Wie rechtliche Maßnahmen und Technologie versuchen, globale SMS-Phishing-Angriffe zu unterbinden.

Die wichtigsten Erkenntnisse

  • Google hat eine Klage gegen die Cyberkriminellen-Gruppe Smishing Triad eingereicht, die sich gegen deren Phishing-as-a-Service-Plattform Lighthouse richtet, unter Berufung auf den RICO Act, den Lanham Act und den Computer Fraud and Abuse Act.
  • Lighthouse ist seit 2023 in Betrieb und verantwortlich für die Erfassung von Millionen von Kreditkartennummern, wobei die Zahl der Angriffe seit 2020 um das Fünffache gestiegen ist und Opfer in über 120 Ländern betroffen sind.
  • Google arbeitet mit dem Kongress an einer bevorstehenden Gesetzgebung zusammen, um Staaten und Behörden besser für die Bekämpfung von Betrug zu rüsten, einschließlich Maßnahmen zur Untersuchung von Finanzbetrug, zum Stoppen internationaler Robocalls und zur Bekämpfung von Betrugsnetzwerken.
  • Google hat seine Plattform mit KI-Tools erweitert, um häufige Betrugsnachrichten, z. B. im Zusammenhang mit Mautgebühren oder Paketlieferungen, proaktiv zu erkennen und zu kennzeichnen.

Über die Jahre hinweg gab es viel Murren über die begrenzten Rechtsmittel, die das Rechtssystem geboten hat, angesichts der einfachen Tatsache, dass Cyberangriffe von fast überall her stammen können. Allzu oft kann kaum jemand etwas tun, um diese Angriffe zu stoppen, weil sich die Länder, von denen aus sie verübt werden, nicht sonderlich um die Auswirkungen kümmern, die sie außerhalb ihrer Grenzen haben könnten.

Doch hin und wieder wird ein gewisses Vertrauen in das Rechtssystem wiederhergestellt. Als Teil einer mehrgleisigen Maßnahme zur Verhinderung einer globalen Smishing-Operation, die mehr als eine Million Opfer mit Textnachrichten über nicht zugestellte Pakete oder unbezahlte E-ZPass-Mautgebühren zur Weitergabe persönlicher Informationen und Kreditkartennummern aufforderte, hat Google eine Klage eingereicht, die darauf abzielt, eine Phishing-as-a-Service (PhaaS)-Plattform namens Lighthouse zu zerschlagen, die von einer Cyberkriminellen-Gruppe namens Smishing Triad für diese Kampagnen genutzt wurde.

Auswirkungen der Klage von Google gegen die Smishing-Triad

Konkret hat Google eine Klage nach dem Racketeer Influenced and Corrupt Organizations Act (RICO), dem Lanham Act und dem Computer Fraud and Abuse Act eingereicht, um Lighthouse abzuschalten. Im Rahmen dieser Bemühungen teilte Google auch eine Nachricht des Betreibers Lighthouse, in der es auf Chinesisch hieß, ein „Cloud-Server sei aufgrund bösartiger Beschwerden gesperrt worden“.

Es ist unklar, wie diese Störung erreicht wurde, da Lighthouse und andere Anbieter ähnlicher PhaaS-Plattformen mehrere Cloud-Dienstleister nutzen. Es wird jedoch angenommen, dass die Anbieter der Cloud-Dienste, die für diese Angriffe verwendet wurden, nicht daran interessiert sind, in einer Klage genannt zu werden. Infolgedessen scheint es, dass Cloud-Dienstanbieter nun mehr darauf achten, wie diese Syndikate die von ihnen bereitgestellte Infrastruktur ausnutzen und, ebenso wichtig, Maßnahmen ergreifen, um diesen Datenverkehr zu blockieren.

Leider wurde bereits viel Schaden angerichtet. Lighthouse ist seit 2023 in Betrieb und hat in den letzten zwei Jahren zwischen 12,7 Millionen und 115 Millionen Kreditkarten in den Vereinigten Staaten gesammelt. Insgesamt hat sich die Zahl solcher Angriffe seit 2020 verfünffacht, wobei Opfer in mehr als 120 Ländern betroffen sind.

Legislative Maßnahmen und KI-Innovationen stärken die Betrugsbekämpfung

Neben der Nutzung bestehender Gesetze, um die Täter dieses Betrugs zur Rechenschaft zu ziehen, gab Google auch bekannt, dass es mit Kongressmitgliedern zusammenarbeitet, um drei ausstehende Gesetze zu verabschieden, die US-Bürger vor Betrug schützen sollen.

Die eine Regelung sieht vor, dass die Bundesstaaten Bundesmittel zur Untersuchung von Finanzbetrug und Betrug, der sich gegen Rentner richtet, einsetzen können, während eine andere Regelung die Einrichtung einer Arbeitsgruppe vorsieht, die untersuchen soll, wie man automatisierte Anrufe aus anderen Ländern blockieren kann, bevor sie die Amerikaner erreichen. Die dritte würde eine nationale Strategie schaffen, um Betrug zu bekämpfen, also riesige Seiten, die Menschen aus anderen Ländern dazu bringen, an Online-Betrügereien teilzunehmen, die alles von Romantik bis zu finanziellen Investitionen umfassen.

Schließlich hat Google seiner Plattform auch die Möglichkeit hinzugefügt, künstliche Intelligenz (KI) einzusetzen, um häufige Betrugsnachrichten zu erkennen und zu kennzeichnen, die beispielsweise Mautgebühren oder Paketlieferungen betreffen.

Zunehmender Druck zur Bekämpfung von Online-Betrug

Es ist noch zu früh, um abzusehen, welche Auswirkungen all diese Bemühungen auf die Sicherheit des Internets für den durchschnittlichen, ahnungslosen Bürger haben werden, aber zumindest wird ein Signal gesendet – insbesondere an Internet- und Cloud-Dienstleister, die sich eines Tages möglicherweise mit dem Vorwurf der Verletzung von RICO-Gesetzen konfrontiert sehen, sollte sich jemals herausstellen, dass sie wussten, wie ihre Dienste von terroristischen Akteuren genutzt wurden.

Die einfache, traurige Wahrheit ist, dass es zwar einige Anstrengungen erfordert, um festzustellen, wer die IT-Infrastruktur besitzt, die für diesen Betrug genutzt wird, es aber nicht unmöglich ist, dies zu ermitteln. Es geht also darum, die Anbieter dieser Dienste nicht nur darüber zu informieren, wie sie missbraucht werden, sondern ihnen auch klarzumachen, dass sie letztlich zur Verantwortung gezogen werden.

Abonnieren Sie den Barracuda-Blog
Mike Vizard

Mike Vizard berichtet seit mehr als 25 Jahren über Themen aus dem IT-Bereich und hat eine Reihe von Publikationen im Bereich Technologie herausgegeben oder zu diesen beigetragen – darunter InfoWorld, eWeek, CRN, Baseline, ComputerWorld, TMCNet und Digital Review. Derzeit bloggt er für IT Business Edge und wirkt bei CIOinsight, The Channel Insider, Programmableweb und Slashdot mit. Mike bloggt außerdem über aufkommende Cloud-Technologie für SmarterMSP.

Verbinde dich mit Mike auf LinkedIn oder Twitter.

Verwandte Beiträge:
The 2025 ITRC Consumer Impact Report: A new era of identity crime
The 2025 ITRC Consumer Impact Report: A new era of identity crime
 Nevada ransomware attack offers lessons in statewide cyber resilience
Nevada ransomware attack offers lessons in statewide cyber resilience
 Malware-Kurzinfo: Android im Visier – FvncBot, SeedSnatcher, ClayRat
Malware-Kurzinfo: Android im Visier – FvncBot, SeedSnatcher, ClayRat
 Die interessantesten Cyberkriminalitäts-Takedowns des Jahres 2025
Die interessantesten Cyberkriminalitäts-Takedowns des Jahres 2025
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.