Die DNS-Spurensuche: Wie Experten die Infrastruktur hinter Smishing-Angriffen aufdecken
Die SMS, die alles auslöste
Jeder kennt das. Das Smartphone vibriert: „Ihr Paket konnte nicht zugestellt werden. Klicken Sie hier, um einen neuen Termin zu vereinbaren." Die Nachricht wirkt offiziell – dringend genug, dass der Daumen schon über dem Link schwebt, bevor das Gehirn eingreift.
Was wäre, wenn dieser eine Klick Zugang zu Ihren Login-Daten und Kreditkarteninformationen verschaffen könnte? Und was wäre, wenn die Domain hinter diesem Link eine viel größere Geschichte erzählen würde – eine Geschichte organisierter Cyberkriminalität, automatisierter Baukästen und Tausender potenzieller Opfer?
Es geht hier nicht um einen einzelnen schlechten Link. Es geht darum zu verstehen, wie moderne Cyberkriminelle ihre Angriffsinfrastruktur aufbauen – und wie Verteidiger DNS-Analysen nutzen können, um einen Schritt voraus zu bleiben.
Smishing: Der Low-Tech-Eingang zum High-Tech-Diebstahl
Smishing funktioniert, weil es die menschliche Psychologie auf unserem persönlichsten Gerät ausnutzt. Im Gegensatz zu E-Mails, denen viele von uns nach Jahren von Security-Schulungen mit gesundem Misstrauen begegnen, fühlen sich SMS-Nachrichten intim an. Wir schauen durchschnittlich 96 Mal am Tag auf unser Handy und reagieren auf SMS schneller als auf jede andere Kommunikationsform.
Angreifer wissen das. Sie wissen auch, dass mobile Browser die Adressleiste standardmäßig verstecken – ein entscheidender Vorteil für sie. Ein Link, der auf dem Desktop vielleicht Fragen aufwerfen würde, wirkt auf dem Smartphone harmlos.
Was Smishing besonders heimtückisch macht: Es ist nicht nur opportunistisch. Viele Kampagnen gehören zu organisierten Operationen mit dedizierter Infrastruktur, wiederverwendbaren Baukästen und systematischer Opferauswahl.
Der digitalen Spur folgen: DNS als Sicherheitsquelle
Wenn Sicherheitsforscher eine verdächtige Domain untersuchen – etwa eine gefälschte „DHL"-Seite –, sehen sie nicht nur eine Website. Sie sehen einen Knotenpunkt in einem Netzwerk. DNS-Einträge sind im Grunde das Telefonbuch des Internets, und sie enthalten wertvolle Informationen für Verteidiger.
So läuft eine typische Untersuchung ab:
Schritt 1: Die Infrastruktur identifizieren
Wenn eine Smishing-Kampagne startet, brauchen Angreifer Hosting. Sie registrieren Domains, verweisen auf Server und konfigurieren SSL-Zertifikate. Jeder dieser Schritte hinterlässt Spuren in DNS-Daten. Dienste wie Censys, Shodan und PassiveTotal aggregieren diese Daten und ermöglichen es Forschern herauszufinden:
- Welche IP-Adressen schädliche Inhalte hosten
- Wann Domains registriert wurden – oft verräterisch für den Zeitpunkt einer Kampagne
- Welche anderen Domains dieselbe Hosting-Infrastruktur nutzen
- SSL-Zertifikatsmuster, die auf automatisierte Baukästen hindeuten
Schritt 2: Muster erkennen
Eine einzelne Smishing-Kampagne nutzt selten nur eine Domain. Angreifer rotieren Domains, um Blocklisten zu entgehen und die Lebensdauer ihrer Kampagne zu verlängern. Durch die Analyse von DNS-Einträgen über mehrere Domains hinweg können Forscher Muster identifizieren:
- Nameserver-Muster: Viele Baukasten-Entwickler nutzen dieselben DNS-Provider, was charakteristische Fingerabdrücke hinterlässt
- IP-Clustering: Mehrere schädliche Domains zeigen oft auf dieselben Serverbereiche
- TTL-Anomalien: Kurze TTLs können auf Domains hindeuten, die sich häufig ändern, um Entdeckung zu vermeiden
- Subdomain-Strukturen: Automatisierte Baukästen erzeugen oft vorhersehbare subdomain-Muster
Schritt 3: Die Kampagnen verknüpfen
Am wichtigsten vielleicht: DNS-Analysen enthüllen die Organisationsstruktur hinter Angriffen. Forscher fanden heraus, dass ein einzelner Smishing-Baukasten-Entwickler für mehrere unterschiedliche Kampagnen verantwortlich war – jede mit anderen geografischen Zielen oder verschiedenen Lockvogel-Themen wie Paketlieferung, Zollgebühren oder Adressverifizierung.
Diese organisatorische Intelligenz ist entscheidend für Verteidiger. Zu wissen, dass „Paketlieferungs"-Smishing in den USA möglicherweise mit ähnlichen Kampagnen anderswo zusammenhängt, deutet auf eine zentralisierte Operation hin, die sich zu stören lohnt.
Warum das für Ihre Organisation wichtig ist
Vielleicht denken Sie: „Ich betreibe keine Cybersicherheitsfirma. Warum sollte mich DNS-Detektivarbeit interessieren?"
Hier ist die Realität: Wenn Ihre Nutzer von Smishing-Kampagnen ins Visier genommen werden – ob mit Ihrer Marke als Maske oder nicht – trägt Ihre Organisation die Konsequenzen. Das Kundenvertrauen erodiert, wenn Menschen mit dem Namen Ihrer Firma betrogen werden. Support-Teams werden mit besorgten Anrufen überschwemmt. Und in regulierten Branchen könnten Compliance-Fragen auftauchen – ob Sie Ihre Kunden geschützt haben oder nicht.
Zu verstehen, wie diese Angriffe funktionieren, gibt Ihnen die Grundlage für:
Domain-Monitoring implementieren: Richten Sie Alerts für neu registrierte Domains ein, die verdächtig ähnlich zu Ihrer aussehen. Viele Angreifer setzen darauf, dass Nutzer kleine Tippfehler nicht bemerken.
Nutzer sensibilisieren: Wenn Sie die Infrastruktur hinter Smishing verstehen, können Sie effektivere Awareness-Schulungen gestalten. „So sieht eine echte Lieferbenachrichtigung aus, und so verifizieren Sie sie" ist überzeugender als allgemeine „Klicken Sie nicht auf verdächtige Links."
Informationen teilen: Wenn Sie Smishing-Kampagnen entdecken, die Ihre Nutzer betreffen, melden Sie diese. Geteilte Bedrohungsinformationen machen das gesamte Ökosystem sicherer.
Registrare klug wählen: Nicht alle Domain-Registrare sind beim Thema Sicherheit gleich. Achten Sie auf Registrar, die Domain-Locking, Zwei-Faktor-Authentifizierung und proaktives Abuse-Monitoring anbieten.
Das große Bild: Domain-Sicherheit im Zeitalter der KI
Mit dem Aufkommen von KI-unterstützter Entwicklung und „Vibe Coding" erleben wir eine Demokratisierung der Webentwicklung. Aber dieselbe Zugänglichkeit gilt auch für Angreifer. Automatisierte Baukästen können überzeugende Phishing-Seiten im großen Maßstab generieren, und KI-Tools helfen bei der Erstellung überzeugenderer Nachrichten.
Das macht DNS-Intelligenz noch wichtiger. Die Muster, die legitime von schädlicher Infrastruktur unterscheiden, verschwinden nicht – sie entwickeln sich weiter. Und als Verteidiger müssen wir uns mit ihnen weiterentwickeln.
Bei NameOcean nehmen wir Domain-Sicherheit ernst. Wenn Sie eine Domain bei uns registrieren, bekommen Sie nicht nur einen Namen – Sie bekommen einen Partner, der die Bedrohungslandschaft versteht und Ihnen die Werkzeuge zum Schutz Ihrer digitalen Präsenz bietet.
Abschließende Gedanken: Neugierig bleiben, wachsam bleiben
Wenn Sie das nächste Mal eine SMS über ein „verpasstes Paket" erhalten, zögern Sie einen Moment. Diese Nachricht repräsentiert mehr als nur einen Betrugsversuch – sie ist ein Fenster in organisierte Cybercrime-Operationen, die Kontinente überspannen und Tausende von Opfern betreffen.
Indem wir verstehen, wie diese Operationen funktionieren – von der DNS-Infrastruktur, die sie unterstützt, bis zu den Baukästen, die sie automatisieren – werden wir zu besseren Verteidigern. Wir können unsere Nutzer, unsere Unternehmen und unsere digitalen Ökosysteme schützen.
Das Telefonbuch des Internets erzählt Geschichten. Die Frage ist, ob wir darauf achten, was es uns sagt.