IoT-routers motor achter sms-phishing

In dit artikel:

Onderzoekers van Sekoia.io ontdekten dat criminelen grootschalig Milesight‑cellulaire routers misbruiken om smishing‑campagnes te voeren — phishing via sms. De routers, bedoeld om industriële IoT‑apparaten zoals verkeerslichten en energiemeters via 3G/4G/5G te verbinden, bevatten SIM‑kaarten en zijn te besturen via sms, Python‑scripts of webinterfaces.

De campagnes lopen al sinds 2022 en concentreren zich vooral in Europa; België is zwaar getroffen met berichten die zich voordoen als communicatie van CSAM en eBox. Ook Frankrijk, Italië en Zweden werden genoemd. Wereldwijd staan volgens Sekoia meer dan 18.000 van deze routers bloot op internet; honderden daarvan zijn zonder enige beveiliging bereikbaar en veel apparaten draaien verouderde firmware met bekende kwetsbaarheden.

Een prominente zwakke plek is CVE‑2023‑43261: door foutieve configuratie waren logbestanden publiek leesbaar en bevatten ze versleutelde wachtwoorden plus de sleutels en initialisatievectoren om die te ontsleutelen, wat volledige toegang mogelijk maakte. Omdat niet alle incidents via die kwetsbaarheid verklaard kunnen worden, gebruiken aanvallers ook andere (nog niet volledig gedocumenteerde) methoden. De misleidende phishingpagina’s zijn verder ontworpen om analyse te bemoeilijken: ze tonen zich alleen aan mobiele bezoekers en schakelen functies als rechtsklik of devtools uit.

Sekoia waarschuwt dat het misbruik van ogenschijnlijk onopvallende IoT‑apparatuur effectief en moeilijk te detecteren is en verwacht dat dit doelwit blijft. Aanbevelingen: firmware updaten, apparaten van het publieke internet halen, sterke authenticatie toepassen en alert blijven op verdachte sms‑links.