Smishing: Wie Phishing per SMS funktioniert

Phishing per SMS-Textnachricht – auch als Smishing bekannt – ist eine Gefahr für Ihre Daten und Ihr Bankkonto. Das müssen Sie wissen. [...]

Phishing per SMS oder Textnachricht - auch Smishing genannt - stellt im Smartphone-Zeitalter zunehmend eine Bedrohung dar. Wir sagen Ihnen, was Sie zum Thema wissen müssen (c) pixabay.com

Lassen Sie sich von der niedlich anmutenden Nomenklatur nicht täuschen: Smishing bezeichnet eine Art des Cyberangriffs, der Sie mit Hilfe irreführender SMS-Nachrichten dazu verleiten will, wertvolle Informationen preiszugeben, Malware auf Ihrem Gerät zu installieren oder kriminelle Hacker unfreiwillig monetär zu unterstützen. Wir sagen Ihnen, was Sie zum Thema Phishing per Textnachricht wissen sollten.

Smishing – Definition

Smishing bezeichnet eine Angriffsmethode krimineller Hacker, die SMS- beziehungsweise Textnachrichten benutzt, um ihre Opfer hinters Licht zu führen. Dabei soll die eingehende Nachricht den Anschein erwecken, von einer vertrauenswürdigen Person oder Organisation zu stammen. Die Zielsetzung besteht darin, sensible persönliche Daten (beispielsweise Onlinebanking-Zugangsdaten) abzugreifen oder Mobilgeräte zu kompromittieren.

Smishing ist eine auf Textnachrichten zugeschnittene Variante traditioneller Phishing-Methoden. Dabei versuchen kriminelle Hacker auch den Umstand auszunutzen, dass viele Menschen mit ihrem Smartphone deutlich sorgloser agieren als mit ihren PCs. Verdächtige Nachrichten werden auf dem Handy eher geöffnet und mobile Devices sind oft auch nicht in gleichem Maße abgesichert wie beispielsweise die Rechner im Unternehmen.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Smishing vs. Phishing vs. Vishing

Traditionelles Phishing plagt Internetnutzer bereits seit den 1990er Jahren. Smishing hingegen ist ein Phänomen der späten 2000er-Jahre. Der Begriff stellt eine Kombination aus SMS und Phishing dar – allerdings versteht man darunter im Allgemeinen auch Betrugsversuche, die über Messenger-Dienste (wie beispielsweise iMessage oder WeChat) initiiert werden, die nicht auf dem Short-Message-System-Protokoll basieren. Ein lohnender Angriffsvektor für Cyberkriminelle ist Smishing insbesondere, seit Smartphones allgegenwärtig sind.

Vishing (Phishing per Voice Call) bezeichnet ebenfalls eine Phishing-Variante – allerdings basiert diese Angriffsmethode auf Sprachanrufen.

Smishing-Angriffe – Beispiele

In der Praxis lassen sich Smishing-Angriffe in drei verschiedene Kategorien einordnen, die sich hinsichtlich ihrer kriminell motivierten Zielsetzung unterscheiden:

Versuche, Zugangsdaten abzugreifen: Smishing-Angriffe können zum Ziel haben, Login-Daten für Onlinekonten abzugreifen. Insbesondere Onlinebanking-Zugänge sind für kriminelle Hacker von Interesse. Paradoxerweise versuchen die Cyberkriminellen regelmäßig, von der Angst gehackt zu werden, zu profitieren: Sie verschicken SMS- oder Textnachrichten, die vermeintlich von der Bank des Opfers stammen.

Dieses Vorgehen wird auch als „Bank Smishing“ bezeichnet. Diese Nachrichten „warnen“ ihre Empfänger vor umfangreichen Abbuchungen oder unbekannten Zahlungsempfängern und stellen eine Telefonnummer oder einen Link zur Verfügung, um den potenziell unberechtigten Zugriff auf das Bankkonto zu verhindern. Der Link führt im Regelfall auf eine gefälschte Webseite, die Telefonnummer direkt zum Cyberkriminellen – in beiden Fällen ist das Ziel, die Opfer dazu zu bewegen, ihre Nutzernamen und Passwörter offenzulegen, um im Anschluss deren Konto zu plündern.

Bank Smishing ist aus verschiedenen Gründen erfolgreich: Manche Finanzinstitutionen verschicken tatsächlich SMS- oder Textnachrichten, die vor verdächtigen Kontoaktivitäten warnen. Echte Nachrichten solcher Art sind in der Regel daran zu erkennen, dass sie im Regelfall dem Finanzinstitut bekannte Informationen (beispielsweise die letzten vier Ziffern ihrer Kreditkarten- oder Kontonummer) enthalten. Direkte Links und vage Verweise auf „Ihr Konto“ sollten Sie hingegen misstrauisch werden lassen. Wenn Sie sich bezüglich der Echtheit der Nachricht nicht sicher sind: Loggen Sie sich auf normalem Weg per Browser oder App in Ihr Konto ein – klicken Sie in keinem Fall auf einen Link in einer SMS- oder Textnachricht.

Ein weiterer Grund für die gute Erfolgsquote von Bank-Smishing-Angriffen liegt in den Verschleierungstaktiken der Cyberkriminellen: Die Telefonnummern der Absender lassen sich mit bestimmten Methoden verbergen oder fälschen – teilweise mit relativ einfachen Mitteln, etwa indem die Nachricht von einem Rechner aus versendet wird. Werden solche Nachrichten auf dem Smartphone automatisch der legitimen Absendernummer zugeordnet, steigt die Erfolgswahrscheinlichkeit eines Smishing-Angriffs um ein Vielfaches.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Versuche, Malware zu verbreiten: Diese Smishing-Art orientiert sich am klassischen E-Mail-Phishing – adaptiert dafür aber Techniken, die speziell auf mobile Nutzer und Endgeräte zugeschnitten sind. In Tschechien grassierte vor einiger Zeit beispielsweise ein Smishing-Angriff, der seine Opfer dazu verleiten wollte, eine App – vermeintlich von der tschechischen Post – zu installieren. Tatsächlich handelte es sich um einen Trojaner, der Kreditkarteninformationen abgreifen und weitere App-Zugangsdaten kompromittieren sollte.

Smishing-Angriffe mit dem Ziel der Verbreitung von Malware kommen seltener vor, da die Sicherheitsvorkehrungen auf Smartphones – insbesondere im Fall von Apples iOS – es inzwischen relativ schwierig gestalten, unsignierte beziehungsweise nicht verifizierte Apps zu installieren. Dennoch besteht speziell bei Android-Geräten die Möglichkeit, des App Sideloading – hier hilft nur gesundes Misstrauen, wenn Sie per SMS- oder Textnachricht dazu aufgefordert werden, eine App zu installieren.

Versuche, Geldbeträge einzuheimsen: Diese Art des Smishing-Angriffs ist weniger Sache technisch versierter Cyberkrimineller – hier tummeln sich eher plump agierende Trickbetrüger. Dennoch stellen solche Versuche ein Risiko dar – insbesondere für Menschen, die weniger technikaffin veranlagt sind. In einem Fall wurde ein Opfer von Betrügern kontaktiert, die sich als persönliche Bekannte ausgaben (entsprechende Namen wurden sehr wahrscheinlich über soziale Medien in Erfahrung gebracht) und einen Geldbetrag in Form eines staatlichen Zuschusses in Aussicht stellten. In Wahrheit handelte es sich um einen klassischen Betrug: Das Opfer sollte vor der Auszahlung eine Gebühr in Höhe von einigen hundert Dollar bezahlen.

Phishing per SMS verhindern

Eine Studie von Gartner kommt zu dem Ergebnis, dass 98 Prozent aller Text- und SMS-Nachrichten gelesen und 45 Prozent auch beantwortet werden. Weil viele User sich inzwischen der Gefahr von Spam-E-Mails bewusst sind, werden Textnachrichten zunehmend zum attraktiven Angriffsvektor für kriminelle Hacker, die vom höheren Trust-Level der Smartphone-Kommunikation profitieren wollen.

Smishing ist zwar nicht allgegenwärtig – entwickelt sich aber zum gängigen Phänomen, auch im Unternehmensumfeld: Laut Verizons „Mobile Security Index 2020“ haben 15 Prozent der Unternehmensnutzer im dritten Quartal 2019 einen Smishing-Link erhalten. Proofpoints „State of the Phish 2020„-Report kommt zu dem Ergebnis, dass 84 Prozent der befragten Unternehmen bereits von Smishing-Angriffen betroffen waren.

Auf der anderen Seite zeigt die Studie des IT-Sicherheitsanbieters, dass lediglich 25 Prozent der befragten Unternehmen Smishing– oder Vishing-Simulationen einsetzen, um innerhalb der Belegschaft für entsprechende Awareness zu sorgen. Unter den Unternehmen, die solche Simulationen nutzen, liegt die Erfolgsquote bei sechs Prozent – was zwar nicht desaströs, aber auch nicht besonders lobenswert ist.

Smishing-Simulationen sind für Unternehmen ein sinnvoller Weg, um ihre Mitarbeiter für die Gefahren von Phishing-Angriffen per SMS zu sensibilisieren. Security-Verantwortliche sind gut damit beraten, Smishing-Taktiken neben Phishing und Vishing in ihre Security-Awareness-Initiativen mit aufzunehmen – und sei es nur, um zu testen, welche Nutzer besonders anfällig für diese Art der Angriffe sind.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

*Josh Fruhlinger ist freier Autor in Los Angeles.

**Florian Maier beschäftigt sich für Computerwoche.de mit vielen Themen rund um Technologie und Management. Daneben betätigt er sich auch in sozialen Netzen.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*