Bedrohungslage

Smishing: So funktioniert Phishing per SMS

25. August 2020 von PSW GROUP Redaktion
Smishing-Phishing-Gefahr-beschraenkt-sich-nicht-auf-PCs-scaled
©fizkes - stock.adobe.com

4.6
(10)

Das Smartphone ist zum ständigen Begleiter unserer modernen Gesellschaft geworden. Deshalb gilt es, sich nicht nur vor Betrug und Hacking am Rechner vorzusehen, sondern auch Mobilgeräte wie das Handy einzubeziehen. So zeigt sich Smishing – das Phishing per SMS – leider als steigender Trend. Nicht nur Privatpersonen, sondern auch Unternehmen können betroffen sein: Der Mensch ist häufig die größte Schwachstelle.

 

Smishing, das neue SMS-Phishing

Smishing ist eine zusammengesetzte Wortkreation, bestehend aus SMS und Phishing. Phishen Cyberkriminelle, so versenden sie betrügerische E-Mails und verführen die empfangenden Opfer dazu, Links anzuklicken oder Anhänge zu öffnen. Über manipulierte Websites gelingt es Cyberkriminellen, beispielsweise Login-Daten oder andere Informationen zu stehlen. Beim Smishing werden anstelle von E-Mails einfach Textnachrichten verwendet. Es gibt verschiedene Methoden dieses Angriffs:

Smishing-Methode 1: Download schädlicher Software

Der Klassiker sowohl beim konventionellen Phishing als auch beim Smishing ist der Downloadlink zu schädlicher Software. In einer kurzen Textnachricht, die so verfasst wurde, als stamme sie von einem Freund, wird ein Link verpackt und der Empfänger dazu aufgefordert, diesen Link anzuklicken. Geschieht dies, wird im Hintergrund eine Software heruntergeladen – oft unbemerkt vom Opfer des Angriffs. Der Angreifer erhält Zugriff aufs Smartphone und kann sich sowohl an Daten als auch an Logins, Nachrichteninhalten oder sonstigen Informationen bedienen.

Smishing-Methode 2: Link zu gefälschter Website

Eine weitere perfide Methode, die sowohl per E-Mail-Phishing als auch per Smishing funktioniert, ist das Weiterleiten des Opfers auf ein Formular. Die persönlichen Daten, die in dieses Formular eingetragen werden, werden frei Haus an die Betrüger geliefert. Dieser Trick ist besonders beliebt, um sich Zugangsdaten fürs Online-Banking oder sonstige Konto-/ Kreditkarteninformationen zu eigen zu machen. Typischerweise vermelden die Cyberkriminellen Sicherheitsprobleme, die die sofortige Übermittlung der persönlichen Daten erforderlich machen würden, um alle Funktionen eines Diensts weiterhin nutzen zu können.

Smishing-Methode 3: Spear-Smishing

Sowohl beim Spear-Phishing als auch beim Spear-Smishing zielt eine Attacke auf Daten von ganz bestimmten Personen ab. Angreifer können dafür im Voraus Internetprofile des Opfers auswerten, beispielsweise aus sozialen Netzwerken. Sie verschaffen sich ein Bild über die Person und schneiden dann das Smishing exakt darauf zu. Das Kennen der persönlichen Daten erzeugt beim Opfer ein trügliches Gefühl von Vertrauen und Glaubwürdigkeit, sodass Opfer ihre Daten den Cyberkriminellen leider häufig nur allzu bereitwillig anvertrauen.

Smishing-Methode 4: Vortäuschen falscher Personen

Ebenfalls sehr beliebt ist die Methode, bei der sich Cyberkriminelle als Mitarbeiter von Kundenbetreuungen ausgeben. Das Opfer dieser Masche erhält eine SMS mit der Information, dass es notwendig sei, sich über die angegebene Nummer an den Kundensupport zu wenden. Spricht der Betrüger mit dem Opfer, so versucht er, Informationen zu entlocken. Aufgrund der Masche, sich als Supportmitarbeiter auszugeben, existiert eine erhöhte Glaubwürdigkeit – und schon werden Details vertrauensselig ausgeplaudert.

 

Smishing-Ziele

Im Wesentlichen lassen sich die Motive oder Ziele der Cyberkriminellen auf drei herunterbrechen: Sie möchten Zugangsdaten abgreifen, Malware verbreiten oder sich bereichern. Blicken wir im Detail auf diese Ziele:

Bei der ersten Variante, beim Ziel, Zugangsdaten abzugreifen, sind Online-Banking-Zugänge von besonderem Interesse. Paradoxerweise nutzen die Kriminellen die Ängste der Verbraucherinnen und Verbraucher vor genau solchen Maschen: Die SMS- oder Textnachrichten sehen so aus, als würden sie von der Bank des Opfers stammen. In der Nachricht wird dann vor umfangreichen oder ungewöhnlichen Buchungen gewarnt, es seien unbekannte Zahlungsempfänger aufgetaucht oder ähnliches. Mit dem Klick auf den Link könne sich das Opfer vor Betrug schützen. In aller Regel führt dieser Link dann zu einer manipulierten bzw. gefälschten Website, die der tatsächlichen Banking-Website täuschend ähnlichsehen kann. Das Opfer wird dazu bewegt, die Kennung offenzulegen, anschließend wird das Konto geplündert.

Der Versuch, Malware zu verbreiten, orientiert sich an klassischem E-Mail-Phishing, setzt jedoch auf Techniken, die auf mobile Endgeräte sowie deren Nutzerinnen und Nutzer zugeschnitten sind. Opfer dieser Masche könnten beispielsweise dazu überredet werden, eine App zu installieren, die angeblich von seriöser Quelle stammt. Tatsächlich verbirgt sich dahinter ein Trojaner, der Kreditkartennummern oder sonstige Informationen abgreifen oder weitere (App-)Zugangsdaten kompromittieren kann. Unter iOS ist es schwierig, diese Masche zum Verbreiten von Malware zu nutzen: Apps zu installieren, die nicht verifiziert sind, ist unter iOS für normale User kaum machbar. Unter Android jedoch, wo das App Sideloading (Laden von Apps aus weiteren Quellen) möglich ist, sollte Ihr Misstrauen wachsen, wenn Sie zum Installieren von Apps aufgefordert werden.

Um Geldbeträge einzuheimsen, bedienen sich Cyberkriminelle verschiedener Methoden, mal mit technischer Versiertheit, mal eher plump agierend. So können sich Cyberkriminelle beispielsweise als flüchtige Bekannte der Opfer ausgeben – entsprechende Namen sind über Facebook und Co. leicht recherchiert. Dieser stellt nun einen Geldbetrag aus verschiedenen Gründen – Erbschaft, Gewinn, staatlicher Zuschuss o. ä. – in Aussicht. Bevor es jedoch zur Auszahlung kommen kann, wird eine Gebühr erhoben – ein klassischer Betrug also.

 

Wie können Sie Smishing effizient vermeiden?

Sie sehen: Durch verschiedene Motivationen und Techniken gelingt es Kriminellen immer wieder, ihre Opfer auszutricksen und sich Informationen oder Geld zu erschleichen oder Malware zu verteilen. Erhalten Sie SMS- oder Textnachrichten, lassen Sie Vorsicht walten. Unsere folgenden Tipps unterstützen Sie dabei:

  • Erkennen: Erhalten Sie dringende Sicherheitswarnungen, Coupons, Angebote oder Deals, die sofort eingelöst gehören, oder anderes per SMS, können Sie dies bereits als Warnung für einen Angriff verstehen. Fallen Sie nicht darauf rein.
  • Überprüfen: Weder Banken noch Händler oder andere Stellen und Institutionen senden Ihnen Textnachrichten, um Kontoinformationen zu erfragen oder Sie zum Bestätigen per PIN aufzufordern. Erhalten Sie eine SMS angeblich von einem Händler oder von Ihrer Bank, hilft es, dort anzurufen, um zu überprüfen, ob die Nachricht wirklich von dort stammt.
  • Vorsicht walten lassen: Vermeiden Sie es, auf Links oder Telefonnummern in Nachrichten zu klicken. Vermeiden Sie das ganz generell, denn wie Sie oben lesen konnten, geben sich Cyberkriminelle auch als Bekannte aus. Sind Sie unsicher, hilft dasselbe wie im vorigen Punkt: Rufen Sie den oder die Bekannte an und fragen Sie nach.
  • Verdächtiges erkennen: Prüfen Sie auch die Nummer, von der die Textnachricht stammt. Sieht sie nicht echt aus, wie beispielsweise „50110“, so kann es sein, dass die Nummer auf E-Mail-zu-SMS-Services verweist. Diese werden zuweilen von Betrügern genutzt, um ihre echten Telefonnummern zu verschleiern. Auch ist es möglich, dass Smisher durch das sogenannte Spoofing andere Nummern vortäuschen. Neben verdächtigen Nummern können auch Rechtschreibung und Grammatik auffällig sein. Häufig nutzen international agierende Kriminelle Übersetzungstools – und das merkt man den Textnachrichten an.
  • Geschicktes Speichern: Weder Kreditkarten- noch Banking-Informationen haben etwas auf Ihrem Smartphone verloren. Es ist tatsächlich einfach: Sind keine Informationen vorhanden, können sie auch nicht gestohlen werden – nicht mal dann, wenn sämtliche Daten Ihres Smartphones abgezogen werden.
  • Melden: Sie haben bei der Bundesnetzagentur die Möglichkeit, den Smishing-Angriff zu melden. Es gibt verschiedene Kontaktwege, die die Bundesnetzagentur auf ihrer Webseite vorstellt.
  • Antivirus installieren: Nutzen Sie eine Antivirensoftware auch auf Ihrem Smartphone und halten Sie diese stets aktuell. Zwar gibt es keine Garantie, dass ein AV-Programm die schädliche Software auch erkennt. Doch mit dieser zusätzlichen Sicherheitsstufe sinkt die Wahrscheinlichkeit von Infektionen Ihres Smartphones.

Wie ist das bei Ihnen: Sind Sie bereits Opfer eines Smishing-Angriffs geworden? Welche Masche haben die Betrüger genutzt? Wie sind Sie damit umgegangen? – Wir freuen uns darauf, mit Ihnen ins Gespräch zu kommen!

Wie hat Ihnen dieser Artikel gefallen?

Average rating 4.6 / 5. Vote count: 10

0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu