Smishing: Phishing per SMS

Smishing klingt eigentlich harmlos? Unterschätzen Sie diese unerwarteten SMS-Nachrichten dennoch nicht. Wie beim klassischen Phishing handelt es sich auch bei dieser Unterart um einen Cyberangriff, der Ihrem Unternehmen ohne rechtzeitige Gegenmaßnahmen erheblichen Schaden zufügen kann. Erfahren Sie, was sich hinter dem Begriff „Smishing” verbirgt und wie Sie Ihren Betrieb wirksam gegen diese subtilen Angriffe schützen.

Phishing via SMS: Was ist Smishing?

Um Smishing zu verstehen, sollten Sie zunächst wissen, was Phishing ist. Seit rund 30 Jahren bereiten diese online durchgeführten Datendiebstähle Unternehmen jeder Branche und Größe teils schwerwiegende Probleme. Der englische Begriff setzt sich aus „password harvesting” und „fishing” zusammen – frei übersetzt: „Passwörter abfischen”.

Auch „Smishing” ist eine Wortschöpfung und bezeichnet die Methode von Hackern, Malware per SMS zu installieren oder vertrauliche Daten abzugreifen. Der Begriff kombiniert Phishing und SMS: Durch betrügerische Kurznachrichten werden Opfer dazu verleitet, persönliche Daten preiszugeben. Geschickte Formulierungen erwecken dabei den Anschein vertrauenswürdiger Absender. In Wahrheit stecken jedoch Cyberkriminelle dahinter. Immer wieder geben Betroffene arglos sensible Daten preis, die nicht das vermeintliche Bankinstitut oder die Versicherung erreichen, sondern die Angreifer.

Der Erfolg von Smishing beruht auf der weit verbreiteten Sorglosigkeit im Umgang mit mobilen Geräten. Während auf Computern meist automatische Sicherheitsprüfungen installiert sind, fehlt Smartphones häufig ein vergleichbarer Schutz. Werden die Geräte auch beruflich genutzt, kann sich dies für Sie als Unternehmensführung schnell rächen.

Phishing, Smishing oder Vishing – was ist was?

Diese Begriffe klingen ähnlich, weil ihnen ein gemeinsames Prinzip zugrunde liegt: Cyberangriffe mit potenziell erheblichem Ausmaß. Als Unternehmensverantwortliche sollten Sie daher die einzelnen Methoden kennen.

• Phishing machte den Anfang. Mitte der 1990er-Jahre wurden erste Angriffe dieser Art bekannt. Dabei werden E-Mails mit gefälschten Links an Internetnutzer versendet. Wer sie öffnet, landet auf täuschend echt wirkenden Webseiten und wird zur Preisgabe persönlicher Daten aufgefordert. Während früher allgemeine Vorlagen breit gestreut wurden, dominiert heute das E-Mail Spear Phishing. Mithilfe frei zugänglicher Informationen aus sozialen Netzwerken erstellen Angreifer individuell zugeschnittene Nachrichten, die ihre Opfer gezielt zum Reagieren verleiten.

• Smishing folgte dem Phishing. Hier werden die schädlichen Links nicht per E-Mail, sondern über Textnachrichten versendet. Durch die alltägliche Nutzung von Smartphones erweist sich Smishing für Hacker als besonders lukrativ.

• Vishing kam als Nächstes. Das „V” steht für Voice Call. Hier führt ein gefälschter Link beim Anklicken zur Sperrung des Bildschirms. Per Sprachanruf erreicht das Opfer einen vermeintlichen technischen Support, der fälschlicherweise verspricht, das Problem nach Angabe der Kreditkartendaten zu beheben.

So funktioniert das Phishing per SMS

Den Erfolg von Smishing verdanken Hacker dem typischen Nutzungsverhalten von Smartphone-Besitzern. Nahezu alle eingehenden Textnachrichten werden gelesen und die meisten davon beantwortet – oft nebenbei und in Eile. Wer abgelenkt ist, sieht nicht genau hin und bietet Cyberangreifern damit eine ideale Angriffsfläche. Die Ziele der Hacker lassen sich in drei Kategorien einteilen:

• Beim Bank Smishing werden Login-Daten für Online-Konten oder Kreditkartendetails abgefragt, um das Opfer anschließend finanziell zu schädigen.

• Über gefälschte Webseiten werden vertrauliche Informationen wie Passwörter oder Sozialversicherungsnummern abgegriffen.

• Beim Öffnen schädlicher Links besteht die Gefahr, dass automatisch Malware auf das Gerät geladen wird und dieses dadurch unbrauchbar wird.

Obwohl Smishing-SMS vorwiegend an Android-Geräte gesendet werden, wirken die Angriffe plattformübergreifend. Auch als iPhone-Nutzer sind Sie gefährdet – privat wie beruflich. Da Mobiltelefone zunehmend für geschäftliche Zwecke eingesetzt werden, sind immer mehr Unternehmen von Phishing per SMS betroffen. Smishing hat sich vom Risiko für Einzelpersonen zu einer ernsthaften Bedrohung für Unternehmen entwickelt.

Das ist zu tun, wenn Sie eine Fake-SMS erhalten haben

Sie sind unsicher, ob eine Textnachricht betrügerisch ist? Schauen Sie zunächst genau auf den Inhalt. Seriöse Nachrichten enthalten in der Regel konkrete Informationen, etwa die letzten vier Ziffern Ihrer Bankverbindung. Direkte Links und vage Formulierungen sollten Sie skeptisch machen – loggen Sie sich im Zweifel lieber direkt über die App oder den Browser ein.

1. Verhaltensmaßnahmen nach Erhalt einer unbekannten SMS

Nach Erhalt einer verdächtigen SMS können Sie das Risiko durch folgende Maßnahmen reduzieren:

• Klicken Sie niemals auf den angegebenen Link

• Kontaktieren Sie den vermeintlichen Absender

• Verzichten Sie auf Downloads unbekannter Herkunft

• Löschen Sie die Phishing SMS

• Sperren Sie die Absenderadresse über Ihr Betriebssystem

Generell sollten Sie im Umgang mit digitalen Medien Vorsicht walten lassen. Laden Sie Apps ausschließlich aus offiziellen Stores herunter und richten Sie eine Drittanbietersperre ein, um das Risiko von Angriffen weiter zu reduzieren.

Zwar reagieren Mobilfunkanbieter mit zunehmend präziseren Filtern. Doch Cyberkriminelle wissen sich anzupassen: Sie umgehen Spam-Filter gezielt durch eingebaute Schreibfehler oder Zahlendreher.

2. Verhaltensmaßnahmen nach Öffnen eines unbekannten Links

Sie haben versehentlich einen unbekannten Link oder eine DHL-Fake-SMS geöffnet und wissen nicht weiter? Zur Schadensbegrenzung stehen Ihnen verschiedene Möglichkeiten offen:

• Aktivieren Sie sofort den Flugmodus, um eingehende SMS zu unterbinden.
• Informieren Sie Ihren Mobilfunkanbieter.
• Überprüfen Sie Ihr Bankkonto auf verdächtige Aktivitäten.
• Stellen Sie einen Strafantrag bei der zuständigen Polizeibehörde.
• Sichern Sie alle wichtigen Smartphone-Daten auf einem externen Medium und setzen Sie anschließend das Gerät auf Werkseinstellungen zurück. Nur so lässt sich die Malware vollständig entfernen.

Aktuelle Entwicklungen beim Phishing per SMS

Immer mehr Verbraucher bestellen Produkte online. Diesen Trend nutzen Hacker durch gezielte Paket-Phishing-SMS aus. Teilweise mit namentlicher Anrede täuschen sie dem Empfänger vor, die Nachricht stamme vom jeweiligen Logistikunternehmen.

Als besonders gefährlich gilt das 2021 erstmals bei Apple-Nutzern eingesetzte Zero-Click-Exploit. Hierbei verbreitet sich die Schadsoftware ohne jegliches Zutun des Betroffenen.

Phishing via SMS: So können Sie sich schützen

Smartphones werden zunehmend im Berufsleben eingesetzt – und Smishing damit zu einer ernsthaften Bedrohung für Unternehmen. Durch gezielte Prävention können Sie Ihr Unternehmen jedoch vor finanziellen Schäden und Reputationsverlust schützen.

• Lassen Sie von erfahrenen Teams wie turingpoint die Sicherheitskompetenz Ihrer Belegschaft bewerten. Oft genügt bereits eine Umfrage mit gezielten Fragen zu möglichen Betrugs-SMS. Auf Basis der Ergebnisse führen IT-Spezialisten maßgeschneiderte Schulungen für Ihr Unternehmen durch.
• Sensibilisieren Sie Ihre Mitarbeiter durch professionelle Smishing-, Vishing- oder Phishing-Simulationen für Bedrohungen wie Phishing-SMS.
• Legen Sie klare Regeln zur Nutzung privater Smartphones am Arbeitsplatz fest – von der eingeschränkten App-Nutzung bis hin zur Erkennung von Smishing-Angriffen.
• Beschränken Sie den Zugriff auf sensible Unternehmensdaten auf einen ausgewählten Personenkreis.
• Sorgen Sie für durchgängige Kommunikation. Informieren Sie alle Mitarbeiter umgehend, sobald ein Verdacht auf Smishing- oder Phishing-Angriffe besteht.
• Ein regelmäßig von erfahrenen Branchenexperten durchgeführter Pentest deckt Sicherheitslücken in Ihrem System auf. Nach der detaillierten Überprüfung einzelner Geräte oder kompletter Netzwerke lassen sich Schwachstellen beheben und ein hohes Sicherheitsniveau gewährleisten.