Smishing: Phishing per SMS

Smishing klingt eigentlich niedlich? Betrachten Sie die unerwarteten SMS-Nachrichten dennoch nicht als Kleinigkeit. Wie beim Phishing selbst handelt es sich bei dieser spezifischen Unterart ebenfalls um einen Cyberangriff. Und er kann Ihrem Unternehmen ohne rechtzeitige Gegenmaßnahmen großen Schaden zufügen. Wir sagen Ihnen, was sich hinter dem Begriff „Smishing“ verbirgt und wie Sie Ihren Betrieb gegen die subtilen Hackerattacken schützen können.

Phishing via SMS: Was ist Smishing?

Um Smishing zu verstehen, sollten Sie zunächst wissen, um was es sich bei Phishing handelt. Seit rund 30 Jahren bereits bereiten diese online durchgeführten Datendiebstähle Firmen jeder Branche und Größe teils schwerwiegende Probleme. Der englischsprachige Begriff setzt sich aus den einzelnen Vokabeln „password harvesting“ und „fishing“ zusammen – frei übersetzt: „Passwörter einsammeln“.

Ebenfalls eine Wortschöpfung steht für die neue Methode der Hacker, Malware zu installieren oder geheime Daten abzurufen. „Smishing“ ist eine Kombination aus Phishing und SMS: Durch betrügerische SMS werden Opfer zur freiwilligen Angabe persönlicher Daten verleitet. Durch eine clevere Wortwahl erwecken die Kurznachrichten den Anschein vertrauenswürdiger Absender. Doch in Wahrheit sind sie gefährlich. Immer wieder geben Opfer bereitwillig sensible Daten preis, die nicht das vermeintliche Bankinstitut oder Versicherungsunternehmen, sondern die illegalen Hacker erreichen.

Der Erfolg der Betrugs-SMS gründet sich auf der allgemein hohen Sorglosigkeit, mit denen User mobile Devices handhaben. Während auf Computern zumeist automatische Security-Checks installiert sind, sind Smartphones nur selten entsprechend geschützt. Werden die Geräte für berufliche Anliegen verwendet, kann sich dies für Sie als Unternehmensführung rächen.

Phishing, Smishing oder Vishing – was ist was?

Ähnlich klingen diese Begriffe, weil Ähnliches dahintersteckt: Hackerangriffe mit potenziell bedeutendem Ausmaß. Als Unternehmensinhaber sollten Sie daher wissen, was sich hinter den einzelnen Methoden der gefährlichen Cyberkriminalität verbirgt.

• Mit Phishing begann es. Mitte der 1990er-Jahre wurden erste Hackerangriffe publik. Beim Phishing werden E-Mails mit gefälschten Links an Internetuser versendet. Wer sie öffnet, wird auf täuschend echt aussehende Webseiten weitergeleitet und zur Preisgabe persönlicher Daten aufgefordert. Während früher allgemeine Vorlagen breit gestreut wurden, wird heute vornehmlich E-Mail Spear Phishing betrieben. Dank frei zugänglicher Informationen in Sozialen Netzwerken bewegen Computerbetrüger ihre Opfer dabei durch individuell zugeschnittene Inhalte gezielt zum Antworten.

• Smishing folgte dem Phishing. Hier werden die falschen Links nicht per E-Mail, sondern über Textnachrichten versendet. Durch die alltägliche Nutzung von Smartphones erweist sich Smishing für Hacker als besonders lukrativ.

• Schließlich kam Vishing. Das „V“ steht für Voice Call. Hier führt der gefälschte Link beim Anklicken zur Bildschirm-Sperrung. Per Sprachanruf erreicht der Geschädigte einen vermeintlichen technischen Dienst, der unwahrheitsgemäß verspricht, nach Erhalt der Kreditkartendetails den Schaden zu beheben.

So funktioniert das Phishing per SMS

Den so erfolgreichen Einsatz der Betrugs-SMS beim Smishing verdanken Hacker dem Nutzungsverhalten der Smartphone-Besitzer. Fast alle eingehenden Textnachrichten werden gelesen, die meisten von ihnen beantwortet – viele auch auf die Schnelle. Wer abgelenkt ist, sieht oft nicht richtig hin und bietet den modernen Cyberattacken somit eine perfekte Angriffsfläche. Die Ziele der Hacker lassen sich in drei Kategorien einteilen:

• Beim „Bank Smishing“ werden Login-Daten für Onlinekonten oder Kreditkartendetails erfragt, durch deren anschließende illegale Verwendung das Opfer finanziell geschädigt wird

• Auch nach einer Umleitung auf unechte Webseiten werden vertrauliche Informationen abgerufen. Erfragt werden private Details wie Passwörter oder Sozialversicherungsnummern

• Schließlich besteht die Gefahr, mit dem Öffnen eines gefälschten Links automatisch Malware auf das Gerät zu laden und es dadurch nicht mehr nutzen können

Obgleich Smishing-SMS primär an Android-Geräte gesendet werden, wirken die Angriffsmethoden plattformübergreifend. So sind Sie auch als iPhone-Benutzer gefährdet – privat wie auch in Ihrem Unternehmen. Denn durch die zunehmende Verwendung von Mobiltelefonen für berufliche Zwecke sind immer mehr Firmen von Phishing-SMS betroffen. Smishing hat sich vom Einzelkonsumenten-Risiko zur Betriebsgefahr entwickelt.

Das ist zu tun, wenn Sie eine Fake-SMS erhalten haben

Sie sind unsicher, ob es sich bei einer Textnachricht um eine betrügerische SMS handelt? Werfen Sie zunächst einen genauen Blick auf den Inhalt. Originale enthalten normalerweise konkrete Informationen wie die letzten vier Ziffern Ihrer Bankverbindung. Direkte Links und ungenaue Verweise sollten Sie aufhorchen lassen – loggen Sie sich hier sicherheitshalber über die App oder per Browser ein.

1. Verhaltensmaßnahmen nach Erhalt einer unbekannten SMS

Nach Erhalt einer unbekannten SMS können Sie das Gefährdungsrisiko durch weitere Verhaltensmaßnahmen reduzieren:

• Klicken Sie niemals auf den angegebenen Link

• Kontaktieren Sie den vermeintlichen Absender

• Verzichten Sie auf Downloads unbekannter Herkunft

• Löschen Sie die Phishing SMS

• Sperren Sie die Absenderadresse über Ihr Betriebssystem

Bei der Verwendung digitaler Techniken sollten Sie grundsätzlich Vorsicht walten lassen. Laden Sie Apps niemals aus unbekannten Stores herunter und reduzieren Sie die Gefahr von Hackerangriffen durch eine Drittanbietersperre.

Zwar reagieren Mobilfunkanbieter durch zunehmend präzisere Filtermaßnahmen. Doch auch hier wissen Cyberkriminelle eine Antwort: Sie umgehen die Spam-Filter durch gezielt eigebaute Schreibfehler oder Zahlendreher.

2. Verhaltensmaßnahmen nach Öffnen eines unbekannten Links

Sie haben einen unbekannten Link oder eine DHL Fake-SMS geöffnet und wissen nicht, was nun zu tun ist? Zur Schadensbegrenzung stehen Ihnen verschiedene Optionen offen:

• Stoppen Sie eingehende SMS durch die Aktivierung Ihres Flugmodus

• Informieren Sie Ihren Mobilfunkanbieter

• Überprüfen Sie Ihr Bankkonto

• Stellen Sie einen Strafantrag bei der zuständigen Polizeibehörde

• Speichern Sie alle wichtigen Smartphone-Daten auf einem externen Medium und setzen anschließend alle Werkseinstellungen zurück. Nur so lässt sich die Malware der geöffneten Spam-SMS komplett wieder entfernen

Aktuelle Entwicklungen beim Phishing per SMS

Immer mehr Verbraucher bestellen Produkte über das Internet. Diesen Umstand machen sich Hacker durch gezielte Paket Phishing SMS zunutze. Teils mit namentlicher Anrede täuschen Sie dem Käufer vor, der Absender der Kurznachricht sei das genutzte Logistikunternehmen.

Als besonders gefährlich gilt das 2021 erstmals bei Apple-Usern eingesetzte Zero-Click-Exploit. Denn hier verbreitet sich die schädigende Software ohne jegliches Zutun des Betroffenen.

Pishing via SMS: So können Sie sich schützen

Immer häufiger werden Smartphones im Berufsleben verwendet – und durch Smishing damit für Firmen zu einer ernsthaften Bedrohung. Doch durch präventive Maßnahmen können Sie Ihr Unternehmen vor finanziellen Einbußen und dem Verlust seiner Reputation schützen.

• Lassen Sie von erfahrenen Teams wie turningpoint die Kompetenz Ihrer Belegschaft hinsichtlich Cyberkriminalität ermitteln. Oftmals ist dafür eine einfache Umfrage mit spezifischen Fragen zu möglichen Betrugs SMS bereits ausreichend. Abhängig vom Studienergebnis führen die IT-Spezialisten maßgeschneiderte Schulungen für Ihr Unternehmen durch.

• Sensibilisieren Sie Ihre Mitarbeiter durch professionell durchgeführte Smishing-, Vishing- oder Phishing-Simulationen für Cyberkriminalität wie Phishing-SMS.

• Legen Sie deutliche Regeln zur Nutzung privater Smartphones bei der Arbeit fest. Dies kann bei einer eingeschränkten App-Nutzung beginnen und der Erkennung von Bedrohungen durch Smishing-Angriffe enden.

• Beschränken Sie die Zugriffserlaubnis auf sensible Firmendaten auf einen ausgewählten Personenkreis.

• Sorgen Sie für einen stets reibungslosen Kommunikationsfluss. Informieren Sie sämtliche Mitarbeiter, sobald der Verdacht eines Hackerangriffs per Smishing oder Phishing gemeldet wird.

• Regelmäßig und durch erfahrene Branchenexperten durchgeführt, deckt ein umfangreicher Pentest mögliche Sicherheitslücken in Ihrem System auf. Nach der detaillierten Überprüfung einzelner Technikgeräte oder kompletter Netzwerke lassen sich Schwachstellen beheben und eine maximale Online-Sicherheit gewährleisten.