Im letzten Artikel haben wir uns mit dem Thema Spear-Phishing auseinandergesetzt und aufgezeigt, wie Sie sich vor derartigen Angriffen schützen können. Wie dort erwähnt, gibt es auch viele speziellere Arten von Phishing. In diesem Beitrag widmen wir uns einer weiteren Art des Phishings, nämlich „Smishing“. Wir werden thematisieren, wie Angreifer bei Smishing-Angriffen vorgehen, welche potenziellen Gefahren dabei auftreten können und wie Sie diese Angriffe verhindern können.
Was ist Smishing?
Smishing ist eine Phishing-Variante, bei der potenzielle Opfer mit Hilfe von überzeugenden SMS- oder Textnachrichten zum Klicken auf einen Link und damit zur Übertragung von privaten Informationen oder Malware auf das Mobiltelefon des Angreifers verleitet werden.
Smishing stellt eine globale Bedrohung dar, da die meisten Smartphones Textnachrichten von jeder beliebigen Nummer empfangen können. Während viele Nutzer bereits über die Gefahren beim Anklicken von Links in E-Mails Bescheid wissen (dem klassischen Phishing), sind sich nur wenige der potenziellen Risiken von SMS bewusst.
Textnachrichten werden oft als vertrauenswürdiger eingestuft, was das Smishing zu einem lukrativen Geschäft für die Angreifer macht. Dabei versuchen diese, an die Zugangsdaten, Bankinformationen und private Daten zu gelangen. Aus diesem Grund ist es wichtig, dass sich die Nutzerinnen und Nutzer über die Risiken von Smishing im Klaren sind. Sie sollten entsprechende Vorsichtsmaßnahmen treffen.
Wie funktioniert Smishing?
Die meisten Smishing-Angriffe funktionieren ähnlich wie das Phishing per E-Mail. Der Angreifer sendet eine Phishing-SMS, die darauf abzielt, den Benutzer zu verleiten, auf einen Link zu klicken oder auf eine SMS zu antworten, in dem privaten Daten des anvisierten Benutzers enthalten sind. Die Informationen, nach denen der Angreifer fragt, können sehr unterschiedlich sein. Sie reichen von Online-Account-Informationen über private Informationen, die für Identitätsdiebstahl verwendet werden könnten, bis zu finanziellen Informationen, die auf Darknet-Märkten verkauft oder für Online-Betrug verwendet werden könnten.
Cyberkriminelle versuchen auf verschiedenen Arten, Nutzer zur Preisgabe privater Informationen zu bewegen. Zu diesem Zweck verwenden sie persönliche Informationen wie z. B. den Namen und die Adresse aus öffentlich zugänglichen Online-Tools. Dadurch lassen sie die Zielperson in dem Glauben, dass die Nachricht von einer vertrauenswürdigen Quelle stammt.
Die verschiedenen Angriffsmethoden per SMS
- Betrug durch Kontoverifizierung: Dabei erhält das Opfer eine SMS, die vorgibt, von einer legitimen Firma oder einer legitimen Dienstleistung zu kommen, z.B. von einer Bank oder einer Lieferfirma. In der Nachricht wird der Nutzer in der Regel vor nicht autorisierten Aktivitäten gewarnt oder er wird aufgefordert, seine Kontodaten zu verifizieren. Beim Anklicken des in der Nachricht enthaltenen Links werden die Nutzerinnen und Nutzer auf eine gefälschte Login-Seite umgeleitet. Auf dieser sollen ihre Zugangsdaten gestohlen werden.
- Gefälschte Gewinnbenachrichtigungen: Angreifer verschicken SMS, in denen sie behaupten, der Empfänger habe einen Preis, ein Geschenk oder ein Gewinnspiel gewonnen. Für den Erhalt des “Gewinns” werden die Opfer häufig zur Angabe persönlicher Daten oder zum Anklicken bösartiger Links aufgefordert.
- Betrug mit technischem Support: Nutzerinnen und Nutzer erhalten eine Nachricht, in der sie auf ein Problem mit ihrem Gerät oder ihrem Konto hingewiesen werden. Die SMS fordert diese auf, eine Telefonnummer für technischen Support anzurufen. Der Anruf bei dieser Nummer ist dann entweder kostenpflichtig, oder der „Techniker“ bittet darum, per Fernzugriff auf das Gerät zugreifen zu dürfen, wobei er unter Umständen Daten stiehlt.
- Warnungen vor Bankbetrug: Diese Nachrichten warnen vor nicht autorisierten Transaktionen oder verdächtigen Aktivitäten und scheinen von der Bank des Opfers zu stammen. Der Benutzer wird dann zum Klicken auf einen Link zur Überprüfung der Transaktionen oder zum Anrufen einer Nummer aufgefordert, die beide vom Angreifer kontrolliert werden.
- Kündigung von Diensten: In diesem Fall warnt der Angreifer das Opfer, dass die Kündigung eines Abonnements oder Dienstes aufgrund eines Zahlungsproblems erforderlich sei. Das Opfer soll zur „Lösung“ des Problems auf einen Link klicken, der jedoch in der Regel auf eine Phishing-Seite führt.
- Mehrfaktorauthentifizierung (MFA): Da SMS eine der am weitesten verbreiteten MFA-Methoden (Multi-Factor-Authentication) ist, zielen manche Smishing-Attacken auf den Diebstahl dieser Codes ab. Dazu werden die Opfer aufgefordert, den per SMS erhaltenen MFA-Code einzugeben, damit ihre Identität überprüft werden kann. Dies Angreifer verwenden dann den Code, um sich als Benutzer einzuloggen und Zugriff auf das fremde Konto zu erhalten.
Was tun gegen Smishing?
Bei Verdacht auf Smishing ist eine gesunde Vorsicht angebracht. Gegenüber unerwarteten SMS-Nachrichten sollten Sie skeptisch sein. Insbesondere solchen, die auffordern, persönliche oder vertrauliche Daten preiszugeben oder auf verdächtige Links zu klicken, auch wenn die Nachricht von vermeintlich vertrauenswürdigen Absendern wie Banken oder Regierungsbehörden stammt. Im Zweifelsfall ist es ratsam, den Absender direkt zu kontaktieren, um die Echtheit der Nachricht zu überprüfen. So können Sie sich vor den Angreifern schützen, den Diebstahl Ihrer Daten und die Ausbreitung von Schadsoftware auf Ihrem Gerät verhindern.
Achten Sie ebenfalls auf mögliche Phishing-Versuche über Messenger Apps wie WhatsApp. Dort können sich ebenfalls Angreifer als vertrauenswürdige Person tarnen und Sie über den Messenger kontaktieren, um Smishing-Angriffe durchzuführen.
Fazit
Smishing stellt eine Form des SMS-Phishing als eine ernst zu nehmende Bedrohung für die digitale Sicherheit dar. Mit einer Vielzahl von Taktiken, von falschen Gewinnversprechen bis hin zu betrügerischen Warnungen, zielen Angreifer es darauf ab, persönliche Informationen, Zugangsdaten und sogar finanziellen Daten zu erlangen. Da viele Nutzer Textnachrichten (SMS-Nachrichten) als vertrauenswürdiger einstufen, ist Smishing für Cyberkriminelle ein lukratives Geschäft. Um sich vor solchen hinterhältigen Attacken zu schützen, sollte man immer aufmerksam sein. Sie sollten auf verdächtige Nachrichten achten und niemals blind auf Links klicken oder persönliche Informationen preisgeben. Nur durch eine umfassende Sensibilisierung und das Ergreifen geeigneter Sicherheitsmaßnahmen können sich Nutzende erfolgreich gegen die Gefahren des Smishings schützen.
Gerade für Unternehmen ist es wichtig, ihre Mitarbeitenden im Bereich von Cyber-Security-Angriffen zu schulen. Damit erhöhen Sie ihr Bewusstsein, sodass diese im Falle eines Angriffs korrekt handeln. Wir bei itsecuritycoach gestalten gemeinsam mit Ihnen individualisierte Cyber-Security Trainings und Schulungen nach Ihren Bedürfnissen. Mit diesen können wir das Sicherheitsbewusstsein innerhalb Ihres Unternehmens stärken und die Abwehr gegen Phishing erhöhen. Kontaktieren Sie uns oder buchen Sie direkt Ihren ersten Beratungstermin – das Erstgespräch ist für Sie kostenlos!
- Smishing: die Phishing-Gefahr per SMS
- Spear-Phishing: Fallbeispiele und Schutzmaßnahmen
- Spear-Phishing: was die Angriffe so gefährlich macht
- Phishing-Mails: Aktuelle Fallbeispiele von Cyber-Angriffen auf Unternehmen
- Phishing-Mails: So schützen Sie Ihre Daten vor den Tricks der Angreifenden
