Was ist Smishing, und wie kann ich mich davor schützen?

Smishing: Bedeutung und Definition

Smishing ist ein Phishing-Angriff auf die Cybersicherheit, der über mobile Textnachrichten erfolgt und auch als SMS-Phishing bezeichnet wird.

Bei dieser Variante des Phishings werden die Opfer dazu verleitet, einem getarnten Angreifer vertrauliche Informationen zu übermitteln. Durch Unterstützung von SMS-Phishing werden gelegentlich auch Malware-Programme oder gefälschte Webseiten eingesetzt. Bevorzugte Ziele sind Plattformen von mobilen Messaging-Diensten, aber auch andere Kanäle wie datenbasierte mobile Messaging-Apps.

Was ist Smishing?

Die Bezeichnung Smishing ist ein Kunstwort, das aus den Begriffen „SMS“ (Kurznachrichtendienste oder Textnachrichten) und „Phishing“ zusammengesetzt ist. Smishing gehört zur Kategorie der Social Engineering-Angriffe, bei denen die Angreifer weniger auf technische Tools als vielmehr auf menschliche Eigenschaften wie Vertrauen setzen.

Beim „Phishing“ werden betrügerische E-Mails versendet, in denen die Empfänger dazu verleitet werden sollen, auf einen schädlichen Link zu klicken. Smishing nutzt einfach Textnachrichten anstelle von E-Mails.

Diese Cyberkriminellen haben es im Wesentlichen darauf abgesehen, Ihre persönlichen Daten zu stehlen, die sie dann für andere Betrugsmaschen verwenden. In der Regel geht es darum, Geld zu stehlen, entweder Ihres oder das Ihres Unternehmens.

Cyberkriminelle nutzen eine der folgenden beiden Methoden, um solche Daten zu entwenden:

1. Malware: Über den URL-Link in einer Textnachricht sollen Sie verleitet werden, eine Schadsoftware oder Malware herunterzuladen, die sich anschließend auf Ihrem Telefon installiert. Diese SMS-Malware tarnt sich möglicherweise als legitime App und bringt Sie so dazu, vertrauliche Informationen einzugeben und diese Daten direkt an die Cyberkriminellen zu senden.
2. Schädliche Webseite: Der Link in der Smishing-Nachricht kann auch zu einer gefälschten Webseite führen, auf der Sie sensible persönliche Informationen eingeben sollen. Cyberkriminelle bilden auch gern seriöse Webseite nach, die dem Original täuschend ähnlich sehen, damit Sie auf einer solchen gefälschten Seite in gutem Glauben Ihre Daten eingeben.

Smishing-Textnachrichten sind Nachrichten, die vermeintlich von Ihrer Bank stammen und in denen Sie nach persönlichen oder finanziellen Informationen wie Ihrer Kontonummer oder Ihrer PIN gefragt werden. Wer diese Informationen preisgibt, übergibt Kriminellen quasi den Schlüssel zu seinem Bankkonto.

Und in Zeiten des BYOD (Bring Your Own Device), in denen immer mehr Personen ihre privaten Geräte für die Arbeit nutzen, entwickelt sich Smishing schnell vom Verbraucher- zum Unternehmensrisiko. Es ist also wenig überraschend, dass Smishing mittlerweile zu einer der häufigsten Arten schädlicher Textnachrichten geworden ist.

Je mehr mobile Geräte in unser aller Leben eine Rolle spielen, desto stärker nimmt auch die Cyberkriminalität in diesem Bereich zu. Abgesehen von der Tatsache, dass Textnachrichten die gängigste Form der Smartphone-Nutzung sind, gibt es noch eine Reihe weiterer Faktoren, die die Wirkung dieser besonders heimtückischen Sicherheitsbedrohung verstärken. Dazu müssen wir uns zunächst genauer anschauen, wie Smishing-Angriffe eigentlich funktionieren.

Wie funktioniert Smishing?

Täuschung und Betrug sind die Hauptbestandteile eines jeden Phishing-Angriffs per SMS. Die Angreifer geben sich als vertrauenswürdige Absender aus, damit Sie in gutem Glauben auf die Anfrage reagieren.

Die Wirkmechanismen des Social Engineering führen dazu, dass sich die Opfer manipulieren lassen. Drei Faktoren begünstigen den Erfolg dieses Täuschungsmanövers:

1. Vertrauen: Indem sie sich als vertrauenswürdige Personen oder Unternehmen ausgeben, überwinden die Cyberkriminellen die skeptische Distanz der Zielpersonen. Durch ihre sehr persönliche Ansprache reduzieren SMS-Nachrichten die natürliche Abwehrreaktion einer Person gegen Manipulationsversuche.
2. Kontext: Durch Imitation einer sehr realistischen und für die Zielperson relevanten Situation bauen die Angreifer eine perfekte Tarnung auf. Der Empfänger fühlt sich persönlich angesprochen, was jegliche Vermutung, es könnte sich um Spam handeln, entkräftet.
3. Emotionen: Die Nachrichten sind sehr emotional gehalten und sollen den Empfänger zu übereilten Entscheidungen treiben, ohne den Inhalt kritisch zu hinterfragen.

Alle diese Methoden nutzen die Angreifer in ihren Nachrichten, um Ihre Opfer zu einer unüberlegten Handlung zu bewegen.

Meist geht es darum, dass der Empfänger einen URL-Link in der Textnachricht öffnet, der ihn dann zu einer Phishing-Maske führt, in der er private Daten preisgeben soll. Die Eingabemaske befindet sich häufig auf einer gefälschten Webseite oder App, die einem seriösen Original täuschend echt nachempfunden ist.

Wer zur Zielgruppe eines Angriffs gehört, kann variieren, aber meist geht es um die Verbundenheit zu einer bestimmten Organisation oder um den regionalen Standort. Mitarbeiter oder Kunden einer bestimmten Einrichtung, Abonnenten eines Mobilfunkanbieters, Studenten an einer bestimmten Uni und sogar die Einwohner einer Region können zur Zielscheibe werden.

Als Tarnung nutzt der Angreifer in der Regel genau die Einrichtung, zu der er sich Zugang verschaffen möchte. Aber nicht unbedingt, denn in der Hauptsache genügt ihm auch jede andere Tarnung, solange sie ihm zu Ihren Identitätsdaten oder Finanzinformationen verhilft.

Mit einer weiteren Methode, die als Spoofing bezeichnet wird, kann ein Angreifer seine wahre Telefonnummer verbergen, um Sie aufs Glatteis zu führen. Um die Nachverfolgung eines Angriffs zu behindern, verwenden Smishing-Angreifer außerdem gern billige Prepaid-Telefone, die sie hinterher einfach wegwerfen. Ein weiteres Mittel, um die eigene Telefonnummer zu verbergen, sind E-Mail-zu-Text-Dienste.

Der Angriff selbst besteht aus den folgenden wesentlichen Stufen:

• Verbreiten der SMS als „Köder“ an die Zielpersonen.
• Gefährden der Informationen des Opfers durch das Mittel der Täuschung.
• Ausführung des ursprünglich intendierten Diebstahls unter Verwendung der zuvor unrechtmäßig erworbenen Daten.

Ein Smishing-Angriff ist erfolgreich, wenn der Angreifer Ihre privaten Daten für den von Anfang an geplanten Diebstahl einsetzen konnte. Sein Ziel kann unter anderem darin bestehen, ein Bankkonto direkt abzuräumen, sich Ihrer Identität zu bemächtigen, um illegal ein Kreditkartenkonto zu eröffnen, oder private Unternehmensdaten an die Öffentlichkeit zu geben.

Wie wird Smishing verbreitet?

Wie bereits erwähnt, werden Smishing-Angriffe sowohl über herkömmliche Textnachrichten als auch über andere Messaging-Apps durchgeführt. Smishing-Angriffe per SMS haben allerdings den Vorteil, dass sie sich unaufhaltsam und unbemerkt ausbreiten können.

Ein Problem beim Smishing ist, dass Nutzer zu viel Vertrauen in die Sicherheit von Textnachrichten haben.

An sich haben die meisten Menschen schon einmal von den Risiken durch E-Mail-Betrug gehört. Wahrscheinlich weiß fast jeder, dass man E-Mails mit Inhalten wie „Hallo, sehen Sie sich diesen Link an“ grundsätzlich misstrauen sollte. Spam-Betrug per E-Mail erkennt man recht gut daran, dass eine authentische persönliche Ansprache fehlt.

Wenn sie jedoch ihr Smartphone nutzen, sind Benutzer weniger achtsam. Viele gehen davon aus, dass ihre Smartphones sicherer sind als ihre Computer. Aber auch die Smartphone-Sicherheit hat Grenzen und kann sie nicht immer direkt vor Smishing schützen.

Unabhängig von den eingesetzten Methoden ist für den Erfolg dieser Betrügereien kaum mehr erforderlich als Ihr Vertrauen und ein nachlassendes Urteilsvermögen. Daher kann Smishing jedes mobile Gerät mit Textnachrichtenfunktion betreffen.

Android-Geräte sind zwar die marktbeherrschende Plattform und ein ideales Ziel für Malware-SMS, aber auch iOS-Geräte sind durchaus nicht weniger interessant. Die Sicherheit der Apple iOS-Technologie hat zwar einen guten Ruf, aber kein mobiles Betriebssystem kann sich selbst vor Angriffen im Stil von Phishing schützen. Ein trügerisches Gefühl von Sicherheit macht Benutzer unabhängig von der Plattform angreifbar.

Ein weiterer Risikofaktor ist die Nutzung des Smartphones unterwegs, wo Benutzer oft abgelenkt oder in Eile sind. In einer solchen Situation steigt die Wahrscheinlichkeit, dass Sie nicht aufpassen und einfach auf die Nachricht antworten, um die Bankdaten anzugeben oder den vermeintlichen Coupon einzulösen.

Unterschiedliche Formen von Smishing-Angriffen

Die Methoden sind bei jedem Smishing-Angriff mehr oder weniger identisch, nur die Form der Darbietung unterscheidet sich. Die Angreifer können eine Vielzahl von Identitäten und Vorwänden nutzen, um diese Angriffe am Laufen zu halten.

Da immer wieder neue Smishing-Formen erdacht werden, kann keine Liste den Anspruch auf Vollständigkeit erheben. Es gibt aber eine Reihe von Merkmalen, an denen Sie einen Smishing-Angriff recht gut erkennen können.

Diese lauten:

Corona-Smishing

Smishing-Betrügereien im Zusammenhang mit Corona basieren auf seriösen Apps, die von vielen Regierungs-, Gesundheits- und Finanzorganisationen zur Eindämmung von Corona entwickelt wurden.

Angreifer haben immer wieder versucht, die Sorge ihrer Opfer um ihre Gesundheit oder ihre finanziellen Ängste auszunutzen. Zu offensichtlichen Warnsignalen gehören:

• Fragen nach sensiblen Informationen (Sozialversicherungsnummer, Kreditkartennummer usw.) für die Ermittlung von Kontaktpersonen
• Aussicht auf Steuererleichterungen.
• Updates zur Förderung der öffentlichen Gesundheit.
• Anfragen zum Ausfüllen eines Volkszählungsformulars in den USA.

Finanzdienstleister-Smishing

Smishing-Angriffe dieser Art tarnen sich als Benachrichtigungen von Finanzinstituten. Nahezu jeder nutzt Bank- und Kreditkartendienste und können sich von allgemein gehaltenen oder gezielten Nachrichten bestimmter Banken angesprochen fühlen. Darlehen und Investitionen sind ebenfalls häufig missbrauchte Anlässe dieser Kategorie.

Ein Angreifer gibt sich als Bank oder ein anderes Finanzinstitut aus, um in dieser Tarnung Finanzbetrug zu begehen. Typische vorgeschobene Anlässe für Finanzdienstler-Smishing sind die dringende Aufforderung, das eigene Konto wieder freizuschalten, verdächtige Kontobewegungen zu prüfen, und vieles andere mehr.

Geschenk-Smishing

Beim Geschenk-Smishing geht es um kostenlose Services oder Produkte, die – natürlich nur vermeintlich – von einem angesehenen Einzelhändler oder einem anderen Unternehmen angeboten werden. Dabei kann es sich um Gewinnspiele, Einkaufsprämien oder alle möglichen anderen kostenlosen Lockangebote handeln. Mit der Begeisterung, die die Vorstellung von „kostenlos“ hervorruft, versucht der Angreifer logische Einwände auszuschalten und Sie zu übereiltem Handeln zu bewegen. Ein guter Hinweis auf dubiose Machenschaften sind Dinge wie ein zeitlich stark begrenztes Angebot oder das exklusive Angebot einer kostenlosen Geschenkkarte „nur für Sie“.

Smishing im Zusammenhang mit Rechnungen oder Bestellbestätigungen

Sie erhalten eine gefälschte Bestätigung eines kürzlich getätigten Kaufs oder eine Rechnung für eine in Anspruch genommene Dienstleistung. Eventuell finden Sie in der Nachricht einen Link zu weiteren Informationen, der Ihre Neugier wecken und Sie zu sofortigem Handeln bewegen soll, meist aus der Angst heraus, dass andernfalls Verzugsgebühren drohen. Dubios wird die Sache, wenn Sie gleich mehrere Bestellbestätigungstexte bekommen, oder wenn Sie bei genauerem Hinsehen feststellen, dass der Firmenname fehlt.

Kundensupport-Smishing

Die Smishing-Angreifer geben sich als Support-Mitarbeiter eines vertrauenswürdigen Unternehmens aus, um Ihnen angeblich bei der Lösung eines Problems zu helfen. Stark nachgefragte Technologie- und E-Commerce-Unternehmen wie Apple, Google und Amazon werden gern von Angreifern zur Tarnung genutzt.

In der Regel wird behauptet, dass ein Fehler in Ihrem Konto vorliegt, und Sie erhalten Anweisungen zur Behebung des Problems. Manchmal werden Sie dabei einfach auf eine gefälschte Anmeldeseite geschickt, bei komplexeren Betrugsmaschen könnte man Sie auffordern, einen Wiederherstellungscode für Ihr Konto zu übermitteln, mit dem Ihr Passwort zurückgesetzt werden kann. Wann immer Sie wegen eines Problems mit einer Rechnung, einem Kontozugang, ungewöhnlichen Aktivitäten oder der Beilegung einer von Ihnen aufgegebenen Kundenbeschwerde kontaktiert werden, ist Vorsicht geboten. Es könnte sich auch um einen Fall von Kundendienst-Smishing handeln.

Beispiele für Smishing

Da nahezu jeder, der über ein Mobiltelefon verfügt, auch SMS hat, können Smishing-Angriffe überall auf der Welt auftreten. Wir haben für Sie einige Beispiele dieser Smishing-Angriffe zusammengestellt.

Vorzeitiger Bezug des Apple iPhone 12 – Betrugsmasche mit einer gefälschten Bestellbestätigung und Geschenk-Smishing

Im September 2020 sollten Nutzer im Rahmen einer Smishing-Kampagne dazu verleitet werden, ihre Kreditkartendaten anzugeben, um ein kostenloses iPhone 12 zu erhalten.

Die Betrugsmasche basiert auf einer Auftragsbestätigung, in der behauptet wird, ein Paket sei an eine falsche Adresse geschickt worden. Der URL-Link im Text führte zu einem Phishing-Tool, das als Apple-Chatbot getarnt war. Dem Opfer wurde vorgegaukelt, dass es im Rahmen einer Testaktion vor der offiziellen Freigabe ein kostenloses iPhone 12 bekommen kann. Zu diesem Zweck sollte es im Chatbot seine Kreditkartendaten für die sehr geringe Versandgebühr eingeben.

USPS- und FedEx-Betrug – Gefälschte Auftragsbestätigung und Geschenk-Smishing

Im September 2020 kursierten Berichte über eine Betrugsmasche, in deren Mittelpunkt ein angebliches USPS- und FedEx-Paket stand. Bei diesem Smishing-Angriff wurde versucht, an die Zugangsdaten für verschiedene Dienste oder Kreditkarteninformationen zu kommen.

Die Betroffenen erhielten eine Nachricht über eine angeblich verpasste oder falsche Paketzustellung mit einem Link zu einem Phishing-Tool auf der Webseite, das als FedEx- oder USPS-Umfrage getarnt war. Die Behauptung, weshalb man diese Phishing-Seiten aufsuchen sollte, variierte zwar von Fall zu Fall, allen gemeinsam war jedoch der Versuch, an Anmeldedaten zu Services wie Google zu kommen.

Corona-Smishing mit Aufforderung zu einem verpflichtenden Corona-Test

Im April 2020 gingen beim Better Business Bureau vermehrt Meldungen über gefälschte Nachrichten einer US-amerikanischen Behörden ein, in denen die Empfänger dazu aufgefordert wurden, sich auf einer verlinkten Webseite einem verpflichtend vorgeschriebenen Coronatest zu unterziehen.

Natürlich haben viele diesen Betrug sofort durchschaut, da ein Online-Test für Corona gar nicht möglich ist. Grundsätzlich gefährlich ist jedoch jeder dieser Smishing-Versuche, zumal sich jedes Betrugsschema weiterentwickeln lässt. Gerade mit Themen wie der Pandemie lassen sich gezielt Ängste schüren, die viele Menschen zu leichten Opfern werden lassen.

So verhindern Sie Smishing

Die gute Nachricht ist, dass Sie sich einfach vor den potenziellen Auswirkungen dieser Angriffe schützen können. Die beste Schutzmaßnahme besteht darin, gar nichts zu tun. Denn ein Angriff kann nur Schaden anrichten, wenn Sie den Köder schlucken.

Trotz alledem darf man natürlich nicht vergessen, dass Textnachrichten für viele Online-Händler und Institutionen ein durchaus legitimes Mittel der Kommunikation sind. Daher sollten Sie nicht alle Meldungen ignorieren, sondern nur gesunde Vorsicht walten lassen.

Es sind einige Dinge zu beachten, um sich vor solchen Angriffen zu schützen.

• Antworten Sie nicht. Auch Aufforderungen zum Antworten, in denen Sie z. B. „STOP“ schreiben sollen, um den weiteren Bezug zu beenden, können ein Trick sein, mit dem geprüft werden soll, ob eine Telefonnummer noch aktiv ist. Die Angreifer setzen auf menschliche Eigenschaften wie Neugierde oder Angst, und das beste Mittel dagegen besteht darin, sich darauf gar nicht erst darauf einzulassen.
• Lassen Sie sich Zeit, wenn eine Nachricht besonders dringlich klingt. Betrachten Sie sofort erforderliche Kontoaktualisierungen und zeitlich begrenzte Angebote als mögliche Warnzeichen für Smishing. Bewahren Sie sich ein gesundes Maß an Skepsis und Zurückhaltung.
• Rufen Sie Ihre Bank oder Ihren Handelspartner direkt an, wenn Sie Zweifel haben. Seriöse Einrichtungen fragen keine Kontoaktualisierungen oder Anmeldeinformationen per SMS ab. Darüber hinaus können Sie dringende Mitteilungen direkt in Ihren Online-Konten oder über eine offizielle Hotline überprüfen.
• Gehen Sie nach Möglichkeit nicht über Links oder Kontaktinformationen in der Nachricht. Nutzen Sie keine Links oder Kontaktinformationen in Nachrichten, bei denen Sie ein ungutes Gefühl haben. Wenden Sie sich, wann immer möglich, direkt an die offiziellen Kontaktstellen.
• Überprüfen Sie die Telefonnummer. Ungewöhnliche Telefonnummern, z. B. 4-stellige, können ein Hinweis darauf sein, dass es sich um einen E-Mail-zu-Text-Dienst handelt. Das ist nur eine der vielen Taktiken, die Betrüger nutzen, um ihre wahre Telefonnummer zu verschleiern.
• Speichern Sie niemals Kreditkartennummern auf Ihrem Telefon. Finanzdaten, die nicht in einer digitalen Brieftasche aufbewahrt werden, können auch nicht zusammen mit dieser Brieftasche gestohlen werden.
• Nutzen Sie die Multifaktor-Authentifizierung (MFA). Selbst wenn ein Smishing-Angreifer an Ihr Passwort kommt, hat es für ihn keinen Nutzen, wenn das dahinter stehende Konto mit einem zweiten „Schlüssel“ gesichert ist. Die gängigste Variante der MFA ist die Zwei-Faktor-Authentifizierung (2FA), wobei die zweite Verifizierungsmethode in der Regel ein zweiter, per SMS zugeschickter Code ist. Es gibt aber noch sicherere Varianten, bei denen die Verifizierung über eine spezielle App (wie Google Authenticator) erfolgt.
• Geben Sie niemals ein Passwort oder einen Wiederherstellungscode für Ihr Konto per SMS an Dritte weiter. In den falschen Händen bedeuten Passwörter und SMS-Wiederherstellungscodes bei Zwei-Faktor-Authentifizierung (2FA) eine Gefahr für Ihre Konten. Geben Sie diese Informationen niemals an Dritte weiter und geben Sie sie nur auf offiziellen Webseiten ein.
• Installieren Sie ein Schutzprogramm gegen Malware. Produkte wie Kaspersky Internet Security for Android schützen vor schädlichen Apps und Phishing-Links in Textnachrichten.
• Melden Sie jeden Phishing-Versuch per SMS an die zuständigen Behörden.

Denken Sie daran, dass es beim Smishing – genau wie beim Phishing – darum geht, Sie hinters Licht zu führen. Kriminelle verlassen sich darauf, dass das Opfer mitspielt und auf einen Link klickt oder Informationen preisgibt. Der einfachste Schutz vor solchen Angriffen ist, ganz einfach nichts zu tun. Wenn Sie nicht reagieren, bleibt ein schädlicher Text wirkungslos.

Was tun, wenn Sie Smishing zum Opfer fallen

Trotz aller Vorkehrungen sind manche Smishing-Angriffe einfach so geschickt eingefädelt, dass Sie ihnen trotzdem auf den Leim gehen. Für diesen Fall brauchen Sie einen Notfallplan.

Ergreifen Sie die folgenden Maßnahmen, um den Schaden eines erfolgreichen Smishing-Versuchs zu begrenzen:

1. Melden Sie den mutmaßlichen Angriff allen Stellen, die Ihnen helfen können.
2. Sperren Sie die Kreditauskunft, um Identitätsbetrug jetzt und in Zukunft zu verhindern.
3. Ändern Sie möglichst alle Passwörter und Konto-PINs.
4. Kontrollieren Sie, ob es bei Ihren Geldanlagen, Krediten und Online-Konten Anmeldungen von ungewöhnlichen Orten oder andere Aktivitäten gibt.

Jeder dieser Schritte kann entscheidend zum Schutz Ihrer Vermögenswerte beitragen. Und indem sie einen Angriff melden, hilft das nicht nur Ihnen, sondern schützt auch andere davor, dasselbe Schicksal zu erleiden.

Verwandte Links:

• Sind E-Transfers sicher?
• Was tun, wenn mein E-Mail-Konto gehackt wurde?
• Coronavirus-Wohltätigkeits-Scams
• Mobile Scams: Wie Sie sie identifizieren und sich schützen