Smishing ist ein Phishing-Angriff auf die Cybersicherheit, der über mobile Textnachrichten erfolgt und auch als SMS-Phishing bezeichnet wird.
Bei dieser Variante des Phishings werden die Opfer dazu verleitet, einem getarnten Angreifer vertrauliche Informationen zu übermitteln. Durch Unterstützung von SMS-Phishing werden gelegentlich auch Malware-Programme oder gefälschte Webseiten eingesetzt. Bevorzugte Ziele sind Plattformen von mobilen Messaging-Diensten, aber auch andere Kanäle wie datenbasierte mobile Messaging-Apps.
Die Bezeichnung Smishing ist ein Kunstwort, das aus den Begriffen „SMS“ (Kurznachrichtendienste oder Textnachrichten) und „Phishing“ zusammengesetzt ist. Smishing gehört zur Kategorie der Social Engineering-Angriffe, bei denen die Angreifer weniger auf technische Tools als vielmehr auf menschliche Eigenschaften wie Vertrauen setzen.
Beim „Phishing“ werden betrügerische E-Mails versendet, in denen die Empfänger dazu verleitet werden sollen, auf einen schädlichen Link zu klicken. Smishing nutzt einfach Textnachrichten anstelle von E-Mails.
Diese Cyberkriminellen haben es im Wesentlichen darauf abgesehen, Ihre persönlichen Daten zu stehlen, die sie dann für andere Betrugsmaschen verwenden. In der Regel geht es darum, Geld zu stehlen, entweder Ihres oder das Ihres Unternehmens.
Cyberkriminelle nutzen eine der folgenden beiden Methoden, um solche Daten zu entwenden:
Smishing-Textnachrichten sind Nachrichten, die vermeintlich von Ihrer Bank stammen und in denen Sie nach persönlichen oder finanziellen Informationen wie Ihrer Kontonummer oder Ihrer PIN gefragt werden. Wer diese Informationen preisgibt, übergibt Kriminellen quasi den Schlüssel zu seinem Bankkonto.
Und in Zeiten des BYOD (Bring Your Own Device), in denen immer mehr Personen ihre privaten Geräte für die Arbeit nutzen, entwickelt sich Smishing schnell vom Verbraucher- zum Unternehmensrisiko. Es ist also wenig überraschend, dass Smishing mittlerweile zu einer der häufigsten Arten schädlicher Textnachrichten geworden ist.
Je mehr mobile Geräte in unser aller Leben eine Rolle spielen, desto stärker nimmt auch die Cyberkriminalität in diesem Bereich zu. Abgesehen von der Tatsache, dass Textnachrichten die gängigste Form der Smartphone-Nutzung sind, gibt es noch eine Reihe weiterer Faktoren, die die Wirkung dieser besonders heimtückischen Sicherheitsbedrohung verstärken. Dazu müssen wir uns zunächst genauer anschauen, wie Smishing-Angriffe eigentlich funktionieren.
Täuschung und Betrug sind die Hauptbestandteile eines jeden Phishing-Angriffs per SMS. Die Angreifer geben sich als vertrauenswürdige Absender aus, damit Sie in gutem Glauben auf die Anfrage reagieren.
Die Wirkmechanismen des Social Engineering führen dazu, dass sich die Opfer manipulieren lassen. Drei Faktoren begünstigen den Erfolg dieses Täuschungsmanövers:
Alle diese Methoden nutzen die Angreifer in ihren Nachrichten, um Ihre Opfer zu einer unüberlegten Handlung zu bewegen.
Meist geht es darum, dass der Empfänger einen URL-Link in der Textnachricht öffnet, der ihn dann zu einer Phishing-Maske führt, in der er private Daten preisgeben soll. Die Eingabemaske befindet sich häufig auf einer gefälschten Webseite oder App, die einem seriösen Original täuschend echt nachempfunden ist.
Wer zur Zielgruppe eines Angriffs gehört, kann variieren, aber meist geht es um die Verbundenheit zu einer bestimmten Organisation oder um den regionalen Standort. Mitarbeiter oder Kunden einer bestimmten Einrichtung, Abonnenten eines Mobilfunkanbieters, Studenten an einer bestimmten Uni und sogar die Einwohner einer Region können zur Zielscheibe werden.
Als Tarnung nutzt der Angreifer in der Regel genau die Einrichtung, zu der er sich Zugang verschaffen möchte. Aber nicht unbedingt, denn in der Hauptsache genügt ihm auch jede andere Tarnung, solange sie ihm zu Ihren Identitätsdaten oder Finanzinformationen verhilft.
Mit einer weiteren Methode, die als Spoofing bezeichnet wird, kann ein Angreifer seine wahre Telefonnummer verbergen, um Sie aufs Glatteis zu führen. Um die Nachverfolgung eines Angriffs zu behindern, verwenden Smishing-Angreifer außerdem gern billige Prepaid-Telefone, die sie hinterher einfach wegwerfen. Ein weiteres Mittel, um die eigene Telefonnummer zu verbergen, sind E-Mail-zu-Text-Dienste.
Der Angriff selbst besteht aus den folgenden wesentlichen Stufen:
Ein Smishing-Angriff ist erfolgreich, wenn der Angreifer Ihre privaten Daten für den von Anfang an geplanten Diebstahl einsetzen konnte. Sein Ziel kann unter anderem darin bestehen, ein Bankkonto direkt abzuräumen, sich Ihrer Identität zu bemächtigen, um illegal ein Kreditkartenkonto zu eröffnen, oder private Unternehmensdaten an die Öffentlichkeit zu geben.
Wie bereits erwähnt, werden Smishing-Angriffe sowohl über herkömmliche Textnachrichten als auch über andere Messaging-Apps durchgeführt. Smishing-Angriffe per SMS haben allerdings den Vorteil, dass sie sich unaufhaltsam und unbemerkt ausbreiten können.
Ein Problem beim Smishing ist, dass Nutzer zu viel Vertrauen in die Sicherheit von Textnachrichten haben.
An sich haben die meisten Menschen schon einmal von den Risiken durch E-Mail-Betrug gehört. Wahrscheinlich weiß fast jeder, dass man E-Mails mit Inhalten wie „Hallo, sehen Sie sich diesen Link an“ grundsätzlich misstrauen sollte. Spam-Betrug per E-Mail erkennt man recht gut daran, dass eine authentische persönliche Ansprache fehlt.
Wenn sie jedoch ihr Smartphone nutzen, sind Benutzer weniger achtsam. Viele gehen davon aus, dass ihre Smartphones sicherer sind als ihre Computer. Aber auch die Smartphone-Sicherheit hat Grenzen und kann sie nicht immer direkt vor Smishing schützen.
Unabhängig von den eingesetzten Methoden ist für den Erfolg dieser Betrügereien kaum mehr erforderlich als Ihr Vertrauen und ein nachlassendes Urteilsvermögen. Daher kann Smishing jedes mobile Gerät mit Textnachrichtenfunktion betreffen.
Android-Geräte sind zwar die marktbeherrschende Plattform und ein ideales Ziel für Malware-SMS, aber auch iOS-Geräte sind durchaus nicht weniger interessant. Die Sicherheit der Apple iOS-Technologie hat zwar einen guten Ruf, aber kein mobiles Betriebssystem kann sich selbst vor Angriffen im Stil von Phishing schützen. Ein trügerisches Gefühl von Sicherheit macht Benutzer unabhängig von der Plattform angreifbar.
Ein weiterer Risikofaktor ist die Nutzung des Smartphones unterwegs, wo Benutzer oft abgelenkt oder in Eile sind. In einer solchen Situation steigt die Wahrscheinlichkeit, dass Sie nicht aufpassen und einfach auf die Nachricht antworten, um die Bankdaten anzugeben oder den vermeintlichen Coupon einzulösen.
Die Methoden sind bei jedem Smishing-Angriff mehr oder weniger identisch, nur die Form der Darbietung unterscheidet sich. Die Angreifer können eine Vielzahl von Identitäten und Vorwänden nutzen, um diese Angriffe am Laufen zu halten.
Da immer wieder neue Smishing-Formen erdacht werden, kann keine Liste den Anspruch auf Vollständigkeit erheben. Es gibt aber eine Reihe von Merkmalen, an denen Sie einen Smishing-Angriff recht gut erkennen können.
Diese lauten:
Smishing-Betrügereien im Zusammenhang mit Corona basieren auf seriösen Apps, die von vielen Regierungs-, Gesundheits- und Finanzorganisationen zur Eindämmung von Corona entwickelt wurden.
Angreifer haben immer wieder versucht, die Sorge ihrer Opfer um ihre Gesundheit oder ihre finanziellen Ängste auszunutzen. Zu offensichtlichen Warnsignalen gehören:
Smishing-Angriffe dieser Art tarnen sich als Benachrichtigungen von Finanzinstituten. Nahezu jeder nutzt Bank- und Kreditkartendienste und können sich von allgemein gehaltenen oder gezielten Nachrichten bestimmter Banken angesprochen fühlen. Darlehen und Investitionen sind ebenfalls häufig missbrauchte Anlässe dieser Kategorie.
Ein Angreifer gibt sich als Bank oder ein anderes Finanzinstitut aus, um in dieser Tarnung Finanzbetrug zu begehen. Typische vorgeschobene Anlässe für Finanzdienstler-Smishing sind die dringende Aufforderung, das eigene Konto wieder freizuschalten, verdächtige Kontobewegungen zu prüfen, und vieles andere mehr.
Beim Geschenk-Smishing geht es um kostenlose Services oder Produkte, die – natürlich nur vermeintlich – von einem angesehenen Einzelhändler oder einem anderen Unternehmen angeboten werden. Dabei kann es sich um Gewinnspiele, Einkaufsprämien oder alle möglichen anderen kostenlosen Lockangebote handeln. Mit der Begeisterung, die die Vorstellung von „kostenlos“ hervorruft, versucht der Angreifer logische Einwände auszuschalten und Sie zu übereiltem Handeln zu bewegen. Ein guter Hinweis auf dubiose Machenschaften sind Dinge wie ein zeitlich stark begrenztes Angebot oder das exklusive Angebot einer kostenlosen Geschenkkarte „nur für Sie“.
Sie erhalten eine gefälschte Bestätigung eines kürzlich getätigten Kaufs oder eine Rechnung für eine in Anspruch genommene Dienstleistung. Eventuell finden Sie in der Nachricht einen Link zu weiteren Informationen, der Ihre Neugier wecken und Sie zu sofortigem Handeln bewegen soll, meist aus der Angst heraus, dass andernfalls Verzugsgebühren drohen. Dubios wird die Sache, wenn Sie gleich mehrere Bestellbestätigungstexte bekommen, oder wenn Sie bei genauerem Hinsehen feststellen, dass der Firmenname fehlt.
Die Smishing-Angreifer geben sich als Support-Mitarbeiter eines vertrauenswürdigen Unternehmens aus, um Ihnen angeblich bei der Lösung eines Problems zu helfen. Stark nachgefragte Technologie- und E-Commerce-Unternehmen wie Apple, Google und Amazon werden gern von Angreifern zur Tarnung genutzt.
In der Regel wird behauptet, dass ein Fehler in Ihrem Konto vorliegt, und Sie erhalten Anweisungen zur Behebung des Problems. Manchmal werden Sie dabei einfach auf eine gefälschte Anmeldeseite geschickt, bei komplexeren Betrugsmaschen könnte man Sie auffordern, einen Wiederherstellungscode für Ihr Konto zu übermitteln, mit dem Ihr Passwort zurückgesetzt werden kann. Wann immer Sie wegen eines Problems mit einer Rechnung, einem Kontozugang, ungewöhnlichen Aktivitäten oder der Beilegung einer von Ihnen aufgegebenen Kundenbeschwerde kontaktiert werden, ist Vorsicht geboten. Es könnte sich auch um einen Fall von Kundendienst-Smishing handeln.
Da nahezu jeder, der über ein Mobiltelefon verfügt, auch SMS hat, können Smishing-Angriffe überall auf der Welt auftreten. Wir haben für Sie einige Beispiele dieser Smishing-Angriffe zusammengestellt.
Im September 2020 sollten Nutzer im Rahmen einer Smishing-Kampagne dazu verleitet werden, ihre Kreditkartendaten anzugeben, um ein kostenloses iPhone 12 zu erhalten.
Die Betrugsmasche basiert auf einer Auftragsbestätigung, in der behauptet wird, ein Paket sei an eine falsche Adresse geschickt worden. Der URL-Link im Text führte zu einem Phishing-Tool, das als Apple-Chatbot getarnt war. Dem Opfer wurde vorgegaukelt, dass es im Rahmen einer Testaktion vor der offiziellen Freigabe ein kostenloses iPhone 12 bekommen kann. Zu diesem Zweck sollte es im Chatbot seine Kreditkartendaten für die sehr geringe Versandgebühr eingeben.
Im September 2020 kursierten Berichte über eine Betrugsmasche, in deren Mittelpunkt ein angebliches USPS- und FedEx-Paket stand. Bei diesem Smishing-Angriff wurde versucht, an die Zugangsdaten für verschiedene Dienste oder Kreditkarteninformationen zu kommen.
Die Betroffenen erhielten eine Nachricht über eine angeblich verpasste oder falsche Paketzustellung mit einem Link zu einem Phishing-Tool auf der Webseite, das als FedEx- oder USPS-Umfrage getarnt war. Die Behauptung, weshalb man diese Phishing-Seiten aufsuchen sollte, variierte zwar von Fall zu Fall, allen gemeinsam war jedoch der Versuch, an Anmeldedaten zu Services wie Google zu kommen.
Im April 2020 gingen beim Better Business Bureau vermehrt Meldungen über gefälschte Nachrichten einer US-amerikanischen Behörden ein, in denen die Empfänger dazu aufgefordert wurden, sich auf einer verlinkten Webseite einem verpflichtend vorgeschriebenen Coronatest zu unterziehen.
Natürlich haben viele diesen Betrug sofort durchschaut, da ein Online-Test für Corona gar nicht möglich ist. Grundsätzlich gefährlich ist jedoch jeder dieser Smishing-Versuche, zumal sich jedes Betrugsschema weiterentwickeln lässt. Gerade mit Themen wie der Pandemie lassen sich gezielt Ängste schüren, die viele Menschen zu leichten Opfern werden lassen.
Die gute Nachricht ist, dass Sie sich einfach vor den potenziellen Auswirkungen dieser Angriffe schützen können. Die beste Schutzmaßnahme besteht darin, gar nichts zu tun. Denn ein Angriff kann nur Schaden anrichten, wenn Sie den Köder schlucken.
Trotz alledem darf man natürlich nicht vergessen, dass Textnachrichten für viele Online-Händler und Institutionen ein durchaus legitimes Mittel der Kommunikation sind. Daher sollten Sie nicht alle Meldungen ignorieren, sondern nur gesunde Vorsicht walten lassen.
Es sind einige Dinge zu beachten, um sich vor solchen Angriffen zu schützen.
Denken Sie daran, dass es beim Smishing – genau wie beim Phishing – darum geht, Sie hinters Licht zu führen. Kriminelle verlassen sich darauf, dass das Opfer mitspielt und auf einen Link klickt oder Informationen preisgibt. Der einfachste Schutz vor solchen Angriffen ist, ganz einfach nichts zu tun. Wenn Sie nicht reagieren, bleibt ein schädlicher Text wirkungslos.
Trotz aller Vorkehrungen sind manche Smishing-Angriffe einfach so geschickt eingefädelt, dass Sie ihnen trotzdem auf den Leim gehen. Für diesen Fall brauchen Sie einen Notfallplan.
Ergreifen Sie die folgenden Maßnahmen, um den Schaden eines erfolgreichen Smishing-Versuchs zu begrenzen:
Jeder dieser Schritte kann entscheidend zum Schutz Ihrer Vermögenswerte beitragen. Und indem sie einen Angriff melden, hilft das nicht nur Ihnen, sondern schützt auch andere davor, dasselbe Schicksal zu erleiden.
Verwandte Links: