SMS Phishing – Smishing

Was ist SMS Phishing/Smishing?

SMS Phishing – auch Smishing genannt – ist, wie der Name schon vermuten lässt, eine Variation des klassischen Phishings, die auf SMS Nachrichten anstelle der klassischen E-Mail setzt.

Die Gründe für die Verwendung und steigende Popularität der Smishing Attacken sind verschieden.

Zum einen gibt es einen psychologischen Faktor, der auf einem generellen Vertrauen hinsichtlich der SMS-Nachrichten basiert. Der Großteil der Menschen ist sich mittlerweile durchaus den Gefahren von Spam– und Phishing E-Mails bewusst und schaut auch öfters kritisch auf unbekannte E-Mails.

Unsere Handys und Smartphones hingegen sind private Geräte, denen wir generell mehr Vertrauen entgegenbringen. Hier spielt also die Unwissenheit vor solchen Gefahren eine enorme Rolle.

Aus diesen und weiteren Gründen wie der generellen Flut an Spammails ergibt sich, dass nur circa 20 % aller E-Mails gelesen werden und auf lediglich 3 % auch geantwortet wird. Bei SMS-Nachrichten sieht es allerdings ganz anders aus: Hier werden ganze 98 % aller Nachrichten gelesen und auf 45 % auch beantwortet.

Die Chancen für Kriminelle, dass ihre Scam-Nachrichten Beachtung finden, ist also deutlich höher wie beim klassischen Phishing. Zu dem psychologischen Faktor kommt noch die technische Seite als klarer Erfolgsfaktor hinzu. Smartphones sind schlicht oft wesentlich schlechter geschützt als z. B. Computer an Arbeitsplätzen und somit anfälliger für gefährliche Malware.

Du willst Deine Mittarbeiter für Phishing sensibilisieren?
Wir bieten Dir eine umfangreiche IT Sicherheitsschulungen!
Zu den IT Sicherheitsschulungen

Gefahren und Ziele von Smishing

Genau wie das klassische Phishing hat auch das Smishing klare Ziele für die Täter. Diese decken sich mit denen des klassischen Phishings und können generell in drei große Bereiche eingeteilt werden:

Datendiebstahl über Smishing

Oft haben Smishing Angriffe das Ziel, Login-Daten für Onlinekonten zu erbeuten. Besonders beliebt bei kriminellen Hackern sind klassischerweise die Login-Informationen von Online-Banking. Dabei profitieren sie sogar von Nachrichten der „echten“ Banken, die oftmals Warnungen in Form einer SMS-Benachrichtigung versenden, wenn es zu ungewöhnlichen Kontoaktivitäten kommt.

Diese Form des Smishings ist so beliebt, dass sie sogar einen eigenen Namen – „Bank Smishing„ – bekommen hat. Die Möglichkeiten der modernen Technik werden auch hier oft unterschätzt: So ist es zum Beispiel möglich, den Absender einer SMS zu verschleiern oder zu fälschen. So werden Nachrichten von einem Rechner aus versendet und dann auf dem Smartphone des Opfers automatisch einer legitimen Absendernummer zugeordnet. Es gilt also, dass man niemals seine Kontoinformationen teilt. Sie sind privat und gehen niemanden etwas an. Es gibt keine Gründe, warum ein seriöses Unternehmen Anmeldedaten Ihrer Kunden erfragen würde.

Datendiebstahl über Smishing

Verbreitung von Malware durch Smishing

Sein Opfer dazu zu bringen, eine infizierte Datei herunterzuladen, ist das klassische Ziel des Phishings, aber auch beim Smishing nicht unbekannt, allerdings seltener genutzt. Dass die Methode trotzdem erfolgversprechend sein kann, zeigte ein Vorfall in Tschechien. Hier wurden Tausende Menschen per SMS dazu verleitet, eine App – angeblich von der tschechischen Post – zu installieren. Hierbei handelte es sich um einen Trojaner, der neben Kreditkarteninformationen auch weitere App-Zugänge kompromittiert hat.

Insgesamt kommt die Verbreitung von Malware bei Smishing Angriffen seltener vor, da die Smartphoneentwickler mittlerweile reagiert haben und es immer schwieriger machen, unsignierte, beziehungsweise nicht verifizierte Apps zu installieren. Die Gefahr bleibt dennoch, speziell bei Androidgeräten existiert der Weg des sogenannten „App Sideloadings“, bei dem Apps aus unbekannten Quellen geladen werden können, wenn dies in den Geräteeinstellungen nicht deaktiviert wird (Standardmäßig ist dieses Feature deaktiviert).

Finanzbetrug durch Smishing

Smishing ist keine Kunst, die nur von technisch versierten Menschen durchgeführt werden kann. Beim Smishing mischen auch Trickbetrüger mit, die mit eher plumpen Versuchen an das Geld ihrer Opfer heranzukommen wollen. Dies stellt trotzdem eine Gefahr dar, vor allem wenn weniger technikaffine Menschen betroffen sind. Denn auch hier wird oft das bereits erwähnte Verschleiern der Rufnummer genutzt, etwas, dass für einen Normalbürger oft unfassbar klingt.

Wie funktioniert Smishing?

Mit der Entwicklung und der Verbreitung der sogenannten VoIP-Telefonie und der Anrufer-IDs sind auch Betrüger und Cyberkriminelle auf neue Techniken gestoßen, Opfer über eine gefälschte Rufnummer zu erreichen. Beim „Call ID Spoofing“ wird dabei die eigentliche Rufnummer, die sogenannte „Network Provided Number“ des Anrufers durch eine falsche Rufnummer ersetzt. Es existieren zahllose unseriöse Provider, die ihren Kunden die Möglichkeit bieten, die Network Provided Number selbst zu verändern. Dies ist allerdings nicht mit dem „CLIP No screening“ zu verwechseln, ein tatsächliches Servicemerkmal, bei dem die ausgehende Rufnummer, die sogenannte „User Provided Number“, frei gewählt werden kann, allerdings nur unter der Voraussetzung, dass man die Rechte an der Nummer besitzt.

Das Fälschen und Maskieren von SMS-Absendern ist damit ebenfalls keine große technische Hürde. Auch hier finden sich kostenlose Anbieter auf dem Markt, die einem nicht nur die Absendernummer, sondern sogar einen Namen frei wählen lassen. So sind SMS-Benachrichtigungen unter Namen wie „Papa“ oder „Mama“ oder sogar „Polizei“ keine Seltenheit. Dies ist unter anderem dadurch möglich, dass das Feld, welches uns die übertragene Nummer anzeigt, komplett separat von der eigentlich registrierten Nummer ist.

Du suchst einen professionellen IT-Sicherheitspartner für Ihr Unternehmen?
Nimm jetzt Kontakt zu uns auf!
Jetzt kontaktieren

Wie kann ich mich vor Smishing schützen?

Viele Gefahren, die im Internet lauern, erfordern einen aktiven Schutz. Beispielsweise ist die Gefahr vor Trojanern und Viren mit dem aktiven Schutz eines Virenscanners verringert. Beim Smishing hingegen ist ein aktiver Schutz nicht notwendig, um sich zu schützen. Oft schon reicht es aus, nichts zu unternehmen. Phishing generell wird nur zu einer Gefahr, wenn das Opfer auf den Betrug reinfällt. Gar nicht erst auf den Versuch zu reagieren, schützt demnach. Dennoch gibt es einige Punkte, die man beachten kann, um seine Awareness gegenüber den Gefahren des Smishings zu erhöhen:

  • Vermeidliche Angebote und Warnungen, Benachrichtigungen über Aktionen und der gleichen sind oft eine einfache Masche von Betrügern, die Neugierde seiner Opfer zu wecken.
  • Kein seriöses Unternehmen wie z. B. Banken online Händler, Social Media Seiten oder dergleichen werden jemals nach genauen Daten ihrer Kunden via SMS oder E-Mail fragen.
  • Speichern Sie nur unbedingt benötigte Informationen auf Ihrem Smartphone. Niemals sollten Sie Kreditkarteninformationen, Logins zu online Banking oder PIN-Nummern im Handy speichern.
  • Klären Sie Wichtiges privat. Wenn sie eine Nachricht von „Mama“ bekommen, die ungewöhnlich erscheint, dann klären Sie dies in einem Telefonat oder besser sogar persönlich.
ANDERE BEITRÄGE

Inhaltsverzeichnis

Wir verwenden Cookies, um Ihnen die bestmögliche Erfahrung zu bieten. Wenn Sie unsere Website weiterhin besuchen, stimmen Sie der Verwendung von Cookies zu, wie in unserer Datenschutzerklärung beschrieben.