Was ist Smishing? Phishing-SMS erklärt

E-Book herunterladen: E-Mail-Sicherheit neu konzipiert

Smishing Definition und Erklärung

Smishing ist eine Form des Phishings, bei dem überzeugende Phishing-SMS/Textnachrichten verwendet werden, um ein potenzielles Opfer dazu zu verleiten, auf einen Link zu klicken und private Informationen zum Angreifer zu senden oder Malware auf das Handy zu laden.

Die meisten der weltweit 3,5 Mrd. Smartphones können Textnachrichten von jeder beliebigen Nummer auf der Welt empfangen. Viele Benutzer sind sich bereits der Gefahren bewusst, die mit dem Anklicken eines Links in einer E-Mail verbunden sind, aber nur wenige sind sich klar darüber, welche Gefahren bei einer SMS lauern.

Benutzer sind oft vertrauensseliger gegenüber Textnachrichten. Daher ist SMS-Smishing nicht selten für Angreifer lukrativ, die Zugangsdaten, Bankinformationen und private Daten ergaunern wollen.

Wie Smishing funktioniert

Die meisten Smishing-Angriffe funktionieren wie E-Mail-Phishing. Der Angreifer sendet eine Phishing-SMS, die den Benutzer dazu verleiten soll, auf einen Link zu klicken, oder bittet um eine Antwort, die die privaten Daten des anvisierten Benutzers enthält.

Die vom Angreifer erfragten Informationen können vielfältig sein, einschließlich:

  • Online-Konto-Anmeldeinformationen.
  • Private Informationen, die bei Identitätsdiebstahl verwendet werden könnten.
  • Finanzdaten, die zum Verkauf auf Darknet-Märkten oder für Online-Betrug verwendet werden können.

Smisher nutzen eine Vielzahl von Möglichkeiten, um Benutzer zum Senden privater Informationen zu verleiten. Sie verwenden dazu persönliche Informationen (z. B. Name und Adresse) aus öffentlichen Online-Tools, um der Zielperson vorzugaukeln, die Nachricht stamme von einer vertrauenswürdigen Quelle.

Der Smisher kann Ihren Namen und Standort verwenden, um Sie direkt anzusprechen. Diese Details machen die Botschaft noch aussagekräftiger. In der Meldung wird dann ein Link angezeigt, der auf einen vom Angreifer kontrollierten Server verweist, etwa zu einer Phishing-Seite für Anmeldeinformationen oder zu Malware führen, die das Telefon selbst kompromittieren soll. Die Malware lässt sich dann dazu verwenden, die Smartphone-Daten des Benutzers auszuspähen oder sensible Daten unbemerkt an einen vom Smisher kontrollierten Server zu senden.

Social Engineering wird häufig in Kombination mit Smishing eingesetzt. Der Bedrohungsakteur könnte den Benutzer anrufen und nach privaten Informationen fragen, bevor er eine Textnachricht sendet. Diese Daten lassen sich dann für den SMS-Angriff des Smishers einsetzen. Mehrere Telekommunikationsunternehmen haben versucht, Social-Engineering-Anrufe zu bekämpfen, indem sie eine „Spam Risk“ auf dem Smartphone anzeigen, wenn eine bekannte Betrugsnummer den Benutzer anruft.

Malware wird oft durch grundlegende Android- und iOS-Sicherheitsfunktionen gestoppt. Doch selbst mit robusten Sicherheitskontrollen auf mobilen Betriebssystemen kann kein Schutzmechanismus gegen Benutzer eingesetzt werden, die ihre Daten freiwillig an eine unbekannte Nummer senden.

Ein Beispiel für einen Smishing-Angriff

Viele Angreifer nutzen Automatismen, um mehreren Benutzern gleichzeitig Textnachrichten zu schicken, ohne entdeckt zu werden. Die in der Anrufer-ID aufgelistete Telefonnummer ist dabei normalerweise eine Nummer, die auf einen Online-VoIP-Dienst wie Google Voice verweist, bei dem Sie die Herkunft nicht überprüfen können.

Das folgende Bild zeigt ein Beispiel einer Smishing-Attacke. Hier gibt sich der Angreifer als das Finanzamt aus und droht dem Empfänger mit Verhaftung und finanziellem Ruin, wenn er nicht die Nummer im Text anruft. Wenn der Empfänger dann anruft, wird er dazu verleitet, Geld zu senden.

 

Beispiel für eine Smishing-SMS

 

Eine verbreitete Smishing-Angriffsmethode verwendet Markennamen mit Links, die angeblich auf die Website der Marke führen. In der Regel teilt ein Angreifer dem Benutzer mit, dass er Geld gewonnen hat, oder bietet einen bösartigen Link an, der vorgibt, zur Verfolgung von Paketen zu dienen, wie im folgenden Beispiel.

 

Beispiel einer Phishing-SMS, bei der ein falscher Link zur Paketnachverfolgung geschickt wird

 

Die Sprache in der obigen Nachricht sollte bereits für jene ein Warnzeichen sein, die mit der Funktionsweise von Smishing vertraut sind, da sie viel zu informell ist („Hello Mate…“). Aber viele Benutzer vertrauen SMS-Nachrichten und lassen sich von informeller Sprache nicht abschrecken.

Ein weiteres Warnzeichen ist die URL: Sie verweist nicht auf eine offizielle URL eines Paketdienstleisters. Doch nicht alle Benutzer sind mit den offiziellen URLs der Marke vertraut und ignorieren sie möglicherweise.

Angreifer verwenden diese Art von Nachricht, weil immer jemand auf ein Paket wartet. Wenn die Nachricht an Tausende von Empfängern gesendet wird, kann sie viele von ihnen täuschen.

Der Link verweist in der Regel auf eine Website, die Malware hostet, oder fordert die Zielperson auf, sich bei seinem Konto anzumelden. Die Login-Seite befindet sich nicht auf der offiziellen Website des Paketdienstleisters, aber es ist schwieriger, die vollständige URL auf einem Smartphone-Browser zu sehen, und viele Benutzer werden sich nicht die Mühe machen, diese zu überprüfen.

Smishing-Angreifer verwenden Nachrichten, die ein Benutzer potenziell erwartet. Andere ködern Opfer mit Versprechungen von Preisgeldern, wenn sie private Informationen eingeben. Das folgende Bild zeigt einen weiteren Smishing-Angriff, der den Markennamen von Amazon verwendet:

 

Beispiel für eine Smishing-SMS, die sich als Amazon ausgibt.

 

Auch hier sollte die Sprache den Empfänger bereits misstrauisch machen, denn sie ist wieder zu informell, um echt zu sein. Der Link in dieser Nachricht verweist auf eine .info-Site, die nichts mit Amazon Web Properties zu tun hat.

Die Domain wurde bereits entfernt und ist nicht mehr erreichbar. Aber die Wahrscheinlichkeit ist groß, dass der Link auf eine Seite verweist, die versucht, private Daten, einschließlich Anmeldeinformationen, zu sammeln. Die URL in diesen Angriffen leitet den Benutzer in der Regel zu einem vom Angreifer kontrollierten Server um, auf dem der Phishing-Inhalt angezeigt wird.

So schützen Sie sich vor Smishing-Attacken

Wie beim E-Mail-Phishing hängt der Schutz vor Smishing von der Fähigkeit der Zielperson ab, eine Smishing-Attacke zu erkennen und die Nachricht zu ignorieren oder zu melden. Wenn eine Telefonnummer häufig für Betrügereien verwendet wird, kann die Telekom Teilnehmer warnen, die Nachrichten von einer bekannten Betrugsnummer erhalten, oder die Nachricht ganz löschen.

Smishing-Nachrichten sind nur dann gefährlich, wenn der Empfänger darauf reagiert, indem er auf den Link klickt oder dem Angreifer private Daten übermittelt.

Hier sind Möglichkeiten, Smishing zu erkennen und zu vermeiden, ein Opfer zu werden:

  • Die Nachricht bietet schnelles Geld, entweder durch den Gewinn von Preisen oder durch das Sammeln von Bargeld nach Eingabe von Informationen. Beliebt sind auch Angebote mit Gutscheincodes.
  • Finanzinstitute werden niemals eine SMS senden, in der sie nach Anmeldedaten oder einer Geldüberweisung fragen. Senden Sie niemals Kreditkartennummern, Geldautomaten-PINs oder Bankdaten in Textnachrichten an jemanden.
  • Vermeiden Sie es, auf eine Rufnummer zu antworten, die Sie nicht kennen.
  • Nachrichten, die von einer Nummer mit nur wenigen Ziffern stammen, kommen wahrscheinlich von einer E-Mail-Adresse, was ein Zeichen für Spam ist.
  • Auf dem Smartphone gespeicherte Bankdaten sind ein Ziel für Angreifer. Vermeiden Sie es, diese Informationen auf einem mobilen Gerät zu speichern. Sollte ein Angreifer Malware auf dem Smartphone installieren, könnten diese Bankdaten kompromittiert werden.
  • Telekommunikationsunternehmen bieten Nummern an, um Angriffe zu melden. Um andere Benutzer zu schützen, senden Sie die Nachricht an die Nummer Ihres Telekommunikationsunternehmens, damit sie untersucht werden kann. Die Bundesnetzagentur nimmt auch Beschwerden entgegen und untersucht Betrügereien per Textnachricht.

Proofpoint State of Phish Bericht

In unserem achten jährlich erscheinenden State of the Phish-Bericht erfahren Sie, wie sehr Anwender durch die größten Cyberbedrohungen gefährdet sind.

Reduzieren Sie die Phishing-Anfälligkeit mit dem Proofpoint Phishing-Awareness-Training

Unser Schulungsprogramm für Phishing-Schutz soll Sie dabei unterstützen, die Anfälligkeit Ihrer Mitarbeiter für Phishing und Spearphishing zu erkennen und zu verringern.