Smishing – das neue Phishing?

21.10.2022 | „Ihr Paket mit der Sendeverfolgungsnummer G234-FDT2 wurde verschickt. Um den Sendeverlauf zu verfolgen, klicken Sie hier: http://www.warum-sie-hier-nicht-klicken-sollten-erfahren-sie-in-diesem-artikel.de“

Solche oder ähnliche gefälschte Nachrichten haben Sie bestimmt schon einmal in Ihrem E-Mail-Eingang gehabt. Diese Phishing-Mails zielen darauf ab, dass die Empfänger auf einen Betrug hereinfallen und sensible Daten wie Passwörter preisgeben. Um die Empfänger zu manipulieren, greifen die Betrüger auf Methoden wie Irreführungen, Lügen und Fälschungen zurück. In diesem Zusammenhang spricht man von Social Engineering.

Fand Phishing bisher in erster Linie per Mail statt, verlagert sich diese kriminelle Praxis zunehmend in den mobilen Bereich: Immer mehr Smartphone-Nutzer erhalten mittlerweile betrügerische SMS auf ihr Handy – man spricht bei dieser Methode von Smishing. In den USA hat sich die Smishing-Rate im letzten Jahr nahezu verdoppelt und auch in Deutschland steigen die Zahlen.

Sicherheitsforscher gehen davon aus, dass Smishing-Angriffe wesentlich erfolgreicher sind als die altbekannten E-Mail-Phishing-Angriffe. Umso wichtiger ist es deshalb zu wissen, woran man betrügerische SMS erkennt und wie man sich schützen kann

Sie wurden Opfer eines Cyberangriffs?

Smishing als Angriffstrend

Smishing scheint für Hacker der neue Angriffstrend zu sein – aber warum ist das so?

Seit Beginn des Jahres 2021 steigen die Zahlen der Smishing Angriffe rasant. Smishing Nachrichten zu erstellen ist für Hacker mit weniger Aufwand verbunden, als eine gefälschte Phishing-Mail zu versenden. Trotzdem ist der Schaden, der durch die SMS beim Opfer entsteht, genau so groß wie die einer E-Mail. Die Erfahrung zeigt, dass viele Smartphone-Besitzer sorgloser mit ihrem Handy agieren als mit ihrem PC, weshalb Smishing die effektivere Vorgehensweise für Hacker ist.

Damit Smartphone-Nutzer auf den gefälschten Link klicken, muss der Köder, der in der Nachricht verborgen ist, überzeugend sein. So verschicken viele Täter Benachrichtigungen von namenhaften Paketdiensten auf Smartphones, in welchen Links oder Verweise auf einen Download enthalten sind. Wer diesem Link folgt oder die App installiert, läuft Gefahr, sich eine Malware auf das Handy zu laden.
Wirklich hinterhältig wird es, wenn Täter mit der Angst ihrer Opfer spielen: So landen immer seltener falsche Paketbenachrichtigungen auf den Handys, stattdessen werden gefälschte Sicherheitshinweise verschickt, in denen z.B. steht, dass das Smartphone mit einer Schadsoftware infiziert wurde.

Ein weiteres Vorgehen, vor dem aktuell gewarnt wird, ist Smishing mit Push-Tans. Dabei erhalten potenzielle Opfer eine SMS, die angeblich von ihrer Bank oder Sparkasse stammt. Wenn man auf den eingebetteten Link klickt, wird man an eine täuschend echt aussehende Website weitergeleitet und dazu aufgefordert, ein neues Push-Tan Verfahren zu installieren. Sobald Sie jedoch ihre Login-Daten eingeben, haben sich die Täter unbemerkt Zugriff auf Ihr Konto verschafft.

Zahlreiche Smartphone-Nutzer wurden bereits Opfer dieser perfiden Methoden – und es werden immer mehr. In diesem Jahr wurden bundesweit rund 300 Millionen Smishing-Nachrichten versendet. Durchschnittlich erhält jeder Handy-Besitzer 13 Nachrichten am Tag.

Phishing vs. Smishing

Die wichtigsten Unterschiede zwischen Smishing und Phishing finden sich in der Struktur wieder – so werden beim Phishing Mails und beim Smishing kurze, viel weniger aufwendige SMS-Nachrichten verschickt. Trotzdem, dass die Ausführung zwischen Smishing- und Phishing-Ködern variiert, bleibt das Druckmittel dasselbe. Grundsätzlich zielen beide Ansätze darauf ab, die menschliche Psyche mit Hilfe von Lockmitteln zu manipulieren. Dabei werden dringende Anliegen oder Verlustängste der potenziellen Opfer ausgenutzt, um ein bestimmtes Ziel (z.B. sensible Daten) zu erreichen.

Phishing-Mails und Smishing-SMS werden oft gleichzeitig an viele Menschen gesendet, um eine möglichst hohe Trefferwahrscheinlichkeit zu erhalten. Zusätzlich zu den Massenmails und -SMS werden aber auch spezifischere Spear-Phishing-, bzw. Spear-Smishing-Techniken angewendet.

Spear-Phising unterscheidet sich insofern vom allgemeinen Phishing, dass die Angreifer zielgerichteter vorgehen, die Empfänger speziell ausgewählt werden. Spear-Phishing bzw. Spear-Smishing zielt in der Regel auf hochrangige Mitglieder einer Organisation ab. Die Nachrichten werden durch Nachforschungen personalisiert, um natürlicher zu wirken und so die Erfolgsquote der Hacker zu erhöhen. Da sich über Mobiltelefonnummern zahlreiche persönliche Informationen wie etwa Kontakte, Bankverbindungen, Fotos und Videos ganz einfach verknüpfen lassen, sind Smartphones ein beliebtes Ziel für Spear-Smishing-Angriffe.

Die enthaltenen Links verweisen in der Regel auf eine gefälschte Website, die jedoch täuschend echt aussieht. Wenn Sie sich nun über diese Seite bei Ihrem vermeintlichen Kundenkonto anmelden, geben sie unfreiwillig Ihre Login-Daten preis, ohne es zu wissen.

Oftmals installiert sich auch beim Klicken auf den Link eine Schadsoftware auf Ihrem Handy, welche Daten ausspionieren oder manipulieren kann.

Angriffs-Techniken

Bei Phishing-Mails ebenso wie Smishing-SMS werden vor allem drei Techniken verwendet, um an Informationen zu gelangen.

Schädliche Websites

Links in Mails können zu Websites von Betrügern führen oder zu Websites, die mit schädlichen Softwares infiziert sind. Solche Links sehen in der Regel vertrauenswürdig aus und sind oftmals in Logos oder andere Bilder eingebettet.

Schädliche Anhänge

Schädliche Anhänge sehen in der Regel unverdächtig aus, sind aber mit Malware, also einer schädlichen Software, infiziert, die Ihre Daten ausspäht und manipuliert. Es kann sogar dazu kommen, dass alle Dateien auf einem PC oder Laptop gesperrt und unzugänglich werden. Ebenso kann ein Keylogger installiert werden, der aufzeichnet, was Sie eintippen – einschließlich Ihrer Passwörter.

Zudem können sich Malware-Infektionen von einem Gerät auf andere Netzwerkgeräte wie Server oder Cloud-Systeme ausbreiten.

Betrügerische Dateneingabeformulare

Bei solchen Mails werden die potenziellen Opfer aufgefordert, vertrauliche Informationen, wie Benutzer-IDs, Passwörter, Kreditkartendaten oder Telefonnummern einzugeben. Sobald diese Daten allerdings eingegeben sind, können Cyberkriminelle sie missbrauchen. Zahlreiche solcher Beispiele finden sich auf der Website der Verbraucherzentrale.

Was tun, wenn Sie eine Smishing-Nachricht erhalten haben?

Die meisten dieser SMS-Nachrichten enthalten einen Link, der entweder zu einer Website führt, die eine Malware hostet, oder auf eine Phishing-Seite weiterleitet. Sofern Sie noch nicht auf diesen Link geklickt haben, raten wir Folgendes:

  • Löschen Sie die Nachricht umgehend nach dem Erhalt. Sollten Sie den Absender oder die Absenderin kennen, rufen Sie sie am besten an und erkundigen sich nach der Richtigkeit der Nachricht.
  • Lassen Sie über Ihr Betriebssystem die Absenderin oder den Absender sperren.
  • Deaktivieren Sie die Installation von Apps aus unbekannten Quellen. Gehen Sie dafür in Ihre Einstellungen und suchen nach „Apps aus unbekannten Quellen“ oder „Unbekannte Apps installieren“. Wenn Sie die Einstellung gefunden haben, entfernen Sie dort den Haken.
  • Aktualisieren Sie Ihr Smartphone!

Weitere Informationen für einen wirksamen Basisschutz Ihres Smartphones finden Sie auch auf der Website des BSI.

Was tun,wenn Sie auf den Link geklickt haben?

Sollten Sie auf den Link geklickt haben, oder vielleicht sogar schon eine infizierte Software auf Ihrem Gerät vermuten, raten wir Folgendes:

  • Nehmen Sie zuallererst Ihr Gerät aus dem Mobilfunknetz, indem Sie den Flugmodus aktivieren.
  • Informieren Sie Ihren Mobilfunkprovider über das Geschehen.
  • Prüfen Sie Ihr Bankkonto oder Ihren Zahlungsdienstleister.
  • Erstatten Sie Strafanzeige bei der örtlichen Polizeidienststelle. Nehmen Sie dafür Ihr Smartphone als Beweis mit.

Sie haben Fragen ? Dann sind wir gerne für Sie da! Sie erreichen uns telefonisch unter +49 (7805) 918-0 oder über das Kontaktformular.