Smishing: Erkennen und vermeiden von SMS Phishing

Smishing, SMS-Phishing, Smishing-Angriff

Smishing ist eine Cyberkriminalität, bei der ein Ziel per SMS bzw. Textnachricht von einem Betrüger kontaktiert wird. 

Der Betrüger versucht das Vertrauen der Zielperson zu gewinnen, indem dieser sich als seriöse Einzelperson oder Organisation ausgibt.

Dadurch soll die Zielperson dazu verleitet werden, sensible Informationen wie zum Beispiel Kreditkartendaten preiszugeben. 

Bedeutung und Definition von Smishing

Smishing ist ein Phishing-Angriff im Bereich der Cybersicherheit, der über mobile Textnachrichten ausgeführt wird und auch als SMS-Phishing bezeichnet wird.

Wie bei anderen Phishing-Varianten sollen die Opfer bei einem Smishing-Angriff dazu verleitet werden, vertrauliche, persönliche und sensible Informationen an einen als z.B. seriöse Entität getarnten Angreifer weiterzugeben.

SMS-Phishing kann durch Malware oder gefälschte Websites unterstützt werden.

Smishing tritt auf vielen mobilen SMS-Plattformen auf, einschließlich Nicht-SMS-Kanälen, wie datenbasierten mobilen Nachrichten-Apps.

Was ist Smishing?

Wie die Definition schon vermuten lässt, kombiniert der Begriff Smishing „SMS“
(Kurznachrichtendienste) und “Phishing”.

Smishing wird als eine Art Social-Engineering-Angriff bezeichnet, der auf der
Ausnutzung des menschlichen Vertrauens und nicht auf technischen Exploits
beruht.

Bei Phishing ist die Rede vom Versenden betrügerischer E-Mails, die den Empfänger dazu verleiten soll, auf einen schädlichen Link zu klicken. Smishing beruht auf dem gleichen Prinzip, es verwendet schlichtweg Textnachrichten (SMS oder Chat Nachrichten) anstelle von E-Mails.

Grundlegend geht es den Cyberkriminellen darum, an Ihre persönlichen Daten zu
gelangen, um diese dann für Betrug oder andere Cyberkriminalität nutzen zu
können. Dazu gehört in der Regel der Diebstahl von Geld – Ihr Geld oder das Geld
Ihres Unternehmens.

Die Betrüger nutzen oft eine von zwei Methoden, um diese Daten zu stehlen:

1. Malware

In der von den Angreifern erhaltenen Textnachricht ist z.B. ein Link hinzugefügt worden. Wenn Sie auf diesen Link klicken, besteht die Gefahr, dass Sie Malware – bösartige Software – herunterladen, die sich von selbst auf Ihrem Telefon installiert.

Diese SMS-Malware tarnt sich häufig als legitime App und kann Sie dazu verleiten, vertrauliche Informationen einzugeben und diese Daten dadurch an die Cyberkriminellen zu senden.

2. Gefälschte bzw. schädliche Websites

Der Link in der Smishing-Nachricht leitet Sie möglicherweise zu einer
gefälschten Website weiter, auf der Sie zur Eingabe vertraulicher oder persönlicher Informationen aufgefordert werden.

Cyberkriminelle erstellen speziell für diesen Zweck bösartige Websites, die legitime, seriöse Websites nachahmen.

Smishing-Textnachrichten geben oft vor, von Ihrer Bank zu stammen und fragen Sie nach persönlichen oder finanziellen Informationen wie z.B. Ihren Kontodaten.

Da immer mehr Menschen ihre privaten Smartphones für die Arbeit nutzen, wird
Smishing sowohl zu einer Bedrohung für Unternehmen als auch für Verbraucher.

Es ist also keine Überraschung, dass sich Smishing zur häufigsten Form bösartiger
Textnachrichten entwickelt hat. Die Nutzung mobiler Geräte, wie z.B. dem Smartphone, nimmt stetig weiter zu – ebenso wie die auf mobile Geräte abzielende Cyberkriminalität.

Wie funktioniert Smishing?

Täuschung und Betrug sind die Hauptmerkmale jedes SMS-Phishing-Angriffs.

Der Angreifer täuscht eine Identität vor, der Sie vertrauen können – wie z.B. Ihrer
Bank oder einer öffentlichen Institution. Dadurch ist es wahrscheinlicher, dass Sie den Anfragen der Betrüger nachgeben.

Mithilfe von Social-Engineering-Strategien können Smishing-Angreifer die Entscheidungsfindung eines Opfers manipulieren.

Es gibt drei wichtige Faktoren dieser Täuschung:

1. Vertrauen

Die Smishing-Angreifer verringern die Skepsis ihrer Zielperson, indem sie
sich als legitime Einzelperson oder Organisation ausgeben.

2. Kontext

Smishing-Angreifer nutzen häufig bestimmte Situationen zu ihren Gunsten aus –
wie zum Beispiel den Corona-Lockdown.
Auf diese Weise fühlen sich die Nachrichten personalisiert an, wodurch
jeglicher Verdacht, es könnte sich um Spam handeln, abgeschwächt wird.

3. Emotionen

Eine gängige Taktik und eines der wichtigsten psychologischen Merkmale
des Social-Engineering-Angriffs ist die Steigerung der Emotionen eines Ziels.
Dadurch wird das kritische Denken der Zielperson beeinflusst und in vielen
Fällen sogar außer Kraft gesetzt, was zu schnellem Handeln anregt.

Unter Verwendung dieser Methoden schreiben die Betrüger Nachrichten, die den
Empfänger zum Handeln veranlassen sollen.

In der Regel möchten die Angreifer, dass der Empfänger einen Hyperlink in der
Textnachricht öffnet, über den er dann zu einem Phishing-Tool weitergeleitet wird.

Bei diesem Phishing-Tool handelt es sich häufig um eine gefälschte Website oder
App, die einer legitimen, seriösen Website oder App zum Verwechseln ähnlich
sieht. Hier wird die Zielperson zur Eingabe ihrer persönlichen Daten aufgefordert.

Der Smishing-Angriff eines Betrügers ist erfolgreich, sobald dieser Ihre
persönlichen Daten für den beabsichtigten Diebstahl verwendet hat.
Dieses Ziel könnte unter anderem den direkten Diebstahl eines Bankkontos, den Identitätsbetrug bei der illegalen Eröffnung von Kreditkarten oder die Offenlegung privater Unternehmensdaten umfassen.

Beispiele von Smishing

Jeder SMS-Phishing-Angriff verwendet grundlegend die gleichen Methoden, die
Darstellung kann jedoch erheblich variieren.

Angreifer können eine Vielzahl von Identitäten vortäuschen und spezielle Situationen für ihre Zwecke ausnutzen.

Da SMS (Textnachrichten) für fast jeden mit einem Mobiltelefon verfügbar sind,
werden Smishing-Angriffe weltweit ausgeführt.

Hier folgt eine Übersicht über einige Beispiele für Smishing-Angriffe:

  • COVID-19 Smishing

COVID-19-Smishing-Angriffe basieren auf legitimen Hilfsprogrammen, die
von Regierungen und Gesundheits- und Finanzorganisationen zur Erholung der COVID-19-Pandemie entwickelt wurden.

Angreifer haben die Angst der Zielpersonen um die eigene Gesundheit und
um die eigenen Finanzen ausgenutzt.

  • Finanzdienstleistungen Smishing

Smishing-Angriffe basierend auf Finanzdienstleistungen werden als Benachrichtigungen von Finanzinstituten getarnt.

Ein Angreifer gibt sich als Bank oder ein anderes Finanzinstitut aus und bietet
so die ideale Tarnung für Finanzbetrug.

Zu den Merkmalen eines Smishing-Betrugs im Bereich der Finanzdienstleistungen kann eine dringende Aufforderung zur Entsperrung Ihres Kontos oder die Aufforderung zur Überprüfung verdächtiger Kontoaktivitäten gehören.

  • Geschenke Smishing

Beim Geschenke-Smishing handelt es sich um das Versprechen kostenloser
Dienstleistungen oder Produkte – oft von einem seriösen bzw. populären
Unternehmen.

Anzeichen für diesen Angriff können zeitlich begrenzte Angebote oder die exklusive Auswahl einer kostenlosen Geschenkkarte sein.

  • Rechnungs- oder Auftragsbestätigung Smishing

Bei dieser Form des Smishings handelt es sich um eine falsche Bestätigung
eines kürzlich erfolgten Kaufs oder einer Rechnung für eine Dienstleistung
oder Produkt.

Es kann z.B. ein Link zur Nachverfolgung (Track and Trace) Ihres angeblichen Pakets bereitgestellt werden.

  • Kundendienst Smishing

Smishing-Angreifer im Kundensupport geben sich als
Kundendienstmitarbeiter (Supportmitarbeiter) eines vertrauenswürdigen
Unternehmens aus, der Ihnen bei der Lösung eines Problems helfen möchte.

Oft behauptet der Angreifer, dass in Ihrem Konto ein Fehler entstanden ist und gibt Ihnen eine Anleitung zur Behebung des Problems.

So leitet man Sie vermutlich auf eine gefälschte Website und bittet Sie dort Ihre persönlichen Angaben einzugeben.

So können Sie sich vor Smishing-Angriffen schützen

Die gute Nachricht ist, dass Sie sich vor den möglichen Folgen dieser Angriffe leicht schützen können.

Sie können sich selbst schützen, indem Sie überhaupt nichts tun.

Im Wesentlichen können diese Angriffe nur dann Schaden anrichten, wenn Sie den
Köder schlucken und zum Beispiel auf den beigefügten Hyperlink klicken oder Ihre
Informationen teilen.

Es ist allerdings wichtig zu erwähnen, dass Textnachrichten für viele Einzelhändler und Institutionen ein legitimes Kommunikationsmittel sind, um Sie zu erreichen.
Nicht alle Nachrichten sind Smishing-Angriffe.

Auf die folgenden Punkte sollten Sie besonders aufmerksam sein, um sich vor
Smishing-Angriffen zu schützen:

  • Nicht antworten. Sogar Antworten, wie zum Beispiel das Senden einer SMS
    mit „STOP“, um sich abzumelden, könnte ein Trick sein, um aktive
    Telefonnummern zu identifizieren.
  • Lassen Sie sich Zeit. Machen Sie langsam, wenn eine Nachricht dringend ist.
    Sie sollten dringende Kontoaktivitäten und zeitlich begrenzte Angebote als
    Warnzeichen für mögliches Smishing betrachten. 
  • Rufen Sie direkt Ihre Bank oder das Unternehmen an. Wenn Sie sich nicht
    sicher sind und Ihnen etwas suspekt erscheint, rufen Sie immer direkt Ihre
    Bank oder Ihren Händler an.
  • Klicken Sie nicht auf Links. Vermeiden Sie die Verwendung von Links oder
    Kontaktinformationen in der Nachricht.
  • Öffnen Sie keine gesendeten Dateien. Vermeiden Sie das Öffnen von angehängten Dateien. Die einzigen Dateitypen, die Sie immer öffnen können,
    sind “.txt” Dateien.

Was tun, wenn Sie Opfer von Smishing werden?

Smishing-Angriffe sind heimtückisch und haben Sie möglicherweise bereits ins Ziel
genommen. Daher müssen Sie wissen, was Sie machen können, sollten Sie einem zum Opfer fallen.

Ergreifen Sie diese Maßnahmen, um den Schaden eines erfolgreichen Smishing-Angriffs zu begrenzen:

  1. Melden Sie den mutmasslichen Angriff.
  2. Sperren Sie Ihr Konto.
  3. Ändern Sie alle Passwörter und PINs.
  4. Überwachen Sie Ihre Finanzen, Kredite und Online-Konten.

Wir, die MFP – Manufaktur für Problemlösungen, sind Experten im Bereich Finanz- und Wirtschaftsbetrug.

Nehmen Sie umgehend Kontakt zu uns auf und schildern uns Ihren Fall.

Sie erhalten von uns eine kostenlose Ersteinschätzung.

Wenn Sie dieser Artikel interessiert hat, dann werfen Sie doch einen Blick auf unsere anderen Artikel in den Kategorien: „Investmentbetrug“, „Anlagebetrug“ oder „Erkennung unseriöser Geschäfte“.

Investmentbetrug. Achten Sie auf Ihr Geld.
Anlagebetrug

Investmentbetrug

Investmentbetrug kann schwer zu erkennen sein, da die Betrüger oft sehr überzeugend sind und die falschen Investitionsmöglichkeiten sehr echt wirken können.