Smishing: Handys im Visier von Internetkriminellen

Online-Shopping wird immer populärer.

Zeitgleich ruft der florierende Onlinehandel und Paket-Boom Internetkriminelle auf den Plan, die momentan bevorzugt mit gefälschten Textnachrichten in Short Message-Form, die Unachtsamkeit, die Kenntnislosigkeit und die Arglosigkeit der Personen missbrauchen, um ganz persönliche und geschäftskritische Daten abzugreifen oder Malware zu verteilen. Die Betrugsmasche namens Smishing kann dabei alle treffen. Deshalb hilft vor allem eines: Aufklärung und Sensibilisierung für Smishing-Gefahren.

„Ihr Päckchen wurde versendet – zur Sendungsverfolgung klicken Sie auf diesen Hyperlink!“

Lieferankündigungen haben etwas Magisches an sich: Treffen die Nachrichten erst einmal ein, können es die meisten Menschen kaum erwarten, die Bestellung endlich in den Händen zu halten.

Auch Internetkriminelle machen sich den florierenden Onlinehandel und Paket-Boom für ihre kriminellen Hinterlistigkeiten zu Nutze. Eine Betrugsmasche, die hierbei hierzulande immer mehr an Beliebtheit gewinnt, ist Smishing.

Beim so bezeichneten Smishing handelt es sich um eine abgewandelte Art von Phishing, bei der vornehmlich gefälschte Textnachrichten in SMS-Form zum Einsatz kommen, um ganz persönliche und geschäftskritische Daten abzugreifen wie Login-Informationen, Passwörter und Kreditkarteninformationen oder um Schadsoftware zu verbreiten.

Zufolge einer Meldung von Spiegel.de hat eine Anti-Betrugs-Arbeitsgruppe der Mobilfunkanbieter von Januar bis März dieses Jahres schon 200.000 Fälle registriert, die ungeachtet aller Warnungen diverser Polizeidienststellen und Landeskriminalämtern wie beispielsweise das Landeskriminalamt Baden-Württemberg oder das Landeskriminalamt Bayern sowie dem Bundesamt für Sicherheit in der Informationstechnik bundesweit und anbieterübergreifend auf die Phishing-Kurznachricht im Namen namhafter Versender hereingefallen sind.

Kleiner Klick, riesiger Schaden durch Smishing!

Egal ob auf dem heimischen Sofa, im Zug, im Café, am Flughafen oder sogar im Park – Smartphones sind omnipräsent und zu einem ständigen Begleiter unserer modernen Gesellschaft geworden.

Allein hierzulande besitzen mittlerweile gemäß Bitkom in etwa 56 Millionen Menschen ab 16 Jahren ein Mobilfunktelefon.

Deswegen ist es auch nicht verwunderlich, dass sich Internetkriminelle umorientieren und ihre Angriffe gehäuft auf mobile Endgeräte wie Smartphone und Tablets ausweiten.

Während normale Phishing-Angriffe meistens per E-Mail stattfinden, vertrauen Internetkriminelle beim Smishing gerne auf den Kurznachrichtendienst, auch bekannt als Short Message Service oder SMS.

Die Verfahrensweise beim SMS-Betrug ist denkbar leicht:

1. Internetkriminelle verschicken im Namen bekannter Firmen gefälschte Textnachrichten an willkürliche Empfänger und fordern sie unter falschem Vorwand auf, einem Hyperlink zu folgen und als nächstes eine Anwendung zu installieren. Wird diese installiert, wird meist eine Schadsoftware heruntergeladen, die nicht nur den Angreifern Zugang auf das Smartphone ermöglicht, sondern auch alle Login-Informationen ausliest, teure SMS versendet oder das Telefon sperrt, um später für die Entsperrung Lösegeld zu verlangen.
2. Eine andere perfide Vorgehensweise beim Smishing ist das Weiterleiten des Opfers auf ein Formular, um zum Beispiel Zugangsdaten fürs Internet-Banking oder weitere Konto-/ Kreditkarteninformationen abzugreifen. Typischerweise vermelden die Angreifer Sicherheitsprobleme, die die unverzügliche Übermittlung der persönlichen Informationen erforderlich machen würden, um alle Features eines Dienstes weiterhin nutzen zu können.
3. Gleichfalls sehr geschätzt ist die Verfahrensweise, bei der sich Internetkriminelle als Mitarbeiter vom Kundensupport ausgeben. Bei dieser Smishing-Betrugsmasche bekommen die Opfer eine SMS-Nachricht mit dem Aufruf, sich über die genannte Telefonnummer an den Kundendienst zu wenden. Aufgrund der Masche, sich als Support-Mitarbeiter auszugeben, besteht eine höhere Glaubhaftigkeit, wodurch die Opfer bereitwillig vertrauliche Informationen herausgeben.

Bessere IT-Sicherheit durch Aufklärung und Sensibilisierung gegen Smishing!

Durch die steigende Verbreitung und Nutzung von Smartphones und alternativen mobilen Endgeräten entwickelt sich Smishing zu einem ernstzunehmenden Kunden- und Unternehmensrisiko. Die positive Nachricht ist, dass Sie mit einfachen Schritten Ihre Firma, Ihre Mitarbeiter und Ihre Informationen wirksam vor Smishing-Angriffe beschützen können.

Generell heißt das jedoch: Klicken Sie auf gar keinen Fall auf Links aus dubiosen Quellen und entfernen Sie die Benachrichtigung unverzüglich nach Empfang!

Zu den zusätzlichen Maßnahmen zählen:

1. Smishing-Attacke identifizieren:
   Empfangen Sie dringende Sicherheitswarnungen, ablaufende Sonderangebote oder Deals, die Druck schaffen und eine direkte Aktion erfordern, dreht es sich sehr wahrscheinlich um eine Phishing-Kurznachricht.

Des Weiteren lässt sich eine Phishing-Short Message an diversen optischen Unstimmigkeiten identifizieren:

• Nicht bekannte Nummer des Versenders
• Grammatikfehler und Rechtschreibfehler
• Verwirrende Formatierung
• Unpersönliche oder ungewöhnliche Anrede

2. Inhalt auf Plausibilität überprüfen:
   Weder Banken noch Händler oder andere Stellen und Institutionen versenden SMS-Nachrichten um Anmeldeinformationen, Passwörter oder Kontoinformationen zu erfragen. Bekommen Sie eine SMS mit solch einer Aufforderung, hilft es, bei der Kreditanstalt, beim Händler oder dem Betrieb anzurufen, um zu überprüfen, ob die Mitteilung wahrhaftig von dort stammt.
3. IT-Sicherheitsschulungen umsetzen: Durch häufige IT-Sicherheitsschulungen können Sie das Sicherheitsbewusstsein ihrer Beschäftigten stärken. Damit sind sie in der Situation potenzielle Smishing-Angriffe zu identifizieren, zu verhindern und zu berichten.
4. Smishing-Angriff berichten: Wenn Sie einen Smishing-Angriff bemerken, haben Sie bei der Bundesnetzagentur die Möglichkeit, den Smishing-Angriff zu melden.
5. Sicherheitslösungen und Sicherheitsupdates installieren: Neben der Installation einer Antivirensoftware sollten Sie sowohl ihr Betriebssystem als auch sämtlich Applikationen immer auf dem aktuellsten Stand halten. Denn oftmals werden durch Updates vor kurzem bemerkte Sicherheitslücken geschlossen, die von etwaigen Angreifern genutzt werden könnten.
6. Geschicktes Speichern: Speichern Sie niemals Ihre Kreditkarten- noch Ihre Banking-Informationen auf Ihrem Smartphone ab.

Sollten Sie oder Ihre Beschäftigten doch unbeabsichtigt auf den Hyperlink geklickt haben oder tatsächlich schon Software installiert haben, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik außerdem:

1. Das Mobiltelefon in den Flugmodus zu setzen, um weiteren SMS-Versand und eine mögliche Verbindung der Schadsoftware mit anderen Geräten und den Datenabfluss zu vermeiden.
2. Den Mobilfunkanbieter zu informieren.
3. Das Konto und andere Bezahlsysteme auf Abbuchungen zu kontrollieren.
4. Anzeige bei der lokalen Polizeidienststelle zu erstatten.
5. Das Smartphone auf Werkseinstellungen zurückzusetzen

Wissen ist der optimale Schutzmechanismus!

Smartphones, Tablets und Co. werden als Angriffsziel für Internetkriminelle immer lohnenswerter. Smishing ist gegenwärtig mit Sicherheit eines ihrer gefragtesten Angriffsmethoden, um auf mobilen Endgeräten vertrauliche Daten, Passwörter und andere Zugangsdaten abzugreifen oder um Malware einzuschleusen und zu verbreiten. Der beste Weg, Unternehmen und Angestellte vor derartigen Smishing-Angriffen zu schützen, sind regelmäßige IT-Sicherheitsschulungen und Sensibilisierungsmaßnahmen.

Denn wie Sie bekanntermaßen wissen, sind aufgeklärte und gut geschulte Beschäftigte ein relevanter, wenn nicht der wichtigste Gegenstand einer wirksamen Sicherheitsstrategie.

Ferner sollten Unternehmen moderne Sicherheitslösungen implementieren, um die mobile Sicherheit zu erhöhen.
Falls Sie noch Fragen zur Thematik Smishing, zu unseren Dienstleistungen im Bereich IT-Sicherheit oder unseren Sicherheitslösungen haben, nehmen Sie gerne Kontakt zu uns auf.