Was genau ist Smishing, und wie kann man es verhindern?

Illustration: Absmeier, ArtTower

Die Wahrscheinlichkeit ist ziemlich hoch, dass gerade jetzt eine bösartige SMS oder Textnachricht auf Ihr Smartphone zusteuert. Diese Nachricht gibt beispielsweise vor, von Ihrer Bank zu kommen und Sie werden nach finanziellen oder persönlichen Daten gefragt, wie etwa Ihrer Geldautomaten-PIN oder der Kontonummer. Diese Informationen preiszugeben ist in etwa gleichbedeutend damit, den Schlüssel zu Ihrem Bankkonto an die Diebe durchzureichen. Wie sein enger Verwandter, das Phishing, kommt diese Art von Angriff inzwischen deutlich häufiger vor als bisher – und das mit noch größerem Erfolg.

An dieser Stelle beschäftigen wir uns damit, woher Smishing kommt, warum es so verbreitet ist und wie man Sie sich davor schützt.

 

Wie Smisher ihre Opfer ködern

Was ist eigentlich Smishing? Smishing ist ein Begriff, der von SMS abgeleitet wurde, dem Short Message Service – oder das, was wir salopp als »Textnachrichten« bezeichnen. Die Verwendung von Textnachrichten ist immer noch eine der beliebtesten Kommunikationsmethoden auf Smartphones. Darüber hinaus gibt es weitere Faktoren, die Smishing zu einer besonders heimtückischen Bedrohung machen. Während die meisten Menschen über E-Mail-Betrug und die damit verbundenen Risiken Bescheid wissen, sind sie deutlich unvorsichtiger, wenn sie ihr Handy benutzen. Smartphones gelten gegenüber Notebooks als sicherer…

Aber auch die Sicherheit von Smartphones hat ihre Grenzen, und kein Mobilgerät kann den Benutzer direkt vor Smishing schützen. Cyberkriminalität, die sich gegen Mobiltelefone richtet, ist mit deren massenhafter Verbreitung proportional angestiegen. Im Fokus dieser Malware sind Android-basierte Geräte. Schlicht, weil es so viele davon gibt. Aber wie bei jeder anderen Form von Cyberbedrohung auch, niemand ist völlig gefeit davor, Opfer eines Smishing-Angriffs zu werden. Das gilt selbst für iPhone-Nutzer, auch wenn sie sich vielleicht besser geschützt fühlen.

Smartphones bieten Endbenutzern ein hohes Maß an Flexibilität. Davon profitieren allerdings auch Cyberkriminelle. Eines der Probleme entsteht durch die Nutzungsgewohnheiten. Smartphones verwendet man überwiegend unterwegs. Man ist tendenziell eher abgelenkt oder unachtsam und reagiert auf eingehende Nachrichten, ohne groß darüber nachzudenken. Eine Smishing-Nachricht kann selbst so etwas harmlos Erscheinendes sein wie ein Gutschein.

In den meisten Fällen versuchen Smisher, personenbezogene Daten zu stehlen. Aber es kommt auch vor, dass sie ihre Opfer verleiten, Malware herunterzuladen und zu installieren.  Die Malware kann sich als legitime App tarnen und einen Nutzer dazu bringen, vertrauliche Informationen einzugeben und die gesammelten Daten an Cyberkriminelle zu senden. Oder der in einer Smishing-Nachricht enthaltene Link führt auf eine gefälschte Website, wo Sie aufgefordert werden, vertrauliche Informationen einzugeben. Informationen, die Cyberkriminelle später verwenden, um die betreffende Online-ID zu stehlen. Smartphones werden nahezu flächendeckend auch im professionellen Unternehmenseinsatz verwendet. Damit ist Smishing auch für Firmen zu einer ernsthaften Bedrohung geworden.

 

Wie Unternehmen sich vor Smishing-Angriffen schützen 

Es gibt eine Reihe von grundlegenden Empfehlungen, um Mitarbeiter und Daten vor Smishing zu schützen:

 

  1. Finden Sie heraus, wie gut Ihre Mitarbeiter in Sachen Cybersicherheit tatsächlich geschult sind. 

Bevor Sie etwas unternehmen, sollten sie wissen wie stark das Cybersicherheitsbewusstsein unter Ihren Mitarbeitern ausgeprägt ist. Führen Sie beispielsweise eine einfache Umfrage mit spezifischen Fragen durch, die das Wachsamkeitsniveau Ihrer Belegschaft gegenüber verschiedenen Betrugsversuchen misst. Solche Umfragen lassen sich ganz einfach mit einem kostenlosen Tool wie z. B. JotForm, erstellen. Wenn Sie den Wissensstand Ihrer Mitarbeiter zu diesem Thema kennen, hilft Ihnen das, ein passendes Schulungsprogramm zu entwickeln.

  1. Legen Sie klare BYOD-Richtlinien und Einschränkungen fest. Wenn Mitarbeiter ihre privaten Smartphones auch bei der Arbeit verwenden dürfen, sollten Sie eine BYOD-Richtlinie (Bring Your Own Device) aufstellen, die klare Erwartungen und Richtlinien definiert. Und zwar für alles von der App-Nutzung bis hin zur Erkennung von Cyberbedrohungen.
  2. Nutzen Sie eine Zugriffskontrolle. Nicht jeder im Unternehmen muss auf alle Dateien zugreifen können. Beschränken Sie den Zugriff auf Datenbanken, Websites und Netzwerke auf nur die Personen, die den Zugriff brauchen, um ihre Arbeit zu erledigen. Dies reduziert die potenzielle Anfälligkeit für Smishing-Angriffe. Weisen Sie Mitarbeiter an, Dateien zu packen (zip)und per E-Mail zu versenden, anstatt andere, weniger sichere Methoden zu verwenden.
  3. Geben Sie Ihren Mitarbeitern Gelegenheit, sich über potenzielle Betrügereien zu informieren. Sorgen Sie dafür, dass Ihr Team weiß, wie man Bedrohungen meldet und wo man Ratschläge hinsichtlich verdächtiger Nachrichten erhält. Sie benötigen jede Hilfe, die Sie bekommen können, um neuartige Angriffe zu erkennen und zu stoppen.
  4. Informieren Sie alle Mitarbeiter über mögliche Smishing-Angriffe. Wenn Sie feststellen, dass jemand Ihr Unternehmen als Teil eines Smishing- oder Phishing-Betrugs benutzt, informieren Sie Kunden und Klienten so schnell wie möglich, um ungewollte Datenschutzverletzungen zu verhindern und den Schaden für das Unternehmen zu begrenzen. Verweisen Sie erneut auf die Unternehmensrichtlinien bezüglich der Abfrage von Kontoinformationen und der erlaubten Kommunikationsmethoden.

 

Fazit

Betrügereien auf Basis von Smishing-Textnachrichten sind nicht neu, und sie werden nicht so bald verschwinden. Smishing sollte als eines der vorrangigen Themen in Cybersicherheitsschulungen Eingang finden. Die überwiegende Zahl der Mitarbeiter nutzt private oder von der Firma zur Verfügung gestellte Mobiltelefone, um geschäftsbezogene Aufgaben zu erfüllen. Damit vergrößert sich die Angriffsfläche auch für Smishing. Cyberkriminelle sind ständig auf der Suche nach besseren Methoden oder sie versuchen, bewährten Praktiken neue Impulse zu geben. Es lohnt sich also hinsichtlich von Smishing-Betrug wachsam zu bleiben.

Andin Bicknell, Gastautor für GlobalSign

Dieser Beitrag wurde von einem Gastautor geschrieben. Die ausgedrückten Meinungen sind lediglich die des betreffenden Autors und geben nicht unbedingt die Ansicht von GlobalSign wieder.

 

21 Artikel zu „Smishing“

Polizeipräsenz im digitalen Raum: Internetnutzer wollen besser geschützt werden

Praktisch alle Onliner sagen: Bedrohung durch Cyberkriminelle wird größer. Bitkom und ZITiS kooperieren für Technologietrends im Sicherheitsbereich. Cyberkriminelle sind zunehmend auf dem Vormarsch – diesen Eindruck haben die allermeisten Internetnutzer. 94 Prozent von ihnen meinen: Die Bedrohung durch Internetkriminelle wird immer größer. Die große Mehrheit der Nutzer sieht daher Staat und Behörden in der Pflicht,…

Malware macht mobil – Schadsoftware landet zunehmend auf Smartphones

DDoS-Attacken über mobile Botnetze und Verteilung von Malware über offizielle App-Stores nehmen zu.   Das Smartphone findet privat wie beruflich immer häufiger Einsatz. In der Corona-Pandemie hat es zunehmend als digitaler Helfer Einzug in den Alltag genommen: Das Smartphone ist Kommunikationszentrale und Terminal für kontaktloses Bezahlen geworden. Jetzt schlägt die PSW GROUP (www.psw-group.de) Alarm: »Die…

Sicheres Smartphone: Die beliebtesten Maßnahmen bei Nutzern

Mehr als jeder Zweite macht Daten-Backups. 16 Prozent decken ihre Kamera ab. Bitkom gibt Tipps zur Smartphone-Sicherheit. Diebstahl, Schadprogramme oder Spyware: Smartphones sind ein beliebtes Ziel für Kriminelle. Deshalb ergreifen die allermeisten Nutzer zumindest grundlegende Schutzmaßnahmen gegen unerwünschte Zugriffe. Mit 96 Prozent haben fast alle Smartphone-Nutzer eine Bildschirmsperre eingestellt, neun von zehn (90 Prozent) haben…

BEC-Attacken und Covid-19-Scamming liegen bei Hackern im Trend

Barracuda veröffentlicht neuen Spear-Phishing-Report 2020 mit Einsichten über aktuelle Angriffstaktiken von Cyberkriminellen und Best Practices zum Schutz. Covid-19 hat gezeigt, wie schnell Cyberkriminelle ihre Angriffstaktiken an aktuelle Ereignisse anpassen. Bedeutet dies, dass Unternehmen und Organisation im Hase-Igel-Rennen stets der Hase bleiben? Nicht unbedingt: Die neue fünfte Ausgabe des Spear-Phishing-Reports des Sicherheitsspezialisten Barracuda informiert über aktuelle…

SD-WAN im Jahr 2021 – ein Blick in die Kristallkugel

  Neue Pfade auf dem Weg zu SASE Wollen Unternehmen den vollen Nutzen aus der Cloud und der digitalen Transformation ziehen, gleichzeitig aber Konzepte wie »Work from Anywhere« umsetzen, müssen sie zwei Dinge tun: Sowohl ihr Wide Area Network (WAN) transformieren also auch ihre Sicherheitsarchitektur anpassen. Sobald sich das Marketing-Getöse um SASE (Secure Access Service…

Vorsicht vor Phishing-Mails mit Corona-Soforthilfe

Nur durch stärke Mitarbeitersensibilisierung lässt sich das Ziel erreichen, dass Phishing-Mails besser erkannt werden können. Die Corona-Krise beflügelt offenbar Cyberkriminelle in ihren Aktivitäten. Besonders dreist: Sie nutzen die Notlage von Unternehmen aus, die aufgrund der Corona-Pandemie in wirtschaftliche Schieflage geraten und eigentlich auf finanzielle Unterstützung aus den Soforthilfeprogrammen der Bundesregierung und Europäische Kommission angewiesen sind.…

Die globale Wirtschaft verliert über eine Billion US-Dollar durch Cyberangriffe

Neue Studie deckt die wirtschaftlichen Schäden von Cyberangriffen auf. Zwei Drittel der befragten Unternehmen wurden 2019 Opfer von Cyberkriminalität. 75 Prozent aller böswilligen Aktivitäten zielen auf Finanzdaten und geistiges Eigentum ab. McAfee hat seine »The Hidden Costs of Cybercrime«-Studie veröffentlicht, die die globalen finanziellen Schäden von Cyberangriffen untersucht [1]. Aus der Studie, die in Zusammenarbeit…

Online-Shopping als Einladung für Cyberkriminelle: Größte Vorsicht bei Bestellbestätigungen und Lieferankündigungen

Ein Next-Generation Cybersecurity- und Compliance-Unternehmen ruft zu hoher Wachsamkeit beim Online-Shoppen auf. Insbesondere jetzt, in Zeiten der Pandemie mit eingeschränkten Einkaufsmöglichkeiten und vielen Online-Bestellungen, versuchen Kriminelle die Situation auszunutzen und bereiten dafür ihre digitalen Raubzüge vor. Zu den Gefahren gehören laut Proofpoint unter anderem: Der Diebstahl von Kreditkartendaten Betrug mit angeblichen Versandbenachrichtigungen Besonders günstige Urlaubsangebote…

Trends 2021: Automatisierung als Freund und Feind der IT-Sicherheit

Automatisierung wird Flutwelle an Spear-Phishing auslösen und gleichzeitig Cloud Providern als Waffe gegen Angreifer dienen. Nachdem sich das Jahr 2020 langsam dem Ende zuneigt, ist es für die IT-Sicherheitsexperten von WatchGuard Technologies an der Zeit, den Blick gezielt nach vorn zu richten. Auf Basis der aktuellen Faktenlage lassen sich stichhaltige Rückschlüsse ziehen, welche Trends das…

Erhöhtes Cyberrisiko für Schnäppchenjäger

  Der »Black Friday«, der dieses Jahr am 27. November startet, erfreut sich bei den Deutschen immer größerer Beliebtheit, und die Verlagerung von Einkäufen in das Internet wird durch die Corona-Pandemie in diesem Jahr massiv beschleunigt. Im Zusammenhang mit bald bevorstehenden E-Commerce-Aktionen wie dem »Black Friday« stellten die Avira Protection Labs eine erhöhte Aktivität maliziöser…

Was man bei einer offiziellen Übersetzung beachten muss

In verschiedenen Lebenssituationen kann es erforderlich sein, Dokumente aus Ihrer Sprache in eine Fremdsprache zu übersetzen und natürlich umgekehrt. Bei der Bewerbung, Einreichung von Unterlagen beim Konsulat, bei den Aufsichtsbehörden usw. erfordert professionelle Textverarbeitung. In solchen Situationen sollten Sie sich an spezielle Agenturen wenden und eine offizielle Übersetzung bestellen. Um was geht es dabei? Eine…

Drei Tipps wie CISOs die menschliche Firewall ihres Unternehmens stärken können

Unabhängig davon, ob sie sich dessen bewusst sind oder nicht, können Mitarbeiter ein erhebliches Risiko für die Sicherheit von Unternehmensnetzwerken und deren gespeicherte Daten darstellen: Um Cyberkriminellen die Tür zu öffnen, reicht es, auf einen Link zu klicken oder eine Datei herunterzuladen, ohne zuvor zu prüfen, ob diese schädlich ist. Beschäftigte, die von zu Hause…

SharePoint- und OneDrive-Links als Köder von Cyberkriminellen steigern die Klick-Wahrscheinlichkeit um das Siebenfache

Proofpoint hat festgestellt, dass Anwender von Phishing-Mails am häufigsten auf Links zu SharePoint- beziehungsweise OneDrive hereinfallen – und das gleich dramatisch. Zwar enthalten gerade mal 1 Prozent der Angriffsmails Links zu Microsoft-Plattformen, erreichen aber 13 Prozent der Klicks der Benutzer. Für die Untersuchung hat das Unternehmen das Verhalten von Anwendern im ersten Halbjahr 2020 analysiert,…

8 SD-WAN-Funktionen, die man nicht unterschätzen sollte – Ein Füllhorn an Vorteilen

In den letzten Jahren hat SD-WAN einen weiten Sprung nach vorn gemacht. Die Vorteile von SD-WAN sind bereits gut dokumentiert. Kostengünstiger und flexibler als herkömmliche Router-zentrierte MPLS-WANs bietet SD-WAN überlegene Reaktionsfähigkeit, verbesserte Anwendungsleistung, robustere Sicherheit und bessere Sichtbarkeit. All dies ermöglicht eine größere Zuverlässigkeit und Konsistenz und versetzt Unternehmen in die Lage, Cloud-Initiativen und die digitale Transformation voranzutreiben.

Fünf Schritte bei der Entwicklung einer Nachfolgestrategie

Geschäftskontinuität durch gezielte Nachfolgeplanung und interne Förderung von Qualifikationen. Ob IT-Spezialist, Partner Manager, Digital Marketing Profi oder VP Sales – kein Mitarbeiter wird für immer in einer Rolle bleiben. Selbst wenn Mitarbeiter im Rahmen einer mehrmonatigen Kündigungsfrist gehen, ist es für die HR-Teams oder Personalverantwortliche oftmals eine Herausforderung ihre Rolle neu zu besetzen und die…

SD-WAN: Generationenwechsel in der WAN-Technologie

SD-WAN ermöglicht cloudbasiertes Sandboxing und ZTP-Konfiguration in der Wolke. Es steht ein technologischer Generationenwechsel bevor. Die meisten IT-Verantwortlichen haben begonnen, software-definierte Netzwerke (SDN) einzuführen. Das traditionelle Wide Area Network wird von seinem software-definierten jüngeren Bruder zunehmend abgelöst, sodass wir an der Schwelle zu einer signifikanten Verschiebung zugunsten der software-gesteuerten Flusskontrolle innerhalb der WAN-Technologie stehen. Verantwortlich…

Mit Phishing per SMS nehmen Cyberkriminelle Smartphones ins Visier

Das Smartphone ist zum ständigen Begleiter unserer modernen Gesellschaft geworden. Deshalb gilt es, sich nicht nur vor Betrug und Hacking am Rechner vorzusehen, sondern auch Mobilgeräte wie das Handy einzubeziehen. Denn leider zeigt sich Smishing – das Phishing per SMS – leider als steigender Trend. Darauf machen die IT-Sicherheitsexperten der PSW GROUP (www.psw-group.de) aufmerksam. Geschäftsführerin…

Privilegierte Konten im Visier: Fünf Best Practices gegen Identitätsdiebstahl durch Phishing

Für Cyberkriminelle bleibt Phishing eine der effizientesten Angriffsarten, um Log-in-Informationen abzugreifen. Besonders verheerend für Unternehmen ist die Kompromittierung privilegierter Benutzerkonten, die über hohe Berechtigungen verfügen. Hierdurch erhalten Hacker weitreichenden Zugriff auf Unternehmensressourcen und können unter dem Deckmantel der gestohlenen Identität lange unentdeckt agieren, um etwa Informationen wie Finanzdaten, Geschäftsgeheimnisse oder geistiges Eigentum zu exfiltrieren. Darüber…

Wenn Cyberkriminelle ihre Köder auswerfen: Security-Grundlagen gegen Phishing-Angriffe

  Cyberkriminelle sind oft nur einen Phishing-Angriff davon entfernt, ungehinderten Zugriff auf Geräte, Netzwerke und Unternehmensdaten zu erhalten. Dabei nutzen sie eine Vielzahl an Social-Engineering-Techniken. Diese reichen von Identitätsdiebstahl und Imitation bekannter Marken über gefälschte Stellenbewerbungen bis hin zu hochpersonalisiertem Spear-Phishing mithilfe privater Daten der Opfer. Phishing erfolgt meist per E-Mail, kann aber auch per…

Massive Auswirkungen von E-Mail-Attacken auf den Geschäftsbetrieb

43 Prozent der Unternehmen sind in den letzten 12 Monaten Opfer eines Spear-Phishing-Angriffs geworden. Barracuda veröffentlicht die Ergebnisse einer in Auftrag gegebenen Umfrage unter 660 IT-Verantwortlichen weltweit. Dabei fragte das Unternehmen nach den Erfahrungen mit Phishing, Insider-Bedrohungen, Office 365 und die damit verbunden Auswirkungen auf die Geschäftsabläufe sowie die Ausgaben für IT-Security und die Kosten…