Von Thomas Fischer und Jann Klose, HiSolutions AG.
In den letzten Tagen gehen vermehrt verdächtige SMS-Nachrichten bei Mitarbeiterinnen und Mitarbeitern von Unternehmen und Behörden ein, mit Texten wie „Ihr Paket wurde verschickt. Bitte überprüfen und akzeptieren Sie es. [Link]“.
Bei dieser Art von SMS handelt sich um einen Phishingversuch per SMS, auch Smishing genannt. Dies bezeichnet einen Betrugsversuch, bei dem automatisiert oder gezielt SMS mit irreführenden Informationen versandt werden, um die Empfänger zur Herausgabe sensibler Daten zu verleiten.
Wie funktioniert Smishing?
Beim Smishing versenden die Täter SMS im Namen von vertrauenswürdigen Institutionen wie Banken oder Telekommunikationsanbietern mit dem Vorwand eines fingierten Problems. Einige Beispiele sind:
- Eine Bank meldet merkwürdige Aktivitäten auf dem Konto
- Ein Dating-Service bestätigt die vermeintliche Eröffnung eines Premiumkontos
- Der Telefonanbieter erhebt auf einmal Extragebühren für gewisse Leistungen
- Man erhält eine Rückzahlung aus einem Bonusprogramm
- Man wird beschuldigt, Zahlungen nicht getätigt zu haben
- Ein Paket wurde verschickt, und es gibt Probleme mit der Zustellung
Alle SMS sollen dazu verleiten, einen Link anzuklicken und dort dann Daten einzugeben. Entweder wollen die Cyberkriminellen persönliche Daten stehlen, die sie nutzen können, um sich zu bereichern, oder die Nutzerinnen und Nutzer werden verleitet, Malware herunterzuladen, die sich permanent auf dem Smartphone installiert.
Wie kann ich mich gegen Smishing schützen?
Der Schutz gegen Smishing ist ganz einfach: Tatsächlich muss man gar nichts tun, um sicher zu sein. Der Angriff kann nur Schaden anrichten, wenn der Köder geschluckt wird. Wird die SMS einfach löscht, kann nichts weiter passieren.
Woran kann ich Smishing erkennen?
Was ist zu beachten, um solche Angriffe zu bemerken? Einige Faustregeln helfen:
- Kein Finanzinstitut oder Händler sendet eine Textnachricht, um Kontodaten zu erfragen oder zur Bestätigung der PIN aufzufordern. Wer sicher gehen will, ruft Bank oder Händler direkt an, um nachzufragen.
- Kein Klicken auf einen Link oder eine Telefonnummer in einer Nachricht, bei der man sich nicht sicher ist.
- Ausschau halten nach verdächtigen Nummern, die nicht wie typische Telefonnummern anmuten, z. B. „5000“. Diese Nummern verweisen oft auf E-Mail-zu-SMS-Services, die häufig von Betrügern genutzt werden, um die Preisgabe der echten Telefonnummern zu vermeiden.
- Möglichst keine Speicherung von Kreditkarten- oder Banking-Informationen auf dem Smartphone – oder aber die Verwendung eines sicheren Passwortsafes. Wenn die Informationen gar nicht erst vorhanden sind, können Diebe sie auch nicht stehlen, selbst wenn sie Malware auf dem Handy installieren.
Meldung von Smishing-Angriffen, um auch andere Benutzer zu schützen.
Beim Smishing – genau wie beim Phishing – geht es darum, möglichst viele Nutzerinnen und Nutzer hinters Licht zu führen. Bei dieser Methode verlassen sich Kriminelle darauf, dass ein Teil der Opfer mitspielt und auf einen Link klickt oder Informationen preisgibt. Der einfachste Schutz vor solchen Angriffen ist tatsächlich, ganz einfach nichts zu tun. Diese Awareness muss sich allerdings möglichst weit verbreiten
Bitte warnen Sie andere Nutzer in Ihrer Organisation – zum Beispiel durch eine Meldung an den IT-Sicherheitsbeauftragten (IT-SiBe). Und sollte doch einmal ein Smishing / Phishing gegen Sie geklappt haben, kann die sofortige Meldung des Vorfalls helfen, Schäden von der Organisation abzuwenden.