Smishing: Mobiltelefone im Fokus von Internetkriminellen

Internet-Shopping wird immer gefragter.

Parallel ruft der florierende Onlinehandel und Paket-Boom Internetkriminelle auf den Plan, die aktuell vorzugsweise mit gefälschten Textnachrichten in Short Message-Form, die Achtlosigkeit, die Ahnungslosigkeit und die Arglosigkeit der Menschen missbrauchen, um ganz persönliche und geschäftskritische Daten abzugreifen oder Malware zu verteilen. Die Betrugsmasche namens Smishing kann dabei alle treffen. Daher wirkt vor allem eines: Aufklärung und Sensibilisierung für Smishing-Gefahren.

„Ihr Päckchen wurde ausgeliefert – für die Sendungsverfolgung klicken Sie auf den Link!“

Lieferankündigungen haben irgendetwas Magisches an sich: Treffen die Nachrichten erst einmal ein, können es die viele Menschen kaum erwarten, die Bestellung endlich in den Händen zu halten.

Ebenso Internetkriminelle machen sich den florierenden Internethandel und Paket-Boom für ihre kriminellen Machenschaften zu Nutze. Eine Betrugsmasche, die dabei hierzulande vermehrt an Popularität gewinnt, ist Smishing.

Beim sogenannten Smishing dreht es sich um eine abgewandelte Form von Phishing, bei der vorwiegend gefälschte Textnachrichten in SMS-Form zum Einsatz kommen, um ganz persönliche und geschäftskritische Informationen abzugreifen wie Login-Informationen, Passwörter und Kreditkarteninformationen oder um Schadsoftware zu verteilen.

Zufolge einer Meldung von Spiegel.de hat eine Anti-Betrugs-Arbeitsgruppe der Mobilfunkanbieter von Januar bis März dieses Jahres bereits 200.000 Fälle registriert, die ungeachtet aller Warnungen etlicher Polizeidienststellen und Landeskriminalämtern wie beispielsweise das Landeskriminalamt Baden-Württemberg oder das Landeskriminalamt Bayern sowie dem Bundesamt für Sicherheit in der Informationstechnik deutschlandweit und anbieterübergreifend auf die Phishing-SMS im Namen bekannter Versanddienstleister hereingefallen sind.

Kleiner Klick, imenser Schaden!

Ob auf dem eigenen Sofa, im Zug, im Bistro, am Flughafen oder sogar im Park – Handys sind allgegenwärtig und zu einem ständigen Begleiter dieser modernen Gesellschaft geworden.

Allein hierzulande verfügen heutzutage gemäß Bitkom rund 56 Millionen Personen ab 16 Jahren ein Mobilfunktelefon.

Darum ist es auch nicht verwunderlich, dass sich Internetkriminelle umorientieren und ihre Angriffe gehäuft auf mobile Endgeräte wie Smartphone und Tablets ausweiten.

Während herkömmliche Phishing-Angriffe meistens per E-Mail stattfinden, setzen Internetkriminelle beim Smishing vorzugsweise auf den Kurznachrichtendienst, auch bezeichnet als Short Message Service oder SMS.

Die Vorgehensweise beim SMS-Betrug ist denkbar einfach:

– Internetkriminelle versenden im Namen angesehener Firmen gefälschte SMS-Nachrichten an willkürliche Empfänger und fordern sie unter falschem Vorwand auf, einem Hyperlink zu folgen und als nächstes eine App zu installieren. Wird diese installiert, wird in aller Regel eine Schadsoftware heruntergeladen, die nicht nur den Angreifern Zugriff auf das Mobiltelefon ermöglicht, sondern auch alle Login-Informationen ausliest, teure SMS versendet oder das Gerät sperrt, um hinterher für die Entsperrung Lösegeld zu fordern.

– Eine andere perfide Methode beim Smishing ist das Weiterleiten des Opfers auf ein Formular, um zum Beispiel Zugangsdaten fürs Online-Banking oder andere Konto-/ Kreditkarteninformationen abzugreifen. In der Regel vermelden die Angreifer Sicherheitsprobleme, die die sofortige Übermittlung der persönlichen Informationen notwendig machen würden, um die ganzen Features eines Dienstes weiterhin nutzen zu können.

– Gleichfalls sehr beliebt ist die Vorgehensweise, bei der sich Internetkriminelle als Mitarbeiter vom Kundensupport ausgeben. Bei dieser Smishing-Betrugsmasche erhalten die Opfer eine SMS-Nachricht mit der Aufforderung, sich über die genannte Telefonnummer an den Kundendienst zu wenden. Aufgrund der Betrugsmasche, sich als Support-Mitarbeiter auszugeben, existiert eine höhere Glaubhaftigkeit, sodass die Opfer bereitwillig sensible Daten bekannt geben.

Bessere IT-Sicherheit dank Beratung und Sensibilisierung!

Durch die zunehmende Verbreitung und Nutzung von Handys und alternativen mobilen Endgeräten entwickelt sich Smishing zu einem ernstzunehmenden Kunden- und Unternehmensrisiko. Die positive Nachricht ist, dass Sie mit einfachen Maßnahmen Ihre Firma, Ihre Beschäftigten und Ihre Informationen wirksam vor Smishing-Angriffe schützen können.

Prinzipiell bedeutet das jedoch: Klicken Sie keinesfalls auf Links aus dubiosen Quellen und löschen Sie die Benachrichtigung direkt nach Erhalt!

Zu den zusätzlichen Strategien gehören:

1. Smishing-Attacke erkennen:
   Erhalten Sie wichtige Sicherheitswarnungen, ablaufende Angebote oder Deals, die Druck erzeugen und eine unmittelbare Handlung erfordern, dreht es sich sehr wahrscheinlich um eine Phishing-SMS.

Des Weiteren lässt sich eine Phishing-Kurznachricht an verschiedenen optischen Unstimmigkeiten identifizieren:

– Nicht bekannte Nummer des Versenders
– Grammatikfehler und Rechtschreibfehler
– Seltsame Formatierung
– Unpersönliche oder außergewöhnliche Anrede

2. Inhalt auf Wahrscheinlichkeit überprüfen:
   Weder Kreditinstitute noch Händler oder andere Stellen und Institutionen verschicken Textnachrichten um Anmeldeinformationen, Passwörter oder Kontoinformationen einzuholen. Bekommen Sie eine Short Message mit solch einer Aufforderung, hilft es, bei der Kreditanstalt, beim Anbieter oder dem Unternehmen anzurufen, um zu prüfen, ob die Benachrichtigung tatsächlich von dort kommt.

3. IT-Sicherheitsschulungen umsetzen: Durch häufige IT-Sicherheitsschulungen können Sie das
Sicherheitsbewusstsein ihrer Beschäftigten stärken. Damit sind sie in der Situation potenzielle Smishing-Angriffe zu identifizieren, abzuwenden und zu melden.

4. Smishing-Attacke bekanntgeben: Wenn Sie eine Smishing-Attacke bemerken, haben Sie bei der Bundesnetzagentur die Gelegenheit, die Smishing-Attacke zu melden.

5. Sicherheitslösungen und Sicherheitsupdates installieren: Abgesehen von der Inbetriebnahme einer Antivirensoftware sollten Sie sowohl ihr Betriebssystem als auch sämtlich Applikationen immer auf dem aktuellsten Stand halten. Denn in der Regel werden durch Updates kürzlich entdeckte Sicherheitslücken geschlossen, die von etwaigen Angreifern ausgenutzt werden könnten.

6. Geschicktes Abspeichern: Speichern Sie keinesfalls Ihre Kreditkarten- noch Ihre Banking-Daten auf Ihrem Smartphone ab.

Sollten Sie oder Ihre Mitarbeiter doch versehentlich auf den Link geklickt haben oder tatsächlich schon Applikationen installiert haben, rät das Bundesamt für Sicherheit in der Informationstechnik noch dazu:

1. Das Smartphone in den Flugmodus zu setzen, um weiteren SMS-Versand und eine mögliche Kommunikation der Schadsoftware mit anderen Geräten und den Datenabfluss zu unterbinden.
2. Den Mobilfunkprovider zu informieren.
3. Das Konto sowie weitere Bezahlsysteme auf Abbuchungen zu kontrollieren.
4. Anzeige bei der örtlichen Polizeidienststelle zu erstatten.
5. Das Mobiltelefon auf Werkseinstellungen zurückzusetzen

Wissen ist der ideale Schutzmechanismus!

Handys, Tablets und Co. werden als Angriffsziel für Internetkriminelle laufend lohnenswerter. Smishing ist inzwischen mit Bestimmtheit eines ihrer gefragtesten Angriffsmethoden, um auf mobilen Endgeräten vertrauliche Informationen, Passwörter und weitere Zugangsdaten abzugreifen oder um Malware einzuschleusen und zu verteilen. Der beste Weg, Betriebe und Angestellte vor solchen Smishing-Angriffsversuchen zu bewahren, sind häufige IT-Sicherheitsschulungen und Sensibilisierungsmaßnahmen.

Denn wie Sie bekanntlich wissen, sind aufgeklärte und gut geschulte Mitarbeiter ein wichtiger, wenn nicht der wichtigste Bestandteil einer wirkungsvollen Sicherheitsstrategie.

Ferner sollten Firmen innovative Sicherheitslösungen umsetzen, um die mobile Sicherheit zu erhöhen.
Falls Sie noch Fragen zur Thematik Smishing, zu unseren Dienstleistungen im Bereich IT-Sicherheit oder unseren Sicherheitslösungen haben, nehmen Sie gerne Kontakt zu uns auf.