Smishing ist ein Social-Engineering-Angriff, bei dem gefälschte mobile Textnachrichten verwendet werden, um Menschen dazu zu verleiten, Malware herunterzuladen, vertrauliche Informationen weiterzugeben oder Geld an Cyberkriminelle zu senden. Der Begriff „Smishing“ ist eine Kombination der Begriffe „SMS“ – oder “Short Message Service“, der Technologie hinter Textnachrichten – und „Phishing“.
Smishing ist eine Form der Cyberkriminalität, die immer häufiger eingesetzt wird. Laut Proofpoints „State of the Phish“-Bericht 2023 (Link befindet sich außerhalb von ibm.com) waren 76 Prozent der Unternehmen im Jahr 2022 von Smishing-Angriffen betroffen.
Mehrere Faktoren haben zu einem Anstieg der Smishing-Vorfälle beigetragen. Zum einen wissen die Hacker, die diese Angriffe verüben, manchmal auch „Smishers“ genannt, dass die Opfer eher auf Textnachrichten als auf andere Links klicken. Gleichzeitig haben Fortschritte bei den Spamfiltern dafür gesorgt, dass andere Formen von Phishing, wie E-Mails und Telefonanrufe, nicht mehr so leicht ihr Ziel erreichen.
Die zunehmende Verbreitung von Bring-your-own-device (BYOD) und Remote-Arbeitsplätzen hat dazu geführt, dass immer mehr Menschen ihre mobilen Geräte am Arbeitsplatz nutzen, was es Cyberkriminellen erleichtert, über die Mobiltelefone der Mitarbeiter auf Unternehmensnetzwerke zuzugreifen.
Smishing-Angriffe ähneln anderen Arten von Phishing-Angriffen, bei denen Betrüger mit gefälschten Nachrichten und schädlichen Links Personen dazu verleiten, ihre Mobiltelefone, Bankkonten oder persönlichen Daten preiszugeben. Der einzige wesentliche Unterschied ist das Medium. Bei Smishing-Angriffen verwenden Betrüger SMS oder Messaging-Apps, um ihrer Cyberkriminalität nachzugehen, anstatt E-Mails zu senden oder Anrufe zu tätigen.
Betrüger ziehen Smishing aus verschiedenen Gründen anderen Arten von Phishing-Angriffen vor. Der vielleicht wichtigste Grund: Untersuchungen zeigen, dass Menschen eher auf Links in Textnachrichten klicken. Klaviyo berichtet, dass die SMS-Klickraten zwischen 8,9 Prozent und 14,5 Prozent liegen (Link befindet sich außerhalb von ibm.com). Im Vergleich dazu haben E-Mails laut Constant Contact eine durchschnittliche Klickrate von nur 1,33 Prozent (Link befindet sich außerhalb von ibm.com).
Darüber hinaus können Betrüger die Herkunft von Smishing-Nachrichten immer gekonnter verschleiern, indem sie z. B. Telefonnummern mit Wegwerfhandys fälschen oder Software verwenden, um Texte per E-Mail zu versenden. Außerdem ist es auf Mobiltelefonen nicht so leicht, gefährliche Links zu erkennen. Auf einem Computer können Benutzer beispielsweise ihre Maus über einen Link bewegen, um zu sehen, wohin er führt. Auf Smartphones haben sie diese Option jedoch nicht. Menschen sind es auch gewohnt, von Banken und Marken per SMS kontaktiert zu werden und verkürzte URLs in Textnachrichten zu erhalten.
Im Jahr 2020 verfügte die Federal Communications Commission (FCC), dass Telekommunikationsunternehmen das STIR/SHAKEN-Protokoll einführen (Link befindet sich außerhalb von ibm.com), das Anrufe authentifiziert und der Grund dafür ist, dass einige Mobiltelefone jetzt „Verdacht auf Spam“ oder „Möglicher Spamanrufer“ anzeigen, wenn verdächtige Nummern anrufen. Doch obwohl STIR/SHAKEN die Erkennung von betrügerischen Anrufen erleichterte, hat das Protokoll nicht dieselbe Wirkung auf Textnachrichten, was viele Betrüger dazu veranlasste, sich auf Smishing-Angriffe zu verlegen.
Wie andere Formen des Social Engineering basieren die meisten Arten von Smishing-Angriffen auf Pretexting, bei dem fingierte Aussagen verwendet werden, um die Emotionen der Opfer zu manipulieren und sie dazu zu bringen, auf die Forderungen eines Betrügers einzugehen.
Die Betrüger geben sich als die Bank des Opfers aus, um auf ein Problem mit dem Konto aufmerksam zu machen, oft durch eine gefälschte Benachrichtigung. Wenn das Opfer auf den Link klickt, wird es auf eine gefälschte Website oder App weitergeleitet, die vertrauliche Finanzinformationen wie PINs, Anmeldeinformationen, Passwörter und Bankkonto- oder Kreditkarteninformationen stiehlt. Im Jahr 2018 nutzte eine Gruppe von Betrügern (Link befindet sich außerhalb von ibm.com) diese Methode, um 100.000 US-Dollar von Kunden der Fifth Third Bank zu stehlen.
Betrüger können sich als Polizei-, Finanz- oder andere Regierungsbeamte ausgeben. In diesen Smishing-Texten wird oft behauptet, dass das Opfer eine Geldstrafe schulde oder handeln müsse, um eine staatliche Leistung zu erhalten. Beispielsweise warnte die Federal Trade Commission (FTC) auf dem Höhepunkt der COVID-19-Pandemie vor Smishing-Angriffen (Link befindet sich außerhalb von ibm.com), die Steuerminderungen, kostenlose COVID-Tests und ähnliche Dienste anboten. Wenn die Opfer den Links in diesen Texten folgten, stahlen die Betrüger ihre Sozialversicherungsnummern und andere Informationen, die sie für Identitätsdiebstahl nutzen konnten.
Angreifer geben sich als Mitarbeiter des Kundensupports vertrauenswürdiger Marken und Einzelhändler wie Amazon, Microsoft oder sogar als Provider für festnetzunabhängige Services des Opfers aus. In der Regel wird darauf hingewiesen, dass ein Problem mit dem Konto des Opfers besteht oder eine nicht beanspruchte Belohnung oder Rückerstattung auf sie wartet. Normalerweise leiten diese SMS das Opfer auf eine gefälschte Website, um dann deren Kreditkartennummern oder Bankdaten zu stehlen.
Diese Smishing-Nachrichten stammen angeblich von Versandunternehmen wie FedEx, UPS oder der Post. Darin wird dem Opfer mitgeteilt, dass es ein Problem bei der Zustellung eines Pakets gab, und es wird aufgefordert, eine „Zustellgebühr“ zu zahlen oder sich bei seinem Konto anzumelden, um das Problem zu beheben. Natürlich kassieren die Betrüger das Geld oder stehlen die Kontoinformationen und verschwinden. Diese Betrügereien sind gerade um die Feiertage weit verbreitet, wenn viele Menschen auf Pakete warten.
Bei der Manipulierung geschäftlicher Textnachrichten (ähnlich der Manipulierung geschäftlicher E-Mails, außer per SMS) geben Hacker vor, ein Chef, Mitarbeiter oder Kollege (z. B. Lieferant, Anwalt) zu sein, der Hilfe bei einer dringenden Aufgabe benötigt. Diese Betrügereien erfordern häufig sofortige Maßnahmen und enden damit, dass das Opfer Geld an die Hacker sendet.
Betrüger senden eine Nachricht, die offenbar für eine andere Person als das Opfer bestimmt ist. Wenn das Opfer den Betrüger auf den „Fehler“ hinweist, beginnt dieser ein Gespräch mit dem Opfer. Diese Betrügereien mit angeblich falschen Telefonnummern sind in der Regel auf lange Sicht angelegt. Der Betrüger versucht, die Freundschaft und das Vertrauen des Opfers durch wiederholten Kontakt über Monate oder sogar Jahre zu gewinnen. Es kann sogar vorkommen, dass der Betrüger vorgibt, romantische Gefühle für das Opfer zu entwickeln. Ziel ist es, das Geld des Opfers durch eine gefälschte Investitionsmöglichkeit, eine Kreditanfrage oder eine ähnliche Masche zu stehlen.
Bei diesem Betrug, der als Multi-Faktor-Authentifizierungsbetrug (MFA) bezeichnet wird, versucht ein Hacker, der bereits über den Benutzernamen und das Passwort des Opfers verfügt, den Verifizierungscode oder das Einmalpasswort zu stehlen, das für den Zugriff auf das Konto des Opfers erforderlich ist. Der Hacker gibt sich möglicherweise als einer der Freunde des Opfers aus, behauptet, von dessen Instagram- oder Facebook-Konto ausgeschlossen worden zu sein, und bittet das Opfer, einen Code für ihn zu empfangen. Das Opfer erhält einen MFA-Code – der eigentlich für sein eigenes Konto bestimmt ist – und gibt ihn an den Hacker weiter.
Einige Smishing-Betrügereien verleiten Opfer zum Herunterzuladen scheinbar legitimer Apps – z. B. Dateimanager, digitale Zahlungs-Apps oder sogar Antiviren-Apps –, bei denen es sich in Wirklichkeit um Malware oder Ransomware handelt.
Phishing ist ein weit gefasster Begriff für Cyberangriffe, bei denen die Opfer durch Social Engineering dazu gebracht werden, Geld zu zahlen, vertrauliche Informationen preiszugeben oder Malware herunterzuladen. Smishing und Vishing sind nur zwei Arten von Phishing-Attacken, die Hacker bei ihren Opfer anwenden können.
Der Hauptunterschied zwischen den verschiedenen Arten von Phishing-Attacken besteht in dem Medium, mit dem die Angriffe durchgeführt werden. Bei Smishing-Angriffen zielen die Hacker ausschließlich auf ihre Opfer ab, indem sie Textnachrichten oder SMS verwenden. Bei Vishing-Angriffen (kurz für „Voice Phishing“) hingegen nutzen Hacker Sprachkommunikation wie Telefonanrufe und Sprachnachrichten, um sich als legitime Organisationen auszugeben und die Opfer zu manipulieren.
Viele Cybersicherheitsexperten glauben, dass Smishing in den kommenden Jahren immer häufiger auftreten wird. Proofpoint-CISO Lucia Milică (Link befindet sich außerhalb von ibm.com) geht davon aus, dass Smishing-Tools auf Malware-Marktplätzen auftauchen werden, die es technisch weniger versierten Betrügern möglich machen, schädliche Textnachrichten zu versenden.
Gartner prognostiziert (Link befindet sich außerhalb von ibm.com) eine Zunahme von „Multichannel“-Phishing-Versuchen, die Texte, E-Mails, Telefonanrufe und andere Kommunikationskanäle kombinieren. Die Lazarus Group, eine von Nordkorea unterstützte Hacker-Gruppe, ist beispielsweise bekannt für ihre Multichannel-Taktiken. Die Gruppe nutzte gefälschte LinkedIn-Profile, um sich als Recruiter für Kryptowährungsbörsen auszugeben (Link befindet sich außerhalb von ibm.com). Sie kontaktierten die Opfer unter dem Vorwand, Stellenangebote besprechen zu wollen, und verlagerten die Gespräche dann von LinkedIn auf SMS oder WhatsApp, wo sie sie dazu verleiteten, Trojaner oder andere Malware herunterzuladen.
Die FCC (Link befindet sich außerhalb ibm.com) erwägt eine Regel, die Mobilfunkanbieter verpflichtet, Spam-Texte zu blockieren. Doch in der Zwischenzeit können Einzelpersonen und Unternehmen wichtige Maßnahmen ergreifen, um sich zu schützen:
Mobile Cybersicherheitslösungen: Android- und iOS-Betriebssysteme verfügen über integrierte Schutzmaßnahmen und Funktionen, wie das Blockieren nicht genehmigter Apps und das Filtern verdächtiger Texte in einen Spamordner. Auf organisatorischer Ebene können Unternehmen Unified Endpoint Management (UEM)-Lösungen verwenden, um Kontrollen und Richtlinien für die mobile Sicherheit festzulegen.
Schulungen zum Sicherheitsbewusstsein: Die Schulung der Mitarbeiter, damit diese die Warnzeichen für Cyberangriffe und Smishing-Versuche – wie ungewöhnliche Telefonnummern, unerwartete URLs und ein erhöhtes Gefühl der Dringlichkeit – erkennen können, kann zum Schutz eines Unternehmens beitragen. Während des Trainings können auch Regeln für den Umgang mit vertraulichen Daten, die Autorisierung von Zahlungen und die Überprüfung von Anfragen festgelegt werden, bevor darauf reagiert wird.
Stoppen Sie mobile Sicherheitsbedrohungen auf jedem Gerät und schaffen Sie gleichzeitig reibungslose Erfahrungen für die Benutzer, damit IT- und Sicherheitsteams effizient arbeiten können.
Erkennen Sie Ransomware, bevor sie Ihre Daten als Druckmittel gegen Sie verwenden kann, und ergreifen Sie sofortige, fundierte Maßnahmen, um die Auswirkungen des Angriffs zu verhindern oder zu minimieren – mit IBM Security® QRadar® SIEM.
Verbessern Sie die Untersuchung und Triage von Alerts mit der IBM Security QRadar Suite, einer modernisierten Auswahl an Sicherheitstechnologien, die eine einheitliche Analysten-Erfahrung sowie eingebettete KI und Automatisierung bietet.
Phishing-Angriffe verleiten die Opfer dazu, vertrauliche Daten preiszugeben, Malware herunterzuladen und sich selbst oder ihr Unternehmen der Cyberkriminalität auszusetzen.
Social-Engineering-Angriffe bestehen weniger aus technischem Hacken, sondern machen sich vielmehr die menschliche Natur zunutze und manipulieren das Opfer so, dass es die eigene Sicherheit oder die Sicherheit eines Unternehmensnetzes aufs Spiel setzt.
Erfahren Sie, was mobile Sicherheit ist, warum sie wichtig ist und wie sie funktioniert.