Startseite
Themen
Smishing
Was ist Smishing (SMS-Phishing)?
Aktualisiert: 10. Juni 2024
Mitwirkender: Matthew Kosinski
Smishing – kurz für „SMS-Phishing“ – ist ein Social-Engineering-Angriff, bei dem gefälschte Textnachrichten verwendet werden, um Menschen dazu zu verleiten, Malware herunterzuladen, vertrauliche Informationen weiterzugeben oder Geld an Cyberkriminelle zu senden. Bei dieser Phishing-Methode machen sie sich eine Vielzahl von Taktiken und psychologischen Tricks zunutze, denen sich Menschen bewusst sein sollten.
Smishing ist eine immer beliebter werdende Form von Cyberkriminalität. Laut Proofpoint-Bericht „State of the Phish 2024“ waren 75 % der Unternehmen im Jahr 2023 von Smishing-Angriffen betroffen.1
Zum Anstieg der Smishing-Vorfälle haben mehrere Faktoren beigetragen. Zum einen wissen die Hacker hinter diesen Angriffen – manchmal auch „Smisher“ genannt –, dass die Opfer eher auf Links in Textnachrichten als auf andere Links klicken. Gleichzeitig haben Fortschritte bei den Spamfiltern für andere Kommunikationsmethoden dafür gesorgt, dass andere Formen von Phishing wie E-Mails und Telefonanrufe nicht mehr so leicht ihr Ziel erreichen. Der Spam-Ordner ist schon seit langer Zeit ein fester Bestandteil jedes E-Mail-Postfachs, und auch Telefonanrufe von verdächtigen Nummern werden heute auf vielen Smartphones direkt als möglicher Spam gekennzeichnet. Derartige Warnungen werden zwar auf einigen Geräten – aber eben nicht auf allen – auch für SMS angezeigt, allerdings entgehen diesem Feature dennoch regelmäßig Smishing-Nachrichten.
Die Zunahme von Bring Your Own Device (BYOD) und Remote-Arbeitsplätzen hat ebenfalls dazu geführt, dass immer mehr Menschen ihre Mobilgeräte bei der Arbeit einsetzen, was es Cyberkriminellen erleichtert, über die Mobiltelefone der Mitarbeiter auf Unternehmensnetzwerke zuzugreifen.
Unser X-Force-Team aus Hackern, Respondern, Forschern und Geheimdienstanalysten steht Ihnen zur Verfügung, um die spezifischen Sicherheitsprobleme Ihres Unternehmens zu besprechen und herauszufinden, wie wir helfen können.
Smishing-Angriffe ähneln anderen Arten von Phishing-Angriffen, bei denen Betrüger mit gefälschten Nachrichten und schädlichen Links Personen dazu verleiten, ihre Mobiltelefone, Bankkonten oder persönlichen Daten preiszugeben. Der einzige wesentliche Unterschied ist das Medium. Bei Smishing-Angriffen verwenden Betrüger SMS oder Messaging-Apps, um ihrer Cyberkriminalität nachzugehen, anstatt E-Mails zu senden oder Anrufe zu tätigen.
Betrüger ziehen Smishing aus verschiedenen Gründen anderen Arten von Phishing-Angriffen vor. Der vielleicht wichtigste Grund: Untersuchungen zeigen, dass Menschen eher auf Links in Textnachrichten klicken. Klaviyo berichtet, dass die SMS-Klickraten zwischen 8,9 Prozent und 14,5 Prozent liegen (Link befindet sich außerhalb von ibm.com). Im Vergleich dazu haben E-Mails laut Constant Contact eine durchschnittliche Klickrate von nur 1,33 Prozent (Link befindet sich außerhalb von ibm.com).
Darüber hinaus können Betrüger die Herkunft von Smishing-Nachrichten immer gekonnter verschleiern, indem sie z. B. Telefonnummern mit Wegwerfhandys fälschen oder Software verwenden, um Texte per E-Mail zu versenden. Außerdem ist es auf Mobiltelefonen nicht so leicht, gefährliche Links zu erkennen. Auf einem Computer können Benutzer beispielsweise ihre Maus über einen Link bewegen, um zu sehen, wohin er führt. Auf Smartphones haben sie diese Option jedoch nicht. Menschen sind es auch gewohnt, von Banken und Marken per SMS kontaktiert zu werden und verkürzte URLs in Textnachrichten zu erhalten.
Im Jahr 2020 verfügte die Federal Communications Commission (FCC), dass Telekommunikationsunternehmen das STIR/SHAKEN-Protokoll einführen (Link befindet sich außerhalb von ibm.com), das Anrufe authentifiziert und der Grund dafür ist, dass einige Mobiltelefone jetzt „Verdacht auf Spam“ oder „Möglicher Spamanrufer“ anzeigen, wenn verdächtige Nummern anrufen. Doch obwohl STIR/SHAKEN die Erkennung von betrügerischen Anrufen erleichterte, hat das Protokoll nicht dieselbe Wirkung auf Textnachrichten, was viele Betrüger dazu veranlasste, sich auf Smishing-Angriffe zu verlegen.
Wie andere Formen des Social Engineering basieren die meisten Arten von Smishing-Angriffen auf dem sogenannten „Pretexting“, bei dem falsche Behauptungen aufgestellt werden, um die Emotionen der Opfer zu manipulieren und sie dazu zu bringen, auf die Forderungen eines Betrügers einzugehen. Dabei werden Betrüger überaus kreativ und gerissen und schrecken auch vor nicht drastischen Lügen oder bedrohlichen Aussagen zurück. Die folgenden Beispiele erläutern häufig genutzte Taktiken, bilden aber nur einen Bruchteil der Vielfalt von Smishing-Angriffen dar.
Betrüger können sich als die Bank des Opfers ausgeben, um ein vermeintliches Problem mit dem Konto zu melden, oft durch eine gefälschte Benachrichtigung, die dem Format und Wortlaut einer echten Benachrichtigung ähnelt. Wenn das Opfer auf den Link klickt, wird es auf eine gefälschte Website oder App weitergeleitet, die vertrauliche Finanzinformationen wie PINs, Zugangsdaten, Passwörter und Bankkonto- oder Kreditkarteninformationen stiehlt.
Nach Angaben der Federal Trade Commission (FTC) ist das Vortäuschen einer Bankverbindung der häufigste SMS-Betrug und macht 10 % aller Smishing-Nachrichten aus.4
Betrüger können sich als Polizeibeamte, Finanzbeamte oder andere Behördenvertreter ausgeben. In diesen Smishing-Texten wird oft behauptet, dass das Opfer eine Geldstrafe zahlen oder sofort handeln müsse, um eine staatliche Leistung zu erhalten.
So warnte das Federal Bureau of Investigation (FBI) im April 2024 vor einem Smishing-Betrug, der auf US-Fahrer abzielt.5 Die Betrüger versenden Textnachrichten, die vorgeben, von Mauteinzugsunternehmen zu stammen, und behaupten, dass die Zielperson unbezahlte Mautgebühren schuldet. Die Nachrichten enthalten einen Link zu einer gefälschten Website, die das Geld und die Informationen der Opfer stiehlt.
Angreifer geben sich als Kundenbetreuer bei vertrauenswürdigen Marken und Einzelhändlern wie Amazon, Microsoft oder sogar dem Mobilfunkanbieter des Opfers aus. In der Regel wird dabei behauptet, dass ein Problem mit dem Konto des Opfers oder eine nicht verfügbare Belohnung oder Rückerstattung vorliegt. Normalerweise leiten diese SMS das Opfer auf eine gefälschte Website, die der echten Website täuschend ähnlich sieht, um dann deren Kreditkartennummern, Bankdaten oder Kontodetails zu stehlen.
Diese Smishing-Nachrichten stammen angeblich von Versandunternehmen wie DHL, Hermes oder der Deutschen Post. Darin wird dem Opfer mitgeteilt, dass es ein Problem bei der Zustellung eines Pakets gab, und es wird aufgefordert, eine „Paketgebühr“ oder sich bei seinem Konto anzumelden, um das Problem zu beheben. Dann nehmen die Betrüger das Geld oder die Kontoinformationen und machen sich davon. Auch werden Menschen aufgefordert, eine angebliche Tracking-App herunterzuladen, bei der es sich in Wahrheit um gefährliche Malware handelt.
Bei der Kompromittierung geschäftlicher Textnachrichten (ähnlich der Kompromittierung geschäftlicher E-Mails, nur eben per SMS) geben Hacker vor, ein Chef, Mitarbeiter, Kollege, Lieferant oder Anwalt zu sein, der Hilfe bei einer dringenden Aufgabe benötigt. Diese Betrugsmaschen verlangen häufig ein sofortiges Handeln und enden damit, dass das Opfer Geld an die Hacker sendet.
Betrüger senden eine Nachricht, die offenbar für eine andere Person als das Opfer bestimmt ist. Wenn das Opfer den Betrüger auf den „Fehler“ hinweist, beginnt dieser ein Gespräch mit dem Opfer.
Diese Betrügereien mit angeblich falschen Telefonnummern sind in der Regel auf lange Sicht angelegt. Der Betrüger versucht, die Freundschaft und das Vertrauen des Opfers durch wiederholten Kontakt über Monate oder sogar Jahre zu gewinnen. Der Betrüger könnte sogar vorgeben, romantische Gefühle für das Opfer zu entwickeln. Das Ziel ist es, das Geld des Opfers durch eine betrügerische Investitionsmöglichkeit, eine Kreditanfrage oder eine ähnliche Geschichte zu stehlen.
Bei diesem Betrug, der als Multi-Faktor-Authentifizierungs-Betrug (MFA-Betrug) bezeichnet wird, versucht ein Hacker, der bereits über den Benutzernamen und das Passwort des Opfers verfügt, den Verifizierungscode oder das Einmalpasswort zu erlangen, das für den Zugriff auf das Konto des Opfers erforderlich ist.
Dafür gibt sich ein Hacker beispielsweise als einer der Freunde des Opfers aus und behauptet, aus seinem Instagram- oder Facebook-Konto ausgesperrt worden zu sein. Daraufhin bittet er das Opfer, einen Code für ihn zu empfangen. Das Opfer erhält einen MFA-Code – der eigentlich für sein eigenes Konto bestimmt ist – und gibt ihn an den Hacker weiter, der daraufhin sein Konto übernimmt.
Einige Smishing-Betrügereien verleiten Opfer zum Herunterladen scheinbar legitimer Apps – z. B. Dateimanager, digitale Zahlungs-Apps oder sogar Antiviren-Apps –, bei denen es sich in Wirklichkeit um Malware oder Ransomware handelt.
Phishing ist ein weit gefasster Begriff für Cyberangriffe, die die Opfer durch Social Engineering dazu bringen, Geld zu zahlen, vertrauliche Informationen preiszugeben oder Malware herunterzuladen. Smishing und Vishing sind nur zwei Arten von Phishing-Attacken, die Hacker bei ihren Opfer anwenden können.
Der Hauptunterschied zwischen den verschiedenen Arten von Phishing-Attacken besteht in dem Medium, mit dem die Angriffe durchgeführt werden. Bei Smishing-Angriffen zielen Hacker auf ihre Opfer ab, indem sie Textnachrichten oder SMS verwenden. Bei Vishing-Angriffen (kurz für „Voice Phishing“) nutzen Hacker Sprachkommunikation wie Telefonanrufe und Sprachnachrichten, um sich als legitime Organisationen auszugeben und die Opfer zu manipulieren.
Um Smishing-Betrügereien zu bekämpfen, hat die FCC eine neue Vorschrift erlassen, die von Mobilfunkanbietern verlangt, wahrscheinliche Spam-Nachrichten von verdächtigen Nummern zu blockieren, einschließlich unbenutzter oder ungültiger Telefonnummern.6
Kein Spamfilter ist jedoch perfekt und Cyberkriminelle arbeiten ständig daran, diese Maßnahmen zu umgehen. Einzelpersonen und Unternehmen können zusätzliche Maßnahmen ergreifen, um ihre Abwehrmaßnahmen gegen Smishing-Angriffe zu stärken, einschließlich:
Die Betriebssysteme Android und iOS verfügen über integrierte Schutzfunktionen und Optionen zum Blockieren nicht genehmigter Apps und zum Filtern verdächtiger Texte in einen Spamordner.
Auf organisatorischer Ebene können Unternehmen Unified Endpoint Management (UEM)-Lösungen und Tools zur Betrugserkennung nutzen, um mobile Sicherheitskontrollen einzurichten, Sicherheitsrichtlinien durchzusetzen und böswillige Aktivitäten abzufangen.
Unternehmen können mehr Betrugsfälle stoppen, indem sie ihre Mitarbeiter darin schulen, die Warnzeichen für Cyberangriffe und Smishing-Versuche zu erkennen, z. B. ungewöhnliche Telefonnummern, unbekannte Absender, unerwartete URLs und ein erhöhtes Gefühl der Dringlichkeit.
Viele Unternehmen nutzen Smishing-Simulationen, um Mitarbeitern dabei zu helfen, neue Fähigkeiten im Bereich der Cybersicherheit zu üben. Diese Simulationen können Sicherheitsteams auch dabei helfen, Schwachstellen in Computersystemen und Unternehmensrichtlinien aufzudecken, die das Unternehmen auf Betrug anfällig machen.
Unternehmen können diese Schwachstellen beheben, indem sie Tools zur Bedrohungserkennung mit Richtlinien für den Umgang mit sensiblen Daten, die Autorisierung von Zahlungen und die Überprüfung von Anfragen kombinieren, bevor sie darauf reagieren.
Weiterführende Lösungen
IBM Security MaaS360 verfügt über ein umfassendes, integriertes Paket zur Mobile Threat Defense (MTD), mit dem Sie einen benutzer- und sicherheitsorientierten Ansatz für Unified Endpoint Management (UEM) beibehalten können.
IBM Security Trusteer Pinpoint Assure ist ein SaaS-Tool zur Erkennung und Vorhersage von Identitätsrisiken für Gastbenutzer und bei der Erstellung digitaler Konten.
Robuste Datenspeicherung im Falle eines Cyberangriffs. Das IBM Storage FlashSystem überwacht kontinuierlich die von jedem einzelnen I/O gesammelten Statistiken mit Hilfe maschineller Lernmodelle, um Anomalien wie Ransomware in weniger als einer Minute zu erkennen.
Ressourcen
Die Taktiken der Angreifer zu verstehen ist entscheidend für den Schutz Ihrer Mitarbeiter, Daten und Infrastruktur. Lernen Sie von den Herausforderungen und Erfolgen von Sicherheitsteams in aller Welt.
Erfahren Sie, wie Cyberkriminelle ihren Fokus auf die Wege des geringsten Widerstands verlagern und die „menschliche Angriffsfläche“ nutzen, um ihre Ziele voranzutreiben.
Erhalten Sie einen tieferen Einblick in das Konzept der Cyber-Resilienz, das nicht nur der Abwehr von Cyberangriffen dient, sondern auch Wiederherstellungslösungen bereitstellt, um im Falle eines Angriffs so schnell wie möglich zum Normalbetrieb zurückzukehren.
Fußnoten
Alle Links befinden sich außerhalb von ibm.com
1 2024 State of the Phish. Proofpoint.
2 Benchmarks für SMS- und MMS-Kampagnen. Klaviyo. 7. Juni 2024.
3 Durchschnittliche Branchentarife für E-Mail, Stand April 2024. Ständiger Kontakt. 9. Mai 2024.
4 Eine neue Datenanalyse der FTC zeigt, dass die Imitation von Banken der am häufigsten gemeldete SMS-Betrug ist. Federal Trade Commission. 8. Juni 2023.
5 Haben Sie eine SMS über nicht bezahlte Gebühren erhalten? Laut FBI könnte es sich um einen „Smishing“-Betrug handeln. USA Today. 18. April 2024.
6 Die FCC verabschiedet ihre ersten Regeln für das Versenden von SMS-Betrügereien. Federal Communications Commission. 17. Mai 2023.