Smishing ist eine Social Engineering-Hackerattacke, bei der gefälschte Textnachrichten verwendet werden, um Menschen dazu zu bringen, Malware herunterzuladen, vertrauliche Informationen weiterzugeben oder Geld an Cyberkriminelle zu senden. Der Begriff „Smishing“ ist eine Kombination aus „SMS“ – für „Short Message Service“, die Technologie hinter den Textnachrichten – und „Phishing".

Smishing ist ein wachsender Bereich der Cyberkriminalität. Laut dem Proofpoint-Bericht 2022 State of the Phish (Link befindet sich außerhalb von ibm.com) haben 74 Prozent der Unternehmen im Jahr 2021 Smishing-Angriffe erlitten, ein Anstieg von 13 Prozent gegenüber 2020. 

Ein paar verschiedene Faktoren befeuern diese Betrügereien. 

Hacker wissen, dass Personen eher auf Links klicken, die sie per Textnachricht erhalten. Dank der Fortschritte bei den Spam-Filtern ist es auch für Phishing-E-Mails und -Anrufe schwieriger geworden, ihr Ziel zu erreichen. Außerdem haben Bring Your Own Device (BYOD)- und Telearbeits-Arrangements dazu geführt, dass mehr Menschen ihre mobilen Geräte am Arbeitsplatz nutzen. Das bedeutet, dass Cyberkriminelle jetzt über die privaten Mobiltelefone der Mitarbeiter auf Unternehmensnetze zugreifen können.

Smishing-Angriffe funktionieren ähnlich wie andere Arten von Phishing-Angriffen. Betrüger verwenden gefälschte Nachrichten und bösartige Links, um Menschen dazu zu bringen, ihre Mobiltelefone, Bankkonten oder persönlichen Daten zu gefährden. Der Unterschied besteht darin, dass Smishing über SMS oder Messaging-Apps und nicht über E-Mails oder Telefonanrufe erfolgt.

Textnachrichten bieten Betrügern einige Vorteile im Vergleich zur E-Mail. Die Menschen sind daran gewöhnt, dass Banken und Marken sie per SMS kontaktieren. Es ist auch wahrscheinlicher, dass Menschen auf Links in Textnachrichten klicken. E-Mails haben laut Constant Contact eine durchschnittlich Klickrate von 1,33 Prozent (Link befindet sich außerhalb von ibm.com). Auf der anderen Seite berichtet Klaviyo, dass die Klickraten bei SMS zwischen 8,9 und 14,5 Prozent liegen (Link befindet sich außerhalb von ibm.com).

Technisch gesehen können die Betrüger die Herkunft der Smishing-Nachrichten leicht verschleiern. Sie können Telefonnummern fälschen, Wegwerfhandys verwenden oder Software einsetzen, um Texte per E-Mail zu versenden. Es ist auch schwieriger, gefährliche Links auf Mobiltelefonen zu erkennen. Auf einem Computer können die Nutzer mit dem Mauszeiger über einen Link fahren, um zu sehen, wohin er wirklich führt. Smartphones haben diese Option nicht. Außerdem sind Personen daran gewöhnt, von echten Marken verkürzte URLs in Textnachrichten angezeigt zu bekommen.

Im Jahr 2020 hat die Federal Communications Commission (FCC) die Telekommunikationsunternehmen verpflichtet, das STIR/SHAKEN-Protokoll zu übernehmen (Link befindet sich außerhalb von ibm.com). STIR/SHAKEN authentifiziert Telefonanrufe. Aus diesem Grund zeigen einige Mobiltelefone bei Anrufen von verdächtigen Nummern jetzt die Meldungen „Betrug wahrscheinlich“ oder „Spam wahrscheinlich“ an. Dank STIR/SHAKEN sind betrügerische Anrufe leichter zu erkennen, aber Texte sind hiervon ausgenommen. Aus diesem Grund haben viele Betrüger ihren Fokus auf Smishing-Angriffe verlagert.

Wie andere Formen von Social Engineering stützen sich Smishing-Angriffe auf die Vorspiegelung falscher Tatsachen. Durch die Vorspiegelung falscher Tatsachen werden die Emotionen der Opfer ausgenutzt, um sie dazu zu bringen, den Willen des Betrügers zu befolgen. Einige gängige Beispiele:

• Vorgeben, ein Finanzinstitut zu sein:  Betrüger können sich als Bank des Opfers ausgeben und es auf ein Problem mit seinem Konto hinweisen. Folgt das Opfer dem Link, gelangt es auf eine gefälschte Website oder App, die vertrauliche Finanzdaten wie PINs, Kennwörter und Bankkonto- oder Kreditkartennummern stiehlt. Im Jahr 2018 nutzte  eine Gruppe von Betrügern  (Link befindet sich außerhalb von ibm.com) diese Methode, um 100.000 US-Dollar von Kunden der Fifth Third Bank zu stehlen.

• Vorgeben, von der Regierung zu sein:  Betrüger können sich als Polizeibeamte, Vertreter der Steuerbehörde oder andere Regierungsbeamte ausgeben. In diesen Smishing-Texten wird oft behauptet, das Opfer schulde eine Geldstrafe oder müsse handeln, um eine staatliche Leistung zu erhalten. Auf dem Höhepunkt der COVID-19-Pandemie warnte die Federal Trade Commission (FTC) beispielsweise  vor Smishing-Angriffen  (Link befindet sich außerhalb von ibm.com), bei denen Steuererleichterungen, kostenlose COVID-Tests und ähnliche Dienste angeboten wurden. Wenn die Opfer den Links in diesen Texten folgten, stahlen die Betrüger ihre Sozialversicherungsnummern und andere Informationen, die sie für Identitätsdiebstahl nutzen konnten. 

• Vorgeben, Kundendienstmitarbeiter zu sein:  Die Angreifer geben sich als Kundendienstmitarbeiter vertrauenswürdiger Marken wie Amazon, Microsoft oder sogar des Mobilfunkanbieters des Opfers aus. In der Regel wird behauptet, es gäbe ein Problem mit dem Konto des Opfers oder eine nicht beanspruchte Belohnung oder Rückerstattung. In der Regel leiten diese Texte das Opfer auf eine gefälschte Website, auf der Kreditkarten- oder Bankdaten gestohlen werden.

• Paketbetrug:  Diese Smishing-Nachrichten geben vor, von einem Versandunternehmen wie FedEx, UPS oder dem US Postal Service zu stammen. Sie teilen dem Opfer mit, dass es ein Problem bei der Zustellung eines Pakets gab. Das Opfer wird aufgefordert, eine „Zustellgebühr“ zu zahlen oder sich bei seinem Konto anzumelden, um das Problem zu beheben. Natürlich nehmen die Betrüger das Geld oder die Kontodaten und verschwinden. Diese SMS-Phishing-Betrügereien sind um die Feiertage herum üblich, wenn viele Menschen auf Pakete warten. 

• Kompromittierung von Geschäftskorrespondenz:  Wie bei der Kompromittierung von Geschäfts-E-Mails geben sich die Hacker als Chef aus, der Hilfe bei einer dringenden Aufgabe benötigt. Der Unterschied besteht darin, dass die Betrüger bei dieser Version des Angriffs SMS-Nachrichten verwenden. Meistens enden diese Betrügereien damit, dass das Opfer Geld an die Hacker schickt.

• Betrug mit falscher Nummer:  Betrüger geben vor, eine SMS an die „falsche Nummer“ gesendet zu haben. Wenn das Opfer den „Fehler“ des Betrügers korrigiert, beginnt der Betrüger eine Konversation und tut so, als wolle er eine Freundschaft mit dem Opfer aufbauen. Dabei handelt es sich in der Regel um einen langfristigen Betrug, bei dem der Betrüger versucht, das Vertrauen des Opfers durch wiederholte Kontakte über Monate oder Jahre hinweg zu gewinnen. Der Betrüger kann sogar vorgeben, dass er romantische Gefühle für das Opfer entwickelt. Ziel ist es, das Geld des Opfers durch eine gefälschte Investitionsmöglichkeit, eine Kreditanfrage oder eine ähnliche Geschichte zu stehlen.

• Betrug mit Multi-Faktor-Authentifizierung (MFA):  Hacker versuchen, den MFA-Code des Opfers zu stehlen, um in dessen Social Media-, E-Mail- oder Bankkonto einzudringen. In einem gängigen MFA-Betrugsszenario gibt sich der Hacker als ein Freund des Opfers aus. Er behauptet, dass er aus seinem Instagram- oder Facebook-Konto ausgesperrt worden sei und das Opfer einen Code für ihn erhalten solle. Das Opfer erhält einen MFA-Code, der eigentlich für sein eigenes Konto bestimmt ist, und gibt ihn an den Hacker weiter.

• Gefälschte App-Downloads:  Manche Smishing-Betrügereien verleiten ihre Opfer dazu, gefälschte Apps herunterzuladen, die in Wirklichkeit Malware oder  Ransomware sind. Malware ist oft als Dateimanager, Antivirenprogramm oder Geldverleih-App getarnt. Diese Apps können legitim erscheinen, aber heimlich die sensiblen Daten des Opfers abfangen oder als Geiseln nehmen. 

Viele Experten für Cybersicherheit gehen davon aus, dass Smishing in den kommenden Jahren immer häufiger vorkommen wird. Lucia Milică, CISO von Proofpoint (Link befindet sich außerhalb von ibm.com), glaubt, dass Smishing-Tools auf Malware-Marktplätzen auftauchen werden, die es technisch weniger versierten Betrügern ermöglichen, schädliche Texte zu versenden.

Gartner prognostiziert (Link befindet sich außerhalb von ibm.com) die Zunahme von „Multikanal“-Phishing-Versuchen, die Text, E-Mail, Telefonanrufe und andere Kommunikationskanäle kombinieren. Die Lazarus Group, eine von Nordkorea unterstützte Hackergruppe, ist dafür bekannt, dass sie Multikanal-Taktiken einsetzt. So hat die Gruppe beispielsweise gefälschte LinkedIn-Profile verwendet, um sich als Anwerber für Kryptowährungsbörsen auszugeben (Link befindet sich außerhalb von ibm.com). Die Hacker kontaktieren die Opfer unter dem Vorwand, über offene Stellen zu sprechen. Die Hacker verschieben die Unterhaltungen von LinkedIn auf SMS oder WhatsApp, wo sie ihre Opfer dazu verleiten, Trojaner oder andere Malware herunterzuladen. 

Die FCC (Link befindet sich außerhalb von ibm.com) erwägt eine Regelung, die Mobilfunkanbieter verpflichtet, Spam-Texte zu blockieren. Einzelpersonen und Unternehmen können jedoch auch Schritte unternehmen, um sich selbst zu schützen:

• Mobile Cybersicherheitslösungen: Android- und iOS-Betriebssysteme verfügen über integrierte Schutzmechanismen, wie das Blockieren nicht zugelassener Apps und das Filtern verdächtiger Texte in einen Spam-Ordner. Auf organisatorischer Ebene können Unternehmen Unified Endpoint Management-Lösungen (UEM) verwenden, um Sicherheitskontrollen und -richtlinien für mobile Geräte festzulegen.

• Schulungen zum Sicherheitsbewusstsein: Die Schulung von Mitarbeitern zur Erkennung von Warnzeichen für Smishing-Versuche – wie ungewöhnliche Telefonnummern, unerwartete URLs und eine erhöhte Dringlichkeit – kann zum Schutz eines Unternehmens beitragen. In der Schulung können auch Regeln für den Umgang mit sensiblen Daten, die Genehmigung von Zahlungen und die Überprüfung von Anfragen vor deren Bearbeitung festgelegt werden.