Smishing: Mobiltelefone im Visier von Internetkriminellen

Online-Shopping wird immer populärer.

Zeitgleich ruft der florierende Onlinehandel und Paket-Boom Internetkriminelle auf den Plan, die gegenwärtig bevorzugt mit gefälschten Textnachrichten in SMS-Form, die Achtlosigkeit, die Kenntnislosigkeit und die Arglosigkeit der Menschen ausnutzen, um persönliche und geschäftskritische Daten abzugreifen oder Malware zu verteilen. Der Betrug mit dem Namen Smishing kann dabei jeden treffen. Deshalb wirkt vor allem eines: Aufklärung und Sensibilisierung für Smishing-Gefahren.

„Ihr Päckchen wurde versandt – zur Sendungsverfolgung klicken Sie auf diesen Hyperlink!“

Lieferankündigungen haben etwas Magisches an sich: Treffen die Nachrichten erst einmal ein, können es die überwiegende Zahl der Personen kaum erwarten, die Ware endlich in den Händen zu halten.

Auch Internetkriminelle machen sich den florierenden Onlinehandel und Paket-Boom für ihre kriminellen Hinterlistigkeiten zu Nutze. Eine Betrugsmasche, die dabei national zunehmend an Popularität gewinnt, ist Smishing.

Beim so bezeichneten Smishing dreht es sich um eine abgewandelte Art von Phishing, bei der vorwiegend gefälschte Textnachrichten in SMS-Form zum Einsatz kommen, um ganz persönliche und geschäftskritische Daten abzugreifen wie Login-Daten, Passwörter und Kreditkarteninformationen oder um Schadsoftware zu verteilen.

Zufolge einer Nachricht von Spiegel.de hat eine Anti-Betrugs-Arbeitsgruppe der Mobilfunkanbieter von Januar bis März dieses Jahres schon 200.000 Fälle registriert, die ungeachtet aller Warnungen etlicher Polizeidienststellen und Landeskriminalämtern wie beispielsweise das Landeskriminalamt Baden-Württemberg oder das Landeskriminalamt Bayern sowie dem Bundesamt für Sicherheit in der Informationstechnik landesweit und anbieterübergreifend auf die Phishing-Kurznachricht im Namen namhafter Versanddienstleister hereingefallen sind.

Kleiner Klick, imenser Schaden!

Ob auf dem eigenen Sofa, im Zug, im Lokal, am Flughafen oder sogar im Park – Handys sind allgegenwärtig und zu einem dauerhaften Wegbegleiter unserer modernen Gesellschaft geworden.

Allein hierzulande besitzen inzwischen gemäß Bitkom circa 56 Millionen Personen ab 16 Jahren ein Smartphone.

Aus diesem Grund ist es auch nicht verwunderlich, dass sich Internetkriminelle umorientieren und ihre Angriffe verstärkt auf mobile Endgeräte wie Smartphone und Tablets ausdehnen.

Während herkömmliche Phishing-Angriffe oft per E-Mail stattfinden, setzen Internetkriminelle beim Smishing mit Vorliebe auf den Kurznachrichtendienst, auch bekannt als Short Message Service oder SMS.

Die Vorgehensweise beim SMS-Betrug ist denkbar simpel:

o Internetkriminelle verschicken im Namen angesehener Firmen gefälschte Textnachrichten an willkürliche Empfänger und fordern sie unter falschem Vorwand auf, einer Web-Adresse zu folgen und danach eine App zu installieren. Wird diese installiert, wird meist eine Schadsoftware heruntergeladen, die nicht nur den Angreifern Zugriff auf das Mobilfunktelefon ermöglicht, sondern auch sämtliche Login-Informationen ausliest, teure SMS versendet oder das Telefon sperrt, um danach für die Entsperrung Lösegeld zu fordern.

o Eine andere perfide Verfahrensweise beim Smishing ist das Weiterleiten des Opfers auf ein Formular, um zum Beispiel Zugangsdaten fürs Online-Banking oder andere Konto-/ Kreditkarteninformationen abzugreifen. In der Regel vermelden die Angreifer Sicherheitsprobleme, die die unverzügliche Übertragung der persönlichen Daten erforderlich machen würden, um die ganzen Funktionen eines Dienstes weiterhin nutzen zu können.

o Ebenfalls sehr geschätzt ist die Vorgehensweise, bei der sich Internetkriminelle als Beschäftigte vom Support ausgeben. Bei dieser Smishing-Betrugsmasche bekommen die Opfer eine SMS-Nachricht mit dem Aufruf, sich über die angegebene Telefonnummer an den Support zu wenden. Angesichts der Betrugsmasche, sich als Kundenservice-Mitarbeiter auszugeben, besteht eine höhere Glaubwürdigkeit, wodurch die Opfer gern sensible Daten herausgeben.

Verbessern Sie Ihre IT-Sicherheit durch Beratung und Sensibilisierung!

Durch die wachsende Verbreitung und Nutzung von Mobiltelefonen und alternativen mobilen Endgeräten entwickelt sich Smishing zu einem ernstzunehmenden Konsumenten- und Unternehmensrisiko. Die positive Nachricht ist, dass Sie mit simplen Maßnahmen Ihre Firma, Ihre Beschäftigten und Ihre Informationen wirkungsvoll vor Smishing-Angriffe schützen können.

Prinzipiell heißt das jedoch: Klicken Sie auf gar keinen Fall auf Links aus dubiosen Quellen und eliminieren Sie die Nachricht umgehend nach Empfang!

Zu den weiteren Methoden zählen:

1. Smishing-Attacke identifizieren:
Erhalten Sie wichtige Sicherheitswarnungen, ablaufende Sonderangebote oder Deals, die Druck aufbauen und eine direkte Aktion erfordern, handelt es sich sehr wahrscheinlich um eine Phishing-Short Message.

Obendrein lässt sich eine Phishing-Kurznachricht an verschiedenen visuellen Unstimmigkeiten identifizieren:

o Nicht bekannte Telefonnummer des Absenders
o Grammatikfehler und Rechtschreibfehler
o Verwirrende Formatierung
o Unpersönliche oder außergewöhnliche Anrede

2. Inhalt auf Plausibilität überprüfen:
Weder Kreditinstitute noch Händler oder andere Stellen und Institutionen verschicken SMS-Nachrichten um Anmeldeinformationen, Passwörter oder Kontoinformationen einzuholen. Bekommen Sie eine Short Message mit solch einer Aufforderung, hilft es, bei der Bank, beim Händler oder dem Betrieb anzurufen, um zu revidieren, ob die Benachrichtigung wirklich von dort kommt.

3. IT-Sicherheitsschulungen umsetzen: Durch häufige IT-Sicherheitsschulungen können Sie das Sicherheitsbewusstsein ihrer Angestellten stärken. Hierdurch sind sie in der Lage mögliche Smishing-Angriffe zu identifizieren, zu verhindern und zu melden.

4. Smishing-Attacke bekanntgeben: Wenn Sie einen Smishing-Angriff bemerken, haben Sie bei der Bundesnetzagentur die Gelegenheit, den Smishing-Angriff zu melden.

5. Sicherheitslösungen und Sicherheitsupdates einrichten: Neben der Installation einer Antivirensoftware sollten Sie sowohl ihr Betriebssystem als auch sämtlich Applikationen jederzeit auf dem neuesten Stand halten. Denn häufig werden durch Updates vor kurzem bemerkte Sicherheitslücken beseitigt, die von etwaigen Angreifern genutzt werden könnten.

6. Geschicktes Speichern: Speichern Sie auf keinen Fall Ihre Kreditkarten- noch Ihre Banking-Informationen auf Ihrem Mobiltelefon ab.

Sollten Sie oder Ihre Angestellten doch versehentlich auf den Hyperlink geklickt haben oder unter Umständen schon Applikationen installiert haben, rät das Bundesamt für Sicherheit in der Informationstechnik außerdem:

1. Das Handy in den Flugmodus zu setzen, um weiteren SMS-Versand und eine eventuelle Kommunikation der Malware mit anderen Geräten und den Datenabfluss zu unterbinden.
2. Den Mobilfunkanbieter zu kontaktieren.
3. Das Konto und andere Bezahlsysteme auf Abbuchungen zu kontrollieren.
4. Strafanzeige bei der lokalen Polizeidienststelle zu erstatten.
5. Das Smartphone auf Werkseinstellungen zurückzusetzen

Wissen beschützt!

Smartphones, Tablets und Co. werden als Angriffsziel für Internetkriminelle stets interessanter. Smishing ist inzwischen ohne Zweifel eines ihrer angesagtesten Angriffsmethoden, um auf mobilen Endgeräten vertrauliche Informationen, Passwörter und weitere Zugangsdaten abzugreifen oder um Schadsoftware einzuschleusen und zu verteilen. Der beste Weg, Betriebe und Angestellte vor derartigen Smishing-Angriffsversuchen zu bewahren, sind häufige IT-Sicherheitsschulungen und Sensibilisierungsmaßnahmen.

Denn wie Sie bekanntlich wissen, sind aufgeklärte und gut geschulte Beschäftigte ein wichtiger, wenn nicht der wichtigste Bestandteil einer wirkungsvollen Sicherheitsstrategie.

Ferner sollten Firmen innovative Sicherheitslösungen umsetzen, um die mobile Sicherheit zu erhöhen.
Falls Sie noch Fragen zur Thematik Smishing, zu unseren Dienstleistungen im Bereich IT-Sicherheit oder unseren Sicherheitslösungen haben, nehmen Sie gerne Kontakt zu uns auf.