E-Mail-Sicherheit

    Smishing (SMS-Phishing): Definition, Beispiele und Möglichkeiten zur Vorbeugung

    Wie unterscheidet sich Smishing von herkömmlichen Phishing-Angriffen, und wie können Sie verhindern, dass Sie in die Smishing-Falle tappen?

    by Giulian Garruba
    58BLOG_1.jpg

    Wichtige Punkte

    • Smishing-Angriffe zielen auf Ihr Smartphone oder Tablet ab, genauso wie Phishing auf Ihre E-Mails.
    • SMS gehören zu den beliebtesten Kommunikationsformen der Welt und sind daher ein attraktives Ziel für bösartige Angriffe.
    • Unter dem Deckmantel eines vertrauenswürdigen Kontakts, einer Website oder sogar einer staatlichen Behörde werden Sie durch Smishing-Angriffe gezwungen, vertrauliche Informationen bereitwillig preiszugeben.

    Die Definition von Smishing ist trotz des leicht humorvollen Namens klar, wenn man eine Kombination aus zwei Wörtern betrachtet, die den meisten Menschen bereits bekannt sind - SMS und phishing. Leider gibt es nichts zu lachen, denn die ruchlose Praxis des Smishings verleitet unzählige Nutzer dazu, sensible Daten per SMS an Cyberangreifer weiterzugeben.

    Vereinfacht gesagt, zielt ein Smishing-Angriff auf Ihr Smartphone oder Tablet ab, genauso wie Phishing auf Ihre E-Mail. Doch wie laufen diese Angriffe ab, wodurch unterscheiden sie sich von herkömmlichen Phishing-Angriffen und wie können Sie verhindern, dass Sie in die Smishing-Falle tappen?

    Hier erfahren Sie alles, was Sie über SMS-Phishing wissen müssen und wie Sie eine bösartige SMS erkennen können, bevor Sie vertrauliche Informationen weitergeben.

    Was ist Smishing? 

    Smishing funktioniert in der Regel auf eine von zwei Arten.

    • Versenden einer SMS an den Empfänger mit der Bitte um sensible Informationen.
    • Versenden einer SMS-Nachricht an einen Empfänger, die einen bösartigen Link enthält.

    Die SMS gehört heute zu den beliebtesten Kommunikationsformen der Welt. Die schiere Anzahl der versendeten Nachrichten bedeutet, dass Cyberangreifer sie als Ziel für bösartige Angriffe auf Unternehmen und Privatpersonen ausgemacht haben. Das bedeutet, dass Smishing ein äußerst lukratives Betätigungsfeld für Cyberangreifer ist.

    Viele Menschen sind sich bereits des E-Mail-Phishings bewusst, aber angesichts der Milliarden von Smartphones und Tablets, die im Einsatz sind, sind sich nur wenige der gleichen Bedrohung bewusst, die von Smishing ausgeht. Das liegt oft daran, dass SMS-Phishing relativ neu ist, und da wir dem Medium vertrauen, spielen wir in der Regel jeden Verdacht herunter, den wir angesichts des Schadens, den eine SMS anrichten kann, hegen könnten.

    Hinzu kommt die Tatsache, dass Smishing-Nachrichten den informellen Sprachgebrauch in diesem Medium imitieren sollen, damit Sie sich wohl genug fühlen, um auf einen Link zu klicken oder Informationen zu teilen.

    Wie unterscheidet sich Smishing von Phishing-Angriffen? 

    Der Hauptunterschied zwischen einem Smishing-Betrug und einem Phishing-Angriff besteht darin, dass sie über verschiedene Plattformen durchgeführt werden. Phishing-Betrügereien werden immer per E-Mail verschickt, die in der Regel ausgefeilter ist, da sie mehr irreführende Informationen und sogar bösartige Links in Bildern oder Texten enthalten kann.

    Smishing-Angriffe sind jedoch nicht weniger gefährlich, da sie unser Vertrauen und unsere Vertrautheit mit der Plattform und ihrem sofortigen Antwortformat ausnutzen, um uns dazu zu verleiten, sensible Informationen ohne viel Nachdenken weiterzugeben.

    Wie ein Smishing-Angriff funktioniert 

    Unter dem Deckmantel einer vertrauenswürdigen Quelle, vielleicht einer Kontaktperson, einer von Ihnen regelmäßig genutzten Website oder sogar einer staatlich kontrollierten Behörde, werden Sie möglicherweise gezwungen, sensible Informationen bereitwillig weiterzugeben, wenn Sie auf eine bösartige SMS antworten. Oft wird eine Frist gesetzt, die Sie auffordert, sofort zu reagieren, und Sie erhalten möglicherweise weitere Textnachrichten, in denen Sie darauf hingewiesen werden, dass die Zeit zur Lösung des Problems abläuft.

    Diese Art von Druck verleitet die Benutzer oft dazu, geringfügigen Forderungen nachzukommen, selbst wenn nur ein Bruchteil der weitergegebenen Informationen für Cyberangreifer ausreicht, um Zugang zu wichtigeren Geräten, Netzwerken und Daten zu erhalten. Der Cyberangreifer kann auch versuchen, mehr Vertrauen zu schaffen, damit Sie im Laufe der Zeit mehr Informationen weitergeben.

    Sie können aber auch dazu verleitet werden, Malware auf Ihr Gerät herunterzuladen, die unbemerkt Daten sammelt. Schließlich könnten Sie auch dazu verleitet werden, auf einen Link zu klicken, über den vertrauliche Informationen abgefragt werden, die dann an Cyberkriminelle weitergeleitet werden.

    Letztendlich werden alle diese Anfragen in Ihrem SMS-Posteingang wie jede andere Nachricht erscheinen, so dass es schwierig ist, sich auf einen Smishing-Angriff vorzubereiten, es sei denn, Sie sind sich der Gefahr bereits bewusst.

    Was profitiert ein Smisherman von einer Smishing-Attacke?

    Wie alle böswilligen Akteure im Cybersicherheitsbereich suchen auch Smishers nach Schwachstellen, um diese auszunutzen und an persönliche Daten zu gelangen, entweder durch einfache, aber betrügerische Anfragen nach Informationen oder durch die Verwendung von Malware, die auf Ihrem Gerät installiert ist.

    Diese Daten können verwendet werden, um Ihre Identität zu stehlen, sich Zugang zu Passwörtern zu verschaffen, Profile von Benutzergewohnheiten zu erstellen und das Benutzerverhalten zu verfolgen. Unterm Strich ist es jedoch so, dass Cyberangreifer in der Regel darauf abzielen, Geld zu stehlen, sei es durch das Hacken von Bank- oder Kreditkartenkonten oder durch das Erpressen von wichtigen Daten.

    Anzeichen dafür, dass Sie belächelt werden 

    Das Erkennen der Anzeichen für einen mutmaßlichen Angriff lässt sich am besten anhand einer Reihe von Smishing-Beispielen veranschaulichen.

    Ersuchen um Weitergabe von Berechtigungsnachweisen

    Dies ist vielleicht die häufigste Art von Smishing-Betrug, da sie für den Endbenutzer in der Regel am glaubwürdigsten ist. Wenn Sie z. B. eine SMS erhalten, in der nach persönlichen Daten wie Benutzernamen oder Passwörtern gefragt wird, ist das sofort ein Warnsignal.

    In der Regel geben sich Smishing-Angreifer als Bank oder eine andere seriöse Quelle aus, um den Anschein von Seriosität zu erwecken. Es kann sogar der Eindruck entstehen, dass Ihr Konto kompromittiert wurde und Ihre Daten benötigt werden, um betrügerische Aktivitäten zu unterbinden. Leider ist die Realität, dass die SMS der Betrug ist.

    Auch vermeintlich vertrauenswürdige Quellen können Sie auffordern, einem Link zu folgen, um Informationen einzugeben, oder sogar eine Telefonnummer anzurufen, unter der ein Mitarbeiter des Kundendienstes "" Ihre Angaben entgegennimmt. In jedem Fall bedeutet die Preisgabe wichtiger Informationen einen Erfolg für den Angreifer.

    Anfragen zum Herunterladen von Software

    Eine andere Art von SMS-Phishing-Angriff erfolgt in Form einer Aufforderung, Software, Apps oder Updates auf Ihr Gerät herunterzuladen. Sobald die Malware installiert ist, arbeitet sie innerhalb Ihres bestehenden Betriebssystems, steuert bestimmte Funktionen und sammelt sensible Informationen und Daten.

    Diese Art des Smishings führt häufig zu gekaperten Geräten, die Cyberangreifer zum Mining von Kryptowährungen nutzen können. Obwohl in der Regel nur ein kleiner Teil Ihrer Rechenleistung mit dieser Tätigkeit beschäftigt ist, kann dies zu einer Überlastung der Geräte führen und diese unbrauchbar machen.

    Ersuchen um Geldüberweisung

    Jede SMS, die zu einer Geldüberweisung auffordert, sollte sofort aufhorchen lassen. Allerdings sind SMS-Phishing-Angriffe in den letzten zehn Jahren immer raffinierter geworden. Sie verlassen sich nicht mehr auf den nigerianischen Prinzen, der Millionen verspricht, sondern geben sich meist als jemand aus, den Sie kennen.

    Cyberangreifer können über Ihre sozialen Medien Informationen über die Ihnen nahestehenden Personen sammeln und sich sogar deren Telefonnummer aneignen, um eine Krise vorzutäuschen, die nur mit Bargeld gelöst werden kann. Selbst wenn nur ein kleiner Betrag verlangt wird, bedeutet die schiere Anzahl von Smishing-Betrügereien, dass die Cyberangreifer wahrscheinlich viel Geld erbeuten werden.

    Oder die Betrüger geben sich als Mitarbeiter einer Wohltätigkeitsorganisation aus und nutzen den guten Willen der Menschen aus, um an nicht existierende Wohltätigkeitsorganisationen zu spenden.

    Wie man Smishing-Angriffe verhindert

    Smishing-Angreifer verwenden eine breite Palette von Methoden, um Sie per SMS um Geld oder Daten zu betrügen, und die beste Vorbeugung und der beste Schutz besteht darin, zu wissen, worauf man achten muss. Im Allgemeinen gibt es eine Reihe von Anzeichen, die Sie auf einen Smishing-Angriff aufmerksam machen. Erinnern Sie sich: 

    • Lassen Sie sich nicht dazu verleiten, auf zeitkritische Anfragen aus unbekannten Quellen zu reagieren.
    • Seien Sie vorsichtig bei eingebetteten Links, insbesondere von Nicht-Kontaktpersonen.
    • Überprüfen Sie die Nummer, von der Sie die Nachricht erhalten, und antworten Sie nicht per SMS, wenn sie erkennbar zu sein scheint, Sie aber einen Verdacht haben.
    • Speichern Sie keine Karten, Bankdaten oder andere wichtige Informationen auf Ihrem Telefon, da Malware darauf zugreifen könnte.
    • Banken und andere Behörden werden Sie nicht auffordern, sensible Daten per SMS zu bestätigen. Dies ist ein sofortiges Warnsignal.
    • Suchen Sie nach fortschrittlichen Tools, die verdächtige Aktivitäten auf Ihren Geräten erkennen können.

    Die Quintessenz: Smishing-Angriffe 

    Mit der zunehmenden Nutzung von Smartphones steigt auch die Anzahl und Raffinesse der Smishing-Angriffe. Daher sind Wachsamkeit und Aufklärung über ihre Entwicklung der Schlüssel zur Vermeidung dieser Art von bösartigen Aktivitäten. Außerdem kann die Meldung von SMS-Phishing-Angriffen an Ihren Netzbetreiber dazu beitragen, weitere Angriffe in Zukunft zu verhindern. 

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang