Veröffentlicht: Dienstag, 01.06.2021

Smishing: Tückische Paketankündigung mit Malware im Schlepptau

Authors

Name

André Pikart

Mail

marketing@aconitas.com

Internet-Einkauf wird immer beliebter.

Parallel ruft der florierende Onlinehandel und Paket-Boom Internetkriminelle auf den Plan, die gegenwärtig gerne mit gefälschten Textnachrichten in SMS-Form, die Unachtsamkeit, die Ahnungslosigkeit und die Arglosigkeit der Personen ausnutzen, um persönliche und geschäftskritische Daten abzugreifen oder Schadsoftware zu verteilen. Der Betrug mit dem Namen Smishing kann dabei alle treffen. Deswegen wirkt vor allem eines: Aufklärung und Sensibilisierung für Smishing-Gefahren.

„Ihr Paket wurde verschickt – für die Sendungsverfolgung klicken Sie auf diesen Hyperlink!“

Paketankündigungen haben etwas Magisches an sich: Treffen die Nachrichten erst einmal ein, können es die überwiegende Zahl der Menschen kaum erwarten, die Bestellung endlich in den Händen zu halten.

Ebenso Internetkriminelle machen sich den florierenden Onlinehandel und Paket-Boom für ihre kriminellen Machenschaften zu Nutze. Eine Betrugsmasche, die dabei in unserem Land mehr und mehr an Beliebtheit gewinnt, ist Smishing.

Beim so bekannten Smishing dreht es sich um eine abgewandelte Form von Phishing, bei der vorwiegend gefälschte Textnachrichten in SMS-Form zur Anwendung kommen, um persönliche und geschäftskritische Informationen abzugreifen wie Login-Informationen, Passwörter und Kreditkarteninformationen oder um Malware zu verbreiten.

Entsprechend einer Meldung von Spiegel.de hat eine Anti-Betrugs-Arbeitsgruppe der Mobilfunkanbieter von Januar bis März dieses Jahres schon 200.000 Fälle registriert, die trotz aller Warnungen diverser Polizeidienststellen und Landeskriminalämtern wie zum Beispiel das Landeskriminalamt Baden-Württemberg oder das Landeskriminalamt Bayern sowie dem Bundesamt für Sicherheit in der Informationstechnik deutschlandweit und anbieterübergreifend auf die Phishing-SMS im Namen namhafter Versanddienstleister hereingefallen sind.

Kleiner Klick, großer Schaden!

Egal ob auf dem heimischen Sofa, im Zug, im Café, am Flughafen oder sogar im Park – Mobiltelefone sind omnipräsent und zu einem stetigen Wegbegleiter unserer modernen Gesellschaft geworden.

Allein hierzulande haben mittlerweile laut Bitkom circa 56 Millionen Menschen ab 16 Jahren ein Smartphone.

Deshalb ist es auch nicht verwunderlich, dass sich Internetkriminelle umorientieren und ihre Angriffe gehäuft auf mobile Endgeräte wie Smartphone und Tablets ausweiten.

Während traditionelle Phishing-Angriffe in der Regel per E-Mail erfolgen, vertrauen Internetkriminelle beim Smishing mit Vorliebe auf den Kurznachrichtendienst, auch bezeichnet als Short Message Service oder SMS.

Die Verfahrensweise beim SMS-Betrug ist denkbar leicht:

Internetkriminelle verschicken im Namen bekannter Unternehmen gefälschte SMS-Nachrichten an willkürliche Empfänger und fordern sie unter falschem Vorwand auf, einer Web-Adresse zu folgen und anschließend eine App zu installieren. Wird diese installiert, wird in der Regel eine Schadsoftware heruntergeladen, die nicht nur den Angreifern Zugang auf das Smartphone ermöglicht, sondern auch sämtliche Login-Daten ausliest, teure SMS versendet oder das Telefon sperrt, um anschließend für die Entsperrung Lösegeld zu fordern.
Eine andere heimtückische Methode beim Smishing ist das Weiterleiten des Opfers auf ein Formular, um beispielsweise Zugangsdaten fürs Internet-Banking oder sonstige Konto-/ Kreditkarteninformationen abzugreifen. Typischerweise vermelden die Angreifer Sicherheitsprobleme, die die unmittelbare Übertragung der persönlichen Informationen notwendig machen würden, um die ganzen Funktionen eines Dienstes weiterhin nutzen zu können.
Gleichfalls sehr beliebt ist die Verfahrensweise, bei der sich Internetkriminelle als Beschäftigte vom Kundendienst ausgeben. Bei dieser Smishing-Betrugsmasche bekommen die Opfer eine Textnachricht mit dem Aufruf, sich über die angegebene Nummer an den Kundensupport zu wenden. Angesichts der Masche, sich als Support-Mitarbeiter auszugeben, existiert eine höhere Glaubwürdigkeit, wodurch die Opfer bereitwillig vertrauliche Daten herausgeben.

Verbessern Sie Ihre IT-Sicherheit durch Aufklärung und Sensibilisierung!

Durch die wachsende Verbreitung und Verwendung von Smartphones und alternativen mobilen Endgeräten gestaltet sich Smishing zu einem ernstzunehmenden Konsumenten- und Unternehmensrisiko. Die positive Botschaft ist, dass Sie mit simplen Maßnahmen Ihre Firma, Ihre Beschäftigten und Ihre Informationen wirkungsvoll vor Smishing-Angriffe beschützen können.

Grundsätzlich bedeutet das jedoch: Klicken Sie keinesfalls auf Links aus dubiosen Quellen und eliminieren Sie die Meldung sofort nach Erhalt!

Zu den weiteren Methoden gehören

1.Smishing-Angriff identifizieren:

Unbekannte Nummer des Versenders
Grammatikfehler und Rechtschreibfehler
Merkwürdige Formatierung
Unpersönliche oder außergewöhnliche Anrede

2. Inhalt auf Plausibilität überprüfen:

Weder Kreditinstitute noch Anbieter oder andere Stellen und Institutionen verschicken SMS-Nachrichten um Anmeldeinformationen, Passwörter oder Kontoinformationen einzuholen. Erhalten Sie eine Kurznachricht mit solch einer Aufforderung, hilft es, bei der Bank, beim Anbieter oder dem Unternehmen anzurufen, um zu verifizieren, ob die Meldung tatsächlich von dort kommt.

3. IT-Sicherheitsschulungen durchführen:

Durch häufige IT-Sicherheitsschulungen können Sie das Sicherheitsbewusstsein ihrer Arbeitnehmer stärken. Damit sind sie in der Situation mögliche Smishing-Angriffe zu identifizieren, zu verhindern und zu melden.

4. Smishing-Angriff bekanntgeben:

Wenn Sie einen Smishing-Angriff registrieren, haben Sie bei der Bundesnetzagentur die Gelegenheit, die Smishing-Attacke zu melden.

5. Sicherheitslösungen und Sicherheitsupdates einrichten:

Neben der Installation einer Antivirensoftware sollten Sie sowohl ihr Betriebssystem als auch sämtlich Apps immer auf dem aktuellsten Stand halten. Denn häufig werden durch Aktualisierungen vor kurzem entdeckte Sicherheitslücken beseitigt, die von potenziellen Angreifern genutzt werden könnten.

6. Geschicktes Speichern:

Speichern Sie auf keinen Fall Ihre Kreditkarten- noch Ihre Banking-Daten auf Ihrem Handy ab.

Sollten Sie oder Ihre Beschäftigten doch unabsichtlich auf den Link geklickt haben oder unter Umständen schon Applikationen installiert haben, rät das Bundesamt für Sicherheit in der Informationstechnik noch dazu:

Das Smartphone in den Flugmodus zu bringen, um weiteren SMS-Versand und eine mögliche Kommunikation der Malware mit weiteren Geräten und den Datenabfluss zu verhindern.
Den Mobilfunkanbieter zu unterrichten.
Das Bankkonto und andere Bezahlsysteme auf Abbuchungen zu überprüfen.
Strafanzeige bei der örtlichen Polizeidienststelle zu erstatten.
Das Handy auf Werkseinstellungen zurückzusetzen

Wissen ist der ideale Schutz!

Smartphones, Tablets und Co. werden als Angriffsziel für Internetkriminelle laufend interessanter. Smishing ist mittlerweile mit Bestimmtheit eines ihrer beliebtesten Angriffsmethoden, um auf mobilen Endgeräten vertrauliche Daten, Passwörter und weitere Zugangsdaten abzugreifen oder um Malware einzuschleusen und zu verbreiten. Der beste Weg, Unternehmen und Mitarbeiter vor derartigen Smishing-Attacken zu bewahren, sind regelmäßige IT-Sicherheitsschulungen und Sensibilisierungsmaßnahmen.

Denn wie Sie schließlich wissen, sind aufgeklärte und gut geschulte Mitarbeiter ein relevanter, wenn nicht der bedeutsamste Gegenstand einer wirksamen Sicherheitsstrategie. Ferner sollten Betriebe innovative Sicherheitslösungen umsetzen, um die mobile Sicherheit zu erhöhen.
Falls Sie noch Fragen zur Thematik Smishing, zu unseren Dienstleistungen im Bereich IT-Sicherheit oder unseren Sicherheitslösungen haben, nehmen Sie gerne Kontakt zu uns auf.

IT-Services

Man-in-the-Middle-Attacke: Was ist das und wie funktioniert es?

Angriff ist die beste Verteidigung!

Communication

Information

Passwort-Management für Unternehmen

Über uns

Dein Job in der IT. Starte jetzt deine Karriere bei aconitas

Karriere bei aconitas

Tim Starke