SMiShing (Kurzform für SMS Phishing) ist eine Sicherheitsbedrohung, die sich immer mehr ausbreitet. Dabei werden Textnachrichten auf dem Mobiltelefon (SMS verwendet, um die Opfer zu einer bestimmten Handlung zu verleiten.
Warum Smishing?
Menschen neigen manchmal dazu, einer Textnachricht mehr zu vertrauen als einer E-Mail. Die Leute sind sich der Sicherheitsrisiken bewusst, die mit dem Anklicken von Links in E-Mails verbunden sind, bei Textnachrichten gilt dies aber weniger.
Smishing ist besonders attraktiv für den Angreifer, denn es ist eine kostengünstige Angriffsform. Ein VOIP-Server, ein Burner Handy und eine Spoofing-Methode genügen, um gezielte Textnachrichten zu versenden. Mit Anwendungen wie BurnerApp und SpoofCard ist es einfach und billig, eine gefälschte Nummer zu kaufen.
Wo liegen die Risiken beim Smishing?
Smishing kann dazu führen, dass Sie eine bösartige Website besuchen oder eine betrügerische Telefonnummer anrufen. Das häufigste Risiko ist das Herunterladen eines Trojaners (Malware). Solch ein rojanisches Pferd kann das Gerät in einen Zombie verwandeln, so dass es von Hackern kontrolliert werden kann. Zombie-Geräte sind Teil von Botnets, die zum Starten von Denial-of-Service-Angriffen, Versenden von Spam, etc. verwendet werden.
Szenario aus dem richtigen Leben #1
Informationen aktualisieren, um das Sperren eines Benutzerkontos zu verhindern.
Szenario aus dem richtigen Leben #2
Opt-out oder Gebühren zahlen müssen
“Hallo Anwender,
auf Grund der neuen Stromversorgungsverordnung werden Ihnen zukünftig 25 Euro pro Woche berechnet. Falls Sie dies verhindern möchten, besuchen Sie bitte www.smished.out (Beispiellink)
Mit freundlichen Grüßen
Ihr Stromversorger”
Szenario aus dem richtigen Leben #3
Kostenlose Gutscheine erhalten
“Hallo Kunde,
Aldi bietet Ihnen einen Gutschein von 65 Euro auf Ihren nächsten Aldi Einkauf. Bitte registrieren Sie sich auf www.smished.com (Beispiellink), und sichern Sie sich frühzeitig diesen Gutschein.“
Ein Beispiel für eine automatisierte Aufforderung im Zusammenhang mit solchen SMiShing-Attacken finden Sie hier.
Wie erkennen Sie Smishing?
Eine SMS, die Sie von einer Telefonnummer erhalten, die nicht wie eine Telefonnummer aussieht, z.B. ‚0420‘ – könnte ein Anzeichen dafür sein, dass die Textnachricht in Wirklichkeit nur eine E-Mail ist, die an ein Telefon gesendet wurde.
Eine weitere Methode ist das Telefonnummern-Spoofing. Dabei wird die Textnachricht auf einem bestehenden Thread mit echten Nachrichten von der Bank, einem Laden,….etc. angezeigt. Flash-SMS-Nachrichten, die hauptsächlich dazu dienen, die Aufmerksamkeit der Empfänger sofort zu erregen (z.B. für Notfallwarnungen, Verkehrswarnungen – oder zum Empfang von Einmal-Passwörtern, …usw.), werden ebenfalls von Angreifern verwendet.
Das häufigste Merkmal von Smishing ist ein “falsche Gefühl an Dringlichkeit”, eine Taktik, um Schrecken zu verbreiten, mit der Angreifer die Opfer zum Handeln verlocken.
Wie Sie sich vor Smishing schützen?
- Klicken Sie nicht auf Links, die Sie auf Ihrem Handy erhalten, es sei denn, Sie kennen die Person, von der sie stammen. Auch wenn Sie eine Textnachricht mit einem Link von einem Freund erhalten, sollten Sie diese zuerst mit dem Absender verifizieren, bevor Sie auf den Link klicken.
- Installieren Sie niemals Anwendungen aus Textnachrichten. Verwenden Sie immer den offiziellen App Store für die Installation von Apps. Dieser verfügt über strenge Testverfahren, um Malware und andere bekannte Bedrohungen herauszufiltern.
- Geben Sie niemals persönliche oder finanzielle Informationen weiter. Wenn möglich, blockieren Sie auch die verdächtige Nummer.
- Fühlen Sie sich nicht gezwungen, auf eine Nachricht oder einen Anruf zu antworten. Seriöse Organisationen geben Ihnen immer Zeit, um zu reagieren. Nur gültige Nummern anrufen (die Nummer Ihrer Bank finden Sie z.B. auf der Rückseite Ihrer EC- oder Kreditkarte).
- Im Allgemeinen sollten Sie einfach nicht auf Textnachrichten von Leuten antworten, die Sie nicht kennen. Dies ist der beste Weg, um sicher zu bleiben.
Fast alle Textnachrichten, die Sie erhalten, werden in Ordnung sein. Es bedarf allerdings nur einer „schlechten“ Nachricht, um Ihre Sicherheit zu kompromittieren!
[maxbutton id=”25″ url=”https://mailfence.com/#register” ]
Mailfence ist ein sicherer und vertraulicher E-Mail-Service.
