Smishing
15. Juli 2022

Smishing: Was steckt hinter dem Phishing per SMS?

Smishing gehört zu den häufigsten Cyberangriffen. Kriminelle nutzen die Methode des SMS-Phishings, um sensible Daten zu erschleichen. Hierbei erfolgt über eine scheinbar vertrauenswürdige Absenderadresse eine direkte Kontaktaufnahme zum Opfer. Dieses wird dann dazu gebracht, vertrauliche Informationen herauszugeben. Beim Smishing nutzen die Kriminellen dabei den Kommunikationsweg via SMS. Die Opfer erhalten eine Nachricht von einem scheinbar seriösen Unternehmen. In der Regel dient die SMS dazu, Kreditkarteninformationen oder Login-Daten zu Onlineshops oder anderen Services zu stehlen.

Was ist Smishing?

Der Begriff „Smishing“ (Kontamination aus „SMS“ und „Phishing“) bezeichnet Textnachrichten, die Cyberkriminelle bzw. Hacker verschicken. Sie stammen vermeintlich von renommierten und seriösen Einrichtungen wie beispielsweise der Bank oder einem bekannten Logistik-Unternehmen und sind darauf ausgerichtet, persönliche oder finanzielle Informationen abzufragen.   

Als Cyberattacke zielt das Smishing typischerweise auf die Nutzung von mobilen Endgeräten. Die Kurznachrichten enthalten Anhänge oder schädliche Links. Diese sollen durch die Empfangenden geöffnet oder aufgerufen werden. Besonders häufig nutzen Cyberkriminelle Schadsoftware, die sich selbstständig auf dem Smartphone installiert. Sie ähnelt einer seriösen App, dient aber tatsächlich dazu, die gewünschten Informationen für die Cyberkriminellen abzufragen. 

Das Smishing unterscheidet sich von zahlreichen anderen Angriffsmethoden wie zum Beispiel Baiting, Spear-Phising oder Ransomware ab. In Unternehmen und Organisationen ist eine funktionierende Informationssicherheit wichtig, um Bedrohungen und Schäden durch Cyberangriffe frühzeitig abzuwehren. Dies ist nur möglich, wenn Angriffsversuche so früh wie möglich identifiziert werden. Voraussetzung dafür ist eine entsprechende Schulung der Belegschaft. lawpilots bietet dazu passende Online-Schulungen im Bereich der Informationssicherheit an. Zusätzliches Wissen erhalten Sie auch in unserem kostenlosen Whitepaper „Cyberangriffe verhindern“.

Was ist das Ziel von SMS-Phishing?

Smishing zielt auf den Zugriff von persönlichen Daten ab. Diese werden benötigt, um beispielsweise die Identität des Opfers nachzuahmen bzw. zu stehlen. Eine andere Möglichkeit ist der direkte Zugang zum Online-Banking-Konto (sogenanntes Bank Smishing).

Besonders das Bank Smishing hat in der Praxis überdurchschnittlich oft Erfolg. Dies liegt nicht zuletzt daran, dass Finanzinstitute tatsächlich SMS-Nachrichten bei ungewöhnlichen oder verdächtigen Kontobewegungen versenden. Als Sofortmaßnahme empfiehlt sich dann der Login über den Browser oder die entsprechende App. Auf keinen Fall sollten die Adressierten aber die in der Textnachricht enthaltenen Links anklicken.

Wie kann ich Phishing-SMS erkennen?

Phishing-SMS weisen typische Merkmale auf, die es möglich machen, sie als Cyberangriff zu identifizieren. Achten Sie bei Textnachrichten insbesondere auf folgende Auffälligkeiten:

  • die SMS stammt von einer völlig unbekannten Nummer;
  • die Schreibweise der Nachricht weicht deutlich von der gewohnten Schreibweise ab;
  • Sie werden dazu aufgefordert, einem bestimmten Link zu folgen, um eine Bestellung (oder auch einen Gewinn) zu erhalten;
  • die SMS stammt zwar von einer bekannten Nummer, enthält aber einen Link, der Sie angeblich zu einem Online-Fotoalbum führt;
  • die Bank teilt Ihnen in einer SMS mit, dass es sich um einen Notfall handelt und Sie dringend die angegebene Nummer anrufen müssen;
  • ein Paketdienst schickt Ihnen einen Link, über den Sie angeblich eine an Sie adressierte Sendung verfolgen können;
  • die Textnachricht enthält groteske Angebote oder Versprechen, von denen Sie nur profitieren, wenn Sie den in der Nachricht enthaltenen Anweisungen folgen.

Smishing ist für Unternehmen ein zunehmendes Sicherheitsrisiko

Smishing richtet sich keinesfalls nur an Privatpersonen, sondern betrifft immer häufiger auch Unternehmen. Dies lässt sich auch auf die zunehmende Nutzung von Smartphones am Arbeitsplatz zurückführen. Umso wichtiger ist es daher, die Belegschaft entsprechend für die damit verbundenen Gefahren zu sensibilisieren.

Oft sind sich Mitarbeitende der Risiken nicht bewusst und es bedarf entsprechender Schulungen, damit diese in der Lage sind, die IT-Sicherheit jederzeit zu garantieren. lawpilots bietet zu diesem Zweck interaktive E-Learnings zum Thema Informationssicherheit an. Die Online-Schulung „Informationssicherheit für Mitarbeitende“ schult Ihre Belegschaft zum Thema Cyberangriffe und klärt auch über die typischen Eigenarten der speziellen Angriffsarten auf. Die Online-Schulung „Informationssicherheit & Clouddienste“ trainiert Ihre Mitarbeitenden zusätzlich für den sicheren Umgang mit der Cloud.

Was kann ich tun, wenn ich eine Phishing-SMS versehentlich geöffnet habe?

Kommt es trotz aller Vorsichtsmaßnahmen dazu, dass Sie eine Phishing-SMS versehentlich öffnen, ist zeitnahes Handeln gefragt. Je schneller, desto besser: Diese Faustregel gilt besonders dort, wo Cyberkriminelle ihre Opfer erfolgreich täuschen. Gefahr droht immer dann, wenn nicht nur die Textnachricht geöffnet wurde, sondern auch der darin enthaltene Link oder Anhang. 

Wichtig zu wissen: Das einfache Öffnen einer Phishing-Nachricht ist zunächst ohne Risiko, solange Sie nicht auf weiterführende Verlinkungen klicken oder einen Anhang per Download auf das Smartphone herunterladen.

Soforthilfe Smishing

Sind Sie versehentlich einem Link zur Abfrage von Daten gefolgt, können Sie einmal eingegebene Daten nicht mehr zurückrufen. Kontaktieren Sie bei Zugangsdaten zum Online-Banking das Kreditkarteninstitut oder die Bank. Eventuell ist eine Sperrung notwendig. Darüber hinaus ist eine Anzeige bei der Polizei indiziert. 

Haben Sie dagegen einen Anhang heruntergeladen, können Sie davon ausgehen, dass im Hintergrund eine Schadsoftware installiert wurde. Welche das ist und wie diese wirkt, ist unterschiedlich. Schadsoftware kann Daten abgreifen oder auch Dateien verschlüsseln sowie den Datenverkehr manipulieren.

In diesem Fall sollten Sie das Gerät nicht mehr benutzen, bis dieses von der Schadsoftware befreit ist. Dabei helfen Virenschutzprogramme. Unbedingt empfehlenswert ist zudem, Passwörter und Sicherheitsfragen zu ändern. Nur so haben Sie die Möglichkeit, den Zugriff für die Cyberkriminellen zu verhindern.

Fazit

Eine unzureichende IT-Security ist immer das bevorzugte Einfallstor für Cyberkriminelle. Das gilt nicht nur für Smishing-Angriffe, sondern auch für alle anderen Cyberattacken. Je weniger Mitarbeitende geschult sind, umso häufiger können Hacker ihr Ziel erreichen. Lücken in der Informationssicherheit durch fehlendes Wissen sollten daher nachhaltig geschlossen werden, um langfristig Risiken für das Unternehmen auszuschließen.

lawpilots ist Marktführer in E-Learnings zu rechtlich-regulatorischen Themen und schult Ihre Belegschaft zu allen Fragestellungen der IT-Sicherheit und zu wichtigen Themen in den Bereichen Datenschutz, Compliance und Arbeitsschutz. Durch unsere Online-Schulungen stellen Sie sicher, dass Ihre Mitarbeitenden Ihr Unternehmen aktiv vor Schäden und Cyberattacken schützen und digitale Angriffe schon frühzeitig identifizieren. 

22. Juli 2022
Lärm am Arbeitsplatz: Wenn es im Büro zu laut ist
08. Juli 2022
Hitze bei der Arbeit: Wann gibt es hitzefrei für die Belegschaft?
lawpilots GmbH Recht. Einfach. Verstehen. lawpilots bietet innovative & praxisnahe E-Learnings Anonym hat 4,64 von 5 Sternen 2074 Bewertungen auf ProvenExpert.com