Der Begriff „Smishing“ (Kontamination aus „SMS“ und „Phishing“) bezeichnet Textnachrichten, die Cyberkriminelle bzw. Hacker verschicken. Sie stammen vermeintlich von renommierten und seriösen Einrichtungen wie beispielsweise der Bank oder einem bekannten Logistik-Unternehmen und sind darauf ausgerichtet, persönliche oder finanzielle Informationen abzufragen.
Als Cyberattacke zielt das Smishing typischerweise auf die Nutzung von mobilen Endgeräten. Die Kurznachrichten enthalten Anhänge oder schädliche Links. Diese sollen durch die Empfangenden geöffnet oder aufgerufen werden. Besonders häufig nutzen Cyberkriminelle Schadsoftware, die sich selbstständig auf dem Smartphone installiert. Sie ähnelt einer seriösen App, dient aber tatsächlich dazu, die gewünschten Informationen für die Cyberkriminellen abzufragen.
Das Smishing unterscheidet sich von zahlreichen anderen Angriffsmethoden wie zum Beispiel Baiting, Spear-Phising oder Ransomware ab. In Unternehmen und Organisationen ist eine funktionierende Informationssicherheit wichtig, um Bedrohungen und Schäden durch Cyberangriffe frühzeitig abzuwehren. Dies ist nur möglich, wenn Angriffsversuche so früh wie möglich identifiziert werden. Voraussetzung dafür ist eine entsprechende Schulung der Belegschaft. lawpilots bietet dazu passende Online-Schulungen im Bereich der Informationssicherheit an.
Smishing zielt auf den Zugriff von persönlichen Daten ab. Diese werden benötigt, um beispielsweise die Identität des Opfers nachzuahmen bzw. zu stehlen. Eine andere Möglichkeit ist der direkte Zugang zum Online-Banking-Konto (sogenanntes Bank Smishing).
Besonders das Bank Smishing hat in der Praxis überdurchschnittlich oft Erfolg. Dies liegt nicht zuletzt daran, dass Finanzinstitute tatsächlich SMS-Nachrichten bei ungewöhnlichen oder verdächtigen Kontobewegungen versenden. Als Sofortmaßnahme empfiehlt sich dann der Login über den Browser oder die entsprechende App. Auf keinen Fall sollten die Adressierten aber die in der Textnachricht enthaltenen Links anklicken.
Phishing-SMS weisen typische Merkmale auf, die es möglich machen, sie als Cyberangriff zu identifizieren. Achten Sie bei Textnachrichten insbesondere auf folgende Auffälligkeiten:
Smishing richtet sich keinesfalls nur an Privatpersonen, sondern betrifft immer häufiger auch Unternehmen. Dies lässt sich auch auf die zunehmende Nutzung von Smartphones am Arbeitsplatz zurückführen. Umso wichtiger ist es daher, die Belegschaft entsprechend für die damit verbundenen Gefahren zu sensibilisieren.
Oft sind sich Mitarbeitende der Risiken nicht bewusst und es bedarf entsprechender Schulungen, damit diese in der Lage sind, die IT-Sicherheit jederzeit zu garantieren. lawpilots bietet zu diesem Zweck interaktive E-Learnings zum Thema Informationssicherheit an. Die Online-Schulung „Informationssicherheit für Mitarbeitende“ schult Ihre Belegschaft zum Thema Cyberangriffe und klärt auch über die typischen Eigenarten der speziellen Angriffsarten auf. Die Online-Schulung „Informationssicherheit & Clouddienste“ trainiert Ihre Mitarbeitenden zusätzlich für den sicheren Umgang mit der Cloud.
Kommt es trotz aller Vorsichtsmaßnahmen dazu, dass Sie eine Phishing-SMS versehentlich öffnen, ist zeitnahes Handeln gefragt. Je schneller, desto besser: Diese Faustregel gilt besonders dort, wo Cyberkriminelle ihre Opfer erfolgreich täuschen. Gefahr droht immer dann, wenn nicht nur die Textnachricht geöffnet wurde, sondern auch der darin enthaltene Link oder Anhang.
Wichtig zu wissen: Das einfache Öffnen einer Phishing-Nachricht ist zunächst ohne Risiko, solange Sie nicht auf weiterführende Verlinkungen klicken oder einen Anhang per Download auf das Smartphone herunterladen.
Sind Sie versehentlich einem Link zur Abfrage von Daten gefolgt, können Sie einmal eingegebene Daten nicht mehr zurückrufen. Kontaktieren Sie bei Zugangsdaten zum Online-Banking das Kreditkarteninstitut oder die Bank. Eventuell ist eine Sperrung notwendig. Darüber hinaus ist eine Anzeige bei der Polizei indiziert.
Haben Sie dagegen einen Anhang heruntergeladen, können Sie davon ausgehen, dass im Hintergrund eine Schadsoftware installiert wurde. Welche das ist und wie diese wirkt, ist unterschiedlich. Schadsoftware kann Daten abgreifen oder auch Dateien verschlüsseln sowie den Datenverkehr manipulieren.
In diesem Fall sollten Sie das Gerät nicht mehr benutzen, bis dieses von der Schadsoftware befreit ist. Dabei helfen Virenschutzprogramme. Unbedingt empfehlenswert ist zudem, Passwörter und Sicherheitsfragen zu ändern. Nur so haben Sie die Möglichkeit, den Zugriff für die Cyberkriminellen zu verhindern.
Eine unzureichende IT-Security ist immer das bevorzugte Einfallstor für Cyberkriminelle. Das gilt nicht nur für Smishing-Angriffe, sondern auch für alle anderen Cyberattacken. Je weniger Mitarbeitende geschult sind, umso häufiger können Hacker ihr Ziel erreichen. Lücken in der Informationssicherheit durch fehlendes Wissen sollten daher nachhaltig geschlossen werden, um langfristig Risiken für das Unternehmen auszuschließen.
lawpilots ist Marktführer in E-Learnings zu rechtlich-regulatorischen Themen und schult Ihre Belegschaft zu allen Fragestellungen der IT-Sicherheit und zu wichtigen Themen in den Bereichen Datenschutz, Compliance und Arbeitsschutz. Durch unsere Online-Schulungen stellen Sie sicher, dass Ihre Mitarbeitenden Ihr Unternehmen aktiv vor Schäden und Cyberattacken schützen und digitale Angriffe schon frühzeitig identifizieren.