Smishing:
SMS-Phishing-Angriffe und wie man sie verhindert

September 8, 2023

Cyberkriminelle sind immer auf der Jagd nach Ihren persönlichen Informationen. Sobald sie Ihre Daten haben, können sie Ihre Identität stehlen, Ihr Geld ausgeben und Ihre Kreditwürdigkeit schädigen. Zwar werden Techniken wie „Containern“ immer noch genutzt, um an sensible Informationen zu gelangen, doch wenden Cyberkriminelle immer raffiniertere Taktiken an. Phishing, das Versenden betrügerischer E-Mails durch Absender, die sich als seriöses Unternehmen ausgeben, um Personen zur Preisgabe persönlicher Daten zu verleiten, wird immer häufiger eingesetzt.

Eine Art von Phishing-Angriff, die aktuell beobachtet werden kann, ist das „Smishing“ oder „SMS-Phishing“. Ein Smishing-Angriff nutzt die gleiche Taktik wie das E-Mail-Phishing, jedoch über Textnachrichten. Mithilfe von Social Engineering können Cyberkriminelle Personen dazu bringen, sensible Informationen preiszugeben.

Es gibt mehrere Anzeichen dafür, dass es sich bei einer SMS um einen Smishing-Angriff handeln könnte, und es gibt geeignete Methoden, diese Angriffe zu verhindern und darauf zu reagieren. Mit dem richtigen Wissen können Sie sich vor Smishing und anderen Social-Engineering-Angriffen schützen.

CrowdStrike Global Threat Report 2023

Der Global Threat Report 2023 beleuchtet einige der produktivsten und fortschrittlichsten Cyber-Bedrohungsakteure auf der ganzen Welt. Dazu gehören nationalstaatliche, eCrime- und Hacktivisten-Gegner. Lesen Sie mehr über die raffiniertesten und gefährlichsten Cyberkriminellen, die es gibt.

Jetzt herunterladen

Was ist Smishing?

Die Arten von Phishing-Angriffen werden nach dem Mittel benannt und definiert, mit dem der Angriff an Ihre Informationen gelangt. Die Strategien zum Verfassen einer Phishing-E-Mail, Aufnehmen eines Phishing-Videos (eine Taktik, die als Vishing bekannt ist) und Schreiben einer Smishing-SMS sind ähnlich, aber jede ist so zugeschnitten, dass sie für die Zielnachricht effektiv ist. Alle wenden Social-Engineering-Taktiken an, wie z. B. das Schüren von Ängsten, doch Cyberkriminelle nutzen spezielle Phishing-Angriffe wie Smishing, um gezielt Personen anzusprechen, die für andere Taktiken nicht so anfällig sind.

Definition von Smishing

Unter Smishing versteht man das Versenden von betrügerischen Textnachrichten, die Personen dazu verleiten sollen, sensible Daten wie Kennwörter, Benutzernamen und Kreditkartennummern preiszugeben. Bei einem Smishing-Angriff geben sich Cyberkriminelle z. B. als Ihre Bank oder ein von Ihnen genutzter Versanddienstleister aus. Das Ziel dieser Angriffe ist es, Sie dazu zu bringen, Ihre Daten preiszugeben, ohne dass Sie wissen, dass diese Daten nun missbraucht werden können. Diesen Effekt erzielen Angreifer durch Social Engineering.

Smishing und Social Engineering

Als Social-Engineering-Angriff zielt Smishing oft auf Angst, Liebe und Geld ab, da diese Faktoren extreme emotionale Reaktionen hervorrufen können. Indem er Ihnen anbietet, einen Wunsch zu erfüllen, oder Ihre Ängste ausnutzt, kann ein Smishing-Angriff Sie dazu bringen, sensible Informationen preiszugeben, ohne an die Gefahren zu denken.

Cyberkriminelle können mit Smishing mehrere Angriffe gleichzeitig durchführen. Der Grundgedanke hinter dieser Taktik ist, dass bei hundert verschickten SMS-Nachrichten, in denen einem glücklichen Gewinner zu einer Million Dollar gratuliert wird, ein oder zwei Personen dabei sind, die tatsächlich auf den kompromittierten Link klicken. Durch den Einsatz von Social Engineering stehlen Smishing-Angriffe Ihre Daten, und Sie merken es erst, wenn es zu spät ist.

Weitere Informationen

Können Sie eine Phishing-E-Mail erkennen? Testen Sie Ihr Wissen mit diesem Beitrag: So erkennen Sie Phishing-E-Mails

Wie funktioniert ein Smishing-Angriff?

Die meisten Menschen kennen die Gefahren eines typischen E-Mail-Phishing-Angriffs. Eine E-Mail, in der Sie aufgefordert werden, auf einen Link zu klicken, lässt in der Regel Alarmglocken läuten. Ein raffinierter Phishing-Angriff versucht, legitim zu erscheinen, um diesen Verdacht zu vermeiden. Smishing folgt demselben Stil, nur dass die Opfer bei Textnachrichten und anderen Messaging-Apps weniger kritisch sind.

Wie beginnen und verbreiten sich Smishing-Angriffe?

Smishing-Angriffe beginnen, wenn sich Cyberkriminelle Zugang zu Ihrer Telefonnummer verschaffen, was erstaunlich einfach ist, da die meisten modernen Telefone über eine integrierte SMS-Funktion verfügen. Dies kann in Form eines breit angelegten Smishing-Angriffs geschehen, bei dem eine allgemeine Nachricht an so viele Personen wie möglich gesendet wird. Wenn ein Cyberkrimineller ein bestimmtes Ziel hat, nutzt er das Smishing-Äquivalent eines Spear-Phishing– oder Whaling-Angriffs. Damit dieser Angriff effektiv ist, muss er den Empfänger der Textnachricht oder seine demografischen Daten kennen.

Smishing-Angriffe zielen zunächst darauf ab, Ihr Vertrauen zu gewinnen. Indem sich die Absender als seriöse Organisation oder Unternehmen ausgeben, wird die Skepsis der Empfänger gesenkt. Da Smishing-SMS in der Regel persönlicher sind, ist die Misstrauensschwelle bereits niedriger als bei E-Mails, wo Sie vielleicht jeden Tag Spam-Nachrichten erhalten.

Indem sie auf Emotionen abzielen oder einen gängigen Kontext wie die Zustellung von Paketen verwenden, nutzen Cyberkriminelle Social Engineering, um die Wachsamkeit ihrer Zielpersonen zu verringern. Durch dieses falsche Vertrauen in Messaging-Apps verbreiten sich Smishing-Angriffe unbemerkt. Da die Menschen ihre Telefone tagsüber oft bei sich tragen, können Cyberkriminelle Personen zu Zeiten angreifen, in denen sie möglicherweise in Eile sind, was sie noch anfälliger macht.

Warum sind Smishing-Angriffe so effektiv?

Sobald eine Person einen Fehler macht und ein Kennwort eingibt oder auf einen falschen Link klickt, entfaltet der Smishing-Angriff seine Wirkung. Über einen Link können persönliche Informationen vom verwendeten Smartphone weitergegeben oder sogar Malware auf dem Gerät installiert werden. Ein einmal eingegebenes Kennwort bleibt kompromittiert, bis der Benutzer es ändert. Einstweilen können Cyberkriminelle beginnen, mit diesem Zugang Konten zu übernehmen oder weitere Informationen zu stehlen.

Damit ein Smishing-Angriff erfolgreich ist, muss nur eine Zielperson einen Fehler machen und auf einen Link klicken oder bereitwillig Informationen bereitstellen. Dies und die Tatsache, dass Benutzer SMS eher vertrauen als E-Mails, ist der Grund, warum Cyberkriminelle zu Smishing greifen. Es gibt einige Beispiele für erfolgreiche Smishing-Angriffe, die zeigen, worauf Sie genau achten müssen.

Arten von Smishing-Angriffen

Da Smishing-Angriffe Social-Engineering-Taktiken nutzen, lassen sie sich in vier Hauptangriffskategorien einteilen. Eine davon sind gefälschte Nachrichten von vertrauenswürdigen Marken. Unternehmen werden ermutigt, Nachrichten zu verschicken, wenn neue Produkte oder Angebote verfügbar sind. Eine Nachricht von einer Marke ist daher nicht unüblich oder wird von Benutzern sogar erwartet. Sich als eine Marke auszugeben und einen Verkaufslink bereitzustellen, ist eine Art von Smishing-Angriff.

Eine weitere weit verbreitete Art von Smishing-Angriff ist die dringende Nachricht. Sie erweckt z. B. den Anschein, von einer Bank oder einer lokalen Behörde zu stammen. Unabhängig davon, wer der Cyberkriminelle vorgibt zu sein, drängt die Nachricht die Person, schnell zu handeln, da sonst etwas Schlimmes passieren oder etwas Gutes ausbleiben wird. Beispielsweise werden bei dieser Art von Smishing gefälschte Benachrichtigungen über den Gewinn eines Preises versendet. Manche Menschen folgen einem Link in dem Glauben, dass sie zu den glücklichen Gewinnern gehören, nur um dann ihre persönlichen Daten preiszugeben.

Die vierte Art des Smishing-Angriffs ist ein gefälschter Umfragelink. Dieser wird seltener allein verwendet, da die Wahrscheinlichkeit geringer ist, dass Personen Umfragen ausfüllen, für die sie sich nicht angemeldet haben. Mit dem richtigen Anreiz, wie z. B. einem Geschenkgutschein oder Cashback-Angeboten, können diese Smishing-Angriffe dennoch effektiv sein.

Merkmale von Smishing-Nachrichten

Alle vier Arten von Smishing-Angriffen haben gemeinsame Merkmale, die Ihnen helfen können, einen Angriff in Aktion zu erkennen. Wenn Sie beim Lesen einer Textnachricht wachsam sind und ruhig bleiben, können Sie Smishing-Angriffe oft erkennen. Grammatik- und Rechtschreibfehler sind bei Smishing-Angriffen genauso häufig wie bei Phishing-Angriffen.

Ein Smishing-Angriff ist in der Regel kurz und enthält einen bösartigen Link. Eine sorgfältige Prüfung von Links, die auf den ersten Blick legitim erscheinen, kann Ihnen helfen, sie zu erkennen. Smishing-Angriffe machen sich zudem Ihre Emotionen zunutze. Wenn Sie als Reaktion auf eine Textnachricht in Panik geraten oder sofort handeln möchten, kann dies ein Zeichen dafür sein, dass es sich um einen Smishing-Angriff handelt.

Beispiele für beliebte Smishing-Betrugsmaschen

Smishing-Angriffe können gegen Mitarbeiter eines Unternehmens eingesetzt werden, um Cyberspionage zu betreiben, oder gegen Einzelpersonen, um Identitätsdiebstahl zu begehen. Smishing-Angriffe lassen sich in vier grundlegende Kategorien einteilen und weisen gemeinsame Merkmale auf, anhand derer Sie sie erkennen können. Mit der zunehmenden Verbreitung von Smishing haben sich Muster dafür herausgebildet, wie Cyberkriminelle sie nutzen und wen sie imitieren, um Ihr Vertrauen zu gewinnen.

Einige Smishing-Betrugsmaschen sind effektiv, weil die Organisation, für die sich die Cyberkriminellen ausgeben, weit verbreitet oder bekannt ist. Diese Smishing-Angriffe sind effektiver, weil sie glaubhaft sind. So werden bei Smishing-Angriffen häufig folgende Identitäten angenommen:

  • Lieferdienste wie UPS, FedEx und der U.S. Postal Service. Eine SMS mit dem Hinweis, dass Ihr Paket verspätet ist, umgeleitet wurde oder eine Bestätigung erfordert, zusammen mit einem Link ist für die meisten Menschen relevant. Wenn eine Zielperson ein Paket von dem angeblichen Unternehmen erwartet, insbesondere, wenn es dringend ist, wird sie eher auf den Link klicken, um die Zustellung sicherzustellen.
  • Amazon. Obwohl es sich hierbei auch um einen Lieferdienst handelt und er auf die gleiche Weise anfällig ist, kann ein Smishing-Angriff auch auf eine Amazon-Bestellung oder ein Kennwort abzielen. Sobald sich ein Cyberkrimineller Zugang zu Ihrem Kennwort verschafft, kann er gespeicherte Kreditkarteninformationen, Ihre Postanschrift und andere private Informationen in Erfahrung bringen.
  • Finanzdienstleistungen wie PayPal, Apple Pay und Banken. Der Verlust von Geld oder die Kompromittierung von Bankdaten löst schnell Angst aus. Diese Smishing-Angriffe sind so effektiv, weil die Opfer dazu ermutigt werden, sofort zu handeln. Wenn PayPal oder Ihr Bankinstitut Ihnen mitteilt, dass ein Problem mit Ihrem Konto vorliegt, schrillen bei Ihnen die Alarmglocken.

So verhindern Sie Smishing

Die Vermeidung von Phishing-Betrug wie Smishing ist der beste Weg, um Schaden von Ihnen oder Ihrem Unternehmen abzuwenden. Da viele Menschen private Geräte wie Smartphones für die Arbeit nutzen, stellt Smishing eine Gefahr für die Anmeldedaten Ihres Arbeitsplatzes und Ihre persönlichen Daten dar. Wenn Sie Ruhe bewahren und sich die Zeit nehmen, potenzielle Smishing-Betrugsmaschen zu untersuchen, können Sie diese Gefahren verhindern.

Der erste Schritt zur Verhinderung eines Smishing-Betrugs besteht darin, niemals eine zweifelhafte SMS zu beantworten oder die zugehörige Nummer anzurufen. Wenn Sie antworten, kann das dazu führen, dass mehr Spam-Nachrichten an Ihre Nummer gesendet werden. Der Cyberkriminelle könnte Ihre Nummer als eine Nummer verkaufen, von der bekannt ist, dass sie antwortet, oder er ändert einfach seine Smishing-Taktik, um Sie erneut zu täuschen. Klicken Sie außerdem niemals auf Links in einer verdächtigen Textnachricht.

Wenn Sie eine verdächtige Textnachricht erhalten, nehmen Sie sich die Zeit, den Absender zu überprüfen. Führen Sie dazu eine Websuche durch oder rufen Sie das Unternehmen, von dem die SMS angeblich stammt, direkt an. Wenn Ihre Bank Ihnen eine SMS schickt, in der es heißt, Ihr Geld sei in Gefahr, antworten Sie nicht. Suchen Sie stattdessen die Nummer Ihres Bankinstituts heraus und rufen Sie dort an.

Was tun bei Smishing?

Wenn Sie eine SMS-Nachricht erhalten, bei der Sie vermuten, dass es sich um einen Smishing-Betrug handelt, müssen Sie dies der zuständigen Behörde melden. Die Behörde benötigt die Nummer und den Namen, die in der Nachricht genannt werden, sowie die Tageszeit und alle vom Cyberkriminellen angeforderten Informationen. Es ist wichtig, dass Sie nicht auf die Nachricht antworten oder auf die angegebenen Links klicken.

Wenn Sie bereits Opfer von Smishing geworden sind, müssen Sie zunächst den Betrug bei der zuständigen Behörde melden und dann alle Organisationen informieren, die die gestohlenen Informationen verwenden könnten. Dazu gehört, dass Sie Ihre Kennwörter ändern und alle Finanzinstitute anrufen und sie vor möglichen betrügerischen Aktivitäten mit Ihren Zugangsdaten warnen. Wenn Sie schnell reagieren, können Sie einen Teil des Schadens verhindern, den ein Cyberkrimineller mit Ihren gestohlenen Daten anrichten will.

Schützen Sie sich vor Social-Engineering-Angriffen

Social-Engineering-Angriffe wie Smishing zielen darauf ab, Ihre Emotionen auszunutzen und Sie dazu zu bringen, private Informationen preiszugeben. Indem sie Ihre Angst oder Ihre Wünsche zusammen mit dem Vertrauen ausnutzen, das viele Messaging-Dienste genießen, können Cyberkriminelle Ihre Identität stehlen.

Um sich vor Social-Engineering-Angriffen zu schützen, ist Wachsamkeit und Vorsicht geboten, wann immer Sie nach persönlichen Daten gefragt werden oder auf einen Link klicken sollen. Indem Sie vorbeugende Maßnahmen ergreifen, können Sie sich und möglicherweise auch Ihr Unternehmen vor Smishing-Angriffen schützen.

CrowdStrike stellt Informationen und Dienstleistungen bereit, um Sie vor Social- Engineering-Angriffen und anderen cyberkriminellen Aktivitäten zu schützen. Weitere Informationen finden Sie hier.