:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Phishing-Angriffe – Teil 3 Smishing oder warum SMS-Betrug nicht ausstirbt
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Der Versand von SMS stirbt trotz des Booms von Messenger-Diensten nicht aus. SMS gelten als sicherer und werden eher genutzt, um wirklich wichtige Dinge mitzuteilen. Genau das macht sie für Betrüger jedoch zu einem begehrten Werkzeug, denn Menschen vertrauen eher Textnachrichten als E-Mail oder Messenger-Nachrichten. Diese Art von Bedrohung wird Smishing also SMS-Phishing genannt.
Die SMS ist bereits mehr als 27 Jahre alt und wurde bereits mehrfach totgesagt. Bekanntlich leben totgesagte länger wie auch Statista mit den Vergleichszahlen von 2018 bis 2019 belegt und deshalb ist auch im Jahr 2020 und trotz der massiven Ausbreitung von Messenger-Diensten wie WhatsApp und Co. jedes Smartphone noch immer mit der SMS-Funktion ausgestattet. Die Versendung von SMS nimmt zwar insgesamt immer mehr ab, dennoch gilt diese Art der Kommunikation nach wie vor als eine der Verlässlichsten. Vor allem Senioren verschicken lieber SMS als dass sie auf einen Messenger-Dienst setzen, um mit ihrer Familie oder Freunden zu kommunizieren. SMS gelten als sicherer und seltener genutzt, um wirklich wichtige Dinge mitzuteilen.
Genau das macht sie für Betrüger jedoch zu einem begehrten Werkzeug. Denn Menschen vertrauen eher Textnachrichten als E-Mail oder Messenger-Nachrichten, unter anderem, weil sie seltener vorkommen. Der Angriffsweg ist relativ einfach, alles, was der Cyberkriminelle wissen muss, ist lediglich die Mobilfunknummer. Die größte Gefahr für den Nutzer sind deshalb gefälschte Nachrichten, die zu einer Interaktion auffordern. Diese Art von Bedrohung wird in Anlehnung an das Phishing deshalb Smishing also SMS-Phishing genannt und zählt zum Social Engineering.
:quality(80)/images.vogel.de/vogelonline/bdb/1525900/1525986/original.jpg "Die von Cyberkriminellen zum Phishing genutzten Psychotricks sind oft verblüffend simpel und bleiben trotzdem erfolgreich. Unternehmen müssen Mitarbeiter so sensibilisieren, dass sie diese Taktiken im Arbeitsalltag erkennen. (gemeinfrei)")
Spear-Phishing & Co
Die Psychotricks moderner Phishing-Betrüger
Smishing ist deshalb besonders attraktiv, weil es kostengünstig ist. Viel kostengünstiger, als Phishing oder der Telefonbetrug Vishing. Anwendungen wie BurnerApp und SpoofCard erlauben es Angreifern relativ einfach und billig eine gefälschte Nummer zu kaufen und ähnlich dem Phishing gezielt Nachrichten direkt an das potenziale Opfer zu senden. Genauso, wie bei den anderen Social Engineering-Methoden wird die Nachricht so formuliert, dass sie einen gewissen Druck auf den Empfänger ausübt. Er wird dazu aufgefordert einen bestimmten Link anzuklicken. Smishing trifft dabei in der Regel jeden Nutzer und Mitarbeiter egal ob privat oder beruflich.
Nach einem Bericht des Magazins Verdict wurden im März Daten veröffentlicht, die aufzeigen mit welchen Social Engineering-Methoden britische Steuerzahler attackiert wurden. Die Ergebnisse zeigen, dass in den vergangenen zwei Jahren über 1,5 Millionen Betrugsversuche per E-Mail, Anruf und SMS-Nachricht durchgeführt wurden. Sie alle sollen angeblich von der Steuer- und Zollbehörde Ihrer Majestät (HMRC) stammen und waren natürlich gefälscht. Die Daten, die von Griffin Law zusammengestellt wurden, zeigen, dass zwischen 2018 und 2019 1,5 Milionen gefälschte E-Mails, Anrufe und SMS an die offizielle Beschwerde-E-Mail des HMRC gemeldet wurden. Allerdings haben nicht alle Methoden zugenommen. Während textbasierte Betrügereien, bekannt als Smishing, zwischen 2018 und 2019 um 56 Prozent von 36.950 auf 57.579 gestiegen sind, haben E-Mail-Betrügereien, bekannt als Phishing, einen Rückgang verzeichnet. Phishing-Betrügereien gingen im gleichen Zeitraum sogar um 60 Prozent zurück, von 841.805 auf 333.857 Versuchen.
Daraus lässt sich ableiten, dass die Effektivität von Smishing sogar steigt, eben weil niemand mit einer gefälschten SMS rechnet. Teilweise sehen die SMS täuschend echt aus, ein paar Beispiele sind deshalb im Folgenden aufgezeigt und erläutert:
Im März 2020 warnte die südkoreanische Regierung vor Smishing im Zusammenhang mit Informationen zur Verbreitung des Coronavirus. Bis Mitte Februar waren 9.688 dieser Texte verschickt worden. Sie verwendeten falsche Informationen über das neuartige Coronavirus, so, dass das Ministerium für Wissenschaft und IKT, die südkoreanische Polizei und die Finanzaufsichtsbehörde des Landes in einer gemeinsamen Erklärung Stellung nahmen. Die Textnachrichten behaupteten, kostenlose Schutzmasken zur Verfügung zu stellen oder gaben vor, Unternehmen zu sein, die aufgrund des Coronavirus Lieferverzögerungen hatten, um Menschen um ihre privaten Informationen zu betrügen.
In einer anderen Betrugs-SMS heißt es: „Die Sicherheit Ihres Verizon-Kontos muss überprüft werden“ und die Empfänger werden dazu aufgefordert, auf einen Link zu tippen, um „Ihr Konto zu validieren“. Folgt er dem, landet der ahnungslose Verbraucher auf einer Phishing-Website, die fast genauso aussieht wie die echte Website von Verizon.
:quality(80)/p7i.vogel.de/wcms/60/44/6044dece11f62ee25b019eb02e5c844f/89786711.jpeg "Die organisierte Kriminalität hat es nicht nur auf den Betrug von Endverbrauchern abgesehen, sondern vor allem auf Unternehmen, um richtig Kasse zu machen. (Bild: gemeinfrei)")
SECURITY Cyberdefense & ID Protection Conference 2020
Identitätsdiebstahl – auf den Spuren der Täter
Beliebt sind Nachrichten von Telekommunikations- oder Handelsunternehmen, doch manchmal können diese auch von einem angeblichen Finanzdienstleister kommen. Verbraucher wie Mitarbeiter sollten auf die folgenden Inhalte achten:
- Sie haben eine Transaktion in Auftrag gegeben und Ihre Kreditkarte oder Ihr Bankkonto wird belastet, wenn Sie nicht auf diese Nachricht antworten.
- Jemand hat versucht, Ihr Konto zu belasten und die Sicherheitsabteilung möchte die Transaktion mit Ihnen überprüfen, bevor sie genehmigt wird.
Die Betrüger hoffen auf eine unmittelbare Reaktion, um den Fehler zu beheben. Falls der Empfänger der Aufforderung nachkommt und den Wünschen der Betrüger entspricht, werden von diesen so viele private und sensible Informationen wie möglich verlangt. Hierzu einige Beispiele, die besonders hoch im Kurs stehen:
- Ihre Sozialversicherungsnummer
- Ihre Kredit- oder Debit-Kartennummer
- Ihre Postleitzahl (die den Angreifern hilft, die Kartennummer zu verwenden, die sie vielleicht schon haben)
- Ihre Bankkontonummer oder Routing-Informationen
- Der Name der Bank oder Kreditkarte, die Sie verwenden, die sie später bei Spear-Phishing-Angriffen oder anderen Versuchen verwenden können usw.
Wie kann man sich schützen?
Sicherheitsexperten sind sich in der Regel darüber einig, dass gezielte und personalisierte Social-Engineering-Angriffe nicht so einfach erkannt werden können. Noch dazu verleitet eine fälschlich zugestellte SMS eine Art von Interaktion und sei es nur, um einen Rückruf zu starten. Opfer sind vor allem Verbraucher und Mitarbeiter, die noch nicht auf eine solche Betrugsmasche hereingefallen sind, die weniger misstrauisch und schlicht diejenigen, die einfach neugierig sind. Diese Empfänger verfügen nicht über genügend Aufklärung, zum Beispiel wie solche SMS erkannt und von richtigen und wichtigen Nachrichten unterschieden werden können. Besonders für Mitarbeiter mit starker SMS-Nutzung ist es daher wichtig, gegen diese Angriffe mit Hilfe von Security Awareness-Trainings geschützt zu werden. Das Security Awareness-Training wird dabei helfen, sich auf wichtige Details zu konzentrieren, denn der Teufel steckt oft häufig im Detail. Die potentiellen Opfer sollten sich fragen, ob sie normalerweise eine SMS von dieser Person oder Organisation mit einer solchen Aufforderung erhalten. Bei SMS sollte generelle Vorsicht herrschen, da es besonders schwierig ist zu überprüfen, ob der Absender der ist, für den er sich ausgibt. Wenn dem nicht völlig vertraut wird, sollte nicht geantwortet werden. Wenn es wirklich wichtig ist, wird man einen auf eine andere Art und Weise kontaktieren.
Alle Betroffenen müssen sich immer die folgenden Fragen stellen, um nicht auf solche Nachrichten hereinzufallen:
- Wer hat die Nachricht gesendet?
- Um wie viel Uhr wurde sie gesendet?
- Wie ist der Anrufer an die persönliche Nummer des Besitzers gekommen?
- Was für ein Link wurde gesendet? Wie ist die Tonalität der Nachricht?
:quality(80)/images.vogel.de/vogelonline/bdb/1569900/1569966/original.jpg "Unternehmen sind immer öfter dem Risiko ausgesetzt, Opfer eines CEO-Fraud zu werden. (gemeinfrei)")
CEO Fraud in vier Akten
Internet-Betrug mit vorgetäuschten Identitäten
Fazit
Wichtigstes Takeaway bei Smishing ist, dass es sich hierbei leider keineswegs um eine aussterbende Hackertechnik handelt. Sie erfreut sich leider einer großen Beliebtheit und scheint zumindest in Großbritannien noch sehr erfolgreich zu sein. Letztlich ist es beim Smishing jedoch genau wie beim Phishing oder anderen Social Engineering-Attacken. Cyberkriminelle haben immer das gleiche Ziel vor Augen, egal welche Methode sie verwenden, um ihre Ziele zu erreichen. Ihre Taktiken werden immer besser und sie schaffen es, mit SMS wesentlich vertrauenswürdiger zu erscheinen als per WhatsApp oder E-Mail. Ein ausgeprägtes Bewusstsein für Security Awareness empfiehlt sich für alle Unternehmen, die sich vor solchen Risiken wie Smishing Fraud zu schützen. Der einfachste Schutz vor solchen Angriffen ist tatsächlich, die Nachrichten komplett und rigoros zu ignorieren. Die Idee dahinter ist simpel wie effektiv, solange niemand dem Absender antwortet, können die Betrüger keinen Zugang zum adressierten Opfer oder seinen Informationen erhalten und sind im Zweifel sogar unsicher, ob sie die richtige Nummer anschreiben.
In den weiteren Beiträgen der Serie werden wir Beispiele weiterer Phishing-Techniken erläutern und Hinweise geben, wie sich diese Betrugsmaschen erkennen lassen.
:quality(80)/p7i.vogel.de/wcms/80/8e/808e02a3e19ae6c866583e690ea35718/90035314.jpeg "Phishing, Vishing, Smishing, Social Media Phishing und Deepfakes sind Angriffsformen, mit denen Cyberkriminelle versuchen, den Mensch zum Ziel von Cyberangriffen zu machen. (©MicroOne - stock.adobe.com)")
Phishing-Angriffe – Teil 1
Wie der Mensch zur IT-Schwachstelle wird
:quality(80)/p7i.vogel.de/wcms/f6/21/f621aefaff6345d7c1290a1adbf3a2b1/90035861.jpeg "Beim Phishing nutzen täuschend echt nachgemachte Betrugsmails den Leichtsinn der Opfer gnadenlos aus. (©MicroOne - stock.adobe.com)")
Phishing-Angriffe – Teil 2
Phishing setzt auf den Leichtsinn der Opfer
Über den Autor: Jelle Wieringa ist Security Awareness Advocate bei KnowBe4.
(ID:46675887)
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/74/66742f83e35bc3e11f526c10d9c39e53/0113096496.jpeg "Betrügerische Angriffe können nur dann rechtzeitig abgewehrt werden, wenn Unternehmen von einer transaktionszentrierten Verarbeitung archivierter Daten zu einer ereignisgesteuerten Verarbeitung in Echtzeit übergehen. (Bild: Nuthawut - stock.adobe.com)")