Suchen

Phishing-Angriffe – Teil 3 Smishing oder warum SMS-Betrug nicht ausstirbt

| Autor / Redakteur: Jelle Wieringa / Peter Schmitz

Der Versand von SMS stirbt trotz des Booms von Messenger-Diensten nicht aus. SMS gelten als sicherer und werden eher genutzt, um wirklich wichtige Dinge mitzuteilen. Genau das macht sie für Betrüger jedoch zu einem begehrten Werkzeug, denn Menschen vertrauen eher Textnachrichten als E-Mail oder Messenger-Nachrichten. Diese Art von Bedrohung wird Smishing also SMS-Phishing genannt.

Firma zum Thema

Smishing (SMS-Phishing) ist keine aussterbende Hackertechnik, sie erfreut sich vielmehr weiterhn einer großen Beliebtheit unter Cyberkriminellen.
Smishing (SMS-Phishing) ist keine aussterbende Hackertechnik, sie erfreut sich vielmehr weiterhn einer großen Beliebtheit unter Cyberkriminellen.
(© MicroOne - stock.adobe.com)

Die SMS ist bereits mehr als 27 Jahre alt und wurde bereits mehrfach totgesagt. Bekanntlich leben totgesagte länger wie auch Statista mit den Vergleichszahlen von 2018 bis 2019 belegt und deshalb ist auch im Jahr 2020 und trotz der massiven Ausbreitung von Messenger-Diensten wie WhatsApp und Co. jedes Smartphone noch immer mit der SMS-Funktion ausgestattet. Die Versendung von SMS nimmt zwar insgesamt immer mehr ab, dennoch gilt diese Art der Kommunikation nach wie vor als eine der Verlässlichsten. Vor allem Senioren verschicken lieber SMS als dass sie auf einen Messenger-Dienst setzen, um mit ihrer Familie oder Freunden zu kommunizieren. SMS gelten als sicherer und seltener genutzt, um wirklich wichtige Dinge mitzuteilen.

Genau das macht sie für Betrüger jedoch zu einem begehrten Werkzeug. Denn Menschen vertrauen eher Textnachrichten als E-Mail oder Messenger-Nachrichten, unter anderem, weil sie seltener vorkommen. Der Angriffsweg ist relativ einfach, alles, was der Cyberkriminelle wissen muss, ist lediglich die Mobilfunknummer. Die größte Gefahr für den Nutzer sind deshalb gefälschte Nachrichten, die zu einer Interaktion auffordern. Diese Art von Bedrohung wird in Anlehnung an das Phishing deshalb Smishing also SMS-Phishing genannt und zählt zum Social Engineering.

Smishing ist deshalb besonders attraktiv, weil es kostengünstig ist. Viel kostengünstiger, als Phishing oder der Telefonbetrug Vishing. Anwendungen wie BurnerApp und SpoofCard erlauben es Angreifern relativ einfach und billig eine gefälschte Nummer zu kaufen und ähnlich dem Phishing gezielt Nachrichten direkt an das potenziale Opfer zu senden. Genauso, wie bei den anderen Social Engineering-Methoden wird die Nachricht so formuliert, dass sie einen gewissen Druck auf den Empfänger ausübt. Er wird dazu aufgefordert einen bestimmten Link anzuklicken. Smishing trifft dabei in der Regel jeden Nutzer und Mitarbeiter egal ob privat oder beruflich.

Nach einem Bericht des Magazins Verdict wurden im März Daten veröffentlicht, die aufzeigen mit welchen Social Engineering-Methoden britische Steuerzahler attackiert wurden. Die Ergebnisse zeigen, dass in den vergangenen zwei Jahren über 1,5 Millionen Betrugsversuche per E-Mail, Anruf und SMS-Nachricht durchgeführt wurden. Sie alle sollen angeblich von der Steuer- und Zollbehörde Ihrer Majestät (HMRC) stammen und waren natürlich gefälscht. Die Daten, die von Griffin Law zusammengestellt wurden, zeigen, dass zwischen 2018 und 2019 1,5 Milionen gefälschte E-Mails, Anrufe und SMS an die offizielle Beschwerde-E-Mail des HMRC gemeldet wurden. Allerdings haben nicht alle Methoden zugenommen. Während textbasierte Betrügereien, bekannt als Smishing, zwischen 2018 und 2019 um 56 Prozent von 36.950 auf 57.579 gestiegen sind, haben E-Mail-Betrügereien, bekannt als Phishing, einen Rückgang verzeichnet. Phishing-Betrügereien gingen im gleichen Zeitraum sogar um 60 Prozent zurück, von 841.805 auf 333.857 Versuchen.

Daraus lässt sich ableiten, dass die Effektivität von Smishing sogar steigt, eben weil niemand mit einer gefälschten SMS rechnet. Teilweise sehen die SMS täuschend echt aus, ein paar Beispiele sind deshalb im Folgenden aufgezeigt und erläutert:

Im März 2020 warnte die südkoreanische Regierung vor Smishing im Zusammenhang mit Informationen zur Verbreitung des Coronavirus. Bis Mitte Februar waren 9.688 dieser Texte verschickt worden. Sie verwendeten falsche Informationen über das neuartige Coronavirus, so, dass das Ministerium für Wissenschaft und IKT, die südkoreanische Polizei und die Finanzaufsichtsbehörde des Landes in einer gemeinsamen Erklärung Stellung nahmen. Die Textnachrichten behaupteten, kostenlose Schutzmasken zur Verfügung zu stellen oder gaben vor, Unternehmen zu sein, die aufgrund des Coronavirus Lieferverzögerungen hatten, um Menschen um ihre privaten Informationen zu betrügen.

In einer anderen Betrugs-SMS heißt es: „Die Sicherheit Ihres Verizon-Kontos muss überprüft werden“ und die Empfänger werden dazu aufgefordert, auf einen Link zu tippen, um „Ihr Konto zu validieren“. Folgt er dem, landet der ahnungslose Verbraucher auf einer Phishing-Website, die fast genauso aussieht wie die echte Website von Verizon.

Beliebt sind Nachrichten von Telekommunikations- oder Handelsunternehmen, doch manchmal können diese auch von einem angeblichen Finanzdienstleister kommen. Verbraucher wie Mitarbeiter sollten auf die folgenden Inhalte achten:

  • Sie haben eine Transaktion in Auftrag gegeben und Ihre Kreditkarte oder Ihr Bankkonto wird belastet, wenn Sie nicht auf diese Nachricht antworten.
  • Jemand hat versucht, Ihr Konto zu belasten und die Sicherheitsabteilung möchte die Transaktion mit Ihnen überprüfen, bevor sie genehmigt wird.

Die Betrüger hoffen auf eine unmittelbare Reaktion, um den Fehler zu beheben. Falls der Empfänger der Aufforderung nachkommt und den Wünschen der Betrüger entspricht, werden von diesen so viele private und sensible Informationen wie möglich verlangt. Hierzu einige Beispiele, die besonders hoch im Kurs stehen:

  • Ihre Sozialversicherungsnummer
  • Ihre Kredit- oder Debit-Kartennummer
  • Ihre Postleitzahl (die den Angreifern hilft, die Kartennummer zu verwenden, die sie vielleicht schon haben)
  • Ihre Bankkontonummer oder Routing-Informationen
  • Der Name der Bank oder Kreditkarte, die Sie verwenden, die sie später bei Spear-Phishing-Angriffen oder anderen Versuchen verwenden können usw.

Wie kann man sich schützen?

Sicherheitsexperten sind sich in der Regel darüber einig, dass gezielte und personalisierte Social-Engineering-Angriffe nicht so einfach erkannt werden können. Noch dazu verleitet eine fälschlich zugestellte SMS eine Art von Interaktion und sei es nur, um einen Rückruf zu starten. Opfer sind vor allem Verbraucher und Mitarbeiter, die noch nicht auf eine solche Betrugsmasche hereingefallen sind, die weniger misstrauisch und schlicht diejenigen, die einfach neugierig sind. Diese Empfänger verfügen nicht über genügend Aufklärung, zum Beispiel wie solche SMS erkannt und von richtigen und wichtigen Nachrichten unterschieden werden können. Besonders für Mitarbeiter mit starker SMS-Nutzung ist es daher wichtig, gegen diese Angriffe mit Hilfe von Security Awareness-Trainings geschützt zu werden. Das Security Awareness-Training wird dabei helfen, sich auf wichtige Details zu konzentrieren, denn der Teufel steckt oft häufig im Detail. Die potentiellen Opfer sollten sich fragen, ob sie normalerweise eine SMS von dieser Person oder Organisation mit einer solchen Aufforderung erhalten. Bei SMS sollte generelle Vorsicht herrschen, da es besonders schwierig ist zu überprüfen, ob der Absender der ist, für den er sich ausgibt. Wenn dem nicht völlig vertraut wird, sollte nicht geantwortet werden. Wenn es wirklich wichtig ist, wird man einen auf eine andere Art und Weise kontaktieren.

Alle Betroffenen müssen sich immer die folgenden Fragen stellen, um nicht auf solche Nachrichten hereinzufallen:

  • Wer hat die Nachricht gesendet?
  • Um wie viel Uhr wurde sie gesendet?
  • Wie ist der Anrufer an die persönliche Nummer des Besitzers gekommen?
  • Was für ein Link wurde gesendet? Wie ist die Tonalität der Nachricht?

Fazit

Wichtigstes Takeaway bei Smishing ist, dass es sich hierbei leider keineswegs um eine aussterbende Hackertechnik handelt. Sie erfreut sich leider einer großen Beliebtheit und scheint zumindest in Großbritannien noch sehr erfolgreich zu sein. Letztlich ist es beim Smishing jedoch genau wie beim Phishing oder anderen Social Engineering-Attacken. Cyberkriminelle haben immer das gleiche Ziel vor Augen, egal welche Methode sie verwenden, um ihre Ziele zu erreichen. Ihre Taktiken werden immer besser und sie schaffen es, mit SMS wesentlich vertrauenswürdiger zu erscheinen als per WhatsApp oder E-Mail. Ein ausgeprägtes Bewusstsein für Security Awareness empfiehlt sich für alle Unternehmen, die sich vor solchen Risiken wie Smishing Fraud zu schützen. Der einfachste Schutz vor solchen Angriffen ist tatsächlich, die Nachrichten komplett und rigoros zu ignorieren. Die Idee dahinter ist simpel wie effektiv, solange niemand dem Absender antwortet, können die Betrüger keinen Zugang zum adressierten Opfer oder seinen Informationen erhalten und sind im Zweifel sogar unsicher, ob sie die richtige Nummer anschreiben.

In den weiteren Beiträgen der Serie werden wir Beispiele weiterer Phishing-Techniken erläutern und Hinweise geben, wie sich diese Betrugsmaschen erkennen lassen.

Über den Autor: Jelle Wieringa ist Security Awareness Advocate bei KnowBe4.

(ID:46675887)