Definition Smishing Was ist ein Smishing?

Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Smishing ist eine Internetbetrugsmethode. Im Gegensatz zum Phishing verwendet sie nicht E-Mails oder Internetlinks, um den Opfern sensible Informationen wie Passwörter zu entlocken, sondern nutzt SMS-Textnachrichten. In den Nachrichten wird das Opfer aufgefordert, beispielsweise einen Link zu besuchen, Software zu installieren oder eine Telefonnummer anzurufen. Im zweiten Schritt werden sensible Daten gestohlen und für betrügerische Zwecke missbraucht.

Firma zum Thema

Unter Smishing versteht man Phishing per Kontaktaufnahme über SMS.
Unter Smishing versteht man Phishing per Kontaktaufnahme über SMS.
(Bild: gemeinfrei / Pixabay )

Das Wort „Smishing“ setzt sich aus den einzelnen Wörtern „SMS“, „Passwort“ und „Fishing“ zusammen. Es ist damit eine Wortkombination aus „SMS “und „Phishing“. Bei Smishing handelt es sich um eine Internetbetrugsmethode, die auf Textnachrichten in SMS-Form an Smartphones oder Handys potenzieller Opfer basiert. Mit Hilfe einer Textnachricht fordern Cyber-Kriminelle das Opfer zu einer Aktion wie das Besuchen eines Internetlinks, das Installieren einer Software oder das Anrufen einer Telefonnummer auf. Anschließend wird versucht, an sensible Daten wie Anmeldedaten, Passwörter, Kreditkartennummern, Kontodaten oder andere persönliche Informationen des Opfers zu gelangen. Diese lassen sich für betrügerische Aktivitäten wie unbefugte Kontoabbuchungen oder die Übernahme einer Internet-Identität verwenden.

Der Unterschied zum klassischen Phishing ist, dass nicht E-Mails, sondern SMS-Nachrichten als Kommunikationsmittel genutzt werden. Bei vielen Internet- und Smartphone-Usern genießen SMS-Nachrichten höhere Vertrauenswürdigkeit als E-Mails. Aufgrund dieser Tatsache steigen die Erfolgsaussichten für den Angreifer. Opfer des Smishings können durch die private und berufliche Nutzung von Smartphones sowohl Mitarbeiter eines Unternehmens als auch Privatpersonen werden.

Die Funktionsweise und die verschiedenen Methoden des Smishings

Technisch stehen hinter dem massenhaften Versand von SMS-Nachrichten, automatisierte Internet-Server und -Gateways, die Textnachrichten an Telefonnummernlisten günstig versenden. Die Kriminellen geben sich in den SMS-Nachrichten beispielsweise als Mitarbeiter einer Bank, eins Mobilfunkanbieters, eines großen Softwareunternehmens oder eines Gewinnspielunternehmens aus, die ein angebliches Problem schildern oder ein dringendes Anliegen haben. Das Opfer wird in der Nachricht durch Anwendung geschickter emotionaler Manipulationsmethoden wie Überrumpelungstaktik, Vorspielen einer nicht vorhandenen Dringlichkeit oder Aufbauen von latentem Druck dazu aufgefordert, eine Aktion durchzuführen. Typische Aktionen sind das Aufrufen eines Links und Entsperren des Kontos durch Eingabe von Usernamen und Passwort, das Installieren einer Software über einen Link, das Begleichen von Gebühren, das Bestätigen eines Gewinns durch Preisgabe sensibler Daten oder durch Überweisen einer Gebühr oder das Anrufen einer bestimmten Telefonnummer, um anschließend sensible Daten abzufragen. In einigen Fällen recherchieren die Kriminellen vor dem Versand der SMS in sozialen Netzen, um die Nachricht durch das Hinzufügen von persönlichen Informationen authentischer erscheinen zu lassen. In diesem Fall werden einzelne Personen gezielt per Smishing angegriffen. Es handelt sich um eine Kombination aus Smishing und Spear-Phishing. Ist der Cyber-Kriminelle in Besitz sensibler Daten, nutzt er sie anschließend für seine betrügerischen Aktivitäten.

Schutzmaßnahmen vor Smishing

Um sich vor dem Smishing zu schützen, sind folgende Maßnahmen möglich:

  • Durchführen von Schulungen und Sensibilisierung von Mitarbeitern und Privatpersonen
  • gesundes Misstrauen gegenüber unerwartete SMS-Textnachrichten
  • Prüfung der Absenderrufnummer
  • Prüfung des Inhalts der SMS auf Plausibilität
  • Prüfung, ob in der SMS Druck aufgebaut wird
  • den Absender der SMS über einen anderen, selbst recherchierten Kommunikationskanal kontaktieren
  • niemals Links direkt aus einer SMS aufrufen
  • niemals sensible Daten wie Passwörter oder Kontodaten per SMS mitteilen

(ID:47067045)

Über den Autor