Smishing-Angriffe können verheerend sein. An einem Tag ist noch es deine größte Sorge, dass die Kaffeemaschine im Büro grade nicht geht. Am nächsten Tag sieht sich dein  Unternehmen mit einer Klage konfrontiert, weil jemand auf einen schädlichen Link geklickt und die Daten eurer Kunden kompromittiert hat.

Während Unternehmen ihre Sicherheitskontrollen verbessern, finden böswillige Akteure neue Wege, diese Schutzmaßnahmen zu durchbrechen. Laut dem 2023 State of the Phish Report von Proofpoint wurden im Jahr 2022 satte 76 Prozent der befragten Unternehmen Opfer von Phishing-Angriffen.

Das ist hoch, aber auch nicht wirklich überraschend. Durch den technologischen Fortschritt sind andere Formen des Phishings, wie E-Mail-Phishing und Vishing, schwieriger durchzuführen. Außerdem wissen die Täter, dass die Opfer eher auf SMS-Links klicken als auf E-Mails oder andere Links.

Im Folgenden werden wir kurz erklären, was Smishing ist und wie es funktioniert. Dann gehen wir auf die verräterischen Anzeichen böswilliger SMS-Nachrichten ein und erklären, wie du dich auf deinem mobilen Gerät davor schützen kannst. 

Was ist Smishing und wie funktioniert es?

Beim Smishing oder SMS-Phishing (SMS = Short Message Service) benutzen Hacker Textnachrichten, um ihre Opfer dazu zu bringen, vertrauliche Daten weiterzugeben oder Malware herunterzuladen. Smishing-Angriffe sind nicht nur mit den nativen mobilen SMS-Systemen verbunden. Sie können auch über andere Textnachrichten-Apps wie WhatsApp und Telegram erfolgen.

Unabhängig davon ist das Ziel dasselbe: vertrauliche Informationen wie Name, Adresse, Sozialversicherungsnummer, Benutzername, Passwort und Finanzdaten zu erlangen.

So funktioniert Smishing: Betrüger schicken Textnachrichten, die den Anschein erwecken, als kämen sie von seriösen Quellen wie einer Bank, der Regierung oder einem Arbeitskollegen.

Diese Nachrichten enthalten in der Regel Handlungsaufforderungen, die die Opfer zum sofortigen Handeln auffordern. In der Nachricht werden vertrauliche Informationen wie Benutzername, Passwort, Sozialversicherungsnummer oder Kreditkartendaten verlangt. Andere Nachrichten können mit einem bösartigen Malware-Anhang oder einem Link zu einer betrügerischen Website versehen sein.

Sehen wir uns ein paar Beispiele dafür an, wie eine Smishing-Kampagne aussehen kann:

„Hallo, James. Hier ist Felix. Du musst mir 15.000 Dollar von unserem Firmenkonto überweisen. Ich habe meine Karte verloren und brauche sie heute.„

‚Hallo! Dein FedEx-Paket mit dem Tracking-Code AA-3217-tt98 wartet auf dich. Hier geht es zu den Liefereinstellungen: c7avr.info/BGaGTK56vim„

„Lieber Nutzer. Dein [Unternehmens-App-Konto] wurde kompromittiert. Klicke auf c7avr.info/BGaGTK56vim, um dein Passwort zurückzusetzen.“

Anhand der obigen Ausführungen kannst du einige gemeinsame Merkmale von Smishing-Nachrichten erkennen. Im folgenden Abschnitt erfahren wir mehr.

Häufige Anzeichen für Smishing

Betrüger entwickeln immer neue Methoden, um Angriffe zu inszenieren. Es gibt jedoch einige verräterische Zeichen, an denen man eine Smishing-Nachricht erkennen kann. Dazu gehören die folgenden:

• Unerwünschte Textnachrichten:
  Du kannst eine Smishing-Kampagne im Keim ersticken, indem du einfach nicht auf Nachrichten unbekannter Absender reagierst. Zum Beispiel ist eine SMS, in der steht, dass du im Lotto gewonnen hast, ein Betrug, wenn du kein Los gekauft hast. Logisch!
• Dringlichkeit der Anfragen:
  Smishing-Angriffe enthalten in der Regel eine Aufforderung zum Handeln, die die Opfer zu schnellem Handeln auffordert. Nimm dir einen Moment Zeit, um deine Gedanken zu sammeln, bevor du etwas tust.
• Unbekannte Website-Links:
  Hacker schicken manchmal eine gefälschte Benachrichtigung mit einem Link. Wenn du darauf klickst, erlangen diese Bedrohungsakteure sensible Informationen. Eine Methode, um Nachrichten auf deinem Computer aufzurufen und die Echtheit von Website zu überprüfen, ist das Installieren einer Remote-Desktop-Apps auf deinem Computer und deinen mobilen Geräten.
• Grammatik- und Rechtschreibfehler:
  Ein weiteres verräterisches Zeichen für Smishing-Nachrichten ist, dass sie Rechtschreib- und Grammatikfehler enthalten. Daran erkennst du, dass sie nicht von einer seriösen Quelle stammen.
• Abfrage sensibler Informationen:
  Ein vertrauenswürdiges Unternehmen wird dich niemals auffordern, sensible Daten auf einer ungesicherten Plattform zu teilen.

9 Wege, um Smishing auf deinem mobilen Gerät zu verhindern

Jetzt, wo du die häufigsten Anzeichen für Smishing-Angriffe kennst, wollen wir besprechen, wie du sie auf deinen mobilen Geräten verhindern kannst.

1.    Sei misstrauisch gegenüber jeder Nachricht

Der erste Schritt, um nicht Opfer von Smishing-Angriffen zu werden, ist, skeptisch zu sein. Trainiere deinen Verstand, jede SMS, die du erhältst, anzuzweifeln, selbst von vertrauten Kontakten. Wenn du also dringend scheinende Nachrichten erhältst, nimm dir einen Moment Zeit und denke nach, bevor du handelst.

Sei misstrauisch gegenüber unaufgeforderten Nachrichten, vor allem wenn sie Rabatte oder unerwartete Preise anbieten. Wenn du zum Beispiel gar nicht an einem Gewinnspiel teilgenommen hast, kannst du ja eigentlich auch keine Gewinnbenachrichtigung bekommen, oder?

2.    Klicke nicht auf Links in Nachrichten

Viele Smishing-Angriffe enthalten normalerweise eine Nachricht, in der die Empfänger*innen aufgefordert werden, sofort zu handeln, indem sie auf einen Link klicken. Hacker können sich als staatliche Institutionen ausgeben und die Opfer auffordern, über einen Link eine staatliche Leistung zu beantragen oder Ähnliches.

Während des Höhepunkts der COVID-19-Pandemie warnte die Federal Trade Commission (FTC) beispielsweise vor Smishing-Angriffen, die kostenlose COVID-19-Tests, Steuererleichterungen und ähnliche Dienstleistungen anboten. Wenn die Opfer auf die Links in diesen Texten klickten, erlangten die Betrüger ihre Sozialversicherungsnummern und andere sensible Informationen.

Vermeide es immer, auf Links in Textnachrichten zu klicken. Wenn du aber unbedingt musst, installiere einen VNC-Viewer für Ubuntu, um deine persönlichen Daten zu schützen. Mit einem VNC-Viewer für dein Betriebssystem kannst du von deinem Computer aus auf dein mobiles Gerät zugreifen. Danach kannst du die Sicherheit des Links überprüfen, bevor du ihn anklickst.

3.    Gib niemals sensible Informationen per Text weiter

Generell solltest du es vermeiden, vertrauliche Informationen wie Benutzernamen, Passwörter oder Geschäftsinformationen in Textnachrichten weiterzugeben.

Seriöse Unternehmen werden niemals vertrauliche Informationen über diesen Kanal anfordern. Und selbst wenn du der Quelle vertraust, solltest du es trotzdem nicht tun. Wenn sich böswillige Akteure Zugang zu deren Geräten verschafft haben, können sie die Textnachricht abfangen und lesen und so ihren Inhalt kompromittieren.

4.    Überprüfe Kontakte unabhängig und filtere Spam-Nachrichten

Ein weiterer wichtiger Tipp, um Smishing auf deinem Mobilgerät zu verhindern, ist, unbekannte Kontakte immer zu verifizieren. Wenn dir ein unbekannter Kontakt eine SMS schickt und behauptet, eine Organisation oder eine Person zu sein, kontaktiere diese Partei direkt mit nachprüfbaren Kontaktdaten (zum Beispiel aus dem Impressum) und nicht mit den Informationen aus der SMS.

Das aktive Blockieren oder Filtern von Spam-Nachrichten kann dich auch vor Smishing-Versuchen schützen. Dein Dienstanbieter hat Funktionen zum Blockieren von Anrufen, damit du sicher bist. Filtere Spam-Nachrichten heraus, indem du Kommunikationsversuche von mutmaßlichen Betrügern notierst.

5.    Halte die Software auf allen mobilen Geräten auf dem neuesten Stand

Der Digitalisierungsgrad steigt, entsprechend suchen Cyberkriminelle nach immer raffinierteren Wegen, um Menschen zu betrügen. Deshalb solltest du sicherstellen, dass alle Anwendungen auf deinen mobilen Geräten auf dem neuesten Stand sind. So kannst du Bugs beheben, Sicherheitslücken schließen und neue Sicherheitsfunktionen einführen. Deinstalliere Apps, die du nicht mehr benutzt, und investiere in Software, die Sicherheits- und Datenschutzfunktionen bietet, wie RealVNC.

6.    Verwende die Zwei-Faktor-Authentifizierung (2FA) für alle Online-Konten

Wenn du einen Zwei-Faktor-Authentifikator für deine Online-Konten aktivierst, brauchst du mehr als einen Benutzernamen und ein Passwort, um dich einzuloggen. Für den Zugriff auf dein Konto ist ein zweiter Verifizierungsschritt erforderlich, oft ein eindeutiger Code, der an dein Handy geschickt wird.

Selbst wenn ein Hacker dein Passwort in die Hände bekommt, braucht er diesen speziellen Code, um auf dein Konto zuzugreifen. Das verringert die Wahrscheinlichkeit eines unbefugten Zugriffs erheblich und schützt sensible Daten vor der Preisgabe.

7.    Integration eines Rahmens für das Risikomanagement durch Dritte (TPRM)

Ein Rahmenwerk für das Risikomanagement von Drittanbietern (Third-Party Risk Management Framework  = TPRM) ist eine Reihe von Richtlinien, Prozessen und Instrumenten, die eine Organisation verwendet, um Risiken im Zusammenhang mit Drittanbietern zu identifizieren, zu bewerten und zu mindern. Dazu gehört die Bewertung der Sicherheitspraktiken von Anbietern, um sicherzustellen, dass sie mit den Standards der Organisation übereinstimmen.

Mit einem TPRM-Framework kannst du Dienste von Drittanbietern gründlich prüfen, insbesondere solche, die mobile Kommunikationsplattformen beinhalten, um sicherzustellen, dass sie sicher sind. Du kannst vertragliche Vereinbarungen treffen, die Sicherheitsverpflichtungen festlegen, um Smishing-Angriffe zu verhindern.

Mit diesem Rahmenwerk kannst du auch mit Dritten zusammenarbeiten, um Reaktionspläne für Vorfälle zu entwickeln und zu testen. So kannst du potenzielle Smishing-Vorfälle und andere Sicherheitsverstöße bewältigen.

8.    Das Bewusstsein für Smishing schärfen

Die Schulung der Beschäftigten in Sachen Cybersicherheit ist ein weiterer wichtiger Weg, um Smishing zu stoppen. Regelmäßige Schulungen können Teammitglieder in die Lage versetzen, verdächtige Nachrichten zu erkennen und zu melden, selbst wenn die Betrüger kreativ werden.

So nutzen viele böswillige Akteure beliebte und ansonsten sehr nützliche technische Errungenschaften wie VoIP-Systeme (Voice over Internet Protocol), um Smishing-Texte zu versenden (du kannst nachlesen, wie die Entwickler von Vonage den Wert von VoIP erklären und wie es die moderne Kommunikation revolutioniert).

Trotz ihrer erwiesenen Vorteile können VoIP-Texte für Smishing genutzt werden, weil es schwierig ist, ihre Quelle zurückzuverfolgen. Das macht es noch schwieriger, die Echtheit einer Smishing-Nachricht zu überprüfen. Mit der richtigen Ausbildung können die Beschäftigten jedoch die Warnsignale von Smishing-Nachrichten erkennen und vermeiden, Opfer zu werden.

Richte ein klares Verfahren ein, nach dem die Beschäftigten potenzielle Smishing-Angriffe melden können. So kann das Unternehmen vor diesen Angriffen warnen und sofort Maßnahmen ergreifen.

Und schließlich kannst du simulierte Smishing-Texte versenden. Sende gefälschte Smishing-Nachrichten, um die Reaktion des Empfängers zu beurteilen. Anhand ihrer Reaktionen kannst du erkennen, in welchen Bereichen eine weitere Schulung notwendig ist.

9.    Daten auf deinen mobilen Geräten und deinem Computer sichern

Schütze deine sensiblen Daten, wie deine Sozialversicherungsnummern und Kreditkartennummern, indem du ein persönliches Archiv anlegst. Ein sicheres Identitätsprotokoll beschleunigt die Überprüfungsverfahren und die polizeilichen Meldungen im Falle eines Identitätsdiebstahls. Du solltest einen Passwort-Manager einrichten, damit du dein Passwort auf mehreren Geräten leicht abrufen kannst.

Smishing: Zusammenfassung

Smishing-Angriffe nehmen aus verschiedenen Gründen zu. Erstens wissen die Cyberkriminellen, dass immer mehr Menschen Textnachrichten öffnen. Tatsächlich bestätigen 82 Prozent der Smartphone-Nutzer*innen, dass sie jede Textnachricht lesen. Außerdem machen die Fortschritte bei den Spam-Filtern andere Formen des Phishings, wie z. B. E-Mails, schwieriger.

Daher müssen Unternehmen proaktiv handeln und das Bewusstsein der Beteiligten schärfen, um Smishing-Angriffe zu verhindern.