Smishing: So schützen Sie sich vor gefährlichen Phishing-SMS

SMS gelten allgemein als besonders sichere Form der Nachrichtenübermittlung. Schließlich bieten die bis zu 160 Zeichen langen digitalen Kurznachrichten keinen Platz für versteckte Dateianhänge mit Schadsoftware, wie dies etwa bei E-Mails möglich ist. Trotzdem haben Cyberkriminelle den Kurznachrichtendienst als Einfallstor für sogenannte Smishing-Attacken entdeckt. Mit wachsendem Erfolg.

Längst haben Nachrichtendienste wie WhatsApp, iMessage oder WeChat die individuelle SMS-zur schnellen Terminabsprache in Beruf und Freizeit abgelöst. Doch zeitgleich nimmt die Zahl der automatisierten SMS stetig zu.

So kündigen heute viele Versender ihre Pakete per SMS an. Auch Passwörter für die Zwei-Faktor-Authentifizierung landen per SMS auf dem Handy. Selbst die Alarmanlagen und GPS-Tracker vieler Autos versenden eine SMS, wenn das Fahrzeug unerlaubt bewegt wurde.

Ein großer Teil der automatischen SMS von Kurierdiensten und Online-Kaufhäusern enthält dynamische Webadressen, die sich beispielsweise aus einem Firmennamen und einem persönlichen Code zusammensetzen. Viele Handy-Nutzer:innen sind es daher inzwischen gewohnt, SMS mit Zahlencodes und ungewöhnlichen computergenerierten Webadressen zu erhalten – und klicken diese Links arglos an. Genau hier liegt die Gefahr, denn Cyberkriminelle machen sich diese Gewohnheit zunutze.

Immerhin werden nach Erhebungen der IT-Marktforscher von Gartner rund 98 Prozent aller SMS gelesen und 45 Prozent beantwortet. Zum Vergleich: Nur auf sechs Prozent aller E-Mails gibt es eine Antwort.

 

Definition: Was ist „Smishing“?

Das Wort Smishing setzt sich zusammen aus den Begriffen SMS (Short Message Service, auf Englisch: Kurznachrichtendienst) und Phishing. Phishing wiederum ist ein Kunstwort aus den englischen Wörtern „Password“ und „Fishing“. Der Begriff beschreibt also das kriminelle Abfischen von Passwörtern.

Allgemein bekannt sind gefälschte Gewinnbenachrichtigungen per E-Mail oder angebliche Warnhinweise vom Bundeskriminalamt, die dazu verleiten sollen, auf eine im Text verlinkte Webadresse zu klicken. Antivirenprogramme erkennen mittlerweile einen Großteil dieser Phishing-Mails und löschen sie – oder E-Mail-Programmen verschieben sie direkt in den Spam-Ordner.

Auf Handys fehlen solche Sicherheitsmechanismen meistens. Um die Textlänge von 160 Zeichen nicht zu überschreiten, sind SMS zudem häufig sehr knapp: Persönliche Ansprache und Begrüßungsformel entfallen dadurch. Daher sind Smishing-SMS im Unterschied zu vielen Phishing-Mails nicht so leicht an einer falschen Anrede zu erkennen.

 

Gefährliche SMS mit Padding-Trick

Außerdem machen sich Kriminelle das sogenannte URL-Padding zunutze: Sie registrieren besonders lange Web-Adressen, deren Anfang wie ein echter Firmenname aussieht, beispielsweise www.dhl————————–umleitung.de. Weil auf kleineren Smartphone-Displays oft nur die ersten Zeichen einer Webadresse angezeigt werden, sehen die Opfer nicht, dass es sich hierbei nicht um die echte Webadresse (URL) des Unternehmens handelt.

Zudem glauben viele Anwender:innen, dass Handys gegen Schadsoftware und Cyberangriffe immun wären. Doch das ist nur teilweise richtig. Zwar können SMS bisher keinen ausführbaren Schadcode auf das Smartphone schmuggeln. Doch der Klick auf Link-Adressen in Smishing-Nachrichten und das anschließende Ausführen dahinter liegender Schadprogramme kann sehr wohl zu einer Infektion führen. Die Kriminellen sind also beim Smishing auf etwas Hilfe ihrer Opfer angewiesen. Doch das funktioniert erschreckend häufig. Die Zahl der gemeldeten Schadensfälle per Smishing nimmt seit 2021 deutlich zu.

Weil moderne Smartphones häufig in Firmen- oder Privatnetze eingebettet sind, steigt das Schadensrisiko durch Smishing-Attacken auch in Unternehmensnetzen deutlich an. Befallene Mobilgeräte können ihre Schadsoftware und Schad-Links unbemerkt und plattformübergreifend weiterverteilen.

 

Seit 2021: Anstieg bei betrügerischen SMS und schädlichen Android-Apps

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ebenso wie der Bankenverband und Verbraucherschützer warnen daher regelmäßig vor immer neuen Smishing-Attacken. So berichtete das BSI im Februar 2021 von einer Smishing-Welle mit angeblichen Paketbenachrichtigungen, die einen gefährlichen Schad-Link enthielten:

„Die SMS fordert EmpfängerInnen demnach auf, einen Bestätigungs-Link anzuklicken, die auf schädliche Android-Apps verweisen. Sofern die Installation von Apps aus unbekannten Quellen erlaubt und die Installation der App bestätigt wird, kann es u. a. zu einem massenhaften SMS-Versand kommen. Bei der Nutzung von kostenpflichtigen Diensten kann dies ohne Drittanbietersperre bei dem jeweiligen Mobilfunkprovider zu einem finanziellen Schaden über die Mobilfunkrechnung führen.“

Andere Smishing-Attacken sind noch weitaus gefährlicher und stehlen beispielsweise Passwörter und Zugangsdaten für das Online-Banking.

 

Wachsende Bedeutung für das Internet der Dinge

Weil heute auch viele andere Geräte im Internet der Dinge (Internet of Things, kurz: IoT) SMS empfangen und weiterleiten können, ist das Smishing längst kein reines Handy-Thema mehr. Auch viele Tablets, Maschinensteuerungen in der Industrie sowie zahlreiche Bordcomputer von Kraftfahrzeugen sind inzwischen mobil vernetzt und unterstützen das SMS-Protokoll.

Damit sind auch sie potenziell Empfangsgeräte für Smishing-Nachrichten. Arbeiten diese Geräte zudem mit Smartphone-Betriebssystemen wie Android und unterstützen das Aufrufen von Links in Kurznachrichten, können sie potenziell auch durch die gleichen Schadprogramme wie Smartphones infiziert werden.

Vergleich: So unterscheiden sich SMS-Phishing, Smartphone-Phishing und Co.

Smishing und das aus dem E-Mail-Verkehr bekannte Phishing werden oft mit ähnlich angelegten Betrugsformen aus der Cyberkriminalität verwechselt. Bei den Varianten des Phishing wird meist nach der jeweils gewählten Übertragungsplattform unterschieden:

  • Während das Smishing mit Textbotschaften auf jedem SMS-fähigen Handy funktioniert, benötigt das Smartphone-Phishing – wie schon am Namen erkennbar – ein internetfähiges Endgerät mit Webbrowser. Beim Smartphone-Phishing enthält die Kurznachricht einen anklickbaren Link, der auf dem Smartphone direkt im Browser geöffnet wird und hinter dem sich Schadsoftware verbirgt, die nach dem Anklicken das Gerät infiziert.
  • Der Begriff Vishing (aus „Voice“, englisch für Stimme) und „Phishing“ beschreibt das Passwort- oder Kontodaten-Abfischen per Telefonat. Hierbei rufen die Hacker:innen beispielsweise im angeblichen Auftrag einer Bank an und erfragen persönliche Daten. Richten sich entsprechende Attacken gegen Unternehmen, wird hier oft auch vom “Social Engineering” gesprochen.
  • Beim Instant Messaging Phishing nutzen die Cyberkriminellen Nachrichtendienste wie WhatsApp oder den Facebook-Messenger. Auch hier arbeiten die Hacker:innen in der Regel wieder mit gefährlichen Web-Links.
  • Das Near Field Phishing als Einfallstor ist von Sicherheitsexpert:innen bisher nur im Laborversuch als mögliche Phishing-Variante erfolgreich ausgetestet worden. Hierbei wird über den Funkstandard NFC (Near Field Communication) eine gefährliche Webadresse an das Smartphone übertragen. Dafür kam im Versuch ein entsprechend modifizierter AirTag von Apple zum Einsatz.

 

Wie funktioniert Phishing per SMS in der Praxis?

Beim SMS-Phishing nutzen Kriminelle unterschiedliche Wege, um ihre Opfer zu schädigen. Typische Varianten des Smishing sind:

  • Smisher verschicken Textnachrichten, die scheinbar von Freund:innen oder Familienangehörigen stammen. Die Empfänger:innen werden darin aufgefordert, einen bestimmten Link anzuklicken. Oder sie sollen schnell Geld überweisen, weil die Versenderin oder der Versender angeblich gerade einen Verkehrsunfall hatte oder im Gefängnis ist. Über die Links wird oft eine App heruntergeladen, die den Hacker:innen Zugriff auf das damit infizierte Smartphone gibt.
  • Cyberkriminelle geben sich als Firmenvertreter:innen aus und versenden beispielsweise Paket-Benachrichtigungen. Die Kriminellen bauen in diese gefälschten SMS wiederum Links ein. Auch diese Links führen zu Schadsoftware. Alternativ verweisen die Links auf Web-Formulare, auf denen die Betroffenen beispielsweise zwecks Authentifizierung ihre Anmeldedaten für den Onlineshop eingeben sollen, der das Paket scheinbar versendet hat.
  • Seit dem Herbst 2021 sind vermehrt sogenannte Voicemail-SMS im Umlauf, die auf eine angeblich erhaltene Sprachnachricht hinweisen. Auch hierbei wird ein Link mitgesendet, der für den Download der Sprachnachricht notwendig sein soll. In einer Variante dieses speziellen Smishing-Betruges wird vermeintlich ein Sicherheitsupdate auf das Smartphone heruntergeladen. Tatsächlich ist dies ein Schadprogramm für Android-Handys.
  • Eine Unterart des Smishing ist das Bank Smishing: Hierbei wird den Kund:innen per SMS mitgeteilt, dass gerade eine höhere Summe von ihrem Konto abgebucht wurde und zum Widerrufen dieser Transaktion die persönlichen Kontodaten in ein Formular eingegeben werden müssten.
  • In einigen Fällen kombinieren Hacker:innen das Smishing mit einem Vishing-Variante. Die gefälschte SMS enthält dann die ebenfalls falsche Telefonnummer eines Service-Centers des Paketdienstleisters oder der im Absender genannten Bank. Bei dieser Hotline muss sich das Opfer dann mit seinen persönlichen Daten oder seiner Bankverbindung ausweisen, wodurch die Kriminellen in den Besitzer dieser Informationen gelangen. Dieses Verfahren hat Ähnlichkeit mit einer echten Zwei-Faktor-Authentifizierung, weshalb der Betrug besonders glaubhaft wirkt.

Durch Antivirenprogramme oder Firewalls sind solche Angriffe kaum zu verhindern. Der Bankenverband warnt daher:

„Das Abfischen von Daten ist besonders perfide, weil mit den missbräuchlich erlangten Daten die technischen Sicherheitsvorkehrungen der Banken umgangen werden. Denn die Betrüger brauchen keine hochprofessionellen technischen Kenntnisse, um die Sicherheitssysteme zu manipulieren. Vielmehr können sie Zahlungsvorgänge auslösen, die für die Bank so erscheinen, als wären sie vom Kunden selbst autorisiert worden.“

Die Schadprogramme, die sich hinter den gefährlichen Links verbergen, wechseln häufig – ebenso wie die Namen der Banken oder Paketdienste, mit deren Scheinidentitäten die Cyberkriminellen arbeiten.

Bis zum Sommer 2022 kam beispielsweise häufig die Malware Flubot zum Einsatz, die auf befallenen Smartphones nach Bankingdaten, aber auch den Zugangscodes für Kryptowährungskonten suchte. Gleichzeitig versendete das Programm Nachrichten an Kontakte aus dem Telefon-Adressebuch, um sich so immer weiter zu verteilen.

Zwischenzeitlich wurde das kriminelle Netzwerk hinter Flubot von Ermittlungsbehörden abgeschaltet. Doch ähnliche Schadprogramme oder neue Varianten von Flubot dürften längst im Umlauf sein. Sie sollten also auch weiterhin äußerst vorsichtig sein, wenn Sie verdächtige SMS erhalten.

Fake-SMS: Das sollten Sie tun, wenn Sie diese versehentlich angeklickt haben

Haben Sie eine Phishing-SMS geöffnet und die darin enthaltenen Anweisungen ausgeführt, ist schnelles Handeln notwendig:

  • Sofern Sie den Cyberkriminellen Ihre Banking-Daten gegeben haben, sollten Sie unverzüglich Ihr Kreditinstitut informieren und Ihr Konto oder die betroffene Kreditkarte sperren.
  • Haben Sie einen Link mit Schadsoftware angeklickt und diese auf Ihrem Handy installiert, so sollten Sie das Gerät sofort in den Flugmodus schalten. Sofern möglich und hierdurch keine wichtigen Daten verloren gehen, sollten Sie das Gerät auf Werkseinstellungen zurücksetzen.
  • Hat Ihr Smartphone die SMS mit dem gefährlichen Link möglicherweise bereits an andere Empfänger:innen weitergeleitet, so sollten Sie die Kontakte aus Ihrem Smartphone-Adressbuch hierüber informieren.
  • Ist Ihre Smartphone Teil eines Unternehmensnetzes und mit diesem aktuell verbunden, so besteht das Risiko, dass auch andere Geräte im Firmennetz bereits befallen sind. Informieren Sie daher Ihre Unternehmens-IT über den Vorfall und trennen Sie Ihr Gerät unverzüglich vom Netz.
  • Erstatten Sie Strafanzeige bei der Polizei. Legen Sie dazu das Smartphone zur Beweissicherung vor. Betroffene Unternehmen sollten zusätzlich die Zentrale Ansprechstelle Cybercrime der Polizei in Ihrem Bundesland informieren. Diese erreichen Sie in der Regel über das jeweilige Landeskriminalamt.
  • Entwickeln Sie eine Cybersecurity-Strategie für Ihr Unternehmen, sofern es eine solche noch nicht gibt. So schützen Sie sich zukünftig gegen diese und ähnliche Cyberattacken auch auf anderen Angriffswegen.

So schützen Sie sich vor Phishing-SMS

Um sich gegen Smishing bestmöglich zu schützen, sollten Sie auf folgende Dinge achten:

  • Öffnen Sie möglichst keine Links aus SMS, die Sie erhalten. Pakete und andere Lieferungen können Sie in der Regel auch über die offizielle Webseite Ihres Dienstleisters verfolgen. Dafür erhalten Sie in der Regel einen Nachverfolgungslink bei Versandauftrag.
  • Seien Sie misstrauisch, wenn sich Ihr Geldinstitut auf einem bisher nicht vereinbaren Kommunikationskanal bei Ihnen meldet, beispielsweise per SMS, obwohl sie bisher nur das Online-Banking per Weboberfläche nutzen. Solche Bank-SMS könnten leicht Spam-Nachrichten oder Smishing sein.
  • Halten Sie die Betriebssysteme Ihrer Mobilgeräte immer aktuell.
  • Laden Sie keine Apps aus inoffiziellen App-Stores herunter, die Ihnen per SMS genannt werden. Diese könnten Schadsoftware enthalten.
  • Seien Sie vorsichtig, wenn Ihnen per SMS bestimmte Antivirenprogramme empfohlen werden, die angeblich als einzige eine bestimmte Schadsoftware beseitigen können. Häufig sind diese Antivirenprogramme selbst die Schadsoftware.
  • Wenn Ihnen Kolleg:innen oder Freund:innen unaufgefordert SMS mit Links senden, so fragen Sie zuerst bei den Absender:innen nach, ob diese Kurznachrichten tatsächlich von ihnen stammen.
  • Nutzen Sie entsprechende Sicherheitsfortbildungen in Ihrem Unternehmen und informieren Sie auch selbst Ihre Kolleg:innen und Mitarbeitenden über die Risiken des Smishing.
  • Eine Mobile Security-Strategie schützt die Endgeräte in Ihrem Unternehmen vor Phishing-SMS.
  • Nutzen Sie insbesondere bei dienstlich genutzten Mobiltelefonen die Drittanbietersperre, um zu verhindern, dass per Smishing kostenpflichtige Dienste über Ihr Mobilfunkkonto beauftragt werden. Sehr einfach geht dies über die MeinVodafone-App unter dem Punkt „Drittanbieter-Abos sperren“ Ihres Handy-Vertrages. Besonders komfortabel geht dies für Vodafone-Firmenkunden über das Enterprise Mobility Management.
  • Sie können bei Ihrem Mobilfunkanbieter die Drittanbietersperre aktivieren lassen. Dadurch können Sie eventuelle Kosten durch Schadsoftware weitestgehend vermeiden. Hinweise zur Umsetzung erhalten Sie über die Informationsangebote beziehungsweise Service-Portale ihres Mobilfunkproviders.

Smishing in der Übersicht

  • Smishing ist eine Variante des Phishings. Hierbei spähen Kriminelle Passwörter aus oder stehlen unter falscher Identität andere wichtige Informationen.
  • Infizierte Endgeräte können unbemerkt SMS an weitere Endgeräte aus dem Adressbuch versenden und Links zu Schadsoftware so verbreiten.
  • Kriminelle profitieren davon, dass viele Handy-Nutzer:innen keine gefährlichen Inhalte in SMS erwarten.
  • Mit einigen einfachen Maßnahmen senken Sie das Risiko von Smishing-Angriffen in Ihrem Unternehmen.

Quelle:

https://www.vodafone.de/business/featured/digitales-business/digitale-geschaeftsprozesse/smishing-das-steckt-dahinter-und-so-koennen-sie-sich-schuetzen/