Gröpper IT SystemtechnikPublikationenSmishing: Mobiltelefone im Fokus von Internetkriminellen - Gröpper IT-Systemtechnik

31. Mai 2021

Smishing: Mobiltelefone im Fokus von Internetkriminellen

Online-Shopping wird stets angesagter.

Zeitgleich ruft der florierende Onlinehandel und Paket-Boom Internetkriminelle auf den Plan, die aktuell vorzugsweise mit gefälschten Textnachrichten in SMS-Form, die Achtlosigkeit, das Unwissen und die Arglosigkeit der Menschen ausnutzen, um ganz persönliche und geschäftskritische Informationen abzugreifen oder Schadsoftware zu verteilen. Der Betrug mit dem Namen Smishing kann dabei alle treffen. Deshalb wirkt vor allem eines: Aufklärung und Sensibilisierung für Smishing-Risiken.

„Ihr Päckchen wurde verschickt – zur Sendungsverfolgung klicken Sie auf diesen Link!“

Paketankündigungen haben etwas Magisches an sich: Treffen die Nachrichten erst einmal ein, können es die meisten Menschen kaum erwarten, die Bestellung endlich in den Händen zu halten.

Ebenso Internetkriminelle machen sich den florierenden Internethandel und Paket-Boom für ihre kriminellen Machenschaften zu Nutze. Eine Betrugsmasche, die hierbei in unserem Land zunehmend an Beliebtheit gewinnt, ist Smishing.

Beim sogenannten Smishing dreht es sich um eine abgewandelte Form von Phishing, bei der vornehmlich gefälschte Textnachrichten in SMS-Form zum Einsatz kommen, um ganz persönliche und geschäftskritische Informationen abzugreifen wie Login-Daten, Passwörter und Kreditkarteninformationen oder um Malware zu verteilen.

Laut einer Nachricht von Spiegel.de (https://www.spiegel.de/netzwelt/apps/sms-betrug-polizei-und-mobilfunkanbieter-berichten-von-massiver-welle-a-9f623c3f-68d0-4b92-90c6-bb5b4bb3f63d ) hat eine Anti-Betrugs-Arbeitsgruppe der Mobilfunkanbieter von Januar bis März dieses Jahres bereits 200.000 Fälle registriert, die ungeachtet aller Warnungen etlicher Polizeidienststellen und Landeskriminalämtern wie zum Beispiel das Landeskriminalamt Baden-Württemberg (https://www.presseportal.de/blaulicht/pm/110980/4855510 ) oder das Landeskriminalamt Bayern (https://www.polizei.bayern.de/oberfranken/news/presse/aktuell/index.html/324180) sowie dem Bundesamt für Sicherheit in der Informationstechnik (https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Smishing_SMS-Phishing_090421.html landesweit und anbieterübergreifend auf die Phishing-Kurznachricht im Namen bekannter Versender hereingefallen sind.

Kleiner Klick, enormer Schaden!

Egal ob auf dem eigenen Sofa, im Zug, im Lokal, am Flughafen oder sogar im Park – Smartphones sind omnipräsent und zu einem konstanten Begleiter dieser modernen Gesellschaft geworden.

Allein in Deutschland besitzen heutzutage gemäß Bitkom (https://www.bitkom.org/Presse/Presseinformation/35-Milliarden-Euro-Umsatz-rund-um-Smartphones ) um die 56 Millionen Personen ab 16 Jahren ein Handy.

Darum ist es auch nicht überraschend, dass sich Internetkriminelle umorientieren und ihre Angriffe gehäuft auf mobile Endgeräte wie Smartphone und Tablets ausdehnen.

Während traditionelle Phishing-Angriffe meistens per E-Mail erfolgen, setzen Internetkriminelle beim Smishing vorzugsweise auf den Kurznachrichtendienst, auch bekannt als Short Message Service oder SMS.

Die Methode beim SMS-Betrug ist denkbar simpel:

  • Internetkriminelle versenden im Namen namhafter Firmen gefälschte Textnachrichten an willkürliche Empfänger und fordern sie unter falschem Vorwand auf, einer Internetadresse zu folgen und hinterher eine Anwendung zu installieren. Wird diese installiert, wird in aller Regel eine Malware heruntergeladen, die nicht nur den Angreifern Zugriff auf das Smartphone ermöglicht, sondern auch sämtliche Login-Daten ausliest, kostenpflichtige SMS versendet oder das Telefon sperrt, um später für die Entsperrung Lösegeld zu fordern.
  • Eine andere perfide Vorgehensweise beim Smishing ist das Weiterleiten des Opfers auf ein Formular, um beispielsweise Zugangsdaten fürs Internet-Banking oder weitere Konto-/ Kreditkarteninformationen abzugreifen. Typischerweise vermelden die Angreifer Sicherheitsprobleme, die die unverzügliche Übertragung der persönlichen Daten notwendig machen würden, um jegliche Funktionen eines Dienstes weiterhin nutzen zu können.
  • Ebenso sehr geschätzt ist die Verfahrensweise, bei der sich Internetkriminelle als Mitarbeiter vom Kundendienst ausgeben. Bei dieser Smishing-Betrugsmasche bekommen die Opfer eine Textnachricht mit der Aufforderung, sich über die angegebene Nummer an den Kundendienst zu wenden. Aufgrund der Masche, sich als Support-Mitarbeiter auszugeben, existiert eine höhere Glaubhaftigkeit, wodurch die Opfer anstandslos sensible Informationen bekannt geben.

Erhöhen Sie Ihre IT-Sicherheit durch Beratung und Sensibilisierung!

Durch die zunehmende Ausbreitung und Verwendung von Smartphones und anderen mobilen Endgeräten entwickelt sich Smishing zu einem ernstzunehmenden Benutzer- und Unternehmensrisiko. Die gute Botschaft ist, dass Sie mit leichten Maßnahmen Ihr Unternehmen, Ihre Beschäftigten und Ihre Informationen wirkungsvoll vor Smishing-Angriffe schützen können.

Generell gilt jedoch: Klicken Sie auf gar keinen Fall auf Links aus dubiosen Quellen und entfernen Sie die Benachrichtigung unverzüglich nach Erhalt!

Zu den zusätzlichen Strategien zählen:

1. Smishing-Attacke erkennen:
Bekommen Sie dringende Sicherheitswarnungen, ablaufende Angebote oder Deals, die Druck aufbauen und eine direkte Aktion verlangen, handelt es sich sehr wahrscheinlich um eine Phishing-Kurznachricht.

Obendrein lässt sich eine Phishing-SMS an verschiedenen visuellen Unregelmäßigkeiten erkennen:

– Unbekannte Nummer des Versenders
– Grammatikfehler und Rechtschreibfehler
– Verwirrende Formatierung
– Unpersönliche oder ungewöhnliche Anrede

2. Inhalt auf Wahrscheinlichkeit überprüfen:
Weder Banken noch Anbieter oder andere Stellen und Institutionen versenden Textnachrichten um Anmeldeinformationen, Passwörter oder Kontoinformationen zu erfragen. Empfangen Sie eine SMS mit solch einer Aufforderung, hilft es, bei dem Finanzinstitut, beim Anbieter oder dem Betrieb anzurufen, um zu verifizieren, ob die Mitteilung wirklich von dort kommt.

3. IT-Sicherheitsschulungen umsetzen: Durch ständige IT-Sicherheitsschulungen können Sie das Sicherheitsbewusstsein ihrer Mitarbeiter stärken. Hierdurch sind sie in der Lage mögliche Smishing-Angriffe zu identifizieren, zu verhindern und zu melden.

4. Smishing-Angriff melden: Wenn Sie eine Smishing-Attacke registrieren, haben Sie bei der Bundesnetzagentur (https://www.bundesnetzagentur.de/_tools/RumitelStart/Form02SMS/node.html;jsessionid=D9A9E600CF281816A9AC0B8126E6817B ) die Option, den Smishing-Angriff zu melden.

5. Sicherheitslösungen und Sicherheitsupdates einrichten: Nebst der Installation einer Antivirensoftware sollten Sie sowohl ihr Betriebssystem als auch sämtlich Applikationen immer auf dem aktuellsten Stand halten. Denn nicht selten werden durch Updates vor kurzer Zeit bemerkte Sicherheitslücken geschlossen, die von potenziellen Angreifern genutzt werden könnten.

6. Geschicktes Abspeichern: Speichern Sie nie Ihre Kreditkarten- noch Ihre Banking-Informationen auf Ihrem Smartphone ab.

Sollten Sie oder Ihre Beschäftigten doch unbeabsichtigt auf den Link geklickt haben oder tatsächlich schon Software installiert haben, rät das Bundesamt für Sicherheit in der Informationstechnik (https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Smishing_SMS-Phishing_090421.html ) darüber hinaus:

1. Das Handy in den Flugmodus zu setzen, um zusätzlichen SMS-Versand und eine mögliche Verbindung der Malware mit weiteren Geräten und den Datenabfluss zu verhindern.
2. Den Mobilfunkprovider zu informieren.
3. Das Konto und weitere Bezahlsysteme auf Abbuchungen zu überprüfen.
4. Strafanzeige bei der lokalen Polizeidienststelle zu erstatten.
5. Das Mobiltelefon auf Werkseinstellungen zurückzusetzen

Wissen schützt!

Mobiltelefone, Tablets und Co. werden als Angriffsziel für Internetkriminelle stets lohnenswerter. Smishing ist inzwischen ohne Zweifel eines ihrer angesagtesten Angriffsmethoden, um auf mobilen Endgeräten vertrauliche Daten, Passwörter und andere Zugangsdaten abzugreifen oder um Malware einzuschleusen und zu verbreiten. Der beste Weg, Firmen und Beschäftigte vor solchen Smishing-Attacken zu schützen, sind häufige IT-Sicherheitsschulungen und Sensibilisierungsmaßnahmen.

Denn wie Sie schließlich wissen, sind aufgeklärte und gut geschulte Beschäftigte ein wichtiger, wenn nicht der bedeutsamste Gegenstand einer wirkungsvollen Sicherheitsstrategie.

Ferner sollten Firmen moderne Sicherheitslösungen implementieren, um die mobile Sicherheit zu erhöhen.

Falls Sie noch Fragen zur Thematik Smishing, zu unseren Dienstleistungen im Bereich IT-Sicherheit oder unseren Sicherheitslösungen haben, nehmen Sie gerne Kontakt zu uns auf.

Gröpper IT-Systemtechnik GmbH

© 2018 Gröpper IT-Systemtechnik GmbH. Alle Rechte vorbehalten. | Impressum | Datenschutzerklärung | Realisierung & Support: cands.de