Smishing: Tückische Paketankündigung mit Schadsoftware im Schlepptau

Internet-Shopping wird immer gefragter.

Parallel ruft der florierende Onlinehandel und Paket-Boom Internetkriminelle auf den Plan, die aktuell gerne mit gefälschten Textnachrichten in Kurznachricht-Form, die Unaufmerksamkeit, die Ahnungslosigkeit und die Arglosigkeit der Personen ausnutzen, um ganz persönliche und geschäftskritische Daten abzugreifen oder Malware zu verbreiten. Der Betrug namens Smishing kann dabei alle treffen. Daher hilft vor allem eines: Aufklärung und Sensibilisierung für Smishing-Risiken.

„Ihr Päckchen wurde verschickt – zur Sendungsverfolgung klicken Sie auf diesen Hyperlink!“

Lieferankündigungen haben etwas Magisches an sich: Treffen die Nachrichten erst einmal ein, können es die viele Personen kaum erwarten, die Ware endlich in den Händen zu halten.

Ebenso Internetkriminelle machen sich den florierenden Onlinehandel und Paket-Boom für ihre kriminellen Machenschaften zunutze. Eine Betrugsmasche, die dabei hierzulande mehr und mehr an Beliebtheit gewinnt, ist Smishing.

Beim so bekannten Smishing dreht es sich um eine abgewandelte Art von Phishing, bei der meist gefälschte Textnachrichten in SMS-Form zur Anwendung kommen, um persönliche und geschäftskritische Informationen abzugreifen wie Login-Daten, Passwörter und Kreditkarteninformationen oder um Schadsoftware zu verteilen.

Gemäß einer Meldung von Spiegel.de hat eine Anti-Betrugs-Arbeitsgruppe der Mobilfunkanbieter von Januar bis März dieses Jahres bereits 200.000 Fälle registriert, die trotz aller Warnungen diverser Polizeidienststellen und Landeskriminalämtern wie zum Beispiel das Landeskriminalamt Baden-Württemberg oder das Landeskriminalamt Bayern sowie dem Bundesamt für Sicherheit in der Informationstechnik deutschlandweit und anbieterübergreifend auf die Phishing-SMS im Namen namhafter Versanddienstleister hereingefallen sind.

Kleiner Klick, großer Schaden!

Egal ob auf dem heimischen Sofa, in der Bahn, im Lokal, am Flughafen oder sogar im Park – Handys sind allgegenwärtig und zu einem stetigen Begleiter dieser modernen Gesellschaft geworden.

Allein in Deutschland haben heutzutage gemäß Bitkom circa 56 Millionen Personen ab 16 Jahren ein Smartphone.

Darum ist es auch nicht verwunderlich, dass sich Internetkriminelle umorientieren und ihre Angriffe verstärkt auf mobile Endgeräte wie Smartphone und Tablets ausweiten.

Während konventionelle Phishing-Angriffe häufig per E-Mail stattfinden, setzen Internetkriminelle beim Smishing bevorzugt auf den Kurznachrichtendienst, auch bezeichnet als Short Message Service oder SMS.

Die Vorgehensweise beim SMS-Betrug ist denkbar simpel:

• Internetkriminelle verschicken im Namen beliebter Unternehmen gefälschte Textnachrichten an willkürliche Empfänger und fordern sie unter falschem Vorwand auf, einer Internetadresse zu folgen und dann eine App zu installieren. Wird diese installiert, wird in der Regel eine Malware heruntergeladen, die nicht nur den Angreifern Zugang auf das Mobilfunktelefon verschafft, sondern auch jegliche Login-Informationen ausliest, kostenpflichtige SMS versendet oder das Telefon sperrt, um anschließend für die Entsperrung Lösegeld zu fordern.
• Eine weitere heimtückische Verfahrensweise beim Smishing ist das Weiterleiten des Opfers auf ein Formular, um zum Beispiel Zugangsdaten fürs Internet-Banking oder weitere Konto-/ Kreditkarteninformationen abzugreifen. In der Regel vermelden die Angreifer Sicherheitsprobleme, die die unverzügliche Übermittlung der persönlichen Daten erforderlich machen würden, um die ganzen Funktionen eines Dienstes weiterhin nutzen zu können.
• Ebenfalls sehr geschätzt ist die Methode, bei der sich Internetkriminelle als Beschäftigte vom Kundensupport ausgeben. Bei dieser Smishing-Betrugsmasche erhalten die Opfer eine Textnachricht mit dem Aufruf, sich über die angegebene Telefonnummer an den Kundendienst zu wenden. Angesichts der Betrugsmasche, sich als Kundenservice-Mitarbeiter auszugeben, besteht eine erhöhte Glaubhaftigkeit, wodurch die Opfer bereitwillig sensible Daten bekannt geben.

Optimieren Sie Ihre IT-Sicherheit durch Aufklärung und Sensibilisierung!

Durch die wachsende Ausbreitung und Nutzung von Handys und anderen mobilen Endgeräten gestaltet sich Smishing zu einem ernstzunehmenden Benutzer- und Unternehmensrisiko. Die positive Botschaft ist, dass Sie mit einfachen Schritten Ihre Firma, Ihre Beschäftigten und Ihre Daten effektiv vor Smishing-Angriffe schützen können.

Prinzipiell gilt jedoch: Klicken Sie auf keinen Fall auf Links aus dubiosen Quellen und eliminieren Sie die Nachricht unverzüglich nach Empfang!

Zu den weiteren Maßnahmen zählen:

1. Smishing-Angriff erkennen:
Bekommen Sie dringende Sicherheitswarnungen, ablaufende Sonderangebote oder Deals, die Druck erzeugen und eine unverzügliche Aktion erfordern, handelt es sich sehr wahrscheinlich um eine Phishing-Short Message.

Ebenso lässt sich eine Phishing-SMS an diversen optischen Unregelmäßigkeiten identifizieren:

• Unbekannte Nummer des Versenders
• Grammatikfehler und Rechtschreibfehler
• Seltsame Formatierung
• Unpersönliche oder außergewöhnliche Anrede

2. Inhalt auf Plausibilität überprüfen:
Weder Kreditinstitute noch Anbieter oder andere Stellen und Institutionen verschicken SMS-Nachrichten um Anmeldeinformationen, Passwörter oder Kontoinformationen einzuholen. Bekommen Sie eine Short Message mit solch einer Aufforderung, hilft es, bei dem Finanzinstitut, beim Händler oder dem Unternehmen anzurufen, um zu überprüfen, ob die Benachrichtigung wirklich von dort stammt.

3. IT-Sicherheitsschulungen durchführen:
Durch ständige IT-Sicherheitsschulungen können Sie das Sicherheitsbewusstsein ihrer Mitarbeiter stärken. Somit sind sie in der Situation eventuelle Smishing-Angriffe zu erkennen, abzuwenden und zu berichten.

4. Smishing-Angriff berichten:
Wenn Sie einen Smishing-Angriff bemerken, haben Sie bei der Bundesnetzagentur die Möglichkeit, die Smishing-Attacke zu melden.

5. Sicherheitslösungen und Sicherheitsupdates installieren:
Nebst der Inbetriebnahme einer Antivirensoftware sollten Sie sowohl ihr Betriebssystem als auch sämtlich Apps stets auf dem neuesten Stand halten. Denn in der Regel werden durch Updates vor kurzem entdeckte Sicherheitslücken geschlossen, die von etwaigen Angreifern ausgenutzt werden könnten.

6. Geschicktes Speichern:
Speichern Sie keinesfalls Ihre Kreditkarten- noch Ihre Banking-Informationen auf Ihrem Smartphone ab.

Sollten Sie oder Ihre Mitarbeiter doch aus Versehen auf den Hyperlink geklickt haben oder gar schon Software installiert haben, rät das Bundesamt für Sicherheit in der Informationstechnik darüber hinaus:

1. Das Handy in den Flugmodus zu bringen, um weiteren SMS-Versand und eine eventuelle Kommunikation der Malware mit anderen Geräten sowie den Datenabfluss zu vermeiden.
2. Den Mobilfunkanbieter zu unterrichten.
3. Das Bankkonto sowie weitere Bezahlsysteme auf Abbuchungen zu prüfen.
4. Anzeige bei der lokalen Polizeidienststelle zu erstatten.
5. Das Mobiltelefon auf Werkseinstellungen zurückzusetzen

Wissen schützt!

Handys, Tablets und Co. werden als Angriffsziel für Internetkriminelle stets lohnenswerter. Smishing ist gegenwärtig mit Bestimmtheit eines ihrer beliebtesten Angriffsmethoden, um auf mobilen Endgeräten vertrauliche Informationen, Passwörter und andere Zugangsdaten abzugreifen oder um Schadsoftware einzuschleusen und zu verteilen. Der beste Weg, Betriebe und Beschäftigte vor derartigen Smishing-Attacken zu bewahren, sind regelmäßige IT-Sicherheitsschulungen und Sensibilisierungsmaßnahmen.

Denn wie Sie bekanntermaßen wissen, sind aufgeklärte und gut geschulte Beschäftigte ein wichtiger, wenn nicht der bedeutsamste Gegenstand einer wirkungsvollen Sicherheitsstrategie.

Ferner sollten Unternehmen innovative Sicherheitslösungen implementieren, um die mobile Sicherheit zu erhöhen.

Sie sind Endkunde: Falls Sie noch Fragen zur Thematik Smishing, zu unseren Dienstleistungen im Bereich IT-Sicherheit oder unseren Sicherheitslösungen haben, nehmen Sie gerne Kontakt zu uns auf.

Du bist IT-Dienstleister: Du bist an unserem Blogartikel Plus Abo interessiert? Dann freuen wir uns auf Deine Kontaktaufnahme per Mail an ingo.luecker@itleague.de.