Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Smishing – der große Betrug mit der falschen SMS!

M.Sc. Chris Wojzechowski

Smishing – eine Wortkombination aus SMS und Fishing die den meisten eher vom Phishing her bekannt sein dürfte. Letzteres stellt den Versuch dar nach Passworten zu „fishen“. Das Smishing bezeichnet den Kanal, nämlich die SMS, als Mittel zum Zweck. Da die SMS für nur noch wenige Einsatzzwecke genutzt wird, konzentrieren sich die Kriminellen auf falsche Paketlieferungen oder Benachrichtigungen in Bezug auf eine bestehende Zwei-Faktor-Authentifizierung.

Mehr als 100 Millionen falsche SMS-Nachrichten allein im Netz der Telekom. Das Problem ist groß und betrifft zahlreiche Smartphones bzw. Nutzer*innen – ganz gleich aus welchem Netz. Auch wenn die Netzbetreiber Warnungen aussprechen, fehlen zuverlässige Mechanismen zur frühzeitigen Verhinderung. Um das Risiko einen Schaden zu erleiden zu reduzieren, sind Informationen, Schulungen & Trainings im Umgang mit falschen SMS unabdingbar – im privaten und geschäftlichen Kontext.

Ein Klick auf den Link in einer SMS kann besonders kritisch sein

Kann ein Klick auf einen Link bereits schädlich sein? Diese Frage muss mit „Ja“ beantwortet werden. Das gilt bei einem Klick in der E-Mail genau so wie bei der SMS. Letzteres ist jedoch noch kritischer. Denn anstatt Informationen zur angeblichen Paketlieferung zu erhalten, wird im Hintergrund der Versand von weiteren zahlreichen SMS-Nachrichten an die Kontakte vorbereitet und durchführt. Dieses Vorgehen klappt vor allem sehr gut, weil Software auf Drittquellen genutzt werden. Leider bzw. zum Glück nur ein Problem von Android basierten Smartphones.

Aber auch die erfreuliche Benachrichtigung über einen Gewinn sollte einen stutzig werden lassen. Vor allem dann, wenn man weder die Handynummer angegeben noch tatsächlich an einem Gewinnspiel teilgenommen hat. Das Bundesamt für Sicherheit in der Informationstechnik hat das Problem bereits längst auf dem Schirm und informiert regelmäßig über neue Betrugsmaschen in diesem Kontext.

Das Bundesamt für Informationstechnik informiert über eine aktuelle Smishing-Kampagne. Der Klick kauf „Install security update“ soll zum Download von unsicheren Dateien führen.

Dabei sind die Tipps und Verhaltensweisen im Umgang mit unseriösen SMS-Nachrichten einprägsam:

  1. Sie sollten auf keinen Link klicken.
  2. Der Download von Dateien aus unbekannter Quelle sollte strikt vermieden werden
  3. Löschen Sie die SMS

Darüber hinaus gibt es noch weitere Tipps die zur Prävention dienen:

  1. Blockieren Sie die Nummer des Absenders
  2. Aktivieren Sie die Drittanbietersperre um unnötig hohe Kosten zu verhindern

Keinen Beitrag mehr verpassen – jetzt eintragen

Jetzt E-Mail eintragen, bestätigen und keinen Beitrag verpassen!



Was kann ich tun, wenn ich auf einen Link in einer Smishing SMS geklickt habe?

Der richtige Zeitpunkt, der richtige Anlass und die richtige Person – wenn diese Aspekte zusammengekommen, sind Kriminelle häufig erfolgreich. Dabei ist es bloß Statistik – bei einer Anzahl von mehr als 100 Millionen SMS Nachrichten. Doch was kann man als betroffene Person tun, nachdem auf einen schadhaften Link in einer SMS geklickt wurde? Die Empfehlungen vom BSI sind ein guter Rat und lassen sich wie folgt zusammenfassen:

  • Deaktivieren Sie das Mobilfunknetz. Aktivieren Sie schnellstmöglich den Flugmodus. So wird der Versand weiterer SMS verhindert.
  • Setzen Sie Ihren Mobilfunkanbieter in Kenntniss
  • Seien Sie besonders aufmerksam bei Ihren Abrechnungen (Konto/Handyrechnung)
  • Das Erstatten einer Anzeige sowie das Zurücksetzen auf Werkseinstellungen sind die letzten Hinweise

Trotz Vorkehrungsmaßnahmen durch den Mobilfunkanbieter, wie z.B. eine Anomalie- und Betrugserkennung, gibt es auf diesem Kommunikationskanal (noch) keine Sicherheit. In regelmäßigen Abständen sollte sich jeder, der im Besitz einer Mobilfunknummer ist, über solche und ähnliche Betrugsmaschen informieren.


LiveHacking-Banner-Blog

Foto des Autors

M.Sc. Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin einer von zwei Geschäftsführern der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.