2022 / Awareness / Betrugsmasche / Datendiebstahl

ENTWURF: Wie Smishing funktioniert und wie Sie sich davor schützen können

Veröffentlicht am

DOPPLUNG, es gibt schon EINEN BEITRAG ÜBER SMISHING

Haben Sie schon einmal den Begriff Smishing gehört? Wenn selbst der Begriff Phishing für viele ein Rätsel ist, ist Smishing definitiv noch ein Buch mit sieben Siegeln. Wir erklären Ihnen, was es mit dem Smishing auf sich hat und worum es sich dabei handelt. Denn auch wenn Phishing den meisten Sicherheitsforschern bereits bekannt ist, so sind dessen Unterarten oft noch gänzlich unbekannt und teilweise sogar erschreckend unerforscht.

Zeit, dass wir genau das endlich ändern. Wir werden Ihnen die besondere Form des Phishings in diesem Beitrag ein wenig näherbringen und Ihnen dabei aufzeigen, warum Smishing eine so große Gefahr darstellt. Auch wir als Sicherheitsexperten stolpern nämlich regelmäßig über diese Art des Phishings. Damit ist sie deutlich häufiger vorzufinden, als das manch einer vermuten mag.

Lust auf weitere Informationen bekommen? Dann lesen Sie gerne weiter und steigen Sie mit uns ein wenig tiefer in die Materie ein. Vor allem aber gilt es zunächst einmal zu klären, was das Smishing nun eigentlich genau ist und wie es im Detail funktioniert.

Was ist Smishing?

Smishing ist ein Kofferwort aus den Wörtern SMS und Phishing. Es handelt sich dementsprechend um Phishing-Angriffe, die eine SMS als Grundlage für alles Weitere verwenden. Das klingt erst einmal ein wenig veraltet und das ist es zum Teil sicherlich auch, doch es kommt dennoch weiterhin vor und wird aktiv eingesetzt. Warum die Methode heute besser denn je funktioniert, erklären wir Ihnen gleich noch ausführlicher.

Die Telekom stellte zudem schon einmal klar, dass über 100 Millionen falsche SMS pro Tag versendet werden. Allein im Netz der Telekom wohlgemerkt. Wie das bei den anderen Anbietern aussieht, bleibt unklar, doch die Zahl dürfte ähnlich hoch ausfallen, je nach Größe der Anbieter versteht sich.

Smishing ist also im Kern des Wortes die Definition für eine Phishing-Attacke, die über eine SMS als Schnittstelle zwischen Angreifer und Opfer stattfindet. Enthalten sind dort meist kurze Links, die logisch und authentisch aussehen, dann aber doch zur Eingabe von Zugangsdaten auffordern oder Schadcode enthalten. Aber wie genau funktioniert das Smishing überhaupt?

Wie genau funktioniert Smishing?

Die SMS ist kein modernes Medium mehr, so viel sollte klar sein. War Smishing früher noch relativ häufig, verschwand es erst einmal aus dem Fokus der Kriminellen. Das änderte sich allerdings, als die SMS-Benachrichtigungen wieder deutlich zunahmen. Zuletzt durch Hinweise zu Bestellungen in Online-Shops und der so wichtig gewordenen Zwei-Faktor-Authentifizierung.

Seitdem ist Smishing wieder auf dem Vormarsch. Oft wird vorgetäuscht, dass eine Bestellung stattfand, die nun versendet wurde. Enthalten ist dann ein kurzer Link und hinter dem verbirgt sich dann wiederum ein entsprechender Trojaner.

Auch Hinweise auf eine mögliche Zwei-Faktor-Authentifizierung sind geläufig. Hier heißt es dann oft, dass die Identität bestätigt werden muss oder ein verdächtiger Login stattgefunden hat. Aus Panik wird dann dem Link gefolgt, um herauszufinden, worum es bei der Nachricht überhaupt geht. Und schon landen Sie auf einer Fake-Website, loggen sich dort ein und geben ihre Benutzerdaten preis. Einfach so, ohne weiter darüber nachzudenken. Genau das ist Smishing und genau ist schlussendlich auch das Ziel von Smishing-Attacken.

Gibt es einen Schutz vor Smishing?

Aufklärung und Vorsicht sind ein guter Begleiter. Wir selbst führen immer wieder Schulungen und Simulationen durch, um etwaige Szenarien durchzuspielen und dabei aufzuzeigen, wie gefährlich Phishing- und eben auch Smishing-Angriffe im Alltag sein können. Vor allem aber möchten wir den Teilnehmenden darlegen, wie gewöhnlich solche Nachrichten im ersten Moment erscheinen. Erst auf den zweiten Blick wird dann der Betrugsversuch ersichtlich.

Die häufigsten Ursachen dafür, dass Phishing-Attacken erfolgreich verlaufen, liegen darin begründet, dass die entsprechenden Opfer nichts davon wussten. Sie wissen nicht, dass Links in E-Mails einfach hinter Text versteckt werden können. Sie ahnen nicht, dass auch SMS-Nachrichten nicht immer authentisch sind. Sie kennen schlichtweg die Gefahren nicht, die durch kleinste Mechanismen entstehen können.

Schutz vor Smishing ist also in erster Linie mit einer Art von Aufklärungsarbeit verbunden, gepaart mit einer Schulung. Zunächst gilt es das Wissen weiterzugeben und dann auf typische Merkmale aufmerksam zu machen, die eine falsche SMS und somit das Smishing sofort enttarnen werden. Der Mensch bleibt dabei immer die größte Schwachstelle und dieser muss verstehen, worum es beim Smishing geht und warum solche Nachrichten fast immer als falsch erkannt werden können, wenn sie nur entsprechend hinterfragt werden.

Fazit zum Phishing und Smishing

Mit dem Thema Phishing haben wir uns bereits in vielen Artikeln sehr intensiv beschäftigt. Auch Smishing ist, im Zuge von Paketinformationen und der erwähnten Zwei-Faktor-Authentifizierung wieder auf dem Vormarsch. Da immer mehr Menschen solche Bestätigungen per SMS erhalten, ist die Gefahr tatsächlich auch sehr groß, dass diese versehentlich auf das Smishing hereinfallen. Einfach deshalb, weil es sie in einem Moment erwischt, in dem sie nicht weiter darüber nachdenken.

Klar sollte immer sein, dass keine Links geklickt werden. Bestätigen Sie niemals blauäugig irgendwelche SMS-Nachrichten und auch keine E-Mails, die Links enthalten. Hinterfragen Sie vielmehr den entsprechenden Absender und kontrollieren Sie auch gleich, ob überhaupt ein Login stattgefunden hat. Haben Sie nirgendwo etwas bestellt, ergibt eine Paketbenachrichtigung schließlich überhaupt keinen Sinn. Und haben Sie keinen Login vorgenommen, wird auch keine Zwei-Faktor-Authentifizierung nach einer Bestätigung fragen.

Oft wird schneller geklickt als gedacht und dann ist es bereits zu spät und der Schaden ist angerichtet. Wenn Sie dies in Ihrem Unternehmen verhindern möchten, helfen wir Ihnen gerne dabei entsprechende Schutzmaßnahmen und Schulungen umzusetzen.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.