Smishing

Wie Phishing per SMS funktioniert

Josh Fruhlinger ist freier Autor in Los Angeles.


Florian beschäftigt sich mit vielen Themen rund um Technologie und Management. Daneben betätigt er sich auch in sozialen Netzen.
Phishing per SMS-Textnachricht – auch als Smishing bekannt – ist eine Gefahr für Ihre Daten und Ihr Bankkonto. Wir sagen Ihnen, was Sie zu dieser Angriffsmethode krimineller Hacker wissen müssen.

Lassen Sie sich von der niedlich anmutenden Nomenklatur nicht täuschen: Smishing bezeichnet eine Art des Cyberangriffs, der Sie mit Hilfe irreführender SMS-Nachrichten dazu verleiten will, wertvolle Informationen preiszugeben, MalwareMalware auf Ihrem Gerät zu installieren oder kriminelle Hacker unfreiwillig monetär zu unterstützen. Wir sagen Ihnen, was Sie zum Thema PhishingPhishing per Textnachricht wissen sollten. Alles zu Malware auf CIO.de Alles zu Phishing auf CIO.de

Phishing per SMS oder Textnachricht - auch Smishing genannt - stellt im Smartphone-Zeitalter zunehmend eine Bedrohung dar. Wir sagen Ihnen, was Sie zum Thema wissen müssen.
Phishing per SMS oder Textnachricht - auch Smishing genannt - stellt im Smartphone-Zeitalter zunehmend eine Bedrohung dar. Wir sagen Ihnen, was Sie zum Thema wissen müssen.
Foto: NosorogUA - shutterstock.com

Smishing - Definition

Smishing bezeichnet eine Angriffsmethode krimineller Hacker, die SMS- beziehungsweise Textnachrichten benutzt, um ihre Opfer hinters Licht zu führen. Dabei soll die eingehende Nachricht den Anschein erwecken, von einer vertrauenswürdigen Person oder Organisation zu stammen. Die Zielsetzung besteht darin, sensible persönliche Daten (beispielsweise Onlinebanking-Zugangsdaten) abzugreifen oder Mobilgeräte zu kompromittieren.

Smishing ist eine auf Textnachrichten zugeschnittene Variante traditioneller Phishing-Methoden. Dabei versuchen kriminelle Hacker auch den Umstand auszunutzen, dass viele Menschen mit ihrem Smartphone deutlich sorgloser agieren als mit ihren PCs. Verdächtige Nachrichten werden auf dem Handy eher geöffnet und mobile Devices sind oft auch nicht in gleichem Maße abgesichert wie beispielsweise die Rechner im Unternehmen.

Smishing vs. Phishing vs. Vishing

Traditionelles Phishing plagt Internetnutzer bereits seit den 1990er Jahren. Smishing hingegen ist ein Phänomen der späten 2000er-Jahre. Der Begriff stellt eine Kombination aus SMS und Phishing dar - allerdings versteht man darunter im Allgemeinen auch Betrugsversuche, die über Messenger-Dienste (wie beispielsweise iMessage oder WeChat) initiiert werden, die nicht auf dem Short-Message-System-Protokoll basieren. Ein lohnender Angriffsvektor für Cyberkriminelle ist Smishing insbesondere, seit SmartphonesSmartphones allgegenwärtig sind. Alles zu Smartphones auf CIO.de

Vishing (Phishing per Voice Call) bezeichnet ebenfalls eine Phishing-Variante - allerdings basiert diese Angriffsmethode auf Sprachanrufen.

Smishing-Angriffe - Beispiele

In der Praxis lassen sich Smishing-Angriffe in drei verschiedene Kategorien einordnen, die sich hinsichtlich ihrer kriminell motivierten Zielsetzung unterscheiden:

Versuche, Zugangsdaten abzugreifen: Smishing-Angriffe können zum Ziel haben, Login-Daten für Onlinekonten abzugreifen. Insbesondere Onlinebanking-Zugänge sind für kriminelle Hacker von Interesse. Paradoxerweise versuchen die Cyberkriminellen regelmäßig, von der Angst gehackt zu werden, zu profitieren: Sie verschicken SMS- oder Textnachrichten, die vermeintlich von der Bank des Opfers stammen.

Dieses Vorgehen wird auch als "Bank Smishing" bezeichnet. Diese Nachrichten "warnen" ihre Empfänger vor umfangreichen Abbuchungen oder unbekannten Zahlungsempfängern und stellen eine Telefonnummer oder einen Link zur Verfügung, um den potenziell unberechtigten Zugriff auf das Bankkonto zu verhindern. Der Link führt im Regelfall auf eine gefälschte Webseite, die Telefonnummer direkt zum Cyberkriminellen - in beiden Fällen ist das Ziel, die Opfer dazu zu bewegen, ihre Nutzernamen und Passwörter offenzulegen, um im Anschluss deren Konto zu plündern.

Bank Smishing ist aus verschiedenen Gründen erfolgreich: Manche Finanzinstitutionen verschicken tatsächlich SMS- oder Textnachrichten, die vor verdächtigen Kontoaktivitäten warnen. Echte Nachrichten solcher Art sind in der Regel daran zu erkennen, dass sie im Regelfall dem Finanzinstitut bekannte Informationen (beispielsweise die letzten vier Ziffern ihrer Kreditkarten- oder Kontonummer) enthalten. Direkte Links und vage Verweise auf "Ihr Konto" sollten Sie hingegen misstrauisch werden lassen. Wenn Sie sich bezüglich der Echtheit der Nachricht nicht sicher sind: Loggen Sie sich auf normalem Weg per Browser oder App in Ihr Konto ein - klicken Sie in keinem Fall auf einen Link in einer SMS- oder Textnachricht.

Ein weiterer Grund für die gute Erfolgsquote von Bank-Smishing-Angriffen liegt in den Verschleierungstaktiken der Cyberkriminellen: Die Telefonnummern der Absender lassen sich mit bestimmten Methoden verbergen oder fälschen - teilweise mit relativ einfachen Mitteln, etwa indem die Nachricht von einem Rechner aus versendet wird. Werden solche Nachrichten auf dem Smartphone automatisch der legitimen Absendernummer zugeordnet, steigt die Erfolgswahrscheinlichkeit eines Smishing-Angriffs um ein Vielfaches.

Versuche, Malware zu verbreiten: Diese Smishing-Art orientiert sich am klassischen E-Mail-Phishing - adaptiert dafür aber Techniken, die speziell auf mobile Nutzer und Endgeräte zugeschnitten sind. In Tschechien grassierte vor einiger Zeit beispielsweise ein Smishing-Angriff, der seine Opfer dazu verleiten wollte, eine App - vermeintlich von der tschechischen Post - zu installieren. Tatsächlich handelte es sich um einen Trojaner, der Kreditkarteninformationen abgreifen und weitere App-Zugangsdaten kompromittieren sollte.

Smishing-Angriffe mit dem Ziel der Verbreitung von Malware kommen seltener vor, da die Sicherheitsvorkehrungen auf Smartphones - insbesondere im Fall von Apples iOS - es inzwischen relativ schwierig gestalten, unsignierte beziehungsweise nicht verifizierte Apps zu installieren. Dennoch besteht speziell bei Android-Geräten die Möglichkeit, des App Sideloading - hier hilft nur gesundes Misstrauen, wenn Sie per SMS- oder Textnachricht dazu aufgefordert werden, eine App zu installieren.

Versuche, Geldbeträge einzuheimsen: Diese Art des Smishing-Angriffs ist weniger Sache technisch versierter Cyberkrimineller - hier tummeln sich eher plump agierende Trickbetrüger. Dennoch stellen solche Versuche ein Risiko dar - insbesondere für Menschen, die weniger technikaffin veranlagt sind. In einem Fall wurde ein Opfer von Betrügern kontaktiert, die sich als persönliche Bekannte ausgaben (entsprechende Namen wurden sehr wahrscheinlich über soziale Medien in Erfahrung gebracht) und einen Geldbetrag in Form eines staatlichen Zuschusses in Aussicht stellten. In Wahrheit handelte es sich um einen klassischen Betrug: Das Opfer sollte vor der Auszahlung eine Gebühr in Höhe von einigen hundert Dollar bezahlen.

Phishing per SMS verhindern

Eine Studie von Gartner kommt zu dem Ergebnis, dass 98 Prozent aller Text- und SMS-Nachrichten gelesen und 45 Prozent auch beantwortet werden. Weil viele User sich inzwischen der Gefahr von Spam-E-Mails bewusst sind, werden Textnachrichten zunehmend zum attraktiven Angriffsvektor für kriminelle Hacker, die vom höheren Trust-Level der Smartphone-Kommunikation profitieren wollen.

Smishing ist zwar nicht allgegenwärtig - entwickelt sich aber zum gängigen Phänomen, auch im Unternehmensumfeld: Laut Verizons "Mobile Security Index 2020" haben 15 Prozent der Unternehmensnutzer im dritten Quartal 2019 einen Smishing-Link erhalten. Proofpoints "State of the Phish 2020"-Report kommt zu dem Ergebnis, dass 84 Prozent der befragten Unternehmen bereits von Smishing-Angriffen betroffen waren.

Auf der anderen Seite zeigt die Studie des IT-Sicherheitsanbieters, dass lediglich 25 Prozent der befragten Unternehmen Smishing- oder Vishing-Simulationen einsetzen, um innerhalb der Belegschaft für entsprechende Awareness zu sorgen. Unter den Unternehmen, die solche Simulationen nutzen, liegt die Erfolgsquote bei sechs Prozent - was zwar nicht desaströs, aber auch nicht besonders lobenswert ist.

Smishing-Simulationen sind für Unternehmen ein sinnvoller Weg, um ihre Mitarbeiter für die Gefahren von Phishing-Angriffen per SMS zu sensibilisieren. Security-Verantwortliche sind gut damit beraten, Smishing-Taktiken neben Phishing und Vishing in ihre Security-Awareness-Initiativen mit aufzunehmen - und sei es nur, um zu testen, welche Nutzer besonders anfällig für diese Art der Angriffe sind.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Zur Startseite