Smishing vs Phishing – So können Sie
sich schützen
Smishing vs Phishing – So können Sie sich schützen
Betrüger sind gut darin geworden
Bankkarteninformationen und Passwörter für Online-Banking per SMS zu
stehlen.
Smishing scheint der neuste Hit zu sein und
die Medien in den USA, in Italien und Brasilien berichten am laufendem
Band von alarmierenden Geschichten. In Deutschland wurde sogar eine
Polizeimeldung über eine konkrete Smishing-Kampagne veröffentlicht.
Das Phänomen hat sich wie ein Lauffeuer
verbreitet. Die hohe Anzahl an Suchanfragen zu diesem Thema bestätigen
diese Tatsache. Doch was hat es mit diesem Smishing auf sich?
Der Anstieg der Suchanfragen auf Google zum
Wort „Smishing“ in den letzten Jahren
Was ist Smishing und wie funktioniert es?
Smishing ist quasi wie Phishing. Der einzige
Unterschied besteht darin, dass anstatt E-Mail, hierfür über das
Mobilfunknetz versandte Kurznachrichten (SMS) verwendet werden. Daher
kommt auch der Name Smishing – es ist ein Kofferwort aus SMS und
Phishing. Manchmal werden Angriffe über Messaging-Apps auch als Smishing
bezeichnet. Wir sind allerdings der Meinung, dass es sich um zwei
unterschiedliche Angriffsarten handelt, aber das ist ein anderes Thema,
das wir ein anderes Mal besprechen werden.
Das Ziel der Smishing-Angriffe, genau wie bei
den Phishing-Versuchen, besteht darin den Empfänger dazu zu bringen
sensible Daten preiszugeben. In diesem Fall handelt es sich meistens um
Bankkarteninformationen und Passwörter für Online-Banking. Das erreichen
die Betrüge, indem sie Textnachrichten zu einem erfundenen Problem
verschicken – z. B. ein erfolgloser Zustellungsversuch, eine unbezahlte
Rechnung oder ein blockiertes Konto – das der Empfänger schnell lösen
muss, indem er auf einen Link klickt. Danach kann das Smishing auf zwei
verschiedene Arten verlaufen:
Szenario: Das Gerät des Opfers wird mit einer
Applikation infiziert, die zwar legitim aussieht, aber nur zum Zweck
dient wichtige Informationen anzufordern und zu sammeln.
Szenario: Das Opfer wird auf eine Webseite
weitergeleitet, die zwar legitim aussieht, aber nur zum Zweck dient
wichtige Informationen anzufordern und zu sammeln.
Die Wahl der Szenarios hängt im Wesentlichen
von der Komfortzone des Betrügers ab, bzw. ob er auf Malware oder auf
gefälschte Websites spezialisiert ist. Die Folgen für das Opfer sind in
beiden Fällen die gleichen. Über diese Art von Betrug wurden bereits
tausende von Dollar, Euro und Pfund Sterling gestohlen. Sie fragen sich
jetzt bestimmt, warum SMS-Phishing sich in letzter Zeit dermaßen
verbreitet hat und warum es gefährlicher ist als herkömmliches Phishing.
Warum Smishing gefährlicher ist als
herkömmliches Phishing
Die meisten Menschen kennen sich inzwischen
mit den typischen Phishing-E-Mails recht gut aus, wissen woran sie zu
erkennen sind und wie Reinfälle verhindert werden können. Dagegen wird
bei Kurznachrichten generell nicht davon ausgegangen, dass sie für
Betrugsmaschen verwendet werden könnten.
Darüber hinaus – auch wenn Menschen
Textnachrichten allgemein als vertrauenswürdiger einstufen –
gewährleisten Texte in SMS weniger Sicherheit als E-Mail-Texte. Bedenken
Sie, dass heutzutage jeglicher halbwegs dezente E-Mail-Service über
einen eingebauten Spamfilter verfügt. Die Filter sind zwar nicht
perfekt, aber die Betrüger müssen sich immer wieder etwas Neues
einfallen lassen, um ihre Nachrichten unbemerkt durchzuschleusen. Leider
lassen die Spamfilter von Mobilfunkanbietern viel zu wünschen übrig,
besonders in puncto Flexibilität und Genauigkeit.
Zudem lesen Menschen SMS meistens unterwegs
oder kurz mal zwischendurch, wenn sie mit anderen Aufgaben beschäftigt
sind. Durch diese Angewohnheit, kombiniert mit der geringeren
Gefahrenvermutung bei Textnachrichten, werden SMS nicht so genau
überprüft und die Opfer gehen leichter ins Netz. Anders ausgedrückt:
Beim Erhalt einer Kurznachricht wird die übliche Checkliste zur Suche
nach Warnhinweisen nicht überprüft und die Links werden fast automatisch
angeklickt.
Zugegebenermaßen enthalten Spam-SMS auch
wesentlich weniger Warnhinweise als Spam-Mails. Bei einer E-Mail kann
die Adresse des Absenders, das Design und das Layout sowie die
allgemeine Glaubhaftigkeit der Nachricht überprüft werden. Kurz gefasst:
Die Suche nach Standard-Warnsignalen ist relativ einfach.
Kurznachrichten – auch die legitimen SMS –
sehen sich oft sehr ähnlich. In diesen Nachrichten werden oft
Nichtstandard-Varianten der Sprache verwendet und Design gibt es gar
nicht. Gewiefte Betrüger mit technischen Kenntnissen könne sich Spoofing
zunutze machen, um die Identität eines anderen Absenders vorzutäuschen,
die Informationen einer Nachricht zu kopieren und die echte Nummer des
Absenders durch eine falsche zu ersetzen.
Das können Sie gegen Smishing tun
Wie beim Phishing, können Sie sich mit
einigen Maßnahmen auch effektiv vor Smishing schützen.
Klicken Sie niemals auf Links in SMS-Threads
und geben Sie keinerlei Informationen ein. Als Faustregel gilt: Je
weniger Aktivität, umso besser.
Verwenden Sie immer die
Zwei-Faktor-Authentifizierung (2FA), wenn Sie die Möglichkeit dazu
haben. Damit verhindern Sie bei Passwortdiebstahl, dass die Kriminellen
auf Ihr Konto zugreifen können.
Kontaktieren Sie sofort Ihre Bank, wenn Sie
den Verdacht haben, dass Kriminelle Zugriff auf Ihr Konto erhalten
haben. Die Bank kann Ihre Karte sperren, Ihr Passwort ändern und Ihnen
erklären welche Schritte Sie unternehmen sollten.
Zum Schluss haben wir einige häufig gestellte
Fragen aufgelistet, um noch ein paar Punkte zu klären:
Sollte ich auf betrügerische SMS antworten
und darum bitten, dass sie meine Handynummer auf der Mailingliste
löschen?
Das sollten Sie nicht tun. Damit bestätigen
Sie den Betrügern bloß, dass Ihre Handynummer aktiv ist bzw. existiert.
Das Abmelden bei einer legitimen Mailingliste kann bereits einige
Kopfschmerzen bereiten und es gibt keinen Grund zu glauben, dass Leute
die gegen das Gesetz verstoßen, sich Ihnen gegenüber fairer verhalten
werden.
Könnte es nicht auch eine wichtige Nachricht
von meiner Bank sein?
Setzen Sie bei Zweifel direkt mit Ihrer Bank
in Verbindung. Es ist recht unwahrscheinlich, dass die Nachricht von
Ihrer Bank stammt – und da wir gerade über Kontaktieren reden:
Versichern Sie sich, dass Sie die Kontaktdaten einer zuverlässigen
Quelle entnehmen, wie beispielsweise die Website der Bank. Nutzen Sie
niemals die Kontaktdaten, die in der verdächtigen Textnachricht
angegeben sind.
Können Phishing-SMS automatisch gefiltert
werden?
Aber natürlich! Viele Sicherheitslösungen
verfügen über eingebaute Filter, die verdächtige Links in SMS und
Nachrichten von Messaging-Apps abfangen und Sie warnen. Gehen Sie auf
Nummer sicher und verlieren Sie kein Geld, nur weil Sie kurz mal nicht
aufgepasst haben. Beispielsweise profitieren Sie mit Kaspersky Internet
Security for Android von diesen Filtern.
https://www.kaspersky.de/blog/how-to-protect-from-smishing/26579/?cid=de_dachnlmay21_blg_onr_emm_ren_onl_b2c__email-lnk_______&acmid=DM249457&acbid=1300946959&utm_source=0&utm_medium=&utm_content=1045531580&utm_campaign=
Wie Smishing funktioniert und wie Sie sich
davor schützen können (kaspersky.de)