Mein Handy blinkt: „Ihr Bestellung #234567 wird in Kürze eintreffen. Hier Fortschritt verfolgen: http://…“ Komisch nur, dass ich keine Lieferung erwarte. Oder vielleicht doch? Ich schaue vorsichtshalber mal nach…
Diese Situation kommt Ihnen bekannt vor? Vielleicht sind Sie damit schon Opfer von Smishing geworden. Unser Artikel beleuchtet das Phänomen und gibt Tipps zur Sensibilisierung von MitarbeiterInnen.
Was bedeutet Smishing?
Per SMS werden Textnachrichten mit Links zu Webseiten versandt, die beim Aufruf Schadsoftware auf das Mobilgerät nachladen oder den Benutzer auf nachgebaute bekannte Webdienste (Amazon, Paypal, meine Hausbank, etc.) führen und um die Eingabe von persönlichen Daten oder das Login bitten. So kann Schadsoftware verbreitet oder Daten des Users abgegriffen werden. Diese Art der Angriffe werden Smishing genannt. Der Begriff setzt sich aus SMS und Phishing zusammen. Die Texte sind meistens gut ausgestaltet und formuliert, so dass man verleitet ist, intuitiv auf den Link zu klicken.
Wodurch kommt es inzwischen so häufig zu Smishing-Attacken?
Facebook und LinkedIn, wie auch andere Unternehmen, mussten jüngst bekannt geben, Opfer von Hackerangriffen worden zu sein. Dabei wurden bis zu 500 Mio. Nutzerkonten kopiert und im Darknet veröffentlicht. Es handelte sich dabei auch um umfassende Datensätze, die bisweilen die gesamten Kontaktdaten eines Nutzers enthalten. Das bedeutet, dass nicht nur diese 500 Mio. Nutzer betroffen sein können, sondern auch deren Kontakte also möglicherweise mehrere Milliarden Nutzer.
Smishing ist attraktiver als Phishing
Da diese mehreren Milliarden Kontakte immer noch im Netz (Darknet) verfügbar sind, kann grundsätzlich jeder Nutzer eines Smartphones betroffen sein und muss mit Smishing-SMS rechnen.
In einer Studie kommt Gartner[1] zu dem Ergebnis, dass bis zu 98% aller SMS geöffnet bzw. 45% beantwortet werden. Dies ist für Kriminelle eine gute Voraussetzung, dass ihre Angriffe erfolgreicher sind als beim Phishing. Hier liegen die Raten der Öffnung und Beantwortung von Mails sehr viel niedriger.
Welche Gefahren bestehen durch Smishing?
- Eine Smishing-SMS enthält meistens einen Link. Der Text ist so gestaltet, dass der Empfänger verleitet wird, diesen Link anzuklicken. Im Hintergrund wird unbemerkt eine Software heruntergeladen. Der Angreifer nutzt den Zugriff auf das Mobiltelefon und lädt Kontaktdaten, Nachrichten oder andere Informationen herunter oder lässt sich regelmäßig Daten und Aktivitäten zusenden.
- Eine weitere Möglichkeit besteht darin, dass das Opfer auf eine vermeintlich bekannte Webseite (in der Regel ein identischer Nachbau von bekannten Diensten wie Amazon, Paypal, ebay, MasterCard oder andere) weitergeleitet wird. Wird das darauf enthaltene Login-Formular ausgefüllt, bekommt der Angreifer die persönlichen Daten zur Verfügung gestellt. Häufig erfolgt diese Masche mit der Erklärung, dass Sicherheitsprobleme bei einem Konto bestehen oder der Kontostand im Minusbereich sei und entsperrt werden müsse. Damit wird die dringende Übermittlung der Daten begründet. So soll auch für den Nutzer die sofortige Übermittlung der persönlichen Daten plausibel erscheinen.
- Beim Spear-Smishing zielt ein Angriff direkt auf die Daten einer ganz bestimmten Person ab. Dafür werden Internetprofile des Opfers ausgewertet, z.B. aus sozialen Medien wie Facebook, WhatsApp, LinkedIn u.a. Mit diesen persönlichen Informationen werden SMS so gestaltet, dass für das Opfer der Eindruck entsteht, es handelt sich bei dem Absender um einen Freund, Bekannten oder Verwandten. Das Opfer wird so verleitet, persönliche Daten oder Informationen herauszugeben bzw. einen Link anzuklicken. Diese Informationsanreicherung kann für weitere Zwecke genutzt werden, um z.B. die Aufforderung zu einer Überweisung plausibel zu gestalten.
- Eine weitere Methode besteht darin, dass sich Betrüger als Mitarbeiter einer Kundenbetreuung auszugeben (z.B. Bank, Microsoft u.a.). Das Opfer wird aufgefordert, sich über eine Telefonnummer an den Support des Unternehmens zu wenden. Wird diese Telefonnummer angerufen, versucht der Betrüger von dem Opfer so viele Informationen wie möglich zu erhalten. Dieser Trick mit dem Support erhöht die Glaubwürdigkeit – und so werden Informationen erfragt, die weitere Angriffe auf Benutzerkonten von Banken, Onlineverkäufern oder sozialen Medien ermöglichen.
Was kann präventiv gegen Smishing getan werden?
Alle Telekommunikationsprovider haben Monitoringsysteme im Einsatz, um Auffälligkeiten beim Versand von Massen-SMS zu erkennen und den Versand zu unterbinden. Das gelingt jedoch nicht immer, so dass regelmäßige Awareness für MitarbeiterInnen ein wichtiges Instrument zum Schutz vor Schäden im Unternehmen ist.
Informieren Sie Ihre MitarbeiterInnen im Rahmen eines Rundschreibens, einer Unterweisung, eine E-Learnings oder einer anderen Form und geben Sie ihnen konkrete Tipps, wie Smishing erkannt oder der Absender verifiziert werden kann. Auch wenn die SMS von einer angeblich vertrauenswürdigen Quelle stammt, kann ein Angriff dahinterstecken. So kann der Absender aussehen, als wenn die SMS von einem Kollegen, einem Vorgesetzten oder einem Freund kommt. Es können von diesen Angriffen dienstliche wie private Mobilfunknummern betroffen sein.
Ermutigen Sie Ihre Mitarbeiter, auch Aufforderungen des höheren Managements kritisch zu hinterfragen und sich beispielsweise aktiv eine Bestätigung über einen anderen Kommunikationsweg einzuholen, wenn z.B. die Überweisung einer größeren Summe angewiesen wird. Oft wird so eine Aufforderung mit dem Hinweis des Stillschweigens verbunden.
Dienste wie “Have I been pwnd“ überprüfen geleakte Datenbanken, ob die eigene Mobilfunknummer (bitte internationales Format beachten, z.B. +49 für Deutschland) betroffen ist.
Informationen finden Sie auch beim Bundesamt für Sicherheit in der Informationstechnik (BSI)!
[1] Aus 2016 – https://www.gartner.com/en/marketing/insights/articles/tap-into-the-marketing-power-of-sms