Smishing: Tückische Paketankündigung mit Malware im Schlepptau

Internet-Shopping wird stets beliebter.

Gleichzeitig ruft der florierende Onlinehandel und Paket-Boom Internetkriminelle auf den Plan, die momentan gerne mit gefälschten Textnachrichten in Short Message-Form, die Unachtsamkeit, das Unwissen und die Arglosigkeit der Menschen missbrauchen, um persönliche und geschäftskritische Informationen abzugreifen oder Malware zu verteilen. Die Betrugsmasche namens Smishing kann dabei jeden treffen. Deswegen wirkt vor allem eines: Aufklärung und Sensibilisierung für Smishing-Bedrohungen.

„Ihr Päckchen wurde verschickt – für die Sendungsverfolgung klicken Sie auf diesen Hyperlink!“

Lieferankündigungen haben irgendetwas Magisches an sich: Treffen die Nachrichten erst einmal ein, können es die viele Personen kaum erwarten, die Ware endlich in den Händen zu halten.

Auch Internetkriminelle machen sich den florierenden Internethandel und Paket-Boom für ihre kriminellen Hinterlistigkeiten zu Nutze. Eine Betrugsmasche, die dabei in Deutschland zunehmend an Popularität gewinnt, ist Smishing.

Beim sogenannten Smishing dreht es sich um eine abgewandelte Art von Phishing, bei der vorwiegend gefälschte Textnachrichten in SMS-Form zur Anwendung kommen, um persönliche und geschäftskritische Informationen abzugreifen wie Login-Daten, Passwörter und Kreditkarteninformationen oder um Malware zu verbreiten.

Zufolge einer Nachricht von Spiegel.de hat eine Anti-Betrugs-Arbeitsgruppe der Mobilfunkprovider von Januar bis März dieses Jahres bereits 200.000 Fälle registriert, die ungeachtet aller Warnungen diverser Polizeidienststellen und Landeskriminalämtern wie zum Beispiel das Landeskriminalamt Baden-Württemberg oder das Landeskriminalamt Bayern sowie dem Bundesamt für Sicherheit in der Informationstechnik landesweit und anbieterübergreifend auf die Phishing-SMS im Namen namhafter Versender hereingefallen sind.

Gefälschte Textnachrichten als Ursprung!

Egal ob auf dem heimischen Sofa, im Zug, im Lokal, am Flughafen oder sogar im Park – Mobiltelefone sind allgegenwärtig und zu einem ständigen Wegbegleiter unserer modernen Gesellschaft geworden.

Allein hierzulande verfügen inzwischen gemäß Bitkom circa 56 Millionen Menschen ab 16 Jahren ein Handy.

Aus diesem Grund ist es auch nicht verwunderlich, dass sich Internetkriminelle umorientieren und ihre Angriffe gehäuft auf mobile Endgeräte wie Smartphone und Tablets ausweiten.

Während klassische Phishing-Angriffe meistens per E-Mail erfolgen, vertrauen Internetkriminelle beim Smishing bevorzugt auf den Kurznachrichtendienst, auch bekannt als Short Message Service oder SMS.

Die Herangehensweise beim SMS-Betrug ist denkbar simpel:

o Internetkriminelle verschicken im Namen bekannter Unternehmen gefälschte SMS-Nachrichten an willkürliche Empfänger und fordern sie unter falschem Vorwand auf, einer Internetadresse zu folgen und dann eine App zu installieren. Wird diese installiert, wird in aller Regel eine Schadsoftware heruntergeladen, die nicht nur den Angreifern Zugriff auf das Mobiltelefon verschafft, sondern auch alle Login-Informationen ausliest, teure SMS versendet oder das Telefon sperrt, um hinterher für die Entsperrung Lösegeld zu fordern.

o Eine weitere perfide Verfahrensweise beim Smishing ist das Weiterleiten des Opfers auf ein Formular, um beispielsweise Zugangsdaten fürs Online-Banking oder sonstige Konto-/ Kreditkarteninformationen abzugreifen. Typischerweise vermelden die Angreifer Sicherheitsprobleme, die die sofortige Übertragung der persönlichen Informationen notwendig machen würden, um die ganzen Funktionalitäten eines Dienstes weiterhin nutzen zu können.

o Gleichfalls sehr beliebt ist die Vorgehensweise, bei der sich Internetkriminelle als Beschäftigte vom Support ausgeben. Bei dieser Smishing-Betrugsmasche bekommen die Opfer eine SMS-Nachricht mit dem Aufruf, sich über die angegebene Nummer an den Kundensupport zu wenden. Angesichts der Masche, sich als Kundensupport-Mitarbeiter auszugeben, besteht eine erhöhte Glaubhaftigkeit, wodurch die Opfer selbstverständlich vertrauliche Informationen herausgeben.

Bessere IT-Sicherheit dank Aufklärung und Sensibilisierung!

Durch die steigende Verbreitung und Verwendung von Smartphones und alternativen mobilen Endgeräten entwickelt sich Smishing zu einem ernstzunehmenden Benutzer- und Unternehmensrisiko. Die gute Nachricht ist, dass Sie mit simplen Schritten Ihre Firma, Ihre Beschäftigten und Ihre Daten wirksam vor Smishing-Angriffe schützen können.

Grundsätzlich bedeutet das jedoch: Klicken Sie niemals auf Links aus dubiosen Quellen und entfernen Sie die Nachricht umgehend nach Empfang!

Zu den zusätzlichen Methoden gehören:

1. Smishing-Angriff identifizieren:
Bekommen Sie wichtige Sicherheitswarnungen, ablaufende Sonderangebote oder Deals, die Druck schaffen und eine sofortige Handlung verlangen, dreht es sich sehr wahrscheinlich um eine Phishing-SMS.

Obendrein lässt sich eine Phishing-Short Message an verschiedenen optischen Unstimmigkeiten erkennen:

o Unbekannte Nummer des Absenders
o Grammatikfehler und Rechtschreibfehler
o Merkwürdige Formatierung
o Unpersönliche oder außergewöhnliche Anrede

2. Inhalt auf Glaubhaftigkeit überprüfen:
Weder Bankinstitute noch Anbieter oder andere Stellen und Institutionen versenden Textnachrichten um Anmeldedaten, Passwörter oder Kontoinformationen zu erfragen. Bekommen Sie eine Short Message mit solch einer Aufforderung, hilft es, bei der Bank, beim Anbieter oder dem Unternehmen anzurufen, um zu verifizieren, ob die Mitteilung tatsächlich von dort kommt.

3. IT-Sicherheitsschulungen durchführen: Durch ständige IT-Sicherheitsschulungen können Sie das Sicherheitsbewusstsein ihrer Angestellten stärken. Auf diese Weise sind sie in der Situation eventuelle Smishing-Angriffe zu erkennen, abzuwenden und zu melden.

4. Smishing-Angriff berichten: Wenn Sie einen Smishing-Angriff bemerken, haben Sie bei der Bundesnetzagentur die Gelegenheit, die Smishing-Attacke zu melden.

5. Sicherheitslösungen und Sicherheitsupdates einrichten: Neben der Installation einer Antivirensoftware sollten Sie sowohl ihr Betriebssystem als auch sämtlich Applikationen stets auf dem aktuellsten Stand halten. Denn häufig werden durch Aktualisierungen kürzlich entdeckte Sicherheitslücken geschlossen, die von etwaigen Angreifern genutzt werden könnten.

6. Geschicktes Abspeichern: Speichern Sie auf keinen Fall Ihre Kreditkarten- noch Ihre Banking-Informationen auf Ihrem Mobiltelefon ab.

Sollten Sie oder Ihre Angestellten doch versehentlich auf den Hyperlink geklickt haben oder tatsächlich schon Applikationen installiert haben, rät das Bundesamt für Sicherheit in der Informationstechnik noch dazu:

1. Das Smartphone in den Flugmodus zu setzen, um weiteren SMS-Versand und eine eventuelle Kommunikation der Malware mit anderen Geräten und den Datenabfluss zu unterbinden.
2. Den Mobilfunkanbieter zu kontaktieren.
3. Das Konto und andere Bezahlsysteme auf Abbuchungen zu überprüfen.
4. Strafanzeige bei der lokalen Polizeidienststelle zu erstatten.
5. Das Smartphone auf Werkseinstellungen zurückzusetzen

Wissen schützt!

Smartphones, Tablets und Co. werden als Angriffsziel für Internetkriminelle stets interessanter. Smishing ist gegenwärtig mit Sicherheit eines ihrer angesagtesten Angriffsmethoden, um auf mobilen Endgeräten vertrauliche Informationen, Passwörter und weitere Zugangsdaten abzugreifen oder um Schadsoftware einzuschleusen und zu verteilen. Der beste Weg, Unternehmen und Mitarbeiter vor derartigen Smishing-Angriffsversuchen zu schützen, sind häufige IT-Sicherheitsschulungen und Sensibilisierungsmaßnahmen.

Denn wie Sie bekanntlich wissen, sind aufgeklärte und gut geschulte Angestellte ein wichtiger, wenn nicht der bedeutsamste Bestandteil einer wirksamen Sicherheitsstrategie.

Ferner sollten Betriebe moderne Sicherheitslösungen umsetzen, um die mobile Sicherheit zu erhöhen.

Falls Sie noch Fragen zur Thematik Smishing, zu unseren Dienstleistungen im Bereich IT-Sicherheit oder unseren Sicherheitslösungen haben, nehmen Sie gerne Kontakt zu uns auf. Sie erreichen unsere Spezialisten telefonisch unter: +49 221 7880 59-200 oder per Mail unter beratung@coretress.de

By Comments off April 5, 2021