Was ist Smishing? Fallen Sie sich nicht auf einen SMS-Phishing-Betrug herein

Bei welcher Phishing-Methode werden Textnachrichten an das Smartphone eines potenziellen Opfers verschickt? Falls Sie mit „Smishing“ geantwortet haben, dann liegen Sie richtig. Lesen Sie weiter, um zu erfahren, warum diese Online-Bedrohung oft effektiver ist als das Pendant per E-Mail, wie die meisten Smishing-Angriffe aussehen und warum Cyberkriminelle so wild nach Ihrer Telefonnummer sind. Heutzutage ist es nicht die Liebe, die (ungebeten) anklopft. Schützen Sie sich daher mit Avira Free Security vor allen Arten von Malware und sogar vor den neuesten Online-Bedrohungen.

 

Was ist Smishing? Und worin besteht der Unterschied zu Phishing? Oder Vishing?

Erinnern Sie sich an die traditionelle Angelmethode, bei dem naive Fische dachten, dass Würmer freiwillig im Wasser hängen und nur darauf warten würden, gefressen zu werden? Wenn der Fisch anbeißt, hat das ernsthafte Folgen für ihn. Dann kam ein digitales Äquivalent außerhalb des Wassers: Phishing. Bei diesem bösartigen Online-Angriff versuchen Cyberkriminelle, wertvolle Infos (wie Benutzernamen, Passwörter, Kreditkartendetails) und letztendlich Geld zu erlangen, indem sie sich per E-Mail als vertrauenswürdige Instanz ausgeben. Somit ist die elektronische Kommunikation der fette „Köder“, und wenn Sie ein unachtsamer „Fisch“ sind, werden Sie jede E-Mail als legitim betrachten und bereitwillig anbeißen (darauf klicken). Weniger bekannt ist eine Art des Phishings, die ihre Opfer über SMS oder Textnachrichten ins Visier nimmt. Durch die Kombination der Wörter „SMS“ und „Phishing“ entstand der Begriff „Smishing“, dessen Ziele die gleichen wie bei der E-Mail-Methode sind. Der Betrüger verschickt irreführende Textnachrichten, um seine Opfer dazu zu verleiten, auf präparierte Links zu klicken, schädliche Anhänge zu öffnen und letztendlich persönliche oder finanzielle Informationen preiszugeben. Es handelt sich um Phishing in Textform, sodass Ihr Mobiltelefon zum Angriffsort wird. Ähnlich wie ihre E-Mail-basierten Verwandten versuchen diese betrügerischen Nachrichten, so auszusehen, als stammten sie von seriösen Quellen wie Amazon, PayPal, der Post oder dem Finanzamt. „Ihr Konto wurde gesperrt!“ „Es wurde versucht, Ihr Passwort zurückzusetzen.“ „Für Ihr Konto wurde ein neuer Zahlungsempfänger angefordert!“ Ziel ist es, ein Gefühl der Dringlichkeit zu erzeugen, damit der Empfänger bestimmte Maßnahmen ergreift. Wenn wir Angst oder Wut spüren oder einfach neugierig sind, handeln wir schnell, ohne viel nachzudenken.

Doch damit nicht genug: Es gibt auch „Vishing“! Falls Sie jetzt verwirrt sind, sehen Sie sich die praktische Übersicht unten an. Smishing ist nur eine von fünf häufigen Phishing-Formen. Das sind ihre Funktionsweisen und Merkmale. 

  1. E-Mail-Phishing ist nach wie vor am weitesten verbreitet. Der Betrüger registriert meist eine gefälschte Domäne, die eine echte Domäne imitiert, und versendet Tausende ganz allgemein gehaltener Anfragen. Achten Sie auf unpersönliche Anreden und Rechtschreibfehler in der E-Mail. Fahren Sie mit dem Mauszeiger über die E-Mail-Adresse, dann Sie können möglicherweise sehen, dass sie eine Zeichenersetzung enthält, beispielsweise ein „r“ anstelle eines „n“. Mitunter erscheint der Name eines seriösen Absenders in abgeänderter Form, wie „amazonservice.com“ anstelle von „amazon.com“: „Guten Tag, geschätzter Kunde. Ihr Konto wurde gesperrt …“
    Lesen Sie, wie Sie Phishing-Versuche erkennen und vermeiden können. 
  2. Spear-Phishing ist ebenfalls eine Art E-Mail-Phishing, das aber auf eine bestimmte Person zugeschnitten wurde, um glaubwürdiger zu erscheinen. In diesem Fall hat der Betrüger seine Hausaufgaben gemacht und persönliche Details wie Name, Adresse und Berufsbezeichnung des Empfängers herausgefunden: „Sehr geehrter Dr. Schmidt, es gab unerwartete Aktivitäten auf Ihrem Barclays-Konto und …“
  3. Whaling“ ist eine Form von E-Mail-Phishing, das die ganz Großen ins Visier nimmt! Diese E-Mails sind in der Regel an Führungskräfte gerichtet und geben vor, vom gestressten Geschäftsführer zu stammen, der um einen Gefallen bittet. Die Mitarbeiter sind möglicherweise zu eingeschüchtert, um nicht das zu tun, worum ihr Chef sie „gebeten“ hat. „Hallo Maria, ich bin am Flughafen und habe meine Anmeldedaten für das VPN nicht dabei …“
  4. Smishing läuft über das Telefon und bedient sich betrügerischer SMS, um zur Angabe persönlicher Daten zu verleiten. „Klicken Sie auf diesen Link, um Ihr fehlendes Paket nachzuverfolgen …“
  5. Vishing oder Voice-Phishing verwendet ebenfalls das Telefon, aber anstelle von Textnachrichten machen Betrüger Telefonanrufe oder Robocalls, hinterlassen Sprachnachrichten oder rufen über Internettelefonie (VoIP) an. Falls Sie den Anruf annehmen, werden Sie möglicherweise zu einem „Mitarbeiter“ durchgestellt, der natürlich Ihre persönlichen Daten benötigt: „Sie waren kürzlich in einen Autounfall verwickelt …“

Alle oben genannten Varianten haben wichtige Merkmale gemeinsam: Es handelt sich um Formen des Social Engineering, was bedeutet, dass sie unser Vertrauen ausnutzen und uns psychologisch manipulieren, anstatt sich mithilfe von Technologie einzuhacken. Alle sind außerdem Versuche von Identitätsbetrug, sie unterscheiden sich jedoch in der Art und Weise der Kontaktaufnahme: per E-Mail, SMS oder Telefon. Viele Menschen denken bei Phishing noch immer nur an E-Mails, in Wirklichkeit aber müssen Sie sich bei allen Kommunikationsmedien in Acht nehmen!

Lernen Sie die zwei Arten von Smishing kennen – und warum sie bei Cyberkriminellen beliebt sind

Beim Smishing gibt es sogar noch zwei verschiedene Arten, aber im Gegensatz zum E-Mail-Phishing sind ihre Bezeichnungen frei von fischigen Anspielungen. Zum einen gibt es das SMS-Phishing, für das Sie nach sorgfältigem Lesen des vorherigen Abschnitts bereits ein Experte sind. Sie werden per SMS aufgefordert, auf einen Link zu klicken oder eine Nummer anzurufen. Dieser Typ kommt in verschiedenen Varianten vor, je nachdem, als wen sich der Betrüger ausgibt.

Puristen könnten argumentieren, dass Instant-Messaging-Smishing nicht wirklich Smishing ist, da es IM-Freeware wie Facebook Messenger oder WhatsApp anstelle von SMS verwendet. Die Absicht dahinter ist jedoch zweifellos „Phishing“, da das Ziel darin besteht, dass Sie dem Angreifer persönliche Daten, einschließlich Kennwörter und/oder Kreditkartennummern, zur Verfügung stellen. Möglicherweise wird Ihnen ein Sonderangebot oder ein Preis versprochen. Falls die Nachricht von einem fremden Absender stammt, ist das ein guter Hinweis darauf, dass Sie möglicherweise Ziel eines Betrugs sind. Beachten Sie jedoch, dass solche Angriffe auch scheinbar von Menschen kommen können, die Sie kennen! Ihr Social-Media-Konto wurde möglicherweise gehackt. Vertrauen Sie online niemandem bedingungslos – nicht einmal Ihrer Mutter. 

Smishing bleibt aus mehreren Gründen eine beliebte Betrugsform: Es ist relativ einfach, eine Telefonnummer mit einem Wegwerf-Handy zu fälschen oder eine Software zu verwenden, um SMS per E-Mail zu versenden. Aufgrund des kleineren Bildschirms von Mobilgeräten kann es schwerer fallen, gefährliche Links zu erkennen. Außerdem können Sie nicht mit dem Mauszeiger über den Link fahren, um zu sehen, wohin er verweist. 2020 startete die Federal Communications Commission (FCC) in den USA eine branchenweite Initiative, um Verbrauchern und Unternehmen zu helfen, sich nicht von Robocalls und illegal gefälschten Telefonnummern täuschen zu lassen. Telekommunikationsunternehmen in den USA mussten das STIR/SHAKEN-Protokoll für die Anrufer-ID-Authentifizierung einführen. Deshalb sieht man dort den Hinweis „wahrscheinlich Betrug/Spam“, wenn unbekannte Anrufe eingehen. Sehr zur Erleichterung der Cyberkriminellen sind Scam-SMS aber weiterhin möglich.

So funktioniert Smishing

Smishing-Betrugsversuche folgen einem ähnlichen Muster wie E-Mail-Phishing und kombinieren technologische und psychologische Taktiken, um Opfer zu manipulieren. Cyberangreifer gehen in der Regel nach folgendem Schema vor:

SCHRITT 1: Auswahl der Opfer: Zunächst wählen Cyberkriminelle ihre Ziele aus. Sie nehmen entweder zufällige Nummern aus einer Liste, die sie besitzen, oder greifen bestimmte Personen an, basierend auf den Daten, die sie aus früheren Datenlecks erhalten haben. Diese Informationen sind häufig im Dark Web zu finden.

SCHRITT 2: Verfassen der Nachricht: Als Nächstes erstellen sie eine Textnachricht, die eine bestimmte Reaktion oder eine Emotion wie Angst, Mitgefühl oder Neugier hervorruft. Sie enthält in der Regel einen (meist dringenden) Handlungsaufruf. Klicken Sie auf diesen Link oder rufen Sie diese Nummer an! Kontaktieren Sie uns! 

SCHRITT 3: Versenden der Nachricht: Jetzt ist es an der Zeit, den Köder auszuwerfen. Cyberkriminelle nutzen häufig SMS-Gateways, bei denen ein Computer über das globale Telekommunikationsnetz Textnachrichten an Mobilgeräte senden und sie von diesen empfangen kann. Spoofing-Tools sind ein weiteres Hilfsmittel für Betrüger – sie generieren Software- und Hardware-Informationen, die darauf ausgelegt sind, Überwachungssysteme zu täuschen. Hier erfahren Sie weitere Infos über die verschiedenen Formen des Spoofings.

SCHRITT 4: Interaktion mit dem Opfer: Falls der Betrüger Glück hat, reagiert das Opfer auf die empfangene Nachricht und führt die beabsichtigte Aktion aus (beispielsweise das Beanspruchen des angeblich gewonnenen Lotteriegelds oder das Anrufen des gefälschten technischen Supports über die angegebene Nummer). Er oder sie könnte auf einer betrügerischen Website landen, auf der man persönliche oder finanzielle Daten preisgeben oder Schadsoftware auf sein Gerät herunterladen soll. Beim Anrufen einer gefälschten Nummer könnte das Opfer dazu verleitet werden, persönliche Informationen preiszugeben, oder es entstehen unerwartete Gebühren.

SCHRITT 5: Schädigen des Opfers: Wenn das Opfer die gewünschte Aktion ausgeführt hat, können die Angreifer wieder tätig werden. Sie verfügen jetzt über die notwendigen Informationen für eine Vielzahl mieser Betrügereien, einschließlich Identitätsdiebstahl und nicht autorisierter Transaktionen. Sie können die sensiblen Daten auch auf dem Schwarzmarkt verkaufen oder sie für andere gezielte Angriffe verwenden.

SCHRITT 6: Ausbauen und Verschleiern: Die Arbeit der Betrüger ist niemals erledigt, da sie ständig ihre Taktiken, Telefonnummern und die Methoden zur Verschleierung ihres Standorts und ihrer Identität wechseln müssen.

Vorsicht vor ​diesen ​häufigen Formen von Smishing​-Angriffen​

Erfundene Geschichten. Als virtuelle Polizisten verkleidete Personen. Finstere Online-Machenschaften. Willkommen in der undurchschaubaren Welt des SMS-Betrugs. Glücklicherweise sind Sie zu clever, um auf diese Tricks hereinzufallen. Wir haben eine Zusammenfassung einiger gängiger virtueller Tarnungen erstellt, damit Sie mühelos hinter die Maske der Betrüger sehen können. 

Unabhängig davon, wie der Betrugsversuch im Detail aussieht, werden Sie feststellen, dass Smishing-Versuche nach einem bestimmten Schema ablaufen. Sie enthalten ungewöhnliche URLs oder zufällige Telefonnummern, die nicht dem typischen Format folgen oder eine Reihe gleicher Ziffern verwenden. Oftmals enthalten sie eine unangenehme Nachricht – oder versprechen einen Preis, der zu schön ist, um wahr zu sein – und setzen auf Dringlichkeit. Denken Sie daran: Falls Sie sich bedrängt fühlen, halten Sie kurz inne und denken Sie in Ruhe nach!

Der unaufhaltsame Aufstieg von Smishing

Laut einem Bericht der Telekommunikationsexperten ENEA erleiden 61 % der Unternehmen erhebliche Verluste durch mobilen Betrug, wobei Smishing und Vishing die häufigsten und kostspieligsten Formen sind. Der gleiche Bericht zeigt, dass seit der Einführung von ChatGPT im November 2022 diese Form von Angriffen um unglaubliche 1.265 % zugenommen hat! Angesichts der Tatsache, dass SMS eine achtmal höhere Antwortrate als E-Mail haben, ist es kein Wunder, dass sie ein bevorzugtes Werkzeug für Cyberkriminelle sind. Tatsächlich berichtet Verizon, dass 85 % der Phishing-Angriffe über Kanäle jenseits von E-Mails erfolgen, beispielsweise Messaging-, Social-Media- und Produktivitäts-Apps.

Smishing-Angriffe erobern den Malware-Markt, begünstigt durch die fehlende Authentifizierung des SMS-Absenders. Telekommunikationsunternehmen müssten mehr dagegen tun, aber wie die Dinge derzeit liegen, ist niemand gegen den Ansturm gefeit. 2021 wurden Millionen bösartiger Textnachrichten über das Netzwerk von Vodafone verschickt, die Android-Geräte mit der Flubot-Malware infizierten und den Telekommunikationsriesen dazu veranlassten, eine Warnung über Twitter herauszugeben. Es ist immer wichtig, Ihre Geräte regelmäßig auf Malware zu überprüfen und Malware-Tests durchzuführen.

Damit ein Angriff erfolgreich ist, muss jedoch immer jemand auf den Link klicken. Befolgen Sie daher unbedingt unsere Anti-Smishing-Tipps, um nicht versehentlich zum Komplizen von Malware zu werden.

Sicherheitstipps: Falls Sie ein Smishing-Empfänger geworden sind

Falls Sie nicht zu einer Smishing-Statistik werden möchten, dann befolgen Sie unser VERMEIDEN-SCHÜTZEN-PRÜFEN-Protokoll und bleiben Sie immer skeptisch.

Bevor Sie eine Smishing-SMS löschen, erwägen Sie, diese den zuständigen Behörden zu melden. Falls Sie im Vereinigten Königreich leben, leiten Sie sie kostenlos an die Nummer 7726 weiter, senden Sie sie per E-Mail an report@phishing.gov.uk oder füllen Sie dieses Online-Formular zur Meldung verdächtiger Betrugsversuche oder Websites aus.

Bekämpfen Sie Smishing und andere Online-Betrugsmaschen mit Avira 

Smishing und andere Social-Engineering-Angriffe bauen darauf, dass der Empfänger einen Fehler macht. Sie sind nur ein Mensch, aber Sie können sich Unterstützung holen. Bleiben Sie informiert und wachsam und wenden Sie eine Reihe mehrschichtiger Online-Schutz- und Datenschutzmaßnahmen für Ihre Geräte an. Avira Free Security vereint Tools für Privatsphäre, Schutz und Leistungsoptimierung in einer zentralen, cleveren Lösung. Es hilft Ihnen beim Speichern und Verwalten starker Passwörter, dem Aktualisieren von Software, beim Bereinigen Ihres Geräts für einen Leistungsschub – und natürlich beim sichereren Surfen mit einer vertrauenswürdigem Antivirussoftware.

 

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

Die mobile Version verlassen