Phishing-Angriffe werden immer gezielter – und ausgefeilter! Immer mehr nehmen Kriminelle über das Versenden schädlicher Inhalte über SMS mobile Nutzer ins Visier. Was es damit auf sich hat und wie sie sich am besten dagegen schützen können – lesen Sie einfach weiter.

Haben Sie auch schon einmal eine dieser SMS-Nachrichten mit dem Inhalt erhalten, dass ein angeblich von Ihnen bestelltes Paket nicht zugestellt werden konnte und Sie doch bitte über den in der Nachricht enthaltenen Link die App des Dienstleisters herunterladen, um es doch noch zu erhalten? Dabei hatten Sie doch gar nichts bestellt… Wenn Sie den Anweisungen in dieser Nachricht nicht gefolgt sind, haben Sie alles richtig gemacht! Denn dabei handelt es sich um sogenanntes Smishing, also Phishing via SMS. Und dieses Szenario ist nur eines von vielen.

Phishing neu gedacht und mobil gemacht

Die SMS ist – trotz der zahlreichen Messenger Dienste, die in den vergangenen Jahren wie Pilze aus dem Boden geschossen sind – immer noch eine oft genutzte Art der Konversation auf dem Smartphone. Vor allem in Zeiten von Home Office und Remote Work, in denen private Geräte im Arbeitsalltag verwendet werden, läuft ein Großteil der Kommunikation über Mobiltelefone und wird als weitestgehend sicher empfunden. Gerade diese Annahme machen Kriminelle sich zunutze. Das Ziel der Betrüger ist, mithilfe irreführender SMS sensible Daten und wertvolle Information abzugreifen.

Derzeit lassen Smishing-Angriffe in drei unterschiedliche Kategorien unterteilen:

Verbreitung von Malware

Das oben beschriebene Szenario ist eines von vielen und orientiert sich am klassischen E-Mail-Phishing. Der Link in der SMS führt auf eine Website, auf der eine App zum Download bereitsteht. Diese sieht denen der Paketdienstleister oder anderer Dienstleister – siehe Factbox – zum Verwechseln ähnlich, ist allerdings eine Fälschung und enthält einen Banking Trojaner. Er wird beim Download der vermeintlichen App aktiviert und kann und nach der Installation auf sämtliche persönlichen Daten, wie Telefonnummern, E-Mail-Adressen sowie Bankdaten zugreifen bzw. diese verwenden. Darüber hinaus können durch den Zugriff in Folge weitere, schädliche SMS an die Kontakte auf dem Mobiltelefon versendet werden – eine Kettenreaktion mit fatalen Folgen.

Die derzeit am meisten verbreiteten Banking-Trojaner dieser Art sind aktuell FluBot und TeaBot. Insbesondere Android Endgeräte sind von diesem Angriffsszenario betroffen, da das Betriebssystem es erlaubt, Apps aus unbekannten Quellen zu installieren.

Bank Smishing

Besonders interessant für Cyberkriminelle sind Zugangsdaten für das Online-Banking. Gerade die Verbreitung von Angst ist dabei eine besonders beliebte Methode bei Hackern, um sich einen Zugang zum Gelddepot ihrer Opfer zu verschaffen: Sie verschicken SMS von der vermeintlichen Bank des Opfers mit der Information, dass das Bankkonto gehackt wurde und geben eine Telefonnummer oder einen Link an, damit weitere, angebliche Schäden verhindert werden. Die Telefonnummer führt oftmals direkt zu den Kriminellen, der Link in der Nachricht auf eine gefälschte Website. In beiden Fällen sollen die Opfer dazu gebracht werden, ihre Zugangsdaten preiszugeben – um anschließend ein geplündertes Bankkonto vorzufinden. Oft lässt die Nummer des Absenders sich verbergen, sodass viele Opfer nicht erkennen können, aus welcher Quelle die Textnachricht stammt.

Der Enkeltrick als SMS

Dieser Art von Smishing fallen vor allem weniger technikaffine Personen zum Opfer. In diesem Fall geben sich Trickbetrüger als vermeintliche Bekannte des Opfers aus – die Namen werden oftmals über Social Media in Erfahrung gebracht – und stellen ein einen finanziellen Vorteil in Aussicht, wenn man im Voraus eine Anzahlung auf ein bestimmtes Bankkonto tätigt.

Wie Sie sich und andere am besten vor Smishing schützen können

1. Klicken Sie auf keinen der enthaltenen Links und blockieren Sie die Telefonnummer des Absenders. Falls Sie tatsächlich eine Sendung erwarten und sich nicht sicher sind, ob die SMS von Ihrem Paketzusteller stemmt, kontaktieren Sie ihn direkt. Dasselbe gilt für Ihr Bankkonto: Loggen Sie sich auf direktem Wege über den Browser ein, um mehr Informationen zu erhalten.
2. Verwenden Sie ausschließlich Apps aus seriösen Quellen, sprich den offiziellen App Stores oder von der Website des Anbieters, zum Herunterladen von Apps.
3. Bei Android besteht in den Einstellungen die Möglichkeit, den Menüpunkt  „Apps aus unbekannten Quellen installieren” auszuschalten. So schützen Sie sich  – und andere.
4. Melden Sie den Smishing Vorfall bei der Verbraucherzentrale. Damit schützen Sie nicht nur sich, sondern auch andere.
   Sollte ein solcher Vorfall auf Ihrem Diensttelefon auftreten, informieren Sie die Mitglieder Ihrer Organisation.
5. Schärfen Sie Ihr Bewusstsein für diese Art von Angriffen: Stellen Sie sich selbst die Frage, ob Ihre Bank oder Ihr Paketdienst Ihnen solche Nachrichten schicken würden. Hätten sie überhaupt Ihre Mobilfunknummer, um dies zu tun? Keine Bank ruft Ihre Kunden an und fragt telefonisch persönliche Daten ab. Sollten Sie einen Anruf dieser Art erhalten, brechen Sie das Gespräch sofort ab.
6. Achten Sie auf kryptische Links und die Rechtschreibung im Fließtext. Am Ende gilt immer: Better safe than sorry….

Schon geklickt – wie Sie schadensbegrenzung betreiben

1. Besteht Ihrerseits der Verdacht, Opfer eines Smishing-Angriffs geworden zu sein, setzen Sie Ihr Mobiltelefon in den Flugmodus. So wird der Versand der schädlichen Software an Ihre Kontakte unterbunden.
2. Informieren Sie Ihren Mobilfunkanbieter über den Vorfall – und Ihre Bank, falls Sie bereits Ihre Bankdaten preisgegeben haben.
3. Setzen Sie Ihr Smartphone auf die Werkseinstellungen zurück, um installierte und gespeicherte Daten zu löschen.

Sie haben weitere Fragen zum Thema Phishing oder möchten erfahren, wie auch Sie Ihr Unternehmen cybersicher gestalten können? Unsere Experten von Perseus Technologies kümmern sich um Ihr Anliegen und beraten Sie gerne intensiver.