So schützen Sie sich vor Smishing-Angriffen

„Herzlichen Glück­wunsch! Sie haben gewonnen!“ oder “Ihr Paket wird zurück­gesendet, wenn Sie nicht sofort handeln”. Kommen Ihnen solche Nach­richten bekannt vor? Dann waren Sie bereits Opfer eines Smishing-Angriffs.

Was ist Smishing?

Smishing ist eine Wort­kombination aus SMS und Phishing. Anstatt Technologien anzugreifen, basiert das Konzept auf dem Ausnutzen menschlichen Vertrauens. Während Kriminelle bei Phishing-Angriffen E‑Mails mit schädlichen Anhängen oder Links versenden, wird beim Smishing per SMS zum Öffnen eines schädlichen Links aufgefordert. Ziel einer Smishing-Attacke ist es, an persönliche Daten zu gelangen, wie beispiels­weise Ihre Konto­daten oder Log-in-Daten zu sensiblen Web­sites.

Mit den Daten können Unbefugte Ihr Geld stehlen oder per Identitäts­klau andere Online-Verbrechen in Ihrem Namen begehen. Das Perfide ist, dass die Herausgabe der Daten vom Opfer frei­willig geschieht — da es sich der Täuschung nicht bewusst ist.

Mit der wachsenden Bedeutung von Smart­phones in unserem Alltag und Arbeits­leben sind Smishing-Angriffe immer populärer geworden. Doch nicht nur Sie selber können betroffen sein. Nutzen Sie beispiels­weise Ihr persönliches Smart­phone für die Arbeit, stehen plötzlich auch sensible Firmen- oder Kunden­daten auf dem Spiel. Somit ist es umso wichtiger zu wissen, wie Sie sich und andere vor derartigen Betrugs­fällen schützen können.

Übliche Smishing-Methoden

Um Ihre Daten zu stehlen, bedienen sich Kriminelle folgender Methoden: Sie senden die SMS-Nachricht an das Opfer, woraufhin er oder sie auf den Link klickt. Der Angreifer kann die persönlichen Daten auslesen und damit Verbrechen begehen, wie beispiels­weise die Über­nahme des Kontos. Generell kann zwischen zwei Arten von Links unter­schieden werden:

Schadsoftware

Ein Link in der Smishing-SMS installiert eine schadhafte Software auf Ihrem Gerät. Beispiels­weise getarnt als glaub­würdige App, werden Sie dazu verleitet, sensible persönliche Daten einzugeben, die daraufhin verdeckt zu den Kriminellen über­mittelt werden.

Schadhafte Website

Statt eine Software zu installieren, kann ein Smishing-Link zu einer betrügerischen Web­site führen. Diese sieht seriösen Web­sites zum Verwechseln ähnlich und kann Sie dazu bringen, auch hier persönliche Daten einzugeben.

Warum Smishing-Angriffe funktionieren

Leider kann es noch so skeptischen Personen passieren, auf Smishing-Angriffe herein­zufallen. Denn Smishing bedient sich Social Engineering, das heißt es nutzt menschliche Schwächen und manipuliert seine Opfer gezielt mit folgenden Faktoren:

Vertrauen ausnutzen

Ihre Bank schreibt Ihnen? Indem sich Internet­kriminelle als seriöse und Ihnen potenziell bekannte Absender ausgeben, wird Ihre Skepsis minimiert. Angreifer bedienen sich häufig der Spoofing-Technik: Hier wird die Telefon­nummer, E‑Mail-Adresse, der Firmen­name oder die Web­site URL so verschleiert oder verändert, dass sie wie eine vertrauens­werte Quelle erscheinen. So kann ein Link beispiels­weise zu Net­flixx.com führen, dem unaufmerksamen Betrachter fällt das doppelte x nicht sofort auf.

Da SMS-Nachrichten meist mit persönlichen oder bekannten Kontakten in Verbindung gebracht werden, steigt das Vertrauen weiter. Dies liegt unter anderem auch daran, dass Smishing-Betrugs­fälle noch immer unbekannter sind als E‑Mail-Phishing. Viele Personen fühlen sich zudem auf dem Smart­phone weniger angreifbar als auf dem Computer — ein Trug­schluss. Kein Betriebs­system, weder Android noch iOS, kann Sie 100%ig vor Smishing-Angriffen schützen.

Bekannter Kontext

Oftmals werden kontext­bezogene Situationen aufgegriffen, die den Empfänger direkt betreffen. Denn Smishing-Angriffe geschehen häufig lokalisiert: So greifen sie gezielt Mit­glieder oder Mit­arbeiter einer bestimmten Organisation, Firma oder Platt­form an. Durch den personalisierten Kontext wird die SMS-Nachricht weniger als Spam wahr­genommen.

Emotionen nutzen

Indem die betrügerischen Nach­richten auf die Emotionen der Opfer anspielen, werden diese zu unüber­legten Handlungen verführt. Dies ist besonders fatal, da Menschen ihre Smart­phones häufig unter­wegs, abgelenkt und in Eile nutzen. Die Hemm­schwelle mal eben schnelldie Bank­daten einzu­geben oder den Coupon von der Lieblings­drogerie aufzu­rufen, ist bedeutend geringer.

So schützen Sie sich vor Smishing

Nutzen Sie die folgenden Richt­linien, um Smishing-Angriffe gezielt zu erkennen und sich erfolgreich gegen sie zu schützen.

1. Öffnen Sie keine verdächtigen Links

Öffnen Sie keine verdächtigen Links. Denken Sie daran, dass ein seriöses Unter­nehmen oder eine Behörde niemals per E‑Mail oder SMS personen­bezogene Daten von Ihnen abfragen würde. Über­prüfen Sie außerdem die Telefon­nummer: Komische Nummern, wie solche mit nur 4 Ziffern, können ein Indiz für SMS sein, die per E‑Mail versandt wurden. Ein beliebter Trick von Betrügern, um unerkannt zu bleiben. Über­prüfen Sie die SMS auch auf grobe Recht­schreib- und Grammatik­fehler. Solche sollten recht­mäßigen Organisationen im Normal­fall nicht unter­laufen.

2. Antworten Sie nicht

Interagieren und reagieren Sie nicht auf dubiose Smishing-SMS. Kontaktieren Sie im Zweifels­fall den vermeintlichen Absender über die offizielle Telefon­nummer auf der Web­site. Geben Sie vor allem niemals Ihr Pass­wort oder den Wieder­herstellungs­code Ihrer Zwei-Faktor-Authentifizierung per SMS heraus.

3. Nutzen Sie Multi-Faktor-Authentifikationen

Sollte der Zugriff auf Ihr Pass­wort gelungen sein, ist dieses dennoch nutz­los, wenn ein weiteres Pass­wort zur Verifizierung eingegeben werden muss. Nutzen Sie daher wann immer möglich die Zwei-Faktor-Authentifizierung zur doppelten Absicherung.

4. Kennen Sie bekannte Smishing-Scams

Damit Sie sich vor Smishing-Angriffen schützen können, ist es hilfreich, bekannte Smishing-Schemata zu kennen:

  • COVID-19 Smishing: Cyber­kriminelle machen sich die Angst rund um die Pandemie zunutze. So erhielten Opfer beispiels­weise eine SMS mit einem Link zu kosten­losen Schutz­masken oder von angeblichen behördlichen Corona-Beauftragten.
  • Geschenke Smishing: Lust auf kostenlose Geschenke? Äußerst beliebt ist die Vergabe eines kostenlosen iPhones.
  • Versand Smishing: Haben Sie in letzter Zeit etwas bestellt? Dann kann eine falsche Paket-SMS zur Nach­verfolgung des Versands­tatus oder die Ankündigung, dass Ihr Paket zurück­geschickt wird, durchaus für Verwirrung sorgen.
  • Bank Smishing: Es hat verdächtige Konto­aktivitäten gegeben, bitte loggen Sie sich ein. Solche oder ähnliche Worte spielen mit der Angst eines Hacking-Angriffs auf das eigene Konto.

5. Melden Sie Betrugsfälle

Sind Sie Opfer eines Betrugs­falls geworden? Erstatten Sie Anzeige und sperren Sie umgehend Ihre Kredit­karte. Ändern Sie alle Pass­wörter und Pins. Seien Sie wachsam und über­wachen Sie Ihre Konten auf nicht selbst veranlasste Trans­aktionen oder verdächtige Log-in-Versuche. Am sichersten ist es, das Handy auf die Werks­einstellung zurück­zusetzen, um alle schädlichen Programme vom Gerät zu entfernen.

Möchten Sie sich vor Smishing-Angriffen schützen?

Jeder kann online einen Fehler machen und zum Smishing-Opfer werden. Bringen Sie Ihren Phishing- und Smishing­schutz auf ein neues Niveau. F‑Secure TOTAL beinhaltet preis­gekrönten Schutz vor Viren, Ransom­ware, bekannten Phishing-Web­sites und vielen weiteren Online-Bedrohungen. Außerdem enthalten sind unein­ge­schränktes VPN und ein Pass­wort­manager.

Sie können es 30 Tage lang völlig gratis aus­probieren. Dazu ist keine Kredit­karte erforderlich.

Mehr Info