Smishing

Smishing ist eine Art von Cyberangriff, der über Kurznachrichtendienste (SMS) stattfindet. Dabei kann es sich auf soziale Manipulation, bösartige Anhänge und betrügerische Websites stützen, um Menschen zu täuschen.

.st0{fill:#0D3ECC;} MALWAREBYTES KOSTENLOS HERUNTERLADEN


Auch für Windows, iOS, Android, Chromebook und Für Business

Was ist Smishing? 

Der Begriff „Smishing“ mag albern klingen, aber die Bedeutung von Smishing ist weniger amüsant als es klingt. Ein Smishing-Angriff ist eine Art Phishing-Angriff, der Textnachrichten als Angriffsvektor nutzt. Dabei kann er auf soziale Manipulation, bösartige Anhänge und betrügerische Websites zurückgreifen, um Menschen zu täuschen.

Ein Smishing-Betrug kann leicht durchzuführen, schwer zu verfolgen und gefährlich in seiner Auswirkung sein. Ein erfolgreicher Smishing-Angriff kann potenziell Ihre Passwörter, Bilder, Videos und andere sensible Daten einem Betrüger preisgeben und auch als Infektionsvektor für einen Malware-Drop auf Ihrem Smartphone fungieren.

Jeder der Milliarden von Smartphone-Nutzern weltweit ist ein potenzielles Ziel für Smishing. Allein in den Vereinigten Staaten verzeichnete die Federal Trade Commission im Jahr 2021 fast 400.000 Betrugsmeldungen über unerwünschte Texte, einschließlich Smishing-Angriffen. Im selben Jahr gaben Verbraucher den Regulierungsbehörden einen Verlust von über 80 Millionen Dollar an.

Dieser Leitfaden wird Ihnen helfen, Smishing-Angriffe zu vermeiden und zu lernen, wie Sie Smishing verhindern können. Lesen Sie weiter für detaillierte Informationen über die folgenden Themen:

  • Smishing-Definition: Was ist ein Smishing-Angriff in der Cybersicherheit?
  • Beispiele für Smishing
  • Smishing vs Phishing
  • Was Sie im Falle eines Smishing-Angriffs tun können
  • Wie man sich vor Smishing schützt

Definition und Erklärung von Smishing

Hier ist eine kurze Definition von Smishing: Smishing ist eine Art von Cyberangriff, der über Kurznachrichtendienste (SMS) erfolgt, auch bekannt als Texten. Einige Experten könnten Smishing auch als Angriff über jede Art von Textnachricht definieren und nicht nur über native mobile Textnachrichtensysteme, wie Nachrichten auf sozialen Plattformen.

Einfacher ausgedrückt bedeutet Smishing das Versenden von Phishing-Textnachrichten. Das führt zu der Frage: Was ist Phishing? Nun, Phishing ist, wenn ein Angreifer vorgibt, eine vertrauenswürdige Entität zu sein, um das Ziel zu einem Cyberfehler zu verleiten, wie dem Teilen vertraulicher Informationen, in der Regel per E-Mail. Eine Phishing-Textnachricht, auch bekannt als Smishing, ist Phishing über Text.

Was ist ein Smishing-Angriff?

Ein Smishing-Angriff ist, wenn ein Angreifer bösartige Textnachrichten verwendet, um die Cybersicherheit eines Ziels zu durchbrechen. Das Ziel eines Smishing-Angriffs ist es typischerweise, folgende vertrauliche Informationen zu erlangen, um Identitätsdiebstahl oder finanzielle Verbrechen zu begehen:

  • Namen
  • Adressen
  • Benutzernamen
  • Passwörter
  • Kreditkartennummern
  • Kreditkarten-Codes
  • Bankdaten

Ein Phishing-Textangriff kann auch sehr zielgerichtet sein. Wenn ein Angreifer die Telefonnummer eines Opfers kennt, kann er einen überzeugenden Angriff gestalten. Zum Beispiel, wenn ein Betrüger die Mobilnummer eines Finanzleiters ins Visier nimmt, kann er einen Smishing-Angriff starten, der von einem potenziellen Geschäftskontakt zu stammen scheint.

Sie können sich über Phishing vs Spear Phishing vs Waling informieren, um mehr über die verschiedenen Arten von Social-Engineering-Angriffen zu erfahren, die Textnachrichten als Bedrohungsvektor nutzen.

Wie funktioniert Smishing? 

Wie beim Phishing täuscht uns Smishing dazu, zu glauben, dass gefälschte Nachrichten legitim sind, sodass wir ohne Bedenken mit ihnen interagieren. Smishing-Angriffe funktionieren, indem sie einige oder alle der folgenden Merkmale nutzen:

  • Kontext: Smishing-Nachrichten verwenden Kontext, um echt zu wirken. Eine Smishing-Nachricht könnte so aussehen, als käme sie von der Bank, einem Lieblingshändler oder Ihrer Regierung. Zum Beispiel steigen IRS-ähnliche Smishing-Betrügereien, die persönliche und finanzielle Informationen stehlen, weil sie den Kontext effektiv nutzen, um das Vertrauen eines Opfers zu gewinnen.
  • Zielauswahl: Smishing-Opfer können basierend auf Demografie und lokalen Zugehörigkeiten ausgewählt werden. Zum Beispiel könnte eine Bande von Erpressern gefälschte Texte von einer Bank senden, die in einer bestimmten Vorwahl-Region verbreitet ist, an lokale Nummern. Alternativ könnten sie Phishing-Nachrichten von einer Universität an ihre Studenten senden, nachdem sie auf Telefonnummern zugegriffen haben.
  • Soziale Manipulation: Ein sozialer Manipulationsangriff beeinflusst die Emotionen eines Ziels, wie Angst, Liebe, Lust, Gier, Wut oder Mitgefühl, um das Urteilsvermögen zu trüben. Zum Beispiel könnte eine betrügerische Nachricht, die so aussieht, als käme sie von einem geliebten Menschen, einen Notfall vortäuschen, um das Opfer zu täuschen, eine Geldüberweisung zu senden.
  • Bösartige Anhänge: Eine Phishing-Textnachricht kann mit einem bösartigen Anhang ausgestattet sein, der wie ein Bild, Video oder Dokument aussieht, aber ein Virus, Adware, Spyware, Trojaner oder Ransomware ist.
  • Bösartige Links: Smishing-Angriffe verwenden oft bösartige Links, Malware oder betrügerische Websites.

Smishing funktioniert auch, indem es auf die Einfachheit von Textnachrichten setzt. Sie können eine Phishing-E-Mail erkennen, indem Sie auf grammatikalische Fehler, Rechtschreibfehler, Bildformatierungsprobleme, seltsame E-Mail-Adressen und andere Unregelmäßigkeiten achten. Aber Textnachrichten sind meist kürzer und tragen keine Grafiken wie Unternehmenslogos.

Zum Beispiel könnte eine typische Nachricht von Ihrer Bank einige Sätze lang sein und einen Link zu einem Einzelhändler oder einer Finanz-Website enthalten. Im Gegensatz zu einer offiziellen E-Mail ist eine solche Nachricht einfach nachzuahmen.

Hacker machen bei einem Smishing-Angriff mit ein oder zwei Sätzen weniger wahrscheinlich grammatikalische Fehler. Und sie müssen sich nicht darum kümmern, Logos zu replizieren, um Phishing-Nachrichten authentisch wirken zu lassen. Sie können auch Techniken zur Anrufer-ID-Spionage und Wegwerfhandys verwenden, um ihre Spuren zu verwischen.

Beispiele für Smishing: Verschiedene Arten von Smishing-Angriffen 

  1. Sie haben einen Wettbewerb oder Preis gewonnen und müssen ihn einlösen.
  2. Jemand hat Ihnen ein Geschenk oder einen Gutschein geschickt, den Sie aktivieren müssen.
  3. Ihr Finanzinstitut muss Ihre Daten überprüfen.
  4. Eine ausstehende Geldüberweisung auf Ihr Konto erfordert Ihre Genehmigung.
  5. Der teure Kauf, den Sie getätigt haben, muss verifiziert werden.
  6. Ein Virus wurde auf Ihrem Telefon entdeckt.
  7. Ihr Konto wurde aufgrund verdächtiger Aktivitäten oder ungewöhnlicher Anmeldeversuche gesperrt.

Smishing vs Phishing: Was ist der Unterschied zwischen Smishing und Phishing? 

smishing-vs-phishing

Smishing und Phishing mögen ähnlich klingen, aber sie sind nicht ganz dasselbe. Was ist also der Unterschied zwischen Phishing und Smishing? Der größte Unterschied im Vergleich Smishing vs Phishing besteht darin, dass Smishing SMS als Angriffsmedium verwendet, während Phishing ein Sammelbegriff für jede E-Mail, Website, Textnachricht oder Sprachnachricht ist, die Täuschung verwendet, um ein Ziel anzugreifen. Mit anderen Worten, Smishing ist eine Art von Phishing-Angriff, der über eine Textnachricht erfolgt. Das Ziel beider Angriffe ist es, Ihre persönlichen Informationen für betrügerische Aktivitäten zu sammeln. Das haben beide Methoden gemeinsam.

Was zu tun ist, wenn Sie einen Smishing-Angriff erleben 

Den Angriff melden 

Das erste, was Sie tun sollten, ist, den Angriff den zuständigen Behörden so detailliert wie möglich zu melden. Wenn Sie beispielsweise Ziel eines IRS-Smishing-Angriffs sind, senden Sie eine E-Mail über den Angriff an phishing@irs.gov mit folgenden Details:

  • Phish-Anrufer-ID-Nummer.
  • Ein Screenshot des Angriffs.
  • Eine Kopie der Nachricht, falls Sie keinen Screenshot machen können.
  • Das Datum, die Uhrzeit, die Zeitzone und die Nummer des Empfängers.

Andere Organisationen mussten ebenfalls auf diese Betrügereien reagieren. Beispielsweise haben Banken und Zahlungsunternehmen wie PayPal Phishing-Meldungskanäle eröffnet. Wenn Sie PayPal nutzen, lernen Sie bitte, wie Sie PayPal-Phishing-E-Mails erkennen, um Ihr Konto zu schützen. 

Alle Passwörter ändern 

Wenn Sie vermuten, dass Sie Ziel eines Smishing-Angriffs sind, ändern Sie sofort alle Ihre Passwörter und PINs. Ihr neues Passwort sollte komplex und einzigartig sein. Sie können unseren Leitfaden lesen, um zu lernen, wie man ein starkes Passwort erstellt.

Karte einfrieren 

Ein Angreifer könnte versuchen, Ihre Debit- oder Kreditkarte zu nutzen, nachdem er Zugang zu Ihren sensiblen Daten erhalten hat. Wir empfehlen, nachdem Sie Ihre Passwörter geändert haben, alle Ihre Karten vorübergehend einzufrieren, um finanziellen Betrug zu verhindern. Sie können Ihre Karte einfrieren, indem Sie sich in Ihr Kreditkartenkonto einloggen oder Ihre Bank anrufen.

Informieren Sie auch Ihren Kreditkartenaussteller über den Smishing-Angriff. Es könnte sein, dass sie Ihre Karte deaktivieren und eine neue mit einer anderen Nummer herausgeben.

Weitere Aktivitäten überwachen 

Überwachen Sie Ihre Konten auf folgende Arten von verdächtigen Aktivitäten:

  • Unbekannte Transaktionen auf Ihrem Bank- oder Kreditkartenkonto.
  • Ungewöhnliche Login-Standorte für Ihre Konten.
  • Leck Ihrer sensiblen Bilder, Videos oder Textnachrichten.
  • Freunde erhalten verdächtige Nachrichten von Ihnen.
  • Darlehen, die in Ihrem Namen aufgenommen wurden.
  • Anmeldung bei staatlichen Finanzhilfeprogrammen.

Auch wenn Sie keine sofort verdächtigen Aktivitäten bemerken, behalten Sie Ihre Konten langfristig nach einem Smishing-Angriff im Auge. Eine hervorragende Möglichkeit, Ihre Finanzkonten auf Unregelmäßigkeiten zu überwachen, ist das Überprüfen Ihrer Kreditberichte.

Nach dem Gesetz können Sie jährlich einen kostenlosen Kreditbericht von einer der großen Kreditauskunfteien einholen. Das ergibt drei kostenlose Berichte pro Jahr. Und bis Dezember 2023 kann jeder in den USA jede Woche einen kostenlosen Kreditbericht von allen drei Auskunfteien abrufen.

Wie man Smishing-Nachrichten stoppt 

Nachdem Sie festgestellt haben, dass eine Nachricht betrügerisch ist, können Sie sie auf einem iOS- oder Android-Telefon blockieren. Auf einem iPhone gehen Sie zur Kontaktseite und tippen auf Diesen Anrufer blockieren. Auf einem Android-Telefon gehen Sie zur Kontaktseite und tippen auf Kontakt blockieren.

Beide Betriebssysteme bieten auch Filter an, mit denen Sie Spam und andere unerwünschte Nachrichten blockieren können.

Wie man auf einem iPhone Nachrichten filtert:

  1. Gehen Sie zu Einstellungen.
  2. Tippen Sie auf Nachrichten.
  3. Schalten Sie den Knopf neben Unbekannte Absender filtern.

Wie man auf Android Nachrichten filtert:

  1. Gehen Sie zu Nachrichten.
  2. Tippen Sie auf die drei Punkte, um Einstellungen zu öffnen.
  3. Tippen Sie auf Nummern und Nachrichten blockieren.
  4. Aktivieren Sie Anrufer-ID und Spam-Schutz.

Ihr Mobilfunkanbieter könnte ebenfalls Anti-Smishing-Tools anbieten:

Verizon

AT&T

T-Mobile

Wie man sich vor Smishing schützt 

Smishing-Angriffe können komplex sein, indem sie alarmierende Sprache, bösartige Anhänge, unsichere Links und betrügerische Websites nutzen, um unsere Cybersicherheit zu verletzen. Sich vor Smishing zu schützen erfordert Vorbereitung auf mehreren Ebenen.

Vorsicht bei dringenden Nachrichten 

Phishing-Nachrichten können dringend erscheinen, um Sie daran zu hindern, klar zu denken, bevor Sie reagieren. Das Erste, was Sie tun sollten, nachdem Sie eine dringende Nachricht erhalten haben, ist tief durchatmen. Bewerten Sie die Situation, bevor Sie antworten. Es ist unwahrscheinlich, dass ein seriöses Unternehmen Sie per SMS nach sensiblen Informationen oder Zahlungen fragt. Wenn Sie Zweifel haben, suchen Sie die öffentlich gelistete Telefonnummer der Einheit auf ihrer offiziellen Website und rufen Sie sie direkt an.

Telefonnummern bestätigen 

Überprüfen Sie die ID des Anrufers. Suchen Sie nach der Nummer unter der ID und recherchieren Sie online, ob sie zum Kontext des Anrufs passt.

Multi-Faktor-Authentifizierung 

Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) auf Ihren Konten, um sie vor Hackern zu schützen, die möglicherweise Zugang zu Ihren Anmeldedaten haben. MFA zwingt Benutzer dazu, ihre Identität auf eine andere Weise zu verifizieren, wenn bei einem Anmeldeversuch verdächtige Aktivitäten auftreten.

Smishing-Angriffe können Sie auffordern, dringend einen Link zu öffnen, um ein großartiges Angebot zu nutzen oder Steuern an die IRS zu zahlen, um einer Verhaftung zu entgehen. Diese Links können Sie auf bösartige Websites führen, die Ihre Kreditkartendaten oder andere vertrauliche Informationen stehlen. Es ist am besten, keine Links in Textnachrichten zu klicken. Überprüfen Sie stattdessen die Quelle der Nachricht.

Nicht auf unbekannte Nummern antworten 

Anrufe zu filtern kann Ihnen helfen, sich vor Smishing-Angriffen zu schützen. Eine Nachricht von einer unbekannten Nummer könnte Teil eines Betrugs sein.

Vermeiden Sie es, Kreditkarteninformationen auf Ihrem Telefon zu speichern 

Vermeiden Sie es, Ihre Kreditkartendaten in Form von Webformularen, Textdateien oder sogar Screenshots auf Ihrem Telefon zu speichern. Ein Smishing-Angriff, der einen Trojaner oder eine Spionagesoftware auf Ihrem Gerät installiert, könnte diese Informationen leicht stehlen. Erkennen Sie die Malware-Anzeichen eines solchen Angriffs. Verwenden Sie außerdem einen kostenlosen Antivirus-Download, um Ihr System regelmäßig nach Viren, Ransomware, Spyware, Adware und Trojanern zu scannen.

Rufen Sie vor der Ausführung einer Bankanforderung die Bank an 

Es ist nicht ungewöhnlich, dass Banken Ihnen wegen kürzlicher Einkäufe und Kreditlimits eine SMS schicken. Aber es ist unwahrscheinlich, dass Ihre Bank sensiblen Informationen für eine Überweisung per SMS anfordert. Rufen Sie immer Ihre Bank an, um eine Anfrage per SMS oder E-Mail zu verifizieren.

Vermeiden Sie es, Passwörter zu teilen 

Teile niemals Benutzernamen und Passwörter in Textnachrichten, selbst wenn du der Quelle vertraust. Hacker könnten diese Informationen im Ausgangsordner deines Geräts finden. 

Investiere in Anti-Malware-Lösungen. 

Lade dir ein Cybersicherheitstool für dein Handy herunter, um dich vor verschiedenen Arten von Angriffen zu schützen. Zum Beispiel schützt Malwarebytes für Android Android-Nutzer vor allen Arten von Malware. Es bietet auch Schutz vor bösartigen Links/Websites und Phishing. Ebenso schützt Malwarebytes für iOS iPhone- und iPad-Nutzer vor Malware, Spam-Anrufen, Werbung, betrügerischen Websites und Phishing-Websites.

Der Anstieg von Smishing 

Wie bereits erwähnt, gibt es einen merklichen Anstieg bei Phishing über SMS. Smishing ist ein einfacher Angriffsweg für Betrüger, um Millionen von Menschen anzugreifen, die auf Textnachrichten angewiesen sind, um zu kommunizieren.

Smishing-Verbrechen können zu verschiedenen Sicherheits- und Datenschutzproblemen führen, einschließlich Identitätsdiebstahl. Experten sagen, dass die Auswirkungen des Identitätsdiebstahls mehrere Jahre anhalten können, von verlorener Zeit, Geld, Steuerschulden und beschädigter Kreditwürdigkeit bis hin zu einem Strafregister.

Ein proaktiver Ansatz in der Cybersicherheit kann Smishing-Angriffe verhindern. Behandle verdächtige Textnachrichten mit Vorsicht und rüste dein Gerät mit Sicherheitssoftware aus, die das Risiko eines Phishing-Angriffs mindert.

Verwandtes Thema: Was ist RCS-Messaging?