Smishing

Smishing ist eine Art von Cybersicherheitsangriff, der über Short Message Services (SMS) - Textnachrichten - erfolgt. Sie können auf Social Engineering, bösartige Anhänge und betrügerische Websites zurückgreifen, um Menschen zu betrügen.

.st0{fill:#0D3ECC;} MALWAREBYTES KOSTENLOS HERUNTERLADEN


Auch für Windows, iOS, Android, Chromebook und For Business

Was ist Smishing? 

Der Begriff "Smishing" mag albern klingen, aber die Bedeutung von Smishing ist weniger amüsant als es klingt. Ein Smishing-Angriff ist eine Art Phishing-Angriff, bei dem Textnachrichten als Angriffsvektor genutzt werden. Er kann sich auf Social Engineering, bösartige Anhänge und betrügerische Websites stützen, um Menschen zu betrügen.

Ein Smishing-Betrug kann einfach auszuführen, schwer zu verfolgen und gefährlich sein. Ein erfolgreicher Smishing-Angriff kann dazu führen, dass Ihre Kennwörter, Bilder, Videos und andere vertrauliche Daten an einen Betrüger weitergegeben werden und als Infektionsvektor für Malware auf Ihrem Smartphone dienen.

Jeder der Milliarden von Smartphone-Nutzern weltweit ist ein potenzielles Smishing-Ziel. Allein in den Vereinigten Staaten verzeichnete die Federal Trade Commission im Jahr 2021 fast 400.000 Beschwerden über unerwünschte SMS, darunter auch Smishing-Angriffe. Die Verbraucher meldeten den Aufsichtsbehörden im selben Jahr einen Verlust von über 80 Millionen Dollar.

Dieser Leitfaden soll Ihnen helfen, Smishing-Angriffe zu vermeiden und zu lernen, wie Sie Smishing verhindern können. Lesen Sie weiter, um mehr über die folgenden Punkte zu erfahren:

  • Smishing-Definition: Was ist ein Smishing-Angriff in der Cybersicherheit?
  • Beispiele für Smishing
  • Smishing vs. Phishing
  • Was Sie im Falle eines Smishing-Angriffs tun können
  • Wie Sie sich vor Smishing schützen können

Smishing Definition und Erklärung

Hier eine kurze Definition von Smishing: Smishing ist eine Art von Cybersicherheitsangriff, der über Kurznachrichtendienste (SMS) erfolgt, auch bekannt als SMS. Einige Experten definieren Smishing auch als einen Angriff über jede Art von Textnachricht und nicht nur über native mobile Textnachrichtensysteme, wie z. B. Nachrichten auf Social-Media-Plattformen.

Eine einfachere Art, Smishing zu definieren, ist, es als Phishing-SMS zu bezeichnen. Dies führt zu der Frage: Was ist Phishing? Beim Phishing gibt sich ein Bedrohungsakteur als vertrauenswürdige Instanz aus, um eine Zielperson zu einem Sicherheitsfehler zu verleiten, z. B. zur Weitergabe vertraulicher Informationen, in der Regel per E-Mail. Eine Phishing-SMS, auch bekannt als Smishing, ist Phishing per Text.

Was ist ein Smishing-Angriff?

Bei einem Smishing-Angriff verwendet ein Bedrohungsakteur bösartige Textnachrichten, um die Cybersicherheit eines Ziels zu verletzen. Das Ziel eines Smishing-Angriffs ist es in der Regel, die folgenden vertraulichen Informationen für Identitätsdiebstahl oder Finanzverbrechen zu erlangen:

  • Namen
  • Adressen
  • Nutzernamen
  • Passwörter
  • Kreditkartennummern
  • Kreditkarten-Codes
  • Bankdaten

Ein Phishing-Textangriff kann auch sehr gezielt sein. Wenn ein Bedrohungsakteur die Telefonnummer eines Opfers kennt, kann er einen überzeugenden Angriff entwerfen. Wenn ein Betrüger es beispielsweise auf die Handynummer einer Führungskraft im Finanzwesen abgesehen hat, kann er einen Smishing-Angriff starten, der den Anschein erweckt, von einem potenziellen Geschäftspartner zu stammen.

Lesen Sie phishing vs spear phishing vs whaling, um mehr über die verschiedenen Arten von Social-Engineering-Angriffen zu erfahren, bei denen Textnachrichten als Bedrohungsvektor genutzt werden.

Wie funktioniert das Smishing? 

Wie Phishing gaukelt uns auch Smishing vor, dass gefälschte Nachrichten legitim sind, so dass wir unbesorgt darauf reagieren. Smishing-Angriffe funktionieren, indem sie einige oder alle der folgenden Merkmale nutzen:

  • Kontext: Smishing-Texte nutzen den Kontext, um echt zu wirken. Ein Smishing-Text kann den Anschein erwecken, als käme er von der Bank, Ihrem Lieblingseinzelhändler oder Ihrer Regierung. Die Zahl derSmishing-Betrügereien unter dem Motto "IRS" ( ), bei denen persönliche und finanzielle Informationen gestohlen werden, nimmt zu, weil sie den Kontext effektiv nutzen, um das Vertrauen der Opfer zu gewinnen.
  • Auswahl der Ziele: Smishing-Opfer können anhand von demografischen Merkmalen und lokalen Zugehörigkeiten ausgewählt werden. So kann eine Erpresserbande beispielsweise gefälschte SMS von einem Finanzinstitut, das in einem bestimmten Vorwahlbereich beliebt ist, an lokale Nummern senden. Oder sie senden Phishing-Texte von einer Universität an deren Studenten, nachdem sie sich Zugang zu Telefonnummern verschafft haben.
  • Social Engineering: Bei einem Social-Engineering-Angriff werden die Emotionen der Zielperson, wie Angst, Liebe, Lust, Gier, Wut oder Mitleid, manipuliert, um ihr Urteilsvermögen zu vernebeln. Eine betrügerische Nachricht, die scheinbar von einer geliebten Person stammt, kann beispielsweise einen Notfall vortäuschen, um das Opfer dazu zu bringen, eine Überweisung zu tätigen.
  • Bösartige Anhänge: Eine Phishing-SMS kann mit einem bösartigen Anhang versehen sein, der wie ein Bild, ein Video oder ein Dokument aussieht, aber ein Virus, Adware, Spyware, Trojaner oder Ransomware ist.
  • Bösartige Links: Smishing-Angriffe verwenden oft bösartige Links, Malware oder betrügerische Websites.

Smishing funktioniert auch, indem es sich die Einfachheit von Textnachrichten zunutze macht. Sie können eine Phishing-E-Mail erkennen, indem Sie auf grammatikalische Fehler, Rechtschreibfehler, Bildformatierungsprobleme, seltsame E-Mail-Adressen und andere Unregelmäßigkeiten achten. Textnachrichten sind jedoch in der Regel kürzer und enthalten keine Grafiken wie z. B. Firmenlogos.

Ein typischer Text von Ihrer Bank kann zum Beispiel ein paar Sätze lang sein und einen Link zu einem Einzelhändler oder einer Finanzwebsite enthalten. Im Gegensatz zu einer offiziellen E-Mail ist ein solcher Text leicht zu fälschen.

Hacker machen seltener grammatikalische Fehler, wenn sie einen oder zwei Sätze in einem Smishing-Angriff schreiben. Und sie müssen sich nicht darum kümmern, Logos nachzubilden, um Phishing-Texte authentisch erscheinen zu lassen. Sie können auch Techniken zum Fälschen von Anrufer-IDs und Wegwerfhandys verwenden, um ihre Spuren zu verwischen.

Smishing-Beispiele: Verschiedene Arten von Smishing-Angriffen 

  1. Sie haben einen Wettbewerb oder einen Preis gewonnen und müssen ihn einfordern.
  2. Jemand hat Ihnen ein Geschenk oder einen Gutschein geschickt, den Sie aktivieren müssen.
  3. Ihr Finanzinstitut muss Ihre Angaben bestätigen.
  4. Eine anstehende Überweisung auf Ihr Konto erfordert Ihre Zustimmung.
  5. Der teure Kauf, den Sie getätigt haben, muss überprüft werden.
  6. Auf Ihrem Telefon wurde ein Virus entdeckt.
  7. Ihr Konto wurde aufgrund von verdächtigen Aktivitäten oder ungewöhnlichen Anmeldeversuchen gesperrt.

Smishing vs. Phishing: Was ist der Unterschied zwischen Smishing und Phishing? 

smishing-vs-phishing

Smishing und Phishing mögen ähnlich klingen, aber sie sind nicht ganz dasselbe. Was ist also der Unterschied zwischen Phishing und Smishing? Der größte Unterschied zwischen Smishing und Phishing besteht darin, dass beim Smishing SMS als Angriffsmedium verwendet werden, während Phishing ein Sammelbegriff für alle E-Mails, Websites, Textnachrichten oder Sprachnachrichten ist, bei denen eine Täuschung eingesetzt wird, um ein Ziel anzugreifen. Mit anderen Worten: Smishing ist eine Art von Phishing-Angriff, der über eine Textnachricht erfolgt. Das Ziel beider Angriffe ist es, Ihre persönlichen Daten für betrügerische Aktivitäten zu sammeln. Das ist es, was beide Methoden gemeinsam haben.

Was ist im Falle eines Smishing-Angriffs zu tun? 

Den Angriff melden 

Als Erstes sollten Sie den Angriff der zuständigen Behörde melden und dabei so viele Details wie möglich angeben. Wenn Sie beispielsweise das Ziel eines Smishing-Angriffs des Finanzamts sind, senden Sie eine E-Mail über den Angriff an phishing@irs.gov mit den folgenden Angaben:

  • Phish-Anrufer-ID-Nummer.
  • Ein Bildschirmfoto des Angriffs.
  • Eine Kopie der Nachricht, wenn Sie keinen Screenshot machen können.
  • Das Datum, die Uhrzeit, die Zeitzone und die Nummer des Empfängers.

Auch andere Organisationen waren gezwungen, auf diese Betrügereien zu reagieren. So haben beispielsweise Banken und Zahlungsunternehmen wie PayPal Kanäle für die Meldung von Phishing-Mails eingerichtet. Wenn Sie PayPal nutzen, sollten Sie lernen, wie Sie PayPal-Phishing-E-Mails erkennen können, um Ihr Konto zu schützen. 

Alle Passwörter ändern 

Wenn Sie den Verdacht haben, dass Sie das Ziel eines Smishing-Angriffs sind, ändern Sie sofort alle Ihre Kennwörter und PINs. Ihr neues Kennwort sollte komplex und einzigartig sein. Lesen Sie unseren Leitfaden , um zu erfahren,wie Sie ein sicheres Kennwort erstellen.

Sperren Sie Ihre Karte 

Ein Angreifer könnte versuchen, Ihre Debit- oder Kreditkarte zu benutzen, nachdem er Zugang zu Ihren sensiblen Daten erhalten hat. Wir empfehlen Ihnen, nach der Änderung Ihrer Passwörter alle Ihre Karten vorübergehend zu sperren, um Finanzbetrug zu verhindern. Sie können Ihre Karte sperren, indem Sie sich bei Ihrem Kreditkartenkonto anmelden oder Ihr Finanzinstitut anrufen.

Informieren Sie auch Ihren Kreditkartenaussteller über den Smishing-Angriff. Er kann Ihre Karte sperren und eine neue Karte mit anderen Ziffern ausstellen.

Weitere Aktivitäten überwachen 

Überwachen Sie Ihre Konten auf die folgenden Arten von verdächtigen Aktivitäten:

  • Unbekannte Transaktionen auf Ihrem Bank- oder Kreditkartenkonto.
  • Ungewöhnliche Anmeldeorte für Ihre Konten.
  • Ihre vertraulichen Bilder, Videos oder Textnachrichten werden veröffentlicht.
  • Freunde erhalten verdächtige Nachrichten von Ihnen.
  • Darlehen, die auf Ihren Namen aufgenommen wurden.
  • Einschreibung in staatliche Finanzhilfeprogramme

Auch wenn Sie keine unmittelbaren verdächtigen Aktivitäten feststellen, sollten Sie Ihre Konten nach einem Smishing-Angriff langfristig im Auge behalten. Eine hervorragende Möglichkeit, Ihre Finanzkonten auf Unregelmäßigkeiten zu überwachen, ist die Überprüfung Ihrer Kreditberichte.

Nach dem Bundesgesetz haben Sie jedes Jahr Anspruch auf einekostenlose Kreditauskunft ( ) von einem großen Kreditinstitut büro. Das entspricht drei kostenlosen Berichten pro Jahr. Und bis Dezember 2023 kann jeder in den Vereinigten Staaten jede Woche einen kostenlosen Kreditbericht von allen drei Auskunfteien abrufen.

Wie man Smishing-Texte stoppt 

Wenn Sie festgestellt haben, dass eine SMS betrügerisch ist, können Sie sie auf einem Telefon iOS oder Android blockieren. Gehen Sie auf einem iPhone zur Kontaktseite und tippen Sie auf " Diesen Anrufer blockieren". Gehen Sie auf einem Android Telefon zur Kontaktseite und tippen Sie auf " Kontakt blockieren".

Beide Betriebssysteme bieten auch Filter, mit denen Sie Spam und andere unerwünschte Texte blockieren können.

Wie man Texte auf dem iPhone filtert:

  1. Gehen Sie zu Einstellungen.
  2. Tippen Sie auf Nachrichten.
  3. Streichen Sie über die Schaltfläche neben Unbekannte Absender filtern.

Wie filtert man Texte auf Android:

  1. Gehen Sie zu Nachrichten.
  2. Tippen Sie auf die drei Punkte, um die Einstellungen zu öffnen.
  3. Tippen Sie auf Nummern und Nachrichten blockieren.
  4. Aktivieren Sie Anrufer-ID und Spamschutz.

Ihr Mobilfunkanbieter bietet möglicherweise auch Anti-Smishing-Tools an:

- Verizon

- AT&T

- T-Mobile

Wie Sie sich vor Smishing schützen können 

Smishing-Angriffe können sehr komplex sein und nutzen eine alarmierende Sprache, bösartige Anhänge, unsichere Links und betrügerische Websites, um unsere Cybersicherheit zu verletzen. Um sich vor Smishing-Angriffen zu schützen, muss man an mehreren Fronten vorbereitet sein.

Vorsicht bei dringenden Nachrichten 

Phishing-Texte können dringend erscheinen, um Sie davon abzuhalten, klar zu denken, bevor Sie reagieren. Nachdem Sie eine dringende Nachricht erhalten haben, sollten Sie zunächst einmal tief durchatmen. Beurteilen Sie die Situation, bevor Sie reagieren. Es ist unwahrscheinlich, dass ein seriöses Unternehmen Sie per SMS um sensible Daten oder eine Zahlung bittet. Wenn Sie Zweifel haben, suchen Sie die öffentlich angegebene Nummer des Unternehmens auf seiner offiziellen Website und rufen Sie es direkt an.

Bestätigen Sie Telefonnummern 

Überprüfen Sie die ID des Anrufers. Achten Sie auf die Nummer unter der ID und suchen Sie sie online, um zu sehen, ob sie mit dem Kontext des Anrufs übereinstimmt.

Multi-Faktor-Authentifizierung 

Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für Ihre Konten, um sie vor Hackern zu schützen, die Zugang zu Ihren Anmeldedaten haben könnten. MFA zwingt Benutzer dazu, ihre Identität auf andere Weise zu authentifizieren, wenn während eines Anmeldeversuchs verdächtige Aktivitäten festgestellt werden.

Bei Smishing-Angriffen werden Sie unter Umständen aufgefordert, dringend einen Link zu öffnen, um ein günstiges Angebot zu nutzen oder Steuern an das Finanzamt zu zahlen und eine Verhaftung zu vermeiden. Diese Links können Sie zu bösartigen Websites führen, die Ihre Kreditkartendaten oder andere vertrauliche Informationen stehlen. Klicken Sie am besten nicht auf Links in Textnachrichten. Überprüfen Sie stattdessen die Quelle der Nachricht.

Reagieren Sie nicht auf unbekannte Nummern 

Die Überprüfung von Anrufen kann Sie vor Smishing-Angriffen schützen. Eine Nachricht von einer unbekannten Nummer könnte Teil eines Betrugs sein.

Vermeiden Sie es, Kreditkarteninformationen auf Ihrem Telefon zu speichern 

Vermeiden Sie es, Ihre Kreditkartendaten in Form von Webformularen, Textdateien oder sogar Screenshots auf Ihrem Telefon zu speichern. Durch einen Smishing-Angriff, bei dem ein Trojaner oder Spyware auf Ihrem Gerät installiert wird, können diese Daten leicht gestohlen werden. Erkennen Sie die Malware-Anzeichen eines solchen Angriffs. Verwenden Sie außerdem ein kostenloses Antivirenprogramm herunterladen, um Ihr System regelmäßig auf Viren, Ransomware, Spyware, Adware und Trojaner zu überprüfen.

Rufen Sie die Banken an, bevor Sie eine Bankanfrage stellen 

Es ist nicht ungewöhnlich, dass Banken Sie per SMS über Ihre letzten Einkäufe und Kreditlimits informieren. Aber es ist unwahrscheinlich, dass Ihre Bank Ihre sensiblen Daten für eine Überweisung per SMS anfordert. Rufen Sie immer bei Ihrer Bank an, um jede Anfrage per SMS oder E-Mail zu überprüfen.

Vermeiden Sie die Weitergabe von Kennwortinformationen 

Geben Sie niemals Benutzernamen und Kennwörter in Textnachrichten weiter, selbst wenn Sie der Quelle vertrauen. Hacker können diese Informationen möglicherweise im Sendeordner Ihres Geräts finden. 

In Anti-Malware-Lösungen investieren 

herunterladen ein Cybersicherheitstool für Ihr Telefon, um sich vor verschiedenen Arten von Angriffen zu schützen. So schützt beispielsweise Malwarebytes für Android die Nutzer von Android vor Malware aller Art. Außerdem bietet es den Nutzern Schutz vor bösartigen Links/Websites und Phishing. In ähnlicher Weise schützt Malwarebytes für iOS iPhone- und iPad-Nutzer vor Malware, Spam-Anrufen, Werbung, betrügerischen Websites und Phishing-Websites.

Der Aufstieg des Smishings 

Wie bereits erwähnt, ist ein deutlicherAnstieg von Phishing über SMS zu verzeichnen . Smishing ist ein einfaches Angriffsmittel für Betrüger, um Millionen von Menschen anzugreifen, die sich auf Textnachrichten verlassen, um zu kommunizieren.

Smishing-Verbrechen können zu verschiedenen Sicherheits- und privacy Bedenken führen, einschließlich Identitätsdiebstahl. Experten sagen, dass die Auswirkungen eines Identitätsdiebstahls mehrere Jahre andauern können und von verlorener Zeit, Geld, Steuerschulden und beschädigtem Kredit bis hin zu einem Strafregister reichen.

Ein proaktiver Ansatz für die Cybersicherheit kann Smishing-Angriffe verhindern. Behandeln Sie verdächtige Textnachrichten mit Vorsicht und rüsten Sie Ihr Gerät mit Sicherheitssoftware aus, die das Risiko eines Phishing-Angriffs mindert.

Verwandt: Was ist RCS-Messaging?