Was ist Smishing (SMS-Phishing)?

Wie funktionieren Smishing-Angriffe?

Wie bei allen Formen des Phishings laufen erfolgreiche Smishing-Angriffe in zwei Schritten ab: Die Angreifer gewinnen das Vertrauen eines Opfers und nutzen es dann aus, um ihm private Informationen oder Geld zu entlocken. Wie also gehen Betrüger vor?

Sehen wir uns zunächst die Angriffsmethoden an. Smishing, auch SMS-Phishing genannt, muss nicht unbedingt über eine SMS oder sogar ein Mobilgerät erfolgen. Es kann auch in Messaging-Apps, Foren oder auf Social-Media-Plattformen wie Facebook, X (Twitter) oder Reddit auftreten.

Absender geben sich oft als Personen aus, die ihren Opfern aus irgendeinem Zusammenhang bekannt sind – Finanzinstitute, Einzelhändler, Vorgesetzte und Behörden sind allesamt gängige Beispiele. Dadurch sind die Opfer weniger wachsam und denken nicht kritisch darüber nach, was die Angreifer von ihnen verlangen.

Effektive Smishing-Nachrichten überzeugen die Opfer, sofort zu handeln. Normalerweise wird dem Opfer entweder ein negatives Ergebnis präsentiert, das es vermeiden kann (Kontoschließung, Gebühr, Disziplinarmaßnahmen usw.), oder ein positives (Belohnung, Lieferung usw.). In beiden Fällen wird in der Nachricht etwas gefordert, beispielsweise vertrauliche Informationen oder eine Zahlung.

In letzter Zeit haben vorgefertigte „Phishing-Kits“ und generative KI-Tools es Bedrohungsakteuren leichter gemacht, schnell Angriffe zu starten.

Warum führen Angreifer Smishing-Betrug durch?

Die meisten Smishing-Attacken sind, wie auch andere Phishing-Betrugsmaschen, finanziell motiviert. Cyberkriminelle haben es entweder direkt auf die Finanzinformationen ihrer Opfer abgesehen, um ihnen das Geld zu stehlen, oder sie suchen nach Informationen, wie etwa wertvolle personenbezogene Daten oder geistiges Eigentum von Unternehmen, die sie auf dem Schwarzmarkt verkaufen können. In selteneren Fällen versuchen Smishing-Kampagnen, Opfer zum Herunterladen von Malwarezu verleiten.

Smishing-Angriffe profitieren auch von einem allgemeinen Mangel an Schulung, Aufklärung und Sensibilisierung der Opfer, insbesondere im Vergleich zu E-Mail-basiertem Phishing. Darüber hinaus sind weit weniger Sicherheitslösungen darauf ausgelegt, Smishing-Spam zu erkennen oder zu blockieren. Hinzu kommt, dass es bei vielen VoIP-Diensten (Voice over IP) extrem einfach ist, die Anrufer-ID zu missbrauchen, um bestimmte Nummern oder Namen anzuzeigen.

Angesichts von mehr als 4,6 Milliarden Smartphone-Nutzern im Jahr 2023 und Prognosen von über 5 Milliarden bis 2027 (Statista) ist die Zahl der potenziellen Smishing-Opfer praktisch unbegrenzt.

Arten von Smishing-Angriffen

Smishing und andere Arten von Phishing-Angriffen sind nicht zuletzt deswegen so heimtückisch, weil es viele Möglichkeiten gibt, einen Smishing-Angriff zu konstruieren. Sehen wir uns einige der gängigen Ansätze und Strukturen von Smishern an. Bei

• Preis- und Paketbetrug wird die Aufregung der Opfer über einen vermeintlichen Gewinn (eine Geschenkkarte, Lottogeld usw.) oder einen Artikel ausgenutzt, der auf die Lieferung wartet. Angreifer geben sich oft als große Einzelhandels- oder Paketzustellfirma aus – wie Amazon, Costco, FedEx oder UPS – und fordern eine Adresskorrektur, Kreditkarteninformationen, Versandkosten oder Ähnliches an. Normalerweise leiten sie die Opfer zu einem schädlichen Link weiter, der dazu dient, diese Informationen zu stehlen.
• Bank- und Finanzbetrug macht sich finanzielle Sensibilität zunutze, um starke, schnelle Reaktionen zu provozieren. Angreifer geben sich als Bankunternehmen aus – oder, um das Angstelement zu verstärken, als eine Organisation wie die IRS – und informieren das Opfer über ein Problem mit dem Bankkonto, eine ausstehende Rückerstattung, eine überfällige Zahlung, eine Untersuchung oder etwas Ähnliches, um damit Anmeldedaten, Sozialversicherungsnummern, Kreditkartennummern oder andere Bankdaten zu stehlen.
• Anlagebetrügereien wie das beliebte „Pig Butchering“-Schema manipulieren Opfer (die „Schweine“) dazu, in Kryptowährung zu investieren, und versprechen dabei oft hohe Renditen. Betrüger drängen Opfer dazu, Konten auf gefälschten Krypto- oder Finanzhandelsplattformen zu eröffnen, wobei sie oft zunächst Renditen liefern, um ein falsches Gefühl der Legitimität zu erzeugen. Sobald der Betrüger unbefugten Zugriff auf das Konto des Opfers erhält, führt er betrügerische Transaktionen durch und „schlachtet“ das Konto aus.
• Kontoüberprüfungs- und Passwortbetrügereien ködern Opfer dazu, ihre Konten zu kompromittieren – oft, paradoxerweise, indem sie ihnen vorgaukeln, ihre Konten seien kompromittiert worden. Dies kann Hand in Hand mit URL-Spoofing gehen, um überzeugende gefälschte Anmeldeportale zu erstellen. Bei einigen komplexen Angriffen auf Kontodiebstähle können Hacker die Antworten auf Sicherheitsfragen oder Codes für die Multifaktor-Authentifizierung (MFA) anfordern, wodurch sie zusätzliche Cybersicherheitsmaßnahmen umgehen können.
• Opportunistische und themenbezogene Betrügereien nutzen die Ängste, Hoffnungen oder das soziale Verantwortungsgefühl der Opfer in Bezug auf aktuelle Ereignisse oder Trends aus, um Geld oder personenbezogene Daten zu entwenden. Gängige Beispiele aus den letzten Jahren sind Betrug bei COVID-19-Impfterminen, falsche Wohltätigkeitsorganisationen im Zusammenhang mit Kriegen und Naturkatastrophen, Wirtschaftsbetrug im Zusammenhang mit Studienkrediten, Steuern, Konjunkturzahlungen, Beschäftigungsmöglichkeiten und mehr.

Beispiele für Smishing-Betrug

Schauen wir uns nun einige Beispiele echter Smishing-Angriffe an und auch einige Warnsignale bei diesen Angriffen, die Ihnen dabei helfen können, sie als Cyberangriffe zu erkennen.

1. Beispiel: USPS-Lieferung

Diese Nachricht ist voller Warnzeichen, die sie leicht als Smishing identifizieren. Beachten Sie das Fehlen spezifischer Details wie eines Namens oder eines „Lager“-Standorts, die seltsamen Leerzeichen und die seltsame Zeichenfolge „7cng.vip“ in der angegebenen URL.

Darüber hinaus heißt es laut dem United States Postal Inspection Service: „USPS sendet Kunden keine Textnachrichten oder E-Mails, ohne dass ein Kunde den Service zuerst mit einer Sendungsverfolgungsnummer angefordert hat, und die Nachricht enthält KEINEN Link.“

2. Beispiel

: Costco-Umfrage

Dieser Smishing-Text ist etwas schwieriger zu identifizieren, weist aber dennoch viele verräterische Anzeichen auf. Erstens bezeichnet sich Costco Wholesale Corporation nicht als „CostcoUSA“. Wie die gefälschte USPS-Nachricht ist der Wortlaut etwas gekünstelt. Das deutlichste Anzeichen für Smishing ist die URL, da legitime Costco-Nachrichten immer von einer Costco-Domäne stammen.

Smisher können äußerst raffiniert sein, aber wenn Sie wissen, wonach Sie suchen müssen, ist es oft gar nicht so schwierig, sie zu entlarven.

So schützen Sie sich vor Smishing-Angriffen

Smishing lässt sich nur schwer vollständig vermeiden, aber glücklicherweise gibt es viele wirksame Möglichkeiten, sich dagegen zu wehren, bevor es Schaden anrichten kann:

• Einfach ignorieren: Wenn Sie eine Smishing-Nachricht erhalten, müssen Sie eigentlich gar nichts tun. Sobald Sie festgestellt haben, dass eine empfangene Nachricht nicht legitim ist, können Sie sie einfach löschen, ohne dass weitere Konsequenzen zu befürchten sind. Smishing funktioniert nicht, wenn das Opfer nicht auf den Köder hereinfällt.
• Kritisch denken: Wenn Sie eine verdächtige Textnachricht erhalten, betrachten Sie die Umstände. Haben Sie vom vermeintlichen Absender eine Nachricht erwartet? Hat sich der Absender eindeutig identifiziert? Ist die Anfrage angemessen?
• Auf Warnzeichen achten: Untersuchen Sie die Details. Kam die Nachricht von einer Telefonnummer, die Ihrer verdächtig ähnlich ist? Wenn ja, könnte dies auf „Neighbor Spoofing“ hindeuten. Enthält sie E-Mail-Adressen oder Links? Stellen Sie sicher, dass sie mit den tatsächlichen Kontaktangaben oder offiziellen Kanälen übereinstimmen, die Sie vom Absender erwarten. Gibt es vage Angaben oder Fehler? Die meisten legitimen Geschäftsnachrichten werden sorgfältig auf Fehler überprüft.
• Separat überprüfen: Wenn Sie immer noch nicht sicher sind, ob eine Nachricht legitim ist oder nicht, können Sie dies separat beim Absender überprüfen, indem Sie einen offiziellen Kanal nutzen. Sie können beispielsweise eine Kundendienstnummer nachschlagen oder mit einem Mitarbeiter auf der Website Ihrer Bank chatten.
• Blockieren und melden:Sie können Ihr eigenes Risiko sowie die Wahrscheinlichkeit, dass andere Opfer eines Smishing-Versuchs werden, verringern, indem Sie versuchte Smishing-Angriffe blockieren und melden. Die meisten privaten Messaging-Apps sowie die Betriebssysteme Apple iOS und Android verfügen über integrierte Blockierungs- und Meldefunktionen, die auch dabei helfen, verdächtige Nachrichten zu kennzeichnen, wenn andere User sie erhalten.

Was tun, wenn Sie einem Smishing-Anfall zum Opfer gefallen sind?

Wenn Sie feststellen oder auch nur den starken Verdacht haben, dass Sie Opfer von Smishing geworden sind, können Sie dennoch Maßnahmen ergreifen, um den Schaden eines erfolgreichen Angriffs zu begrenzen.

1. Den Angriff melden. Die meisten Banken verfügen über solide Management Frameworks gegen Betrug und können Ihnen möglicherweise sogar dabei helfen, verlorene Gelder zurückzuerhalten. Im Falle eines schwerwiegenden Betrugs oder Identitätsdiebstahls können Sie eine Anzeige bei der Polizei erstatten oder die zuständige Behörde kontaktieren .
2. Kompromittierte Anmeldedaten aktualisieren. Wenn ein Angreifer über Ihre Kontodaten verfügt, ist nicht abzusehen, wann er sie verwenden wird. Ändern Sie betroffene Passwörter, PINs und dergleichen sofort. Wenn Sie eine legitime E-Mail erhalten, die eine Passwortänderung bestätigt, die Sie nicht angefordert haben, wenden Sie sich sofort an den Absender.
3. Auf schädliche Aktivitäten achten. Achten Sie nach den oben genannten Schritten auf Hinweise auf weitere Kompromittierungen in den betroffenen Bereichen. Sie können Betrugswarnungen für viele Konten anfordern, um verdächtige Aktivitäten zu identifizieren.

Smishing-Schutz von Zscaler

Da die Kompromittierung von Usern eine der schwierigsten Sicherheitsherausforderungen darstellt, ist sie auf das Ausnutzen der menschlichen Natur angewiesen. Um aktive Sicherheitsverletzungen zu erkennen und den Schaden zu minimieren, den erfolgreiche Sicherheitsverletzungen verursachen können, müssen Sie im Rahmen einer umfassenderenZero-Trust-Strategie wirksame Phishing-Präventionskontrollen implementieren.

DieZscaler Zero Trust Exchange™ basiert auf einer ganzheitlichen Zero-Trust-Architektur, um die Angriffsfläche zu minimieren, Kompromittierung zu verhindern, laterale Bewegungen zu eliminieren und Datenverlust zu stoppen. Sie schützt vor Smishing-Angriffen und anderen Cyberbedrohungen durch:

• Verhinderung von Kompromittierung: Funktionen wie vollständige

TLS/SSL Inspektion, Browserisolierung, URL-Filterung und Phishing-Site-Erkennung (einschließlich Links in SMS und auf Mobilgeräten); richtliniengesteuerte Zugriffskontrolle undBedrohungsinformationenin Echtzeit schützen User vor schädlichen Websites.

Blockieren lateraler Bewegungen: Sobald Angreifer in Ihrem Netzwerk sind, können sie sich ausbreiten und noch mehr Schaden anrichten. Mit der Zero Trust Exchange verbinden sich User direkt mit Apps, nicht mit Ihrem Netzwerk, wodurch der Explosionsradius eines Angriffs begrenzt wird. Decoys helfen dabei, Angreifer in die Irre zu führen und laterale Bewegungen zu erkennen.

Stoppen von Insider-Bedrohungen: Unsere Cloud-Proxy-Architektur stoppt Exploit-Versuche auf private Unternehmensanwendungen mit lückenloser Inline-Inspektion und erkennt selbst komplexe Angriffstechniken mit fortschrittlichen Deception-Taktiken.

Stoppen von Datenverlusten:Zero Trust Exchange überprüft Daten während der Übertragung und im Ruhezustand, um potenziellen Datendiebstahl durch einen aktiven Angreifer zu verhindern.