Unternehmen

Smishing: Tückische Paketankündigung mit Schadsoftware im Schlepptau

04.06.2021 - Paketankündigungen haben etwas Magisches an sich, finden Sie nicht? Denn, sobald die Benachrichtigung eintrifft, kann man es kaum erwarten, die Bestellung endlich in den Händen zu halten. Der einzige Haken daran: Auch Internetkriminelle machen sich den florierenden Onlinehandel und Paket-Boom für ihre kriminellen Machenschaften zu Nutze. Eine Betrugsmasche, die hierbei zunehmend an Beliebtheit gewinnt, ist Smishing. In unserem heutigen Blogbeitrag erfahren Sie, was Smishing ist und wie Sie Smishing erkennen und verhindern können.

Sehr geehrte Leserinnen und Leser,

Internet-Einkauf wird stets gefragter.

Zeitgleich ruft der florierende Onlinehandel und Paket-Boom Internetkriminelle auf den Plan, die gegenwärtig gerne mit gefälschten Textnachrichten in SMS-Form, die Unachtsamkeit, Kenntnislosigkeit und Arglosigkeit der Personen ausnutzen, um ganz persönliche und geschäftskritische Informationen abzugreifen oder Schadsoftware zu verbreiten. Die Betrugsmasche mit dem Namen Smishing kann dabei jedermann treffen. Daher wirkt vor allem eines: Aufklärung und Sensibilisierung für Smishing-Gefahren.

„Ihr Päckchen wurde versandt – für die Sendungsverfolgung klicken Sie auf diesen Link!“

Lieferankündigungen haben irgendetwas Magisches an sich: Treffen die Benachrichtigungen erst einmal ein, können es die überwiegende Zahl der Personen kaum erwarten, die Ware endlich in den Händen zu halten.

Aber auch Internetkriminelle machen sich den florierenden Internethandel und Paket-Boom für ihre kriminellen Machenschaften zu Nutze. Eine Betrugsmasche, die dabei in unserem Land immer mehr an Beliebtheit gewinnt, ist Smishing.

Beim so bekannten Smishing dreht es sich um eine abgewandelte Art von Phishing, bei der vorwiegend gefälschte Textnachrichten in SMS-Form zum Einsatz kommen, um ganz persönliche und geschäftskritische Informationen abzugreifen wie Login-Daten, Passwörter und Kreditkarteninformationen oder um Schadsoftware zu verbreiten.

Laut einer Mitteilung von Spiegel.de hat eine Anti-Betrugs-Arbeitsgruppe der Mobilfunkprovider von Januar bis März dieses Jahres schon 200.000 Fälle registriert, die trotz aller Warnungen diverser Polizeidienststellen und Landeskriminalämtern wie beispielsweise das Landeskriminalamt Baden-Württemberg oder das Landeskriminalamt Bayern sowie dem Bundesamt für Sicherheit in der Informationstechnik bundesweit und anbieterübergreifend auf die Phishing-Kurznachricht im Namen bekannter Versandpartner hereingefallen sind.

Gefälschte SMS-Nachrichten als Ausgangspunkt!

Egal ob auf dem heimischen Sofa, im Zug, im Café, am Flughafen oder sogar im Park – Smartphones sind allgegenwärtig und zu einem dauerhaften Begleiter unserer modernen Gesellschaft geworden.

Allein in Deutschland verfügen inzwischen gemäß Bitkom in etwa 56 Millionen Menschen ab 16 Jahren ein Mobilfunktelefon.

Daher ist es auch nicht überraschend, dass sich Internetkriminelle umorientieren und ihre Angriffe verstärkt auf mobile Endgeräte wie Smartphone und Tablets ausweiten.

Während klassische Phishing-Angriffe meist per E-Mail erfolgen, setzen Internetkriminelle beim Smishing bevorzugt auf den Kurznachrichtendienst, auch bezeichnet als Short Message Service oder SMS.

Die Methode beim SMS-Betrug ist denkbar einfach:

o Internetkriminelle versenden im Namen beliebter Firmen gefälschte Textnachrichten an willkürliche Empfänger und fordern sie unter falschem Vorwand auf, einer Web-Adresse zu folgen und dann eine App zu installieren. Wird diese installiert, wird meist eine Malware heruntergeladen, die nicht nur den Angreifern Zugriff auf das Smartphone verschafft, sondern auch jegliche Login-Daten ausliest, teure SMS versendet oder das Telefon sperrt, um anschließend für die Entsperrung Lösegeld zu fordern.

o Eine andere heimtückische Verfahrensweise beim Smishing ist das Weiterleiten des Opfers auf ein Formular, um beispielsweise Zugangsdaten fürs Online-Banking oder sonstige Konto-/ Kreditkarteninformationen abzugreifen. In der Regel vermelden die Angreifer Sicherheitsprobleme, die die sofortige Übertragung der persönlichen Daten erforderlich machen würden, um sämtliche Funktionen eines Dienstes weiterhin nutzen zu können.

o Ebenso sehr beliebt ist die Vorgehensweise, bei der sich Internetkriminelle als Angestellte vom Kundensupport ausgeben. Bei dieser Smishing-Betrugsmasche bekommen die Opfer eine SMS-Nachricht mit dem Aufruf, sich über die angegebene Nummer an den Support zu wenden. Aufgrund der Masche, sich als Support-Mitarbeiter auszugeben, existiert eine höhere Glaubhaftigkeit, sodass die Opfer gerne sensible Informationen bekannt geben.

Höhere IT-Sicherheit durch Beratung und Sensibilisierung!

Durch die steigende Verbreitung und Nutzung von Handys und anderen mobilen Endgeräten entwickelt sich Smishing zu einem ernstzunehmenden Kunden- und Unternehmensrisiko. Die positive Botschaft ist, dass Sie mit trivialen Schritten Ihr Unternehmen, Ihre Angestellten und Ihre Informationen wirkungsvoll vor Smishing-Angriffe schützen können.

Prinzipiell gilt jedoch: Klicken Sie niemals auf Links aus dubiosen Quellen und löschen Sie die Benachrichtigung sofort nach Erhalt!

Zu den weiteren Methoden gehören:

1. Smishing-Attacke erkennen:
Bekommen Sie dringende Sicherheitswarnungen, ablaufende Sonderangebote oder Deals, die Druck erzeugen und eine prompte Handlung verlangen, dreht es sich mit Sicherheit um eine Phishing-Kurznachricht.

Darüber hinaus lässt sich eine Phishing-SMS an verschiedenen optischen Unstimmigkeiten identifizieren:

o Nicht bekannte Telefonnummer des Versenders
o Grammatikfehler und Rechtschreibfehler
o Wirre Formatierung
o Unpersönliche oder ungewöhnliche Anrede

2. Inhalt auf Wahrscheinlichkeit überprüfen:
Weder Bankinstitute noch Händler oder andere Stellen und Institutionen verschicken SMS-Nachrichten um Anmeldeinformationen, Passwörter oder Kontoinformationen einzuholen. Erhalten Sie eine Kurznachricht mit solch einer Aufforderung, hilft es, bei dem Finanzinstitut, beim Händler oder dem Unternehmen anzurufen, um zu prüfen, ob die Mitteilung wahrhaftig von dort kommt.

3. IT-Sicherheitsschulungen umsetzen:
Durch häufige IT-Sicherheitsschulungen können Sie das Sicherheitsbewusstsein ihrer Mitarbeiter stärken. Dadurch sind sie in der Situation potenzielle Smishing-Angriffe zu erkennen, zu verhindern und zu berichten.

4. Smishing-Attacke berichten:
Wenn Sie eine Smishing-Attacke bemerken, haben Sie bei der Bundesnetzagentur die Option, den Smishing-Angriff zu melden.

5. Sicherheitslösungen und Sicherheitsupdates installieren:
Nebst der Inbetriebnahme einer Antivirensoftware sollten Sie sowohl ihr Betriebssystem als auch sämtlich Apps stets auf dem aktuellsten Stand halten. Denn oftmals werden durch Aktualisierungen vor kurzem bemerkte Sicherheitslücken beseitigt, die von etwaigen Angreifern genutzt werden könnten.

6. Geschicktes Abspeichern:
Speichern Sie auf keinen Fall Ihre Kreditkarten- noch Ihre Banking-Daten auf Ihrem Mobiltelefon ab.
Sollten Sie oder Ihre Mitarbeiter doch ungewollt auf den Hyperlink geklickt haben oder unter Umständen schon Applikationen installiert haben, rät das Bundesamt für Sicherheit in der Informationstechnik noch dazu:

1. Das Smartphone in den Flugmodus zu setzen, um weiteren SMS-Versand und eine mögliche Kommunikation der Malware mit anderen Geräten sowie den Datenabfluss zu vermeiden.
2. Den Mobilfunkprovider zu informieren.
3. Das Bankkonto und weitere Bezahlsysteme auf Abbuchungen zu kontrollieren.
4. Strafanzeige bei der lokalen Polizeidienststelle zu erstatten.
5. Das Mobiltelefon auf Werkseinstellungen zurückzusetzen

Wissen ist der beste Schutzmechanismus!

Handys, Tablets und Co. werden als Angriffsziel für Internetkriminelle stets attraktiver. Smishing ist inzwischen in jedem Fall eines ihrer beliebtesten Angriffsmethoden, um auf mobilen Endgeräten vertrauliche Daten, Passwörter und weitere Zugangsdaten abzugreifen oder um Schadsoftware einzuschleusen und zu verbreiten. Der beste Weg, Unternehmen und Mitarbeiter vor solchen Smishing-Angriffsversuchen zu schützen, sind häufige IT-Sicherheitsschulungen und Sensibilisierungsmaßnahmen. Denn wie Sie bekanntermaßen wissen, sind aufgeklärte und gut geschulte Beschäftigte ein wichtiger, wenn nicht der bedeutsamste Gegenstand einer wirksamen Sicherheitsstrategie.
Ferner sollten Unternehmen innovative Sicherheitslösungen implementieren, um die mobile Sicherheit zu erhöhen.

Falls Sie noch Fragen zur Thematik Smishing, zu unseren Dienstleistungen im Bereich IT-Sicherheit oder unseren Sicherheitslösungen haben, nehmen Sie gerne Kontakt zu uns auf.

Sie wollen immer auf dem Laufenden bleiben?
Jetzt Newsletter abonnieren.

Kundenhotline & Kontakt

Unsere Kundenhotline ist Ihre zentrale Anlaufstelle für Ihre Anfragen oder Bestellungen.
Sie können uns zu den aufgeführten Zeiten unter folgender Rufnummer erreichen:

02302-9814100 Montag bis Freitag von 08:00 bis 17:00 Uhr

Kontaktformular Adresse & Öffnungszeiten

Maria Forsch Kundenbetreuerin

Unsere Partner & Programme