Smishing vs Phishing – So können Sie sich schützen

Betrüger sind gut darin geworden Bankkarteninformationen und Passwörter für Online-Banking per SMS zu stehlen.

Smishing scheint der neuste Hit zu sein und die Medien in den USA, in Italien und Brasilien berichten am laufendem Band von alarmierenden Geschichten. In Deutschland wurde sogar eine Polizeimeldung über eine konkrete Smishing-Kampagne veröffentlicht.

Das Phänomen hat sich wie ein Lauffeuer verbreitet. Die hohe Anzahl an Suchanfragen zu diesem Thema bestätigen diese Tatsache. Doch was hat es mit diesem Smishing auf sich?

Der Anstieg der Suchanfragen auf Google zum Wort „Smishing“ in den letzten Jahren

Was ist Smishing und wie funktioniert es?

Smishing ist quasi wie Phishing. Der einzige Unterschied besteht darin, dass anstatt E-Mail, hierfür über das Mobilfunknetz versandte Kurznachrichten (SMS) verwendet werden. Daher kommt auch der Name Smishing – es ist ein Kofferwort aus SMS und Phishing. Manchmal werden Angriffe über Messaging-Apps auch als Smishing bezeichnet. Wir sind allerdings der Meinung, dass es sich um zwei unterschiedliche Angriffsarten handelt, aber das ist ein anderes Thema, das wir ein anderes Mal besprechen werden.

Das Ziel der Smishing-Angriffe, genau wie bei den Phishing-Versuchen, besteht darin den Empfänger dazu zu bringen sensible Daten preiszugeben. In diesem Fall handelt es sich meistens um Bankkarteninformationen und Passwörter für Online-Banking. Das erreichen die Betrüge, indem sie Textnachrichten zu einem erfundenen Problem verschicken – z. B. ein erfolgloser Zustellungsversuch, eine unbezahlte Rechnung oder ein blockiertes Konto – das der Empfänger schnell lösen muss, indem er auf einen Link klickt. Danach kann das Smishing auf zwei verschiedene Arten verlaufen:

  • Szenario: Das Gerät des Opfers wird mit einer Applikation infiziert, die zwar legitim aussieht, aber nur zum Zweck dient wichtige Informationen anzufordern und zu sammeln.
  • Szenario: Das Opfer wird auf eine Webseite weitergeleitet, die zwar legitim aussieht, aber nur zum Zweck dient wichtige Informationen anzufordern und zu sammeln.

Die Wahl der Szenarios hängt im Wesentlichen von der Komfortzone des Betrügers ab, bzw. ob er auf Malware oder auf gefälschte Websites spezialisiert ist. Die Folgen für das Opfer sind in beiden Fällen die gleichen. Über diese Art von Betrug wurden bereits tausende von Dollar, Euro und Pfund Sterling gestohlen. Sie fragen sich jetzt bestimmt, warum SMS-Phishing sich in letzter Zeit dermaßen verbreitet hat und warum es gefährlicher ist als herkömmliches Phishing.

Warum Smishing gefährlicher ist als herkömmliches Phishing

Die meisten Menschen kennen sich inzwischen mit den typischen Phishing-E-Mails recht gut aus, wissen woran sie zu erkennen sind und wie Reinfälle verhindert werden können. Dagegen wird bei Kurznachrichten generell nicht davon ausgegangen, dass sie für Betrugsmaschen verwendet werden könnten.

Darüber hinaus – auch wenn Menschen Textnachrichten allgemein als vertrauenswürdiger einstufen – gewährleisten Texte in SMS weniger Sicherheit als E-Mail-Texte. Bedenken Sie, dass heutzutage jeglicher halbwegs dezente E-Mail-Service über einen eingebauten Spamfilter verfügt. Die Filter sind zwar nicht perfekt, aber die Betrüger müssen sich immer wieder etwas Neues einfallen lassen, um ihre Nachrichten unbemerkt durchzuschleusen. Leider lassen die Spamfilter von Mobilfunkanbietern viel zu wünschen übrig, besonders in puncto Flexibilität und Genauigkeit.

Zudem lesen Menschen SMS meistens unterwegs oder kurz mal zwischendurch, wenn sie mit anderen Aufgaben beschäftigt sind. Durch diese Angewohnheit, kombiniert mit der geringeren Gefahrenvermutung bei Textnachrichten, werden SMS nicht so genau überprüft und die Opfer gehen leichter ins Netz. Anders ausgedrückt: Beim Erhalt einer Kurznachricht wird die übliche Checkliste zur Suche nach Warnhinweisen nicht überprüft und die Links werden fast automatisch angeklickt.

Zugegebenermaßen enthalten Spam-SMS auch wesentlich weniger Warnhinweise als Spam-Mails. Bei einer E-Mail kann die Adresse des Absenders, das Design und das Layout sowie die allgemeine Glaubhaftigkeit der Nachricht überprüft werden. Kurz gefasst: Die Suche nach Standard-Warnsignalen ist relativ einfach.

Kurznachrichten – auch die legitimen SMS – sehen sich oft sehr ähnlich. In diesen Nachrichten werden oft Nichtstandard-Varianten der Sprache verwendet und Design gibt es gar nicht. Gewiefte Betrüger mit technischen Kenntnissen könne sich Spoofing zunutze machen, um die Identität eines anderen Absenders vorzutäuschen, die Informationen einer Nachricht zu kopieren und die echte Nummer des Absenders durch eine falsche zu ersetzen.

Das können Sie gegen Smishing tun

Wie beim Phishing, können Sie sich mit einigen Maßnahmen auch effektiv vor Smishing schützen.

  • Klicken Sie niemals auf Links in SMS-Threads und geben Sie keinerlei Informationen ein. Als Faustregel gilt: Je weniger Aktivität, umso besser.
  • Verwenden Sie immer die Zwei-Faktor-Authentifizierung (2FA), wenn Sie die Möglichkeit dazu haben. Damit verhindern Sie bei Passwortdiebstahl, dass die Kriminellen auf Ihr Konto zugreifen können.
  • Kontaktieren Sie sofort Ihre Bank, wenn Sie den Verdacht haben, dass Kriminelle Zugriff auf Ihr Konto erhalten haben. Die Bank kann Ihre Karte sperren, Ihr Passwort ändern und Ihnen erklären welche Schritte Sie unternehmen sollten.

Zum Schluss haben wir einige häufig gestellte Fragen aufgelistet, um noch ein paar Punkte zu klären:

Sollte ich auf betrügerische SMS antworten und darum bitten, dass sie meine Handynummer auf der Mailingliste löschen?

Das sollten Sie nicht tun. Damit bestätigen Sie den Betrügern bloß, dass Ihre Handynummer aktiv ist bzw. existiert. Das Abmelden bei einer legitimen Mailingliste kann bereits einige Kopfschmerzen bereiten und es gibt keinen Grund zu glauben, dass Leute die gegen das Gesetz verstoßen, sich Ihnen gegenüber fairer verhalten werden.

Könnte es nicht auch eine wichtige Nachricht von meiner Bank sein?

Setzen Sie bei Zweifel direkt mit Ihrer Bank in Verbindung. Es ist recht unwahrscheinlich, dass die Nachricht von Ihrer Bank stammt – und da wir gerade über Kontaktieren reden: Versichern Sie sich, dass Sie die Kontaktdaten einer zuverlässigen Quelle entnehmen, wie beispielsweise die Website der Bank. Nutzen Sie niemals die Kontaktdaten, die in der verdächtigen Textnachricht angegeben sind.

Können Phishing-SMS automatisch gefiltert werden?

Aber natürlich! Viele Sicherheitslösungen verfügen über eingebaute Filter, die verdächtige Links in SMS und Nachrichten von Messaging-Apps abfangen und Sie warnen. Gehen Sie auf Nummer sicher und verlieren Sie kein Geld, nur weil Sie kurz mal nicht aufgepasst haben. Beispielsweise profitieren Sie mit Kaspersky Internet Security for Android von diesen Filtern.

Tipps