Smishing

Wie Phishing per SMS funktioniert

07.03.2024
Von  und
Josh Fruhlinger ist freier Autor in Los Angeles.


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Phishing per SMS-Textnachricht – auch als Smishing bekannt – ist eine Gefahr für Ihre Daten und Ihr Bankkonto. Wir sagen Ihnen, was Sie zu dieser Angriffsmethode krimineller Hacker wissen müssen.
Phishing per SMS oder Textnachricht - auch Smishing genannt - stellt im Smartphone-Zeitalter zunehmend eine Bedrohung dar. Wir sagen Ihnen, was Sie zum Thema wissen müssen.
Phishing per SMS oder Textnachricht - auch Smishing genannt - stellt im Smartphone-Zeitalter zunehmend eine Bedrohung dar. Wir sagen Ihnen, was Sie zum Thema wissen müssen.
Foto: NosorogUA - shutterstock.com

Lassen Sie sich von der niedlich anmutenden Nomenklatur nicht täuschen: Smishing bezeichnet eine Art des Cyberangriffs, der Sie mit Hilfe irreführender SMS-Nachrichten dazu verleiten will, wertvolle Informationen preiszugeben, Malware auf Ihrem Gerät zu installieren oder kriminelle Hacker unfreiwillig monetär zu unterstützen. Wir sagen Ihnen, was Sie zum Thema Phishing per Textnachricht wissen sollten.

Smishing - Definition

Smishing bezeichnet eine Angriffsmethode krimineller Hacker, die SMS- beziehungsweise Textnachrichten benutzt, um ihre Opfer hinters Licht zu führen. Dabei soll die eingehende Nachricht den Anschein erwecken, von einer vertrauenswürdigen Person oder Organisation zu stammen. Die Zielsetzung besteht darin, sensible persönliche Daten (beispielsweise Onlinebanking-Zugangsdaten) abzugreifen oder Mobilgeräte zu kompromittieren.

Smishing ist eine auf Textnachrichten zugeschnittene Variante traditioneller Phishing-Methoden. Dabei versuchen kriminelle Hacker auch den Umstand auszunutzen, dass viele Menschen mit ihrem Smartphone deutlich sorgloser agieren als mit ihren PCs. Verdächtige Nachrichten werden auf dem Handy eher geöffnet und mobile Devices sind oft auch nicht in gleichem Maße abgesichert wie beispielsweise die Rechner im Unternehmen.

Smishing vs. Phishing vs. Vishing

Traditionelles Phishing plagt Internetnutzer bereits seit den 1990er Jahren. Smishing hingegen ist ein Phänomen der späten 2000er-Jahre. Der Begriff stellt eine Kombination aus SMS und Phishing dar - allerdings versteht man darunter im Allgemeinen auch Betrugsversuche, die über Messenger-Dienste (wie beispielsweise iMessage oder WeChat) initiiert werden, die nicht auf dem Short-Message-System-Protokoll basieren. Ein lohnender Angriffsvektor für Cyberkriminelle ist Smishing insbesondere, seit Smartphones allgegenwärtig sind.

Vishing (Phishing per Voice Call) bezeichnet ebenfalls eine Phishing-Variante - allerdings basiert diese Angriffsmethode auf Sprachanrufen.

Smishing-Angriffe - Beispiele

In der Praxis lassen sich Smishing-Angriffe in drei verschiedene Kategorien einordnen, die sich hinsichtlich ihrer kriminell motivierten Zielsetzung unterscheiden:

1. Versuche, Zugangsdaten abzugreifen

Smishing-Angriffe können zum Ziel haben, Login-Daten für Onlinekonten abzugreifen. Insbesondere Onlinebanking-Zugänge sind für kriminelle Hacker von Interesse. Paradoxerweise versuchen die Cyberkriminellen regelmäßig, von der Angst gehackt zu werden, zu profitieren: Sie verschicken SMS- oder Textnachrichten, die vermeintlich von der Bank des Opfers stammen.

Dieses Vorgehen wird auch als "Bank Smishing" bezeichnet. Diese Nachrichten "warnen" ihre Empfänger vor umfangreichen Abbuchungen oder unbekannten Zahlungsempfängern und stellen eine Telefonnummer oder einen Link zur Verfügung, um den potenziell unberechtigten Zugriff auf das Bankkonto zu verhindern. Der Link führt im Regelfall auf eine gefälschte Webseite, die Telefonnummer direkt zum Cyberkriminellen - in beiden Fällen ist das Ziel, die Opfer dazu zu bewegen, ihre Nutzernamen und Passwörter offenzulegen, um im Anschluss deren Konto zu plündern.

Bank Smishing ist aus verschiedenen Gründen erfolgreich: Manche Finanzinstitutionen verschicken tatsächlich SMS- oder Textnachrichten, die vor verdächtigen Kontoaktivitäten warnen. Echte Nachrichten solcher Art sind in der Regel daran zu erkennen, dass sie im Regelfall dem Finanzinstitut bekannte Informationen (beispielsweise die letzten vier Ziffern ihrer Kreditkarten- oder Kontonummer) enthalten. Direkte Links und vage Verweise auf "Ihr Konto" sollten Sie hingegen misstrauisch werden lassen. Wenn Sie sich bezüglich der Echtheit der Nachricht nicht sicher sind: Loggen Sie sich auf normalem Weg per Browser oder App in Ihr Konto ein - klicken Sie in keinem Fall auf einen Link in einer SMS- oder Textnachricht.

Ein weiterer Grund für die gute Erfolgsquote von Bank-Smishing-Angriffen liegt in den Verschleierungstaktiken der Cyberkriminellen: Die Telefonnummern der Absender lassen sich mit bestimmten Methoden verbergen oder fälschen - teilweise mit relativ einfachen Mitteln, etwa indem die Nachricht von einem Rechner aus versendet wird. Werden solche Nachrichten auf dem Smartphone automatisch der legitimen Absendernummer zugeordnet, steigt die Erfolgswahrscheinlichkeit eines Smishing-Angriffs um ein Vielfaches.

2. Versuche, Malware zu verbreiten

Diese Smishing-Art orientiert sich am klassischen E-Mail-Phishing - adaptiert dafür aber Techniken, die speziell auf mobile Nutzer und Endgeräte zugeschnitten sind. In Tschechien grassierte vor einiger Zeit beispielsweise ein Smishing-Angriff, der seine Opfer dazu verleiten wollte, eine App - vermeintlich von der tschechischen Post - zu installieren. Tatsächlich handelte es sich um einen Trojaner, der Kreditkarteninformationen abgreifen und weitere App-Zugangsdaten kompromittieren sollte.

Smishing-Angriffe mit dem Ziel der Verbreitung von Malware kommen seltener vor, da die Sicherheitsvorkehrungen auf Smartphones - insbesondere im Fall von Apples iOS - es inzwischen relativ schwierig gestalten, unsignierte beziehungsweise nicht verifizierte Apps zu installieren. Dennoch besteht speziell bei Android-Geräten die Möglichkeit, des App Sideloading - hier hilft nur gesundes Misstrauen, wenn Sie per SMS- oder Textnachricht dazu aufgefordert werden, eine App zu installieren.

3. Versuche, Geldbeträge einzuheimsen

Diese Art des Smishing-Angriffs ist weniger Sache technisch versierter Cyberkrimineller - hier tummeln sich eher plump agierende Trickbetrüger. Dennoch stellen solche Versuche ein Risiko dar - insbesondere für Menschen, die weniger technikaffin veranlagt sind. In einem Fall wurde ein Opfer von Betrügern kontaktiert, die sich als persönliche Bekannte ausgaben (entsprechende Namen wurden sehr wahrscheinlich über soziale Medien in Erfahrung gebracht) und einen Geldbetrag in Form eines staatlichen Zuschusses in Aussicht stellten. In Wahrheit handelte es sich um einen klassischen Betrug: Das Opfer sollte vor der Auszahlung eine Gebühr in Höhe von einigen hundert Dollar bezahlen.

Phishing per SMS verhindern

Eine (zeitlose) Studie von Gartner kommt zu dem Ergebnis, dass 98 Prozent aller Text- und SMS-Nachrichten gelesen und 45 Prozent auch beantwortet werden. Weil viele User sich inzwischen der Gefahr von Spam-E-Mails bewusst sind, werden Textnachrichten zunehmend zum attraktiven Angriffsvektor für kriminelle Hacker, die vom höheren Trust-Level der Smartphone-Kommunikation profitieren wollen.

Smishing ist zwar nicht allgegenwärtig - entwickelt sich aber zum gängigen Phänomen, auch im Unternehmensumfeld. Mit Blick auf Verizons "Mobile Security Index 2023" ist das nicht verwunderlich: Demnach ist es im Vergleich zum Angriffsvektor E-Mail um den Faktor 6 bis 10 wahrscheinlicher, dass Benutzer in Unternehmen auf Phishing-Versuche per SMS hereinfallen. Sicherheitsanbieter Proofpoint kommt in seinem Report "State of the Phish 2023" (PDF-Download im Austausch gegen Daten) hingegen zum Ergebnis, dass lediglich 35 Prozent der befragten Unternehmen entsprechende Phishing-Simulationen durchführen.

Smishing-Simulationen sind für Unternehmen ein sinnvoller Weg, um ihre Mitarbeiter für die Gefahren von Phishing-Angriffen per SMS zu sensibilisieren. Security-Verantwortliche sind gut damit beraten, Smishing-Taktiken neben Phishing und Vishing in ihre Security-Awareness-Initiativen mit aufzunehmen - und sei es nur, um zu testen, welche Nutzer besonders anfällig für diese Art der Angriffe sind.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.