Smishing als neue Bedrohung für Unternehmen

Der Begriff „Smishing“ setzt sich aus den Begriffen SMS und Phishing zusammen. Den meisten ist der Begriff „Phishing“ bereits ver­traut. Gemeint ist der Versuch, mittels einer gefälschten Email Pass­wörter oder Kon­to­ver­bin­dungs­daten zu stehlen, oder Schad­software auf dem Rechner des Opfers zu installieren.

Ziele und Vor­gehen beim Smishing

Das Smishing hat im Wesent­lichen die gleichen Ziele, und auch das Vor­gehen ist gleich, nur werden anstelle von Emails Text­nach­richten mit ent­spre­chenden Auf­for­de­rungen ver­sandt. Der neue Zugang ist wohl der Tat­sache geschuldet, dass sich die Nutzung des Smart­phones auch im Geschäfts­leben wach­sender Beliebtheit erfreut.

Ein häufig benutzter Trick ist – wie auch schon beim Phishing – die Meldung von angeb­lichen Sicher­heits­pro­blemen, die die sofortige Eingabe von Zugangs­daten not­wendig machen, um die Sperrung des betref­fenden Dienstes noch zu verhindern.

Ein anderes Vor­gehen ist das soge­nannte Spear-Smishing. In diesen Fällen machen sich Cyber­kri­mi­nelle im Vorfeld mit den Inter­net­pro­filen ihrer Opfer ver­traut, z.B. durch Beob­achtung ihrer Akti­vi­täten in sozialen Netz­werken. Ent­spre­chend kann dann eine auf das Opfer zuge­schnittene Nach­richt ver­schickt werden. Da diese auf per­sön­liche Infor­ma­tionen des Opfers bezug­nimmt, ent­steht ein Gefühl von Ver­trauen und Glaub­wür­digkeit, mit der Folge, dass sen­sible Daten leichter ent­lockt werden können.

In anderen Fällen geben sich Cyber­kri­mi­nelle als Mit­ar­beiter der Kun­den­be­treuung eines Dienstes aus. In diesen Fällen erhalten Opfer eine SMS mit der Auf­for­derung, sich unter der ange­ge­benen Nummer mit dem Kun­den­dienst in Ver­bindung zu setzen. Das anschlie­ßende Gespräch hat das Ziel, dem Opfer sen­sible Infor­ma­tionen zu ent­locken, Hier ent­steht Ver­trauen durch die Annahme, mit dem Kun­den­dienst zu sprechen, was die Her­ausgabe von sen­siblen Infor­ma­tionen befördert.

So können Sie sich schützen

Patrycja Tulinska, Geschäfts­füh­rerin der PSW-Group, hat wert­volle Tipps zum Schutz vor Smishing formuliert:

1. Kre­­di­t­­karten- oder Online­­banking-Infor­­ma­­tionen nicht auf dem Smart­phone hinterlegen
2. Anti­vi­ren­pro­gramm für das Smart­phone nutzen
3. Bei SMS, die ent­weder Sicher­heits­war­nungen ent­halten oder aber Angebote und Deals, die ein sofor­tiges Handeln fordern, grund­sätzlich miss­trauisch werden — weder Banken noch Händler oder andere Dienst­leister fordern die Eingabe von sen­siblen Daten per SMS.
4. Auch emp­fiehlt es sich, sich die Nummer genau anzu­schauen, von der die Text­nach­richt ver­schickt wurde. Sieht diese unge­wöhnlich aus, ist Vor­sicht geboten; denn oft ver­birgt sich hinter der unge­wöhn­lichen Nummer der Versuch der Cyber­kri­mi­nellen, die echte Tele­fon­nummer zu verbergen.
5. Auf Recht­schreibung und Gram­matik achten: Oft nutzen inter­na­tional arbei­tende Cyber­kri­mi­nelle Über­set­zungs­tools, und die Nach­richten weisen Fehler in Gram­matik und Recht­schreibung auf.

Den Hinweis auf Smi­phing ver­danke ich Peter Schmitz in seinem Artikel auf Security-Insider. Die Tipps von Patrycja Tulinska sind eben­falls diesem Artikel entnommen.