DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Smishing als neue Bedrohung für Unter­nehmen

Der Begriff „Smishing“ setzt sich aus den Begriffen SMS und Phishing zusammen. Den meisten ist der Begriff „Phishing“ bereits ver­traut. Gemeint ist der Versuch, mittels einer gefälschten Email Pass­wörter oder Kon­to­ver­bin­dungs­daten zu stehlen, oder Schad­software auf dem Rechner des Opfers zu instal­lieren.

Ziele und Vor­gehen beim Smishing

Das Smishing hat im Wesent­lichen die gleichen Ziele, und auch das Vor­gehen ist gleich, nur werden anstelle von Emails Text­nach­richten mit ent­spre­chenden Auf­for­de­rungen ver­sandt. Der neue Zugang ist wohl der Tat­sache geschuldet, dass sich die Nutzung des Smart­phones auch im Geschäfts­leben wach­sender Beliebtheit erfreut.

Ein häufig benutzter Trick ist – wie auch schon beim Phishing – die Meldung von angeb­lichen Sicher­heits­pro­blemen, die die sofortige Eingabe von Zugangs­daten not­wendig machen, um die Sperrung des betref­fenden Dienstes noch zu ver­hindern.

Ein anderes Vor­gehen ist das soge­nannte Spear-Smishing. In diesen Fällen machen sich Cyber­kri­mi­nelle im Vorfeld mit den Inter­net­pro­filen ihrer Opfer ver­traut, z.B. durch Beob­achtung ihrer Akti­vi­täten in sozialen Netz­werken. Ent­spre­chend kann dann eine auf das Opfer zuge­schnittene Nach­richt ver­schickt werden. Da diese auf per­sön­liche Infor­ma­tionen des Opfers bezug­nimmt, ent­steht ein Gefühl von Ver­trauen und Glaub­wür­digkeit, mit der Folge, dass sen­sible Daten leichter ent­lockt werden können.

In anderen Fällen geben sich Cyber­kri­mi­nelle als Mit­ar­beiter der Kun­den­be­treuung eines Dienstes aus. In diesen Fällen erhalten Opfer eine SMS mit der Auf­for­derung, sich unter der ange­ge­benen Nummer mit dem Kun­den­dienst in Ver­bindung zu setzen. Das anschlie­ßende Gespräch hat das Ziel, dem Opfer sen­sible Infor­ma­tionen zu ent­locken, Hier ent­steht Ver­trauen durch die Annahme, mit dem Kun­den­dienst zu sprechen, was die Her­ausgabe von sen­siblen Infor­ma­tionen befördert.

So können Sie sich schützen

Patrycja Tulinska, Geschäfts­füh­rerin der PSW-Group, hat wert­volle Tipps zum Schutz vor Smishing for­mu­liert:

  1. Kre­­di­t­­karten- oder Online­­banking-Infor­­ma­­tionen nicht auf dem Smart­phone hin­ter­legen
  2. Anti­vi­ren­pro­gramm für das Smart­phone nutzen
  3. Bei SMS, die ent­weder Sicher­heits­war­nungen ent­halten oder aber Angebote und Deals, die ein sofor­tiges Handeln fordern, grund­sätzlich miss­trauisch werden — weder Banken noch Händler oder andere Dienst­leister fordern die Eingabe von sen­siblen Daten per SMS.
  4. Auch emp­fiehlt es sich, sich die Nummer genau anzu­schauen, von der die Text­nach­richt ver­schickt wurde. Sieht diese unge­wöhnlich aus, ist Vor­sicht geboten; denn oft ver­birgt sich hinter der unge­wöhn­lichen Nummer der Versuch der Cyber­kri­mi­nellen, die echte Tele­fon­nummer zu ver­bergen.
  5. Auf Recht­schreibung und Gram­matik achten: Oft nutzen inter­na­tional arbei­tende Cyber­kri­mi­nelle Über­set­zungs­tools, und die Nach­richten weisen Fehler in Gram­matik und Recht­schreibung auf.

Den Hinweis auf Smi­phing ver­danke ich Peter Schmitz in seinem Artikel auf Security-Insider. Die Tipps von Patrycja Tulinska sind eben­falls diesem Artikel ent­nommen.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dr. Klaudia Malowitz, DsiN

Dr. Klaudia Malowitz ist Refe­rentin für Public Relation und Part­ner­schaften für die Trans­fer­stelle IT-Sicherheit im Mit­tel­stand (TISiM) bei Deutschland sicher im Netz e.V.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.