Smishing
Was ist das? Wie schützen sich Unternehmen vor SMS-Phishing?
Was ist Smishing und wie schützen sich Unternehmen?
Die Fake-SMS richtet den Schaden an. Smishing bezeichnet den Datenklau über Text- oder SMS-Nachrichten. Erfahren Sie hier, wie man Smishing erkennt, wie Unternehmen den Schutz vor SMS-Phishing erhöhen können und warum die Sensibilisierung der eigenen Angestellten so wichtig ist.
Was ist Smishing? – Definition
Der Begriff Smishing ist eine Zusammensetzung aus den Wörtern SMS und Phishing. Es handelt sich beim Smishing also um eine Betrugsmasche, die per SMS durchgeführt wird, und nicht wie beim klassischen Phishing per E-Mail.
Täter wollen per Smishing die Nutzer dazu bewegen, sensible Daten wie Passwörter preiszugeben. Die SMS enthält oft einen Link zu einer Webseite, wo die Daten eingegeben werden sollen. Bei anderen Varianten wird über einen Link Software heruntergeladen. Manchmal ist auch eine Telefonnummer angegeben, die die Nutzer anrufen sollen, wo sie per Gespräch zur Preisgabe von Daten überredet werden.
Das Perfide beim SMS-Phishing ist, dass Nutzer ihre Smartphones für sicherer halten als einen PC. Deswegen sind sie gegenüber Smishing-Textnachrichten häufig weniger misstrauisch als gegenüber Phishing-Mails. Wer in Eile ist und eine solche Textnachricht auf dem Smartphone sieht, neigt auch eher dazu, diese nicht so genau zu prüfen und kommt ohne Hinterfragen den Aufforderungen in der Nachricht nach.
Was ist der Unterschied zwischen Phishing, Smishing und Vishing?
Phishing setzt sich zusammen aus den Begriffen Password Harvesting (dt. Passwörter sammeln) und Fishing (dt. Angeln). Per E-Mail versuchen Hacker ihre Zielperson dazu zu bringen, eine bestimmte Webseite zu besuchen oder einen Anhang zu öffnen, in dem sich Schadsoftware befindet. Ziel ist, an sensible Daten der Nutzer heranzukommen, z.B. Passwörter oder Zugangsdaten für einen Bankzugang.
Beim Smishing Manipulation des Nutzers nicht per E-Mail, sondern per SMS ab, mit dem Ziel an vertrauliche Informationen zu kommen.
Vishing (Voice Phishing) geht noch einen Schritt weiter als die beiden anderen Methoden: Hierbei wird direkt die Zielperson angerufen, um in einem persönlichen Gespräch an sensible Daten zu gelangen. Manchmal drängen die Täter ihre Zielperson auch gleich zum Überweisen von Geld.
So erkennen Sie Smishing?
Täter machen sich verschiedene SMS-Phishing-Methoden zunutze, anhand denen sie einen Angriff erkennen können.
Malware-Smishing
Hierbei werden Sie per SMS aufgefordert, eine App herunterzuladen. Diese mag auf den ersten Blick legitim erscheinen, doch handelt es sich dabei um Malware, die Ihr Smartphone infiziert, Ihre Daten ausspäht und an die Hacker sendet. Es ist auch möglich, dass die App Sie auffordert, dort sensible Daten wie Passwörter und Zugangsnamen einzugeben.
Geld-Smishing
Per SMS fordern die Betrüger Sie auf, Geld zu überweisen. Getarnt sind solche Textnachrichten häufig als solche von Bekannten, Freunden oder Familienmitgliedern. Auch die Masche, dass im Namen einer Behörde (z.B. Finanzamt oder Polizei) zur Geldüberweisung aufgefordert wird, ist gängig.
Bank-Smishing
Hierbei geben sich die Täter als Ihr Bankinstitut aus und fordern Sie z.B. auf, Zugangsdaten für Ihren Online-Banking-Account preiszugeben.
Generelle Merkmale beim Smishing
SMS-Phishing-Nachrichten haben oft eines der folgenden Erkennungsmerkmale:
- Es werden Markennamen verwendet und Links gesetzt, die zu einer täuschend echt aussehenden, gefälschten Webseite dieser Marke führen (z.B. ein Bankinstitut).
- Dem Nutzer wird mitgeteilt, dass er Geld gewonnen hat, und sich zum Auszahlen auf einer bestimmten Seite anmelden muss.
- Nachrichten mit Links zu einer vermeintlichen Paketverfolgung führen zu gefälschten Webseiten, wo Daten eingegeben werden müssen.
Wie können sich Unternehmen vor Smishing schützen?
Genau wie Phishing-Mails können auch Phishing-SMS eine Gefahr für Ihr Unternehmen darstellen.
Wenn einige Ihrer Angestellten mit Dienst-Smartphones ausgestattet sind, ist das Risiko besonders hoch. In einem unbedachten Moment kann so ein Nutzer Zugangsdaten für Ihre Geschäftskonten oder andere Anwendungen preisgeben.
Mit technischen Hilfsmitteln lässt sich gegen Smishing nur wenig ausrichten. Viele Telekommunikationsunternehmen zeigen zwar mittlerweile eine Warnung an, wenn eine SMS oder ein Anruf von einer bereits bekannten Betrugsnummer stammen, doch die Betrüger generieren laufend neue Telefonnummern, sodass dieses Verfahren keine 100%ige Sicherheit bietet.
Der beste Schutz ist Prävention
Die beste Form von Schutz ist deswegen Prävention. Dies erreichen Sie, indem Sie Ihre Angestellten zum Thema Cybersicherheit schulen lassen. In einem Security Awareness Training werden ihnen die Gefahren aufgezeigt und erklärt, woran man Phishing-SMS erkennt. Sind Ihre Angestellten sensibilisiert, sinkt das Risiko für einen erfolgreichen Cyber-Angriff drastisch.
Per Phishing Simulation, die von manchen Cyber-Security-Dienstleistern angeboten werden, können Sie das Risiko für Ihr Unternehmen sehr gut beurteilen. Die Simulationssoftware verschickt täuschend echt aussehende (aber gänzlich harmlose) Phishing-SMS an Ihre Angestellten, sodass das Thema Cybersicherheit stets aktuell ist. Auf Dauer steigert das den Lernerfolg Ihrer Angestellten und senkt das Risiko für eine erfolgreiche Smishing-Attacke.
Phishing Simulationen: Wir helfen Ihr Unternehmen zu schützen
Sie wollen testen, wie gut Ihre Angestellten vor Phishing geschützt sind? Oder Sie wollen das Sicherheitsrisiko in Ihrem Unternehmen minimieren?
Wir bieten völlig ungefährliche Simulationen oder auch Trainings zur Erhöhung der Security Awareness an. Lassen Sie sich von uns beraten.
Als IT-Security-Dienstleister finden wir gemeinsam mit Ihnen das effektivste Vorgehen, um Ihre Angestellten langfristig und nachhaltig für Cyber-Angriffe zu sensibilisieren.
Bei einer Smishing-Simulation versenden wir in Ihrem Auftrag eine Beispiel-SMS, die in Ihren Büroalltag passt. So können Sie direkt prüfen, ob Sie auf so eine SMS hereinfallen. Smishing Simulationen können wir dabei ganz individuell auf Ihr Unternehmen, Ihre Branche und Ihre jeweilige Situation zuschneiden.
Testen Sie diese Simulation gerne einmal selbst.
Das könnte Sie auch interessieren
Phishing-Tests
Probieren Sie unsere kostenlose Phishing-Tests aus. Damit schulen und sensibilisieren Sie Ihre Mitarbeitenden vor Cyber-Gefahren. So wehren Sie Angriffe rechtzeitig ab.
Whitepaper Ransomware
Das BSI warnte vor “Alarmstufe rot“. Ransomware ist aktuell die größte Cyber-Bedrohung weltweit. Erfahren Sie mehr in unserem kostenlosen Whitepaper.
CEO-Fraud
Was passiert wenn sich der Betrüger als Chef ausgibt? Erfahren Sie, was CEO-Fraud bedeutet und wie sich Unternehmen vor dieser gefährlichen Betrugsmasche schützen.
Wir kämpfen für Ihre IT-Sicherheit
Vertraulich, kompetent und schnell! Lassen Sie sich beraten.
Wir finden eine sichere Lösung für Sie.