Es ist schon komisch, wenn man bedenkt, dass es wahrscheinlich Dutzende oder sogar Hunderte von Methoden gibt, mit denen Hacker, Betrüger und Cyberkriminelle versuchen, uns zu täuschen. Einige sind raffinierter als andere und haben es auf hochrangige Unternehmen abgesehen. Andere zielen auf normale Bürger ab, um finanzielle Vorteile zu erlangen oder persönliche Daten zu stehlen. Eine der Hacking-Methoden, die in die letztgenannte Kategorie fällt, heißt Smishing oder SMS-Phishing.
In diesem Leitfaden erklären wir, was es ist, wie es funktioniert, warum Sie gefährdet sein könnten, woher diese Betrügereien kommen und vieles mehr. Wir hoffen, dass Sie nach der Lektüre unseres Leitfadens in der Lage sind, einen solchen Angriff zu erkennen und sich und Ihr Hab und Gut besser zu schützen. Also, fangen wir an!
Smishing (SMS-Phishing) - 101 Überblick
Schauen wir uns zunächst die Grundlagen an. Dazu gehören die Definition, dieAnatomieoder wie es funktioniert, und andere Dinge, die man wissen muss.
Was ist Smishing?
Um die Frage "Was ist Smishing?" zu beantworten, sollten wir zunächst erklären, was Smishing istPhishing. Das WortPhishingbeschreibt eine Taktik des Cyberbetrugs. Sie klingt ähnlich wieAngelndenn der Hacker legt den Köder aus und wartet auf dieFisch(z.B. das Opfer) zu beißen.
Hier ist eine einfache Illustration, die zeigt, wie es funktioniert.
Qualitativ hochwertiges Phishing erfordert in der Regel gute Social-Engineering-Fähigkeiten und anständiges Know-how in der Programmierung oder Zugang zu großartiger Malware. Phisher versuchen, sich als legitime Organisationen oder seriöse Personen auszugeben, und verschicken schädliche Programme, betrügerische Links und wollen, dass ahnungslose Benutzer eine Aktion durchführen, die dann:
- Ihr Gerät mit Malware infizieren
- Ihre persönlichen Daten oder Ihr Geld zu stehlen
- Alle oben genannten Maßnahmen durchführen
Wie Sie sehen können, wissen nicht viele Leute davon. Außerdem kann man nicht sagen, dass Smishing keine ernste Sache ist. Jedes Jahr entstehen dadurch Schäden in Millionenhöhe für Unternehmen und auch für Privatpersonen.
Also, Smishing, oder seine Bedeutung
ist nur Phishing, das per SMS durchgeführt wird.Wie funktioniert das? Anatomie von SMS-Phishing-Angriffen
Die Anatomie oder der gesamte Prozess eines Smishing-Angriffs hat zwei Standpunkte. Die eine ist die des Hackers und die andere die des Opfers. Damit der Angriff wirksam ist und seine Ziele erreicht, muss er überzeugend, gut platziert und gut ausgeführt sein.
Sehen Sie sich das folgende Beispiel an.
Eine beliebte Methode des SMS-Phishings wurde überall in den USA und vor allem in der EU durchgeführt. Den Leuten wurden Anmeldelinks geschickt, um Geldstrafen für die Verletzung von Coronavirus-Beschränkungen zu zahlen. In Wirklichkeit gab es keine Verstöße oder Geldstrafen, aber die Leute fielen trotzdem darauf herein.
Aber sehen wir uns an, was diesen Angriff auszeichnet und was eine gut durchgeführte SMS-Phishing-Aktion von einem erfolglosen Versuch unterscheidet. Ein erfolgreicher Smishing-Angriff umfasst in der Regel mehrere Schlüsselkomponenten:
Absender-Spoofing
. Cyberkriminelle nutzen Geräte, Apps und cleveres Mobile Network Engineering, um die auf dem Empfängertelefon angezeigten Absenderinformationen zu manipulieren. Ein Angreifer möchte sich als jemand Seriöses ausgeben, z. B. als Bank, Telefonanbieter, Gesundheitseinrichtung, Steuerprüfer usw.
Überzeugender Inhalt der Nachricht
. Der Inhalt von Smishing-Nachrichten wird sorgfältig ausgearbeitet, um die Aufmerksamkeit des Empfängers zu wecken und ein Gefühl der Dringlichkeit oder Neugier zu erzeugen. Dies muss glaubhaft sein. Informationen über einen Preis oder eine Lotterie aus heiterem Himmel reichen nicht mehr aus. Hacker müssen sich etwas einfallen lassen, also erwähnen sie vage Themen, um Neugierde zu wecken: Probleme mit Ihrem Bankkonto, Sperrung von Konten und Diensten usw. Sehen Sie sich das Bild unten an.
Bösartige Links
. Smishing-Nachrichten müssen verkürzte URLs oder direkte Links enthalten, die zu betrügerischen Websites führen, auf denen sensible Informationen gesammelt, Malware installiert oder andere bösartige Aktivitäten durchgeführt werden. Andernfalls wird der Angriff nicht funktionieren. Alle Cybersicherheitsexperten raten davon ab, Links in bösartigen Nachrichten zu öffnen und bei dringenden Texten sehr wachsam zu sein. Es gibt eine
tolle Lektüre auf Lookout.com, wenn Sie sich über die Risiken beim Öffnen eines solchen Links informieren möchten.
Social-Engineering-Techniken
. Cyberkriminelle setzen psychologische Taktiken ein, um die Empfänger zum Handeln zu bewegen, ohne die Echtheit der Nachricht zu hinterfragen. Dazu können die Angst vor finanziellen Verlusten, die Aussicht auf Belohnungen oder Preise oder sogar emotionale Appelle gehören. Dieser Teil steht im Zusammenhang mit dem
überzeugender Inhalt der Nachrichtdie wir bereits erwähnt haben.
Sammeln von Daten
. Sobald die Opfer auf den Smishing-Angriff hereinfallen und ihre persönlichen Daten auf einer gefälschten Website eingeben oder die Malware installiert ist, werden diese Daten von den Angreifern gesammelt und möglicherweise für betrügerische Zwecke verwendet.
Wer ist am meisten gefährdet, Ziel von Smishing-Angriffen zu werden?
Das britische Office for National Statistics hat eine umfassende Untersuchung über die Bedrohung durch Phishing-Angriffe durchgeführt. Es kam zu dem Schluss, dass im Vereinigten Königreich die 25- bis 44-Jährigen am meisten gefährdet sind. Ein besonderer Betrug, der auf dem Vormarsch ist, bezieht sich auf Lieferfirmen.
Diese Grafik von Kaspersky zeigt die Verteilung der Phisher, die versuchen, sich als solche auszugeben. Lieferfirmen, Online-Shops, Zahlungssysteme und Banken stehen an der Spitze der Liste.
In einer weiteren Studie des Infosec Institute wurden 300 Unternehmen nach ihren Erfahrungen befragt. Dabei wurde festgestellt, dass Führungskräfte der C-Ebene am häufigsten ins Visier genommen werden. Rund 27 % der CEOs wurden von mindestens einem
lächelnd
oder Phishing-Angriff, wobei die Finanzvorstände mit einer Häufigkeit von 17 % die zweithäufigste Zielscheibe sind.
Wenn Sie in bestimmten Branchen tätig sind, müssen Sie außerdem damit rechnen, dass Sie ein begehrtes Ziel für Phishing-Angriffe sind, die versuchen, sich von innen Zugang zu Ihrem System zu verschaffen oder Ransomware zu installieren. Wenn Sie also in einer dieser Nischen arbeiten, müssen Sie sich der potenziellen Risiken bewusst sein. Für Personen, die in Finanzinstituten, SaaS-Unternehmen und Anbietern von sozialen Medien arbeiten, scheint das Risiko am höchsten zu sein.
Die Grafik von Statista zeigt, auf welche Online-Branchen Phishing-Angriffe im dritten Quartal 2022 am häufigsten abzielten.
Woher kommen die meisten Smishing-Angriffe?
Es ist auch nützlich zu wissen, woher diese Angriffe in der Regel kommen. Wenn Sie aus diesen Ländern stammen, sich dort aufhalten oder Kontakte dorthin haben, ist es wahrscheinlicher, dass Sie einem Risiko ausgesetzt sind. Beim E-Mail-Phishing spielen die Landesgrenzen keine so große Rolle, aber beim SMS-Phishing ist der Standort wegen des viel wichtigeren Social-Engineering-Aspekts von größter Bedeutung. Daher könnte es für den Hacker von Vorteil sein, bestimmte Ereignisse und aktuelle Themen in Ihrem Land zu kennen und/oder zu verstehen.
Auf der nachstehenden Karte sehen Sie, woher die meisten Phishing-Versender kommen.
Die Karte von Barracuda zeigt, dass die beiden Länder mit den meisten Phishing-Versendern (pro Kopf) aus Nigeria, Usbekistan, den baltischen Staaten, der Ukraine, Iran, Jemen, Kolumbien und einigen anderen Ländern stammen. Die Region, in der es am weitesten verbreitet ist, scheint die heutige GUS und das Gebiet der ehemaligen UdSSR zu sein. Dieselbe Untersuchung, in der die Karte veröffentlicht wurde, ergab, dass eine erhebliche Anzahl dieser Angriffe von legitimen Cloud-Anbietern ausgeht. Sie vermuten, dass Hacker legitime Server oder E-Mail-Hosting-Systeme kompromittieren und in die Systeme eindringen können.
Auf welche Länder zielen die meisten SMS-Phishing-Angriffe ab?
Zu wissen, woher diese Angriffe kommen, ist eine Sache. Zu wissen, wann man am ehesten zum Ziel wird, ist eine andere. Wir können einen Blick auf die Daten werfen, die Kaspersky - einer der größten Entwickler von Antivirensoftware - für das Jahr 2021 zusammengestellt hat. Die folgende Karte zeigt die Häufigkeit von Phishing-Angriffen (einschließlich Smishing) rund um den Globus. DieröterJe weiter oben das Land auf der Karte steht, desto wahrscheinlicher ist es, dass ein Nutzer auf Phishing-Betrug hereinfällt.
Diese Karte zeigt an, wie wahrscheinlich es ist, dass ein Benutzer auf einen Link klickt, den der Phisher geschickt hat. Die Rangfolge ist wie folgt:
Die Wahrscheinlichkeit, dass ein Nutzer einem Phishing-Link per SMS, E-Mail usw. folgt. *Diese Liste zeigt den Anteil der Benutzer, die auf Phishing gestoßen sind, an der Gesamtzahl der Kaspersky-Benutzer in diesem Land/Gebiet,
- Brasilien - 12,39 %.
- Frankreich - 12,21 %.
- Portugal - 11,40 %.
- Mongolei - 10,98 %.
- Französisch Reunion - 10,97 %
- Brunei - 10,89 %.
- Madagaskar - 10,87 %.
- Andorra - 10,79 %.
- Australien - 10,74 %.
- Ecuador - 10,73 %.
Wenn Sie sich in einem dieser Länder befinden, seien Sie besonders vorsichtig, wenn Sie auf Links klicken. Cybersicherheitsexperten empfehlen, alle Konto- und/oder Bankangelegenheiten direkt mit dem Unternehmen zu klären (z. B. per Telefonanruf oder in dessen Büro). Das ist zwar etwas zeitaufwändiger, aber es vermeidet unnötige Risiken.
Die bekanntesten Smishing-Angriffe der Geschichte (Smishing-Beispiele)
In den letzten zehn Jahren hat die rasche Zunahme der Smartphone-Nutzung dazu geführt, dass die Menschen immer mehr über
Was ist Smishing?
wo er zuschlagen kann und wie er sich auf Sie auswirken kann. Da die Betrügereien jedoch immer raffinierter werden und die Menschen die Bedrohungen erst jetzt als real und weit verbreitet erkennen, gibt es immer noch Situationen, in denen nicht Dutzende, nicht Hunderte, sondern Tausende von Menschen Opfer von Smishing-Betrug werden. Schauen wir uns einige Beispiele aus der Geschichte an.
Twilio-Leck
Im August 2022 bestätigte Twilio, ein führender Anbieter von Cloud-Kommunikations- und API-Lösungen, der weltweit mehr als 150 Tausend Unternehmen unterstützt, dass es zu einer großen Datenschutzverletzung gekommen war.
Zu den kompromittierten Daten gehörten personenbezogene Daten - Namen, Telefonnummern, E-Mail-Adressen und manchmal sogar finanzielle Details. Die SMS-Phisher nutzten Social Engineering und setzten betrügerische Nachrichten ein, um Twilio-Mitarbeiter zu täuschen und Zugang zu ihrer Datenbank zu erhalten. Es handelte sich um einen sehr gut organisierten Angriff, der massiven Schaden anrichtete und nicht zu den böswilligen Akteuren zurückverfolgt werden konnte, aber schließlich gestoppt wurde.
Gefälschter Betrugsermittler in Ohio
Für eine Frau aus Ohio begann der Tag ganz normal, doch dann erhielt sie eine Nachricht, die sie fast sofort in Panik versetzte. Hier ist, was sie sagte.
"Chase, haben Sie versucht, einen Betrag von 7500 $ zu überweisen? Antworten Sie mit J, wenn Sie erkannt wurden, oder mit NEIN, um Betrug zu verhindern."
Eines führte zum anderen und ein Mann, der sich als Betrugsermittler der Chase Bank ausgab, stahl schließlich 15.000 USD von ihren Bankkonten. Sie ist damit nicht allein, denn Berichten zufolge verlieren die Amerikaner jährlich mehr als 326 Millionen USD allein durch Smishing-Betrug. Einer anderen Quelle (CBS News) zufolge liegt der durchschnittliche Verlust für einen Amerikaner bei etwa 1000 USD. Igitt!
NHS-Betrügereien
Im Vereinigten Königreich nehmen SMS-Betrügereien, insbesondere während und nach der Pandemie, immer mehr zu. Es ist so schlimm geworden, dass der NHS separate Dokumente veröffentlicht hat, die den Menschen helfen, diese Angriffe zu vermeiden. Die nachstehende Abbildung zeigt die häufigsten Angriffe, denen die Bürgerinnen und Bürger Großbritanniens und Nordirlands ausgesetzt sind.
Leitfaden zur Erkennung eines SMS-Phishing-Angriffs
Wie Sie also wissen
Die Definition von Smishing
und die
Bedeutung
des Wortes sowie einige Beispiele von Angriffen aus der Praxis, ist es an der Zeit, einige Tipps zur Erkennung dieses Angriffs zu geben. Auch wenn Hacker immer neue Wege finden, um Systeme zu ihrem Vorteil auszunutzen, gibt es einige Dinge, die darauf hinweisen, dass es sich um einen Betrug handelt. Wenn Sie zumindest zu 0,00001 % misstrauisch sind, sollten Sie etwas mehr Zeit damit verbringen, die offizielle Quelle direkt zu kontaktieren, um eine Bestätigung zu erhalten. Vorsicht ist besser als Nachsicht und man ist 1000 USD weniger reich, oder?
Eine Liste mit 6 Anzeichen dafür, dass die SMS ein Smishing-Angriff sein könnte:
- Es kommt von Ihrem Finanzdienstleister (seien Sie immer auf der Hut)
- Sie fordert Sie auf, zu antworten oder etwas zu unternehmen
- Sie enthält einen Link (die meisten Anbieter fordern Sie nur dazu auf, sich separat über die App oder die Website anzumelden, senden aber keine direkten Links)
- Er enthält grammatikalische Fehler und/oder seltsame Anforderungen
- Sie sind bereits Stammkunde, aber der Absender der Nachricht scheint anders zu sein und/oder die Nachricht wird als neue Unterhaltung angezeigt
- Es ist vage und aus heiterem Himmel
Wie kann man Nachrichten sicher versenden und Smishing vermeiden?
Wenn Sie sich vor den Risiken des Smishings schützen möchten, empfehlen wir Ihnen, von normalen SMS auf verschlüsselte E2E-Messenger-Dienste wie Skyda umzusteigen. Sie werden nur Nachrichten von Kontakten erhalten, die Sie kennen, akzeptieren und denen Sie vertrauen. Die Dateien werden P2P versendet, und niemand kann den Inhalt Ihrer Kommunikation abfangen.
Wenn Sie auf Dateien und Links von Quellen klicken, denen Sie vertrauen, können Sie Ihr Gerät und Ihre persönlichen Daten viel besser vor Smishing schützen.
Schlussfolgerungen
Ich hoffe, dieser Artikel hat Ihnen geholfen, sich mit dem Konzept, den Risiken und der Anatomie von SMS-Phishing-Angriffen vertraut zu machen. Wenn Sie die Geschichte, die Ursprünge, reale Beispiele und geografische Daten kennen, können Sie Betrügereien ignorieren und sich der damit verbundenen Risiken viel besser bewusst sein. Wenn Sie mehr über digitalen Datenschutz, Cybersicherheit und verwandte Themen wissen möchten, schauen Sie sich unsere anderen
bloggt!