Smishing ist eine Form des Phishings, bei der Smartphones als Angriffsplattform genutzt werden. Der Betrüger führt den Angriff mit der Absicht aus, personenbezogene Informationen zu beschaffen, einschließlich Sozialversicherungs-, Ausweis- und/oder Kreditkartennummern. Smishing erfolgt über Textnachrichten oder SMS, weshalb der Angriff den Namen „SMiShing“ trägt.
Smishing-Angriffe nutzen Short Message Services (SMS), auch bekannt als Textnachrichten. Diese Form des Angriffs wird zunehmend beliebter, da Nutzer einer Nachricht, die über eine Messaging-App auf ihrem Telefon eingeht, eher vertrauen als einer per E-Mail übermittelten Nachricht.
Obwohl viele Opfer Phishing-Betrügereien nicht mit persönlichen SMS in Verbindung bringen, ist es für Betrüger tatsächlich einfacher, Ihre Telefonnummer zu ermitteln als Ihre E-Mail-Adresse. Bei Telefonnummern ist die Anzahl der Optionen begrenzt – in den USA sind Telefonnummern 10-stellig.
Für E-Mail-Adressen hingegen existieren keine Längenbeschränkungen, obwohl es eine bestimmte Anzahl Zeichen gibt, die vernünftigerweise zu erwarten sind. E-Mail-Adressen können Zahlen, Buchstaben und Sonderzeichen (!, # und %) enthalten. Es ist viel einfacher, zehn zufällige Ziffern aneinanderzureihen, um ein Opfer zu erreichen, als eine Person über eine E-Mail-Adresse zu kontaktieren.
Der Hacker kann einfach Nachrichten an eine beliebige Kombination von Ziffern senden, die in der Länge einer Telefonnummer gleicht. Der Hacker kann einfach jede beliebige Zahlenkombination ausprobieren, ohne Probleme oder Risiken. Gartner zufolge werden 98 % der SMS-Nachrichten gelesen und 45 % beantwortet. Dies macht SMS-Nachrichten für Hacker zu einem sehr logischen Angriffsmittel, insbesondere da laut Gartner nur 6 % aller E-Mails beantwortet werden.
Ein Hacker kann mit einer SMS-Nachricht sehr unterschiedliche Absichten verfolgen. Dazu gehört auch der Diebstahl Ihrer personenbezogenen Daten, indem er sich als Vertreter Ihrer Bank ausgibt. Er könnte auch versuchen, Sie dazu zu bringen, auf den Link in einer SMS zu klicken, um die Internetseite der Bank aufzurufen und eine kürzlich erfolgte verdächtige Abbuchung zu bestätigen. Alternativ könnte er Sie bitten, die Kundendienstnummer anzurufen, die praktischerweise in der SMS enthalten ist, um mit ihm über eine kürzlich erfolgte verdächtige Abbuchung oder ein kompromittiertes Konto zu sprechen.
Hacker versuchen zudem, durch sympathische Methoden an vertrauliche Informationen zu gelangen. Ein Beispiel sind Nachrichten im Zusammenhang mit Katastrophenhilfe, in denen ein Betrüger Sie um eine Spende für wohltätige Zwecke bittet. Der Hacker fordert Sie auf, auf den beigefügten Link zu klicken und Ihre Kreditkartendaten, Ihre Adresse und häufig auch Ihre Sozialversicherungs- oder Ausweisnummer einzugeben. Sobald der Hacker Ihre Kreditkartennummer in Erfahrung gebracht hat, kann er Ihre Kreditkarte sogar monatlich belasten, damit Sie nicht misstrauisch werden.
Ein weiteres Beispiel für einen Smishing-Angriff ist ein Angebot Ihres Netzbetreibers mit einem Rabatt für einen Dienst oder ein Telefon-Upgrade. In der Nachricht werden Sie aufgefordert, auf den angegebenen Link zu klicken, um das Angebot zu aktivieren. Auf der gefälschten Internetseite, die wie Ihres Anbieters aussieht, werden Sie aufgefordert, Ihre Kreditkartennummer, Adresse und möglicherweise Ihre Sozialversicherungs- oder Ausweisnummer zu bestätigen. Denken Sie daran: Wenn es zu gut klingt, um wahr zu sein, ist es das vermutlich auch.
Phishing über Instant-Messenger-Freeware wie Facebook Messenger oder WhatsApp fällt technisch nicht in die Kategorie Smishing. Es ist jedoch eng damit verwandt. Der Hacker nutzt die zunehmende Gewöhnung der Nutzer aus, Nachrichten von Fremden zu öffnen und Nachrichten über Social-Media-Plattformen zu beantworten.
Wie bei einem echten Phishing-Betrug besteht das Ziel des Angriffs darin, dass Sie dem Angreifer personenbezogene Daten, einschließlich Passwörter und/oder Kreditkartennummern, zur Verfügung stellen. Um an solche Informationen zu gelangen, kann der Angreifer Ihnen einen Deal oder etwas Wertvolles anbieten. Solche Angebote enthalten oft einen anklickbaren Link.
Eine Nachricht von einem Fremden, der um Informationen bittet, ist häufig ein Indikator für mögliches Instant Messaging Phishing. Diese Angriffe können aber auch den Anschein erwecken, von Personen zu stammen, die Sie kennen und mit denen Sie bereits in Verbindung stehen. Dies geschieht häufig, wenn das Social-Media-Konto einer Person gehackt oder gefälscht wurde.
Hacker werden Textnachrichten senden, die scheinbar von Ihrer Bank stammen, Sie vor verdächtigen Aktivitäten warnen oder Sie auffordern, Ihre Kontodaten zu überprüfen. Wenn das Opfer auf den Link in der Warnung klickt, wird es zu einer betrügerischen Website weitergeleitet, die darauf ausgelegt ist, seine Anmeldedaten, Passwörter und Finanzinformationen zu stehlen.
Bei diesen Betrugsversuchen geben Cyberkriminelle vor, Regierungsbehörden wie der IRS oder lokale Strafverfolgungsbehörden zu sein. Sie können behaupten, dass der Empfänger Bußgelder oder Steuern schuldet, was ihn dazu auffordert, auf einen Link zu klicken oder persönliche Angaben zu machen, um Strafen zu vermeiden.
Angreifer geben sich oft als Versandunternehmen wie FedEx oder UPS aus und informieren Opfer über Probleme mit einer Paketzustellung. Opfer werden gebeten, eine Gebühr zu zahlen oder Anmeldedaten anzugeben, um das Problem zu lösen, was zum Diebstahl persönlicher oder Zahlungsinformationen führt.
Bei dieser Art von Smishing fungieren Betrüger als Kundendienstmitarbeiter von bekannten Unternehmen wie Amazon oder Microsoft. Sie behaupten, dass es ein Problem mit dem Konto des Opfers gibt oder bieten gefälschte Belohnungen an, indem sie Opfer auf Phishing-Websites verweisen, um persönliche oder finanzielle Details zu stehlen.
Hacker werden vorgeben, Ihnen versehentlich einen Text gesendet zu haben, der für jemand anderen gedacht war. Sobald Sie antworten, führen sie Gespräche und bauen langsam Vertrauen auf, bevor sie versuchen, Sie dazu zu bringen, persönliche Informationen weiterzugeben oder Geld zu senden.
Weiterführende Artikel
Weiterführende Forschung