Was ist Smishing und wie kann ich mein Unternehmen schützen?

Laut dem Internet Crime Report des FBI von 2020 nimmt Phishing, Smishing und Vishing den ersten Platz unter den Internetkriminalitätstypen ein. Gemeinsam haben diese 2020 einen Schaden von rund 54 Millionen Dollar angerichtet – was eindeutig zeigt, dass diese Formen der Cyberkriminalität trotz erhöhter Aufklärung auch heute noch sehr aktuell sind.

Smishing ist eine Wortkreation, die sich aus den Worten „SMS“ und „Phishing“ zusammensetzt. Angreifende setzen gezielt SMS oder auch Nachrichten in Messengern ein, um Schaden anzurichten.

Was Smishing so gefährlich macht, ist das geringere Bewusstsein in der Öffentlichkeit. Im Bereich des Phishings – den kriminellen Angriffen durch E-Mails – ist ein Großteil der Bevölkerung heute aufgeklärt. Beim Smishing ist das anders. Mit Textnachrichten auf dem Smartphone wird oft sorgloser umgegangen, was den Cyberkriminellen ganz neue Möglichkeiten bietet, um sich sensible Daten der Opfer zu erschleichen.

Weiterhin ist es für Kriminelle mittlerweile einfacher, an Telefonnummern als an E-Mail-Adressen zu gelangen: Wo Telefonnummern in ihrer Länge festgelegt sind, können E-Mail-Adressen ganz unterschiedlich lang sein und neben Buchstaben auch Zahlen und Sonderzeichen enthalten. Das bedeutet, dass es bei Telefonnummern weniger Möglichkeiten der Variation gibt. Angreifende können so eine Vielzahl von Textnachrichten an beliebige Zahlenkombinationen senden.

Smishing taucht in vielen verschiedenen Formen auf, was es für die Betroffenen schwierig macht, potenziell gefährliche Textnachrichten zu erkennen. Ziel der Angreifenden ist es immer, an personenbezogene Daten zu kommen oder das Smartphone zu kompromittieren. Wie auch beim Phishing gibt es beim Smishing Formen, die immer wieder auftauchen. Folgende Formen tauchen besonders häufig auf:

• SMS von scheinbar vertrauenswürdigen Quellen. 
  Solche Textnachrichten sind so getarnt, dass es aussieht, als ob die Nachricht von Ihrer Bank, der Versicherung oder ähnlichen Quellen kommt. Hackende geben sich hierbei meist als Angestellte aus und fordern dazu auf, einen Link zu klicken, weil es ein Problem gibt. Oft wird eine schnelle Reaktion gefordert, um das scheinbare Problem zu beheben.
• SMS seitens des Netzbetriebs. 
  Immer beliebter werden Phishing-SMS, die scheinbar von seitens des Netzbetriebs kommen. In diesen wird mit Rabattaktionen oder einem Upgrade geworben. Auch hier soll wieder auf einen Link geklickt werden: Ziel ist eine nachgebaute Seite des Netzbetreibenden, die dem Original zum Verwechseln ähnlichsieht. Auf dieser sollen dann die persönlichen Daten wie Adresse oder Kreditkartennummer hinterlegt werden.
• Phishing-SMS von wohltätigen Organisationen.
  Mit dieser Variante appellieren die Hackenden an das Gute im Menschen: Die Textnachricht stammt scheinbar von einer Wohltätigkeitsorganisation, in der um schnelle Hilfe bei einer akuten Katastrophe gebeten wird. Auch hier ist ein Link beigefügt, der zu einer Website führt, wo Angaben zur Kreditkarte und weitere persönliche Daten abgefragt werden.
• Textnachrichten in Messengern.
  Immer beliebter werden Phishing-SMS in Messengern wie WhatsApp oder Telegram. Hier werden beispielsweise Kettenbriefe in Umlauf gebracht, die mit Rabatten oder Gutscheinen für beliebte Geschäfte werben. Diese Nachrichten sind besonders gefährlich, da sie von Freund:innen und Bekannten an die Opfer weitergeleitet werden. Da diese Menschen von den Empfangenden als vertrauenswürdig eingestuft werden, klicken die Betroffenen meist unüberlegt auf einen solchen Link und hinterlegen ohne große Überlegung ihre persönlichen Daten.

Aufklärung ist die beste Lösung, um Smishing-Angriffe abzuwehren. Was das bedeutet, ist weiter unten zu lesen. Aber was ist, wenn bereits ein solcher Link auf einem Smartphone des Unternehmens geklickt wurde?

• Einschalten des Flugmodus.
  So wird das Handy aus dem Mobilfunknetz genommen und es kann nicht mehr mit anderen Geräten oder dem Trojaner selbst kommunizieren.
• Kontaktieren des Mobilfunkanbieters.
  Der Vorfall sollte hier genau erklärt werden. Der Mobilfunkanbieter kann eine Drittanbietersperre einrichten, um so zu verhindern, dass Zahlungen über die Mobilfunkabrechnung erfolgen.
• Bankkonten überprüfen.
  Wenn bei der Smishing-Attacke Kreditkarten- oder Bankdaten hinterlegt wurden, sollte das Konto auf mögliche Abbuchungen überprüft werden. Es ist ratsam, die Kreditkarte vorerst zu sperren.
• Anzeige erstatten.
  Erstatten Sie bei der örtlichen Polizeidienststelle Strafanzeige – das Smartphone sollte als Beweis mitgebracht werden.
• Smartphone zurücksetzen.
  Als letzter Schritt muss das Smartphone auf die Werkseinstellungen zurückgesetzt werden, um alle Schadprogramme zu entfernen. Fotos und Daten können vorab extern gesichert werden.

Der beste Schutz ist eine gute Aufklärungsarbeit im Unternehmen. Schaden anrichten kann jegliche Art von Phishing oder Smishing nur, wenn Angestellte in die Falle der Betrügenden tappen. Das Ziel sollte es sein, ein Bewusstsein für mögliche Risiken zu schaffen. Einige einfache Tipps sind bereits hilfreich, um sich besser im Unternehmen zu schützen:

1. Zugriffskontrollen nutzen
   Selten ist es so, dass jede Person einer Firma Zugriff auf alle Daten im Unternehmen benötigt. Indem die Zugriffe auf die jeweiligen Bereiche beschränkt werden, können potenzielle Risiken durch Smishing verringert werden. Auch die Nutzung von Websites kann auf den Computern des Unternehmens eingeschränkt werden.
2. Auf Risiken hinweisen
   Sie können im Unternehmen regelmäßig über die Risiken informieren und Ihren Angestellten mögliche Fallstricke aufzeigen. So können Sie auch darüber aufklären, wie solche Textnachrichten und andere Attacken wie Phishing erkannt werden können.
3. BYOD-Richtlinien aufstellen
   Wenn es Ihren Mitarbeitenden erlaubt ist, eigene Smartphones mit ins Unternehmen zu bringen, ist es ratsam, so genannte BYOD-Richtlinien aufzustellen (BYOD = „bring your own device“). Hierin kann genau geregelt werden, was die Angestellten während der Arbeitszeit mit ihrem privaten Smartphone machen dürfen.
4. Schulung für Cyberkriminalität
   Obwohl es die Cyberkriminalität schon lange gibt und sie beinah jeden Menschen betreffen kann, sind die wenigsten ausreichend darüber aufgeklärt. Entsprechende Schulungen helfen Ihren Angestellten, mögliche Gefahren schnell zu erkennen. Mit einem guten Wissenstand Ihrer Angestellten haben Sie den besten Schutz vor Smishing-Attacken.

Mit unserem Phishing-Attack-Simulator haben Sie und Ihre Mitarbeitenden die Möglichkeit, Smishing-Angriffe zu simulieren. Eine Simulation baut einen solchen Angriff realistisch nach und macht die Gefahren klar sichtbar, was bei Ihren Angestellten zu einem geschärften Bewusstsein für mögliche Risiken führt.