wei - stock.adobe.com
Smishing: Cyberangriffe per SMS und die Folgen
Menschen vertrauen Textnachrichten eher als E-Mail-Nachrichten. Kriminelle nutzen dieses Vertrauen gerne aus, um sensible Informationen von unachtsamen Benutzern zu erlangen.
SMS erscheinen vielen Nutzern harmlos und darüber hinaus vertrauenswürdiger, da die verschiedenen modernen und interessanteren Kommunikationskanäle wie WhatsApp und Co. eher im Vordergrund stehen. Mit der zunehmenden Nutzung von Mobiltelefonen im beruflichen Alltag wird Smishing jedoch zu einer wachsenden Bedrohung, da Kriminelle mit einfachen und per se „unschuldigen“ Textnachrichten Links zu Malware und Viren verbreiten. Kompromittierte Mobiltelefone erhalten in der Regel Links per SMS oder Chat-Anwendungen, die die Besitzer auf Phishing-Websites weiterleiten.
Smishing ist für die Angreifer besonders attraktiv, da es im Vergleich zu den anderen Formen des Social Engineering viel kostengünstiger ist. Mit Anwendungen wie BurnerApp und SpoofCard kann man einfach und billig eine gefälschte Nummer kaufen und gezielt Nachrichten direkt an das potenziale Opfer senden. Wie bei allen Social Engineering-Vorfällen wird die Nachricht so formuliert, dass sie einer gewissen Dosierung Druck auf den Empfänger ausübt, um ihn dazu zu zwingen, auf den Link zu klicken, ohne weiter nachzudenken. Smishing ist auch in Deutschland sehr weit verbreitet, wie sich in den folgenden Beispielen zeigt.
Vor knapp zwei Jahren hatten Betrüger Spam SMS an GMX-Kunden gesendet, indem sie den Empfängern einen Link schickten und sie aufforderten, auf den Link zu klicken und die E-Mail-Informationen (E-Mail-Adresse und Passwort) einzugeben. Die Drohung: Das GMX-Konto sei scheinbar deaktiviert worden. So lautete die Nachricht, „Ihr Konto wurde im Prüfungsprozess nicht freigegeben, Um die Aussetzung zu vermeiden, melden Sie sich bitte bei Ihrem Konto an: http [******] SMS ID [variabel]“. Wenn die Betroffenen auf den Link geklickt hätten, wären sie auf die gefälschte Webseite „gmx-mail2.herokuapp.com“ weitergeleitet worden, um sich dort anzumelden. Solche gefälschten Websites werden oft mit Hilfe von gestohlenen Maschinenidentitäten aus den Unternehmensnetzwerken, wie beispielsweise TLS-Zertifikaten erstellt. Die Zertifikate helfen ihnen, gefälschte Websites zu erstellen, die sehr authentisch und zuverlässig aussehen. Die vom Opfer eingegebene Information landet sofort in den Händen der Betrüger, die sich da hinter verstecken.
In anderen Fällen wurden die Nachrichten als Gewinnspiel gestaltet. Mit einer angeblichen Gewinn-SMS konnte man dann das iPhone XS oder eine VISA-Cash-Karte gewinnen. So sehen die Nachrichten typischerweise aus, „Sie haben eine VISA-Cash-Karte im Wert von 1 Million Euro als VISA-Exklusivprämie für EU gewonnen. Um die Prämie zu erhalten, mailen Sie den Code EU3 an: [email protected]“ Herzlichen Glückwunsch! Unsere Postleitzahl-Ziehungsergebnisse sind heute bekannt. Sie sind einer der 12 Glücklichen.“
Betrüger hoffen auf Reaktion bei SMS
Manchmal können diese Nachrichten auch von einem angeblichen Finanzdienstleister kommen, wobei sie folgende Inhalte haben können:
- Sie haben eine Transaktion in Auftrag gegeben und Ihre Kreditkarte oder Ihr Bankkonto wird belastet, wenn Sie nicht auf diese Nachricht antworten.
- Jemand hat versucht, Ihr Konto zu belasten und die Sicherheitsabteilung möchte die Transaktion mit Ihnen überprüfen, bevor sie genehmigt wird.
Die Betrüger hoffen auf eine unmittelbare Reaktion, um den Fehler zu beheben. Falls der Empfänger dem Druck nachgibt und nach den Wünschen der Betrüger agiert, werden so viele private und sensible Informationen wie möglich verlangt, zum Beispiel:
- Ihre Sozialversicherungsnummer
- Ihre Kredit- oder Debit-Kartennummer
- Ihre Postleitzahl (die den Angreifern hilft, die Kartennummer zu verwenden, die sie vielleicht schon haben)
- Ihre Bankkontonummer oder Routinginformationen
- Der Name der Bank oder Kreditkarte, die Sie verwenden, die sie später bei Spear-Phishing-Angriffen oder anderen Versuchen verwenden können etc.
In solchen Fällen werden oft ältere Nutzer oder Nutzer in sehr strategischen Positionen im Unternehmen am stärksten von den Betrügern anvisiert. Zwei Jahre zuvor bekam ein 49-jähriger Bürger aus Holzminden eine Spam-SMS auf sein Mobiltelefon, die einen Link zu einer App eines angeblichen Bankinstituts enthielt. Kurze Zeit später wurde der 49-Jährige von einem angeblichen Volksbank-Mitarbeiter angerufen, um ihm bei der Installation der angebotenen App zu helfen. Am nächsten Tag stellte er unberechtigte Abbuchungsvorgänge auf seinem Konto fest. Da das Opfer dazu berechtigt war, gleich mehrere Bankkonten zu verwalten, waren verschiedene Konten betroffen und mehrere Personen und Vereine wurden geschädigt. Dabei gingen mehr als 50.000 Euro verloren.
Wie kann man sich schützen?
Sicherheitsexperten sind sich darin einig, dass gezielte und personalisierte Social-Engineering-Angriffe wie diese nicht so einfach aufgedeckt werden können, vor allem nicht für ganz normale Nutzer, die über zu wenig oder gar kein technisches Know-how zu solchen Angriffsformen verfügen.
„Sicherheitsexperten sind sich darin einig, dass gezielte und personalisierte Social-Engineering-Angriffe wie diese nicht so einfach aufgedeckt werden können, vor allem nicht für ganz normale Nutzer.“
Detlev Weise, KnowBe4
Es ist daher wichtig, die Mitarbeiter eines Unternehmens gegen solche Angriffe mit Hilfe von Security-Awareness-Trainings zu unterstützen. Das Security-Awareness-Training wird ihnen dabei helfen, sich auf wichtige Details zu konzentrieren, denn der Teufel steckt immer im Detail. Grundsätzlich muss immer die Frage gestellt werden: wer hat die Nachricht gesendet? Um wie viel Uhr wurde sie gesendet? Wie ist der Anrufer an die persönliche Nummer des Besitzers gekommen? Was für ein Link wurde gesendet? Wie ist die Tonalität der Nachricht?
Fazit
Es ist letztlich beim Smishing genau wie beim Phishing: Kriminelle haben immer das gleiche Ziel im Kopf, egal welche Methode sie verwenden, um ihre Ziele zu erreichen. Ihre Taktiken werden immer besser und sie schaffen es, mit SMS wesentlich vertrauenswürdiger zu erscheinen.
Ein ausgeprägtes Bewusstsein für Security Awareness ist daher notwendig, um nicht zum Opfer zu werden. Der einfachste Schutz vor solchen Angriffen ist tatsächlich, die Nachricht zu ignorieren. Solange niemand antwortet, können die Betrüger keinen Zugang zum adressierten Opfer oder seinen Informationen erhalten.
Über den Autor:
Detlev Weise ist Managing Director bei KnowBe4.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.