Wie auch beim Phishing per Mail handelt es sich beim Smishing ebenfalls um eine Art von Cyberangriff, und dieser kann Unternehmen ohne die erforderlichen Gegenmaßnahmen großen Schaden zufügen. Kommunikation in Form von SMS spielt zwar bei vielen nur noch eine sehr untergeordnete bzw. geringe Rolle, aber genau dieses führt leicht zu einem eher sorglosen Umgang mit diesen.
Was ist Smishing?
Smishing ist eine Kombination aus Phishing und SMS. Durch betrügerische SMS werden Opfer zur freiwilligen Angabe persönlicher Daten veranlasst. Durch eine geschickte Wortwahl erwecken die Kurznachrichten den Anschein vertrauenswürdiger Absender. Doch in Wahrheit sind diese gefährlich und Opfer geben bereitwillig sensible Daten weiter, die nicht das vermeintliche Bankinstitut oder Versicherungsunternehmen, sondern Hacker erreichen.
Sorglosigkeit
Firewall und Virenschutz gehören zu den wesentlichen technischen und organisatorischen Maßnahmen. Doch beim Smartphone besteht allgemein eine hohe Sorglosigkeit, mit denen User mobile Devices handhaben und daher sind Smartphones nur selten entsprechend geschützt. Werden die Geräte für berufliche Anliegen verwendet und es ist kein Mobile Device Management vorhanden, kann sich dies für Unternehmensführungen rächen.
Smishing folgt dem Phishing und hier werden falsche Links nicht per E‑Mail, sondern über Textnachrichten versendet. Durch die alltägliche Nutzung von Smartphones erweist sich Smishing daher für Hacker als besonders lukrativ. Dieser erfolgreiche Einsatz der Betrugs-SMS beim Smishing verdanken Hacker dem Nutzungsverhalten der Besitzer von Smartphones. Fast alle eingehenden Textnachrichten werden gelesen, die meisten von diesen beantwortet und dieses meistens mal ebenso auf die Schnelle. Wer abgelenkt ist, sieht oft nicht richtig hin und bietet den modernen Cyberattacken damit eine perfekte Angriffsfläche.
Ziel der Hacker
Beim Bank-Smishing werden Login-Daten für Onlinekonten oder Kreditkartendetails erfragt, durch deren anschließende illegale Verwendung das Opfer finanziell geschädigt wird. Auch mit einer Umleitung auf unechte Webseiten werden vertrauliche Informationen abgerufen. Erfragt werden private Details wie Passwörter oder Sozialversicherungsnummern. Schließlich besteht die Gefahr, mit dem Öffnen eines gefälschten Links automatisch Malware auf das Gerät zu laden und es dadurch nicht mehr nutzen zu können.
Primär sind zwar Android-Geräte betroffen, dennoch wirken die Angriffsmethoden plattformübergreifend. So sind auch iPhone-Nutzer gefährdet, egal ob privat oder im Unternehmen. Denn durch die zunehmende Verwendung von Mobiltelefonen für unternehmerische Zwecke sind immer mehr Firmen von Phishing-SMS betroffen. Smishing hat sich so vom Einzelkonsumenten-Risiko zur Betriebsgefahr entwickelt.
Richtiges Verhalten
Das richtige Verhalten im Umgang mit SMS-Nachrichten ist entscheidend. Lesen Sie SMS-Nachrichten daher aufmerksam und werfen Sie einen genauen Blick auf den Inhalt. Echte Nachrichten enthalten zumeist konkrete Informationen wie die letzten vier Ziffern Ihrer Bankverbindung. Direkte Links und ungenaue Verweise nicht direkt aus der SMS öffnen bzw. anklicken. Loggen Sie sich hier sicherheitshalber über die App oder per Browser ein. Nach Erhalt einer unbekannten SMS können Sie das Gefährdungsrisiko durch entsprechende Verhaltensmaßnahmen reduzieren.
Verhaltensweisen bei Erhalt einer unbekannten SMS
- Klicken Sie niemals auf angegebene Links
- Kontaktieren Sie ggf. den vermeintlichen Absender
- Verzichten Sie auf Downloads unbekannter Herkunft
- Löschen Sie die Phishing SMS
- Sperren Sie die Absenderadresse über Ihr Betriebssystem
- Bei der Verwendung digitaler Techniken sollten Sie grundsätzlich Vorsicht walten lassen.
Doch was ist zu unternehmen, wenn ein unbekannter Link oder eine DHL Fake-SMS geöffnet wurde?
Zur Schadensbegrenzung stehen Ihnen verschiedene Optionen offen:
- Stoppen Sie eingehende SMS durch die Aktivierung Ihres Flugmodus
- Informieren Sie Ihren Mobilfunkanbieter
- Überprüfen Sie Ihr Bankkonto
- Stellen Sie einen Strafantrag bei der zuständigen Polizeibehörde
Im Zweifelsfall sollten Sie alle wichtigen Smartphone-Daten auf einem externen Medium speichern und anschließend, das Gerät Werkseinstellungen zurücksetzen. Nur so lässt sich die Malware der geöffneten Spam-SMS komplett wieder entfernen.
Präventive Maßnahmen im Unternehmen
Es werden immer mehr Smartphones in Unternehmen verwendet und Smishing ist damit für Firmen eine ernsthafte Bedrohung. Doch durch präventive Maßnahmen lassen sich Unternehmen vor finanziellen Einbußen und dem Verlust der Reputation schützen.
Mögliche präventive Maßnahmen:
Überprüfen Sie die Kompetenz Ihrer Belegschaft hinsichtlich möglicher Cyberkriminalität. Hier ist meistens eine einfache Umfrage mit spezifischen Fragen zu möglichen Betrugs SMS bereits ausreichend. Sensibilisieren Sie Ihre Mitarbeiter durch professionell durchgeführte Smishing‑, Vishing- oder Phishing-Simulationen für Cyberkriminalität wie Phishing-SMS. Untersagen Sie den Einsatz privater Smartphones im Unternehmenskontext. Sollte sich dieses nicht vermeiden lassen, dann legen Sie eindeutige Regeln zur Nutzung privater Smartphones bei der Arbeit fest. Dies kann bei einer eingeschränkten App-Nutzung beginnen und der Erkennung von Bedrohungen durch Smishing-Angriffe enden. Beschränken Sie die Zugriffserlaubnis auf sensible Firmendaten auf einen ausgewählten Personenkreis und sorgen Sie für einen aktuellen Kommunikationsfluss, sobald der Verdacht eines Hackerangriffs per Smishing oder Phishing besteht.
Also lassen Sie sich gut beraten.