What does smishing mean?

Smishing is a form of cyber attack that uses text messages to trick people into giving up personal or confidential information. The name is a combination of SMS and phishing. Attackers often pretend to be a trusted person or organization in order to manipulate victims into revealing their information.

What are some common types of smishing scams?

Smishing scams can take many forms, including messages that claim to be from a bank about suspicious activity, a delivery service with a tracking link, or an email service requiring account verification. Other types include texts promising rewards, threatening service cancellation, or impersonating an executive from a victim's workplace. Some scammers even send generic greetings or questions like 'Hi, how are you?' to see if a phone number is active and if the recipient will reply.

What's the difference between smishing and phishing?

Smishing is a specific type of phishing attack that occurs over text messages (SMS). Phishing is a broader term for any attempt to manipulate or defraud people into revealing personal or confidential information. Phishing is most common via email, but it can also happen through phone calls, QR codes, social media messages, and text messages.

How can I protect myself from a smishing attack?

If you receive a text you suspect is a smishing attack, do not click on any links. You should not reply to the message either, as this confirms to the attacker that your number is active. You should delete the message, block the number, and turn off read receipts to prevent attackers from knowing you have opened the text. You may also want to report the attack to your employer's security team to give them visibility into attacks targeting employees.

How can an organization defend against smishing campaigns?

Organizations can defend against smishing by training employees and contractors to recognize and report these messages. Using hard keys for two-factor authentication (2FA) is also a strong defense, as it makes it nearly impossible for an attacker to gain access to an account with just stolen login credentials. Adopting a zero trust security model can also help, as it assumes that threats may already be inside the network and limits the damage a successful attack can cause.

What is smishing?

Was ist Smishing?

Smishing ist ein Cyberangriff, der seine Opfer mit Textnachrichten ins Visier nimmt. Das Wort „Smishing“ stammt von „SMS“ und „Phishing“.

Was ist Smishing?

Smishing oder SMS-Phishing ist die Nutzung von Textnachrichten, um Personen dazu zu verleiten, sensible oder persönliche Informationen preiszugeben. Smishing-Betrüger verwenden manipulative Social-Engineering-Methoden, um Daten von ihren Opfern zu sammeln.

Mobiltelefone und Smartphones neigen dazu, SMS-Nachrichten von jeder Quelle zu akzeptieren. Dies ermöglicht es Betrügern, irreführende Textnachrichten an nahezu jeden weltweit zu senden. Smishing-Betrüger geben sich oft als jemand aus, den das Opfer kennt oder dem es vertraut, um es zu täuschen. Sie können auch persönliche Details, Drohungen oder andere Taktiken verwenden, um das Opfer von der Echtheit einer Nachricht zu überzeugen.

Das Ziel des Smishing ist es, das Opfer dazu zu bringen, einige seiner persönlichen Informationen preiszugeben. Opfer können dies tun, indem sie ihren Benutzernamen und ihr Passwort auf einer gefälschten Webseite eingeben, ihre Identifikationsdaten an den Betrüger senden oder mit dem Betrüger telefonieren. Der Betrüger kann die gesammelten Informationen entweder verwenden, um die Konten und die Identität des Opfers zu übernehmen, oder er kann sie auf Schwarzmärkten an den Höchstbietenden verkaufen.

Der Unterschied zwischen Smishing und Phishing

Smishing ist eine von mehreren Arten von Phishing. Phishing ist die Bezeichnung für jeden Versuch, Menschen zu manipulieren oder zu betrügen, um persönliche oder vertrauliche Informationen preiszugeben. Phishing tritt am häufigsten über E-Mail auf, hat sich jedoch auch auf andere Kanäle ausgeweitet: Textnachrichten (Smishing), Telefonanrufe (Vishing), QR-Codes (Quishing) und Nachrichten in sozialen Medien.

Die weit verbreitete Verfügbarkeit von generativen KI (GenAI)-Diensten wie großen Sprachmodellen (LLMs) hat Betrügern zusätzliche Werkzeuge an die Hand gegeben, um ihre Phishing-Nachrichten realistisch klingen zu lassen. Die großflächige Nutzung von sozialen Medien und die Datenaggregation erleichtern es Angreifern, ihre Angriffe auf ihre Ziele anzupassen. Daher bleibt Phishing eine beliebte und profitable Methode für Betrüger, um vertrauliche Daten zu stehlen, obwohl viele Menschen heute vorsichtiger sind, ihre Daten an Fremde weiterzugeben.

Wie Smishing funktioniert: Der Ablauf einer Smishing-Kampagne

Smishing zielt auf Mobiltelefone ab – insbesondere auf Smartphones, mit denen Benutzer leicht Hyperlinks öffnen können. Smishing-Angriffe laufen hauptsächlich in diesen Schritten ab:

Auswahl eines Ziels: Angreifer können auf verschiedene Weise Listen mit aktiven Telefonnummern erstellen, von dem Kauf solcher Listen auf dem Schwarzmarkt bis hin zur Nutzung von Bots zur Sammlung von Kontaktinformationen. Einige Smishing-Kampagnen werfen ein weites Netz aus und senden Textnachrichten an so viele aktive Telefonnummern wie möglich. Andere Angriffe sind sehr gezielt und personalisiert, und die Angreifer betreiben etwas mehr Recherche über die Empfänger ihrer Nachrichten.
Einrichten der Infrastruktur: Einige Smishing-Nachrichten erfordern, dass das Opfer auf einen Link tippt. In solchen Fällen richtet der Betrüger gefälschte Websites oder Apps ein, um die Daten der Opfer zu sammeln. Das Versenden der Nachrichten erfordert die Verwendung gefälschter Telefonnummern, SMS-Gateways oder kompromittierter Mobiltelefone, damit Angreifer die Quelle der Texte verschleiern und schnell die Telefonnummern wechseln können, falls ihre blockiert wird.
Schreiben der Nachricht: Eine Smishing-Nachricht kann kurz oder lang, formell oder persönlich sein; jede Kampagne ist anders. Smishing-Texte, die von einer vertrauenswürdigen Marke zu stammen scheinen, klingen wahrscheinlich formell, während Smishing-Texte, die angeblich von jemandem stammen, den das Opfer kennt, eher informell klingen. Viele der effektivsten Smishing-Nachrichten sind direkt und kommen auf den Punkt, wie zum Beispiel „Achtung! „Ihr Arbeitsplan wurde aktualisiert, tippen Sie auf den Link, um die Änderungen anzuzeigen“ (ein tatsächliches Beispiel aus einem Smishing-Angriff im Jahr 2022) Je nach verwendeter Taktik sind einige Smishing-Nachrichten stark auf das Opfer zugeschnitten. Andere sollen so viele Menschen wie möglich ansprechen. LLM-Dienste können Angreifern dabei helfen, glaubwürdige Nachrichten zu verfassen.
Interaktion mit dem Ziel: Manchmal ist die Interaktion mit dem anvisierten Opfer so einfach wie das Versenden einer Textnachricht und die Hoffnung, dass das Opfer auf einen Link klickt oder mit den gewünschten Informationen antwortet. In anderen Fällen kann es zu einem längeren Gespräch per Textnachricht oder Telefon mit dem Opfer kommen.
Sammeln von Daten: Der Betrüger könnte versuchen, Opfer dazu zu bringen, ihre Daten auf einer gefälschten Anmeldeseite, in einem gefälschten Formular oder über eine bösartige App einzugeben. Sie können auch Daten durch Gespräche mit dem Opfer erfassen.
Schadsoftware-Installation: Dies tritt nur bei einigen Smishing-Angriffen auf. Ein Schadsoftware-Download kann ausgelöst werden, nachdem der Benutzer die Webseite des Angreifers geladen hat oder indem der Benutzer dazu verleitet wird, direkt eine bösartige App herunterzuladen. Die Installation von Schadsoftware kann Angreifern ermöglichen, weitere Daten vom Opfer zu sammeln, Schadsoftware auf andere Quellen zu verbreiten oder einfach das infizierte Smartphone in einem Botnet zu verwenden.
Verwendung oder Verkauf der gesammelten personenbezogenen Daten: Angreifer könnten entweder eines oder beides mit den von ihnen gesammelten Daten tun.

Arten des Smishings

Smishing-Nachrichten können viele Formen annehmen:

Kontoverifizierung: Bei diesem Smishing-Betrug erhält das Opfer eine Textnachricht, die vorgibt, von einem E-Mail-Dienst, einer Social-Media-App oder einem Streaming-Dienst zu stammen, die es nutzt. Die Nachricht fordert das Opfer auf, sein Konto zu „verifizieren“, indem es auf einen Link klickt und seinen Benutzernamen und sein Passwort auf einer gefälschten Anmeldeseite eingibt, die vom Betrüger kontrolliert wird.
Bankbetrug: Betrüger geben sich als die Bank des Opfers aus, behaupten, dass auf ihren Konten verdächtige Aktivitäten festgestellt wurden, und fügen einen Link zur „Verifizierung“ ihrer Identität hinzu, ähnlich wie bei anderen Betrugsmaschen zur Kontoverifizierung.
Technischer Support: Der Smishing-Text behauptet, dass es ein Problem mit dem Gerät oder einem anderen Dienst gibt, den das Opfer bekanntermaßen nutzt. Mitarbeitende eines angegriffenen Unternehmens könnten eine SMS erhalten, in der ihnen mitgeteilt wird, dass sie aus ihren Konten ausgesperrt wurden. Die Angreifer geben sich als Mitarbeitender des IT-Teams des Unternehmens aus.
Belohnung-Scam: Der Smishing-Text informiert den Empfänger darüber, dass er eine Belohnung, eine Lotterie oder ein Gewinnspiel gewonnen hat und dass er seinen Preis einfordern kann, indem er dem enthaltenen Link folgt, wo er zur Eingabe persönlicher Daten aufgefordert wird.
Kündigung des Dienstes: Der Text versucht, den Empfänger zu erschrecken, indem er behauptet, dass sein Abonnement für einen Dienst bald gekündigt wird.
Zustellbenachrichtigung: Diese Smishing-Texte geben vor, von einem Zustelldienst zu stammen. Sie könnten sagen, dass ein Paket unterwegs ist und einen „Tracking-Link“ bereitstellen, der zu einer gefälschten Webseite führt, die Daten sammelt, oder sie könnten sagen, dass ein wichtiges Paket nicht zugestellt werden konnte.
Steuerrückerstattung: Smishing-Texte können behaupten, dass der Empfänger einer Steuerbehörde Geld schuldet; oder umgekehrt, dass er seine Steuerrückerstattung beantragen muss.
Nachricht von einer Führungskraft: Smishing-Betrüger könnten sich als CEO oder eine andere Führungskraft am Arbeitsplatz des Empfängers ausgeben. Diese Angriffe könnten in gewisser Weise personalisiert sein, indem der Empfänger namentlich angesprochen wird, sein tatsächlicher Arbeitsort einbezogen wird und andere grundlegende persönliche Informationen verwendet werden, die online verfügbar sind.
Übertriebene gefälschte Nachrichten: Viele Smishing-Texte sind für die Mehrheit der Empfänger offensichtlich gefälscht (z. B.: „Ich bin ein ausländischer Prinz und meine Konten sind eingefroren. Wenn Sie mir 200 USD schicken, werde ich es Ihnen zurückzahlen, indem ich Ihnen 100.000 USD schicke, sobald ich kann“). Während ein kleiner Prozentsatz der Menschen auf solche Nachrichten hereinfällt, können Betrüger sie auch nutzen, um ihre Kontaktlisten zwischen den gutgläubigen und den weniger gutgläubigen zu sortieren.
Nicht signierte Nachrichten: Einige Smishing-Nachrichten enthalten fast keine Details und sind so formuliert, als kämen sie von jemandem, den der Empfänger kennt (z. B. „Sind Sie in der Stadt?“ oder „Arbeiten Sie immer noch am selben Ort?“). Die Idee ist, dass der Empfänger glauben könnte, den Absender zu kennen, aber seine Nummer verloren hat, und antwortet. Solche Nachrichten könnten versuchen, das Opfer in ein längeres Gespräch zu verwickeln, das mit einer Anfrage nach Daten endet. Oder die Angreifer versuchen möglicherweise nur, ihre Kontaktliste zu überprüfen, um festzustellen, ob die Telefonnummer des Opfers aktiv ist und ob der Empfänger wahrscheinlich auf Nachrichten von unbekannten Nummern antwortet. Dann folgen sie später mit überzeugenderen Plänen von verschiedenen Nummern. Es ist nicht klug, auf solche Nachrichten zu antworten, selbst nicht im Scherz.

Smishing-Taktiken

Smishing verwendet viele der gleichen Taktiken wie andere Arten von Phishing. Der Prozess des Sammelns von Kontaktinformationen und des Versendens von Nachrichten unterscheidet sich etwas vom E-Mail-Phishing, aber ansonsten beinhalten die meisten Smishing-Kampagnen Folgendes:

Social Engineering: Angreifer manipulieren ihre Opfer, indem sie Emotionen wie Angst oder Gier ausnutzen. Manipulationstaktiken umfassen das Erzeugen eines Gefühls der Dringlichkeit, das Nachahmen vertrauenswürdiger Personen oder Marken und das Vortäuschen, eine Autoritätsperson zu sein.
Nachgeahmte Webseiten und Apps: Smishing-Angreifer richten gefälschte, aber überzeugende Anmeldeseiten und Anwendungen ein, die persönliche Informationen ihrer Opfer sammeln.
Personalisierung: Menschen reagieren eher auf Textnachrichten, die sie mit ihrem Namen ansprechen. Smishing-Angreifer können persönliche Informationen nutzen, die aus öffentlichen Quellen stammen, auf dem Schwarzmarkt erworben oder in früheren Smishing- und Phishing-Kampagnen gesammelt wurden, um ihre Nachrichten überzeugender zu machen.
Verschleierung der Quelle: Smishing-Angreifer können ihre Nachrichten von einer Reihe von Telefonnummern versenden, die sie kontrollieren. Sie können SMS-Gateways nutzen, um Nachrichten direkt von Computern zu senden, anstatt sich auf Telefone zu verlassen. Das Versenden von Nachrichten und das Verschleiern ihrer wahren Quelle kann größtenteils automatisiert werden.
Nachverfolgung auf mehreren Kanälen: Smishing kann Teil einer größeren Kampagne sein, die sich über andere Nachrichtenkanäle wie E-Mail oder soziale Medien erstreckt.

Was sollten Sie tun, wenn Sie eine mögliche Smishing-Nachricht erhalten?

Keinen Link anklicken: Dies gilt für alle Links in Textnachrichten von einer unbekannten Nummer oder einer unerwarteten Quelle. Solche Links können zu Seiten oder Apps führen, die Daten sammeln oder Schadsoftware hosten. Gehen Sie stattdessen separat auf die offizielle Website der Quelle und laden Sie die Seite auf diese Weise; wenn ein Text beispielsweise eine Mitteilung über die Kündigung eines Dienstes enthält, besuchen Sie die Website des Dienstanbieters separat und verwenden Sie diese Anmeldeseite, anstatt auf den Link im Text zu klicken.

Nicht antworten: Oftmals prüfen Angreifer nur, ob eine Nummer aktiv ist oder ob ihre persönlichen Informationen über den Empfänger korrekt sind. Eine Antwort verrät, selbst wenn man keine persönlichen Informationen preisgibt, immer noch zu viel. Angreifer werden wahrscheinlich mehr Ressourcen auf Personen richten, die ihre Nachrichten lesen und beantworten, genauso wie ein Vertriebsmitarbeitender viele Male mit jemandem nachfasst, der vorübergehendes Interesse an einem Produkt zeigt.

Die Telefonnummer melden: Mobilfunkanbieter sperren in der Regel Nummern, wenn genug Leute sie melden, obwohl Smishing-Betrüger ihre Nummern einfach ändern oder tarnen können.

Meldung an die IT- oder Sicherheitsabteilung: Sicherheitsteams benötigen so viel Einblick wie möglich in Angriffe, die auf Mitarbeitende abzielen. Smishing-Angriffe können Teil einer umfassenderen Bedrohungskampagne sein, die darauf abzielt, Zugang zum Netzwerk eines Unternehmens zu erlangen.

Die Quelle separat prüfen: Kontaktieren Sie die Marke oder den Dienstanbieter direkt, indem Sie offizielle Kontaktdaten aus einer bekannten Quelle verwenden, um die Informationen im Text zu überprüfen. Sollte sich herausstellen, dass der Text Smishing ist, informieren Sie sie darüber, dass jemand eine Smishing-Kampagne gegen ihre Kunden durchführt.

Die Nachricht löschen und die Nummer blockieren: So besteht keine Möglichkeit, auf den Betrug hereinzufallen oder versehentlich auf den Link zu tippen.

Antworten Sie nicht und klicken Sie nicht auf Links: Das muss wiederholt werden!

Lesebestätigungen deaktivieren: Einige SMS-Dienste senden eine Benachrichtigung an die andere Partei, wenn eine Nachricht geöffnet und gelesen wurde. Bei Smishing-Angriffen zeigt eine Lesebestätigung dem Angreifer, dass das beabsichtigte Opfer zumindest die Nachrichten liest, auch wenn es nicht auf die Betrügereien hereinfällt oder auf Links klickt. Das standardmäßige Deaktivieren von Lesebestätigungen erschwert es Angreifern, an diese Informationen zu gelangen.

Smishing als Teil größerer Angriffskampagnen

Anstatt nur Einzelpersonen ins Visier zu nehmen, können fortgeschrittene persistente Bedrohungen (APTs) eine mehrstufige Kampagne nutzen, um eine größere Organisation zu kompromittieren. Sie können Smishing verwenden, um das Konto eines bekannten Mitarbeitenden oder Auftragnehmers zu übernehmen und dann zu anderen Konten oder Systemen überzuspringen. Sobald sie diesen Zugriff haben, können sie sensible Daten kompromittieren, die Aktivitäten eines Unternehmens ausspionieren, das Unternehmen mit Ransomware infizieren oder den Geschäftsbetrieb auf andere Weise schädigen. Smishing ist daher ein entscheidender Angriffsvektor, gegen den große Organisationen sich verteidigen müssen.

Wie sich Unternehmen gegen Smishing-Kampagnen wehren können

Hardware-Schlüssel für die Zwei-Faktor-Authentifizierung (2FA): Eine der stärksten Verteidigungsmaßnahmen gegen Smishing-Angriffe ist die Verwendung von Zwei-Faktor-Authentifizierung, sodass Anmeldedaten allein nicht ausreichen, um auf ein Konto zuzugreifen. Insbesondere durch die Verwendung von FIDO2-konformen Hardkeys – hardwarebasierte Token, die an USB-Ports angeschlossen werden oder Bluetooth verwenden – sinkt die Wahrscheinlichkeit eines erfolgreichen Smishing-Angriffs auf praktisch null. (Soft Tokens können abgefangen werden.)
Nutzerschulung: Mitarbeitende und Auftragnehmende sollten lernen, Phishing- und Smishing-Nachrichten zu erkennen. Das Melden solcher Nachrichten sollte sofort und einfach sein.
Zero-Trust-Sicherheit: Dies ist ein Sicherheitsmodell, das davon ausgeht, dass Bedrohungen in gesicherten Netzwerken vorhanden sein können und dass selbst bekannte Nutzer und Geräte kompromittiert werden könnten. Eine Zero Trust-Architektur hilft, den Schaden bei einem erfolgreichen Smishing-Angriff zu begrenzen, indem sie Mikrosegmentierung verwendet, um laterale Bewegung und eine Ausweitung von Berechtigungen zu verhindern. Zwei-Faktor-Authentifizierung ist ebenfalls eine Kernkomponente der Zero Trust-Sicherheit. Erfahren Sie, wie Cloudflare eine raffinierte Smishing-Kampagne mit Zwei-Faktor-Authentifizierung und Zero Trust-Sicherheit abwehren konnte.

FAQs

Was bedeutet „Smishing“?

Smishing ist eine Form des Cyberangriffs, bei der Textnachrichten verwendet werden, um Menschen dazu zu bringen, persönliche oder vertrauliche Informationen preiszugeben. Der Name ist eine Kombination aus SMS und Phishing. Angreifer geben sich häufig als vertrauenswürdige Personen oder Organisationen aus, um Opfer zu manipulieren und dazu zu bringen, ihre Informationen preiszugeben.

Welche gängigen Arten von Smishing-Betrug gibt es?

Smishing-Betrug kann viele Formen annehmen, einschließlich Nachrichten, die vorgeben, von einer Bank über verdächtige Aktivitäten zu stammen, einem Zustelldienst mit einem Verfolgungslink oder einem E-Mail-Dienst, der eine Kontoverifizierung erfordert. Andere Arten umfassen Texte, die Belohnungen versprechen, mit der Kündigung eines Dienstes drohen oder sich als Führungskraft aus dem Arbeitsumfeld des Opfers ausgeben. Einige Betrüger senden sogar allgemeine Grüße oder Fragen wie „Hallo, wie geht es Ihnen?“, um zu sehen, ob eine Telefonnummer aktiv ist und ob der Empfänger antwortet.

Was ist der Unterschied zwischen Smishing und Phishing?

Smishing ist eine spezifische Art von Phishing-Angriff, die über Textnachrichten (SMS) stattfindet. Phishing ist ein umfassender Begriff für jeden Versuch, Menschen zu manipulieren oder zu betrügen, um persönliche oder vertrauliche Informationen preiszugeben. Phishing erfolgt am häufigsten per E-Mail, kann aber auch durch Telefonanrufe, QR-Codes, Nachrichten in sozialen Medien und Textnachrichten geschehen.

Wie kann ich mich vor einem Smishing-Angriff schützen?

Wenn Sie eine Textnachricht erhalten, von der Sie vermuten, dass es sich um einen Smishing-Angriff handelt, klicken Sie nicht auf irgendwelche Links. Sie sollten auch nicht auf die Nachricht antworten, da dies dem Angreifer bestätigt, dass Ihre Nummer aktiv ist. Sie sollten die Nachricht löschen, die Nummer blockieren und die Lesebestätigungen ausschalten, damit Angreifer nicht wissen, dass Sie die Nachricht geöffnet haben. Sie könnten den Angriff auch dem Sicherheitsteam Ihres Arbeitgebers melden, um ihnen Einblick in Angriffe zu geben, die auf Mitarbeitende abzielen.

Wie kann sich eine Organisation gegen Smishing-Kampagnen verteidigen?

Organisationen können sich gegen Smishing verteidigen, indem sie ihre Mitarbeitenden und Auftragnehmenden darin schulen, diese Nachrichten zu erkennen und zu melden. Die Verwendung von Hardware-Schlüsseln für die Zwei-Faktor-Authentifizierung ist ebenfalls eine starke Verteidigungsmaßnahme, da es für einen Angreifer nahezu unmöglich ist, mit gestohlenen Anmeldedaten Zugang zu einem Konto zu erhalten. Die Einführung eines Zero-Trust-Sicherheitsmodells kann ebenfalls hilfreich sein, da es davon ausgeht, dass Bedrohungen bereits innerhalb des Netzwerks vorhanden sind und den Schaden begrenzt, den ein erfolgreicher Angriff verursachen kann.