Smishing ist eine Form des Phishings, bei der Smartphones als Angriffsplattform genutzt werden. Der Betrüger führt den Angriff mit der Absicht aus, personenbezogene Informationen zu beschaffen, einschließlich Sozialversicherungs-, Ausweis- und/oder Kreditkartennummern. Smishing erfolgt über Textnachrichten oder SMS, weshalb der Angriff den Namen „SMiShing“ trägt.
Smishing-Angriffe nutzen Short Message Services (SMS), auch bekannt als Textnachrichten. Diese Form des Angriffs wird zunehmend beliebter, da Nutzer einer Nachricht, die über eine Messaging-App auf ihrem Telefon eingeht, eher vertrauen als einer per E-Mail übermittelten Nachricht.
Obwohl viele Opfer Phishing-Betrügereien nicht mit persönlichen SMS in Verbindung bringen, ist es für Betrüger tatsächlich einfacher, Ihre Telefonnummer zu ermitteln als Ihre E-Mail-Adresse. Bei Telefonnummern ist die Anzahl der Optionen begrenzt – in den USA sind Telefonnummern 10-stellig.
Für E-Mail-Adressen hingegen existieren keine Längenbeschränkungen, obwohl es eine bestimmte Anzahl Zeichen gibt, die vernünftigerweise zu erwarten sind. E-Mail-Adressen können Zahlen, Buchstaben und Sonderzeichen (!, # und %) enthalten. Es ist viel einfacher, zehn zufällige Ziffern aneinanderzureihen, um ein Opfer zu erreichen, als eine Person über eine E-Mail-Adresse zu kontaktieren.
Der Hacker kann einfach Nachrichten an eine beliebige Kombination von Ziffern senden, die in der Länge einer Telefonnummer gleicht. Der Hacker kann einfach jede beliebige Zahlenkombination ausprobieren, ohne Probleme oder Risiken. Gartner zufolge werden 98 % der SMS-Nachrichten gelesen und 45 % beantwortet. Dies macht SMS-Nachrichten für Hacker zu einem sehr logischen Angriffsmittel, insbesondere da laut Gartner nur 6 % aller E-Mails beantwortet werden.
Ein Hacker kann mit einer SMS-Nachricht sehr unterschiedliche Absichten verfolgen. Dazu gehört auch der Diebstahl Ihrer personenbezogenen Daten, indem er sich als Vertreter Ihrer Bank ausgibt. Er könnte auch versuchen, Sie dazu zu bringen, auf den Link in einer SMS zu klicken, um die Internetseite der Bank aufzurufen und eine kürzlich erfolgte verdächtige Abbuchung zu bestätigen. Alternativ könnte er Sie bitten, die Kundendienstnummer anzurufen, die praktischerweise in der SMS enthalten ist, um mit ihm über eine kürzlich erfolgte verdächtige Abbuchung oder ein kompromittiertes Konto zu sprechen.
Hacker versuchen zudem, durch sympathische Methoden an vertrauliche Informationen zu gelangen. Ein Beispiel sind Nachrichten im Zusammenhang mit Katastrophenhilfe, in denen ein Betrüger Sie um eine Spende für wohltätige Zwecke bittet. Der Hacker fordert Sie auf, auf den beigefügten Link zu klicken und Ihre Kreditkartendaten, Ihre Adresse und häufig auch Ihre Sozialversicherungs- oder Ausweisnummer einzugeben. Sobald der Hacker Ihre Kreditkartennummer in Erfahrung gebracht hat, kann er Ihre Kreditkarte sogar monatlich belasten, damit Sie nicht misstrauisch werden.
Ein weiteres Beispiel für einen Smishing-Angriff ist ein Angebot Ihres Netzbetreibers mit einem Rabatt für einen Dienst oder ein Telefon-Upgrade. In der Nachricht werden Sie aufgefordert, auf den angegebenen Link zu klicken, um das Angebot zu aktivieren. Auf der gefälschten Internetseite, die wie Ihres Anbieters aussieht, werden Sie aufgefordert, Ihre Kreditkartennummer, Adresse und möglicherweise Ihre Sozialversicherungs- oder Ausweisnummer zu bestätigen. Denken Sie daran: Wenn es zu gut klingt, um wahr zu sein, ist es das vermutlich auch.
Phishing über Instant-Messenger-Freeware wie Facebook Messenger oder WhatsApp fällt technisch nicht in die Kategorie Smishing. Es ist jedoch eng damit verwandt. Der Hacker nutzt die zunehmende Gewöhnung der Nutzer aus, Nachrichten von Fremden zu öffnen und Nachrichten über Social-Media-Plattformen zu beantworten.
Wie bei einem echten Phishing-Betrug besteht das Ziel des Angriffs darin, dass Sie dem Angreifer personenbezogene Daten, einschließlich Passwörter und/oder Kreditkartennummern, zur Verfügung stellen. Um an solche Informationen zu gelangen, kann der Angreifer Ihnen einen Deal oder etwas Wertvolles anbieten. Solche Angebote enthalten oft einen anklickbaren Link.
Eine Nachricht von einem Fremden, der um Informationen bittet, ist häufig ein Indikator für mögliches Instant Messaging Phishing. Diese Angriffe können aber auch den Anschein erwecken, von Personen zu stammen, die Sie kennen und mit denen Sie bereits in Verbindung stehen. Dies geschieht häufig, wenn das Social-Media-Konto einer Person gehackt oder gefälscht wurde.
Weiterführende Artikel
Weiterführende Forschung