11th - Aug - 2017

Smishing – Die nächste Generation des Pishing

Graphic of speech bubbles reading 'Hi' and 'Yes' next to each other

Zu Beginn dieses Jahres haben wir einen Blog zum Thema A2P Nachrichtenübermittlungen geschrieben und wie sie Betrügereien fördern und das Vertrauen von Verbrauchern in die Plattform bedrohen. Wir wollten nun mit einem speziellen Fokus auf „Smishing” – einer speziellen Art des Betrugs das erneut die Schlagzeilen erobert hat – auf dieses Thema zurückkommen.

Was ist Smishing?

Es ist eine Kombination von zwei Dingen, SMS + Pishing = Smishing. Eine Art der Ausforschung von personenbezogenen Daten, Passwörtern, Daten, etc. über SMS oder Chat-Apps, indem diese vorgeben von vertrauensvollen oder dem Empfänger bekannte Quellen zu stammen. Smishing-Benachrichtigungen werden immer einen Link zum Anklicken oder eine Telefonnummer zum Anrufen enthalten. Die Aufforderung zum Handeln ist selbstverständlich arglistig und ein Versuch die Privatsphäre des Empfängers zu verletzen.

In ihrem Bericht aus dem Jahr 2017, erklärt das MEF, dass es 13 verschiedene Arten von Betrug gibt und Smishing nur eine davon ist. Das MEF hat in seinem Bericht festgestellt, dass mehr als ein Viertel der Nutzer eine unaufgeforderte SMS Benachrichtigung pro Tag erhält und 33% der Nutzer geben an, eine Smishing Nachricht erhalten zu haben, die das Ziel hatte sie auszutricksen, um so an ihre personenbezogenen Daten zu kommen. Das MEF schätzt, dass Smishing mit einer Summe von $680 Millionen zu den jährlichen Gesamtkosten i.d.H. von 2 Milliarden Dollar weltweit, verursacht durch betrügerische Handlungen, beiträgt.

Das Problem wird weiters durch die Tatsache verschärft, dass SMS eine Form der Kommunikation ist der am meisten Vertrauen geschenkt wird. Die Nutzer erwarten sich Spam und betrügerische Emails, aber sie erwarten sich keine SMS die diesen Zweck verfolgen. SMS bleiben nach wie vor die vertrauenswürdigste Form der Kommunikation, mit einem Prozentsatz von 35% der im MEF Bericht befragten Nutzer die dies bestätigen. Für die Betrüger daher eine willkommene Gelegenheit, die sie schnell ergreifen. Sie missbrauchen das hohe Vertrauen der Menschen in diese Form der Kommunikation für ihre betrügerischen Zwecke.

Wie funktioniert Smishing?

Es ist ein Reihung von sozial konstruierten Nachrichten, die entworfen werden um den Nutzer auszutricksen und folglich personenbezogene Daten über sich selbst preiszugeben und es dem Angreifer so zu ermöglichen, die Kontrolle über das Mobiltelefon und schlussendlich Zugang zu dem Bankkonto des Opfers zu erlangen. Der Angreifer sieht die SMS, die ähnlich wie bei einer Werbeaktion ausgesendet wird. Der Kriminelle beginnt nun, indem er eine bereits bestehende Beziehung zwischen einem Subjekt und dem Empfänger vortäuscht (indem er vorgibt jemand anderes zu sein). Eine Smishing Textnachricht könnte wie folgt aussehen:

‚Hier ist die HMRC (Zoll- und Steuerbehörde). Laut unseren Aufzeichnungen haben Sie für das Jahr 2016, 1.897,12 Pfund zu viel an Steuern bezahlt. Bitte rufen Sie uns unter XXX an oder klicken Sie hier, um uns Ihre Bankdaten mitzuteilen.‘

Nachrichten könnten auch so lauten: „Hier ist die Lloyds Bank. Wir haben auffällige Transaktionen auf Ihrem Konto festgestellt. Bitte rufen Sie uns unter XXX an, um Ihre Transaktionen zu bestätigen“. Oder „Hier ist Apple, Ihr Konto wurde aufgrund verdächtiger Aktivitäten gesperrt. Bitte klicken Sie hier, um Ihr Konto zu bestätigen oder die Löschung Ihres Kontos zu bearbeiten.” Diese Nachrichten haben eines gemeinsam (abgesehen davon, dass sie gefälscht sind). Sie fordern den Empfänger zu einer Handlung auf – sie versuchen den Empfänger mit etwas anzulocken, um die Chance, dass diese anbeißen, zu erhöhen. Sehr oft reagieren Personen naiv, sobald ihnen etwas angeboten wird, was ihnen einen Vorteil bringen könnte. Sie klicken vielleicht auf den Link bzw. rufen an ohne nachzudenken von wem die Nachricht, die leider auch überraschend leicht zu fälschen sind, tatsächlich stammt und vertrauen dem Absender, ohne die Nachricht genauer zu hinterfragen.

Sobald der gefälschte Link angeklickt oder die Telefonnummer angerufen wurde, beginnt der Angreifer umgehend die personenbezogenen Daten zu sammeln oder das Handgerät mit Schadsoftware zu infizieren, was für den Nutzer eine ganze Reihe von Problemen hervorrufen kann.

Alles was ein Angreifer benötigt sind einige Informationen, um den Betrügern auf die Sprünge zu helfen. Vergessen Sie nicht, dass viele personenbezogenen Informationen aus öffentlichen Aufzeichnungsgründen verfügbar sind – vollständiger Name, Geburtsdatum, Adresse, Mädchenname etc. und all diese Informationen können Angreifern helfen authentisch zu wirken, wenn sie die Bank kontaktieren, um einige Passwörter ändern zu lassen oder Geldbewegungen in Auftrag zu geben.

Wie können Unternehmen ihre Kunden vor Smishing schützen?

Während es kein Substitut für gesunden Menschenverstand gibt, wenn es darum geht auf Smishing Nachrichten richtig zu reagieren, können Unternehmen ganz einfach einen effizienten Schutz mit wenigen Überlegungen und etwas Training einsetzen:

  • Kunden erziehen und sie darüber informieren wonach bzw. wonach sie in einer seriösen Nachricht bestimmt niemals gefragt werden.
  • Die Kurzwahlen des Unternehmen klar an den Kunden kommunizieren, sodass dieser weiß von welchen Nummern er eine Nachricht zu erwarten hat.
  • Eigene Sicherheitsfragen einführen, die nicht durch eine einfache Google Suche beantwortet werden können.
  • Ein Bewusstseinstraining für all jene anbieten, die mit Kunden in Kontakt stehen, sodass potentielle Betrügereien leichter und schneller festgestellt werden können.
  • Kundenbeschwerden zu Spam-Nachrichten überprüfen, vor allem wenn diese mit Aussendungen von speziellen Kampagnen in Verbindung stehen. Dann gründlich nachforschen, indem Fragen gestellt werden wie etwa, wer die Nachrichten versendet hat, ob die Nachricht eine verdächtige URL enthielt etc.

Wie können sich Privatpersonen vor Smishing schützen?

  • Wenn etwas zu schön klingt um wahr zu sein ist dies auch meist so.
  • Seien Sie immer skeptisch und überlgen Sie, ob die Benachrichtigung tatsächlich von dem Unternehmen oder der Behörde sein kann, auch wenn a) Sie eine entsprechende Nachricht erwarten oder b) Sie des öfteren Benachrichtigungen von diesem Unternehmen erhalten.
  • Wenn Sie einen Verdacht schöpfen, rufen Sie nicht die Nummer an die in der Nachricht angeführt wird. z.B wenn es sich um Ihre Bank handelt, verwenden Sie die Telefonnummer der Bank oder entnehmen die Kontaktdaten der Webseite, die Sie für gewöhnlich benutzen und lassen sich auf diesem Wege die Benachrichtigung bestätigen.

Alle der oben angeführten Empfehlungen haben natürlich das Ziel den Kunden zu schützen, aber wo liegt letztendlich die Verantwortung für den Schutz? Wie kann dieser Bereich reguliert werden? In ihrem Bericht, hat das MEF einige Richtlinien vorgeschlagen, die sicherlich erwägenswert sind:

  • Die Schaffung eines nationalen und internationalen Registers mit den entsprechenden Kurzwahlen für Unternehmen und Marken.
  • Die Erstellung einer Datenbank mit bekannten, verdächtigen und betrügerischen Benachrichtigungen.
  • Die Entwicklung einer einheitlichen standardisierten, automatisierten verknüpften Methode der Mobilfunkanbieter zur Berichterstattung und dem Informationsaustausch betreffend betrügerische und bereits identifizierte, betrügerische Benachrichtigungen.

Durch die Nutzung einer Kombination der oben angeführten Empfehlungen für Unternehmen und Privatpersonen und unter Berücksichtigung der MEF Richtlinie hinsichtlich der Selbstregulierung des Bereichs, wird Smishing hoffentlich schon bald der Vergangenheit angehören, genauso wie Spam-Emails – sie werden direkt in den Papierkorb verbannt.

Sie möchten gerne mehr über die 12 anderen Formen von Betrug erfahren? Klicken Sie hier um den vollständigen MEF Bericht aufzurufen und erfahren Sie dort noch mehr über Smishing.

Autor: Jeanette Burton, Content Manager bei CLX Communications

Signup for Blog Updates