Smishing

Beim Smishing nutzen Kriminelle Textnachrichten, um beispielsweise ihre Schadsoftware zu verbreiten oder Daten abzugreifen. Smishing ist ein Begriff, der sich aus SMS und Phishing zusammensetzt. Wie beim Phishing sind die Angreifer relativ einfallsreich, bei der Formulierung und Ausgestaltung der Textnachricht, die einen Anwender dazu verleiten soll auf die in der Nachricht verlinkte Website zu wechseln.

Dabei kann Smishing in unterschiedlichster Ausprägung erfolgen. Beispielsweise mit Hinweis auf ein Problem mit einem Account, bei dem der Nutzer die Mobiltelefonnummer als Sicherheitsmerkmal hinterlegt hat. Kommt dann eine SMS mit dem Hinweis, man möge bitte auf der verlinkten Website die Zugangsdaten eingeben, kann dies genügen, um die sensiblen Informationen abzugreifen. Gleiches gilt natürlich, wenn die Textnachricht augenscheinlich vom Mobilfunk-Provider selbst zu kommen scheint. Neben dem Abgreifen von Daten, kann Smishing natürlich auch dafür eingesetzt werden, Schadsoftware auf ein Gerät von einer präparierten Website herunterzuladen. Und auch Textnachrichten von Banken, mit denen der Anwender tatsächlich in Beziehung steht, können das vermeintliche Opfer schnell zu einer Aktion mit Folgen verleiten.

Die Angriffsform Smishing kann deshalb so erfolgreich sein, weil viele Anwender die SMS als vertrauenswürdiger betrachten im Gegensatz zu E-Mail-Nachrichten. Zudem rechnen Nutzer über den E-Mail-Kanal eher mit Spam-Mails oder Phishing-Nachrichten, als wenn sie diese auf ihr Mobiltelefon erhalten.

Um dem Angriffsvektor Smishing zu begegnen, helfen prinzipiell die gleichen Maßnahmen, die auch gegen Phishing erfolgreich sind:

• Schulungen von Anwendern hinsichtlich der Smishing-Risiken, die vielen nicht bewusst sein dürften.
• Anwender sollten immer sehr genau überprüfen, von wem sie die Textnachrichten wirklich erhalten und ob dieser Inhalt tatsächlich plausibel ist.
• Überprüfen des Inhalts der erhaltenen Textnachricht durch den Anwender Wie ist der Absender an die Rufnummer gekommen, wurde sie tatsächlich beim Anbieter hinterlegt? Welcher Link wurde mit der Nachricht versendet?