Smishing-Attacken auf mobile Nutzer – ein Thema für die IT
Smishing setzt sich aus SMS und Phishing zusammen und steht für Phishing-Angriffe über Textnachrichten. Sie sind für die IT schwerer zu verteidigen als E-Mail-Phishing.
SMS-Phishing, auch bekannt als Smishing, kann sowohl für verwaltete Firmengeräte als auch für private mobile Geräte in BYOD-Szenarien (Bring Your Own Device) schwerwiegende geschäftliche Folgen nach sich ziehen.
Beim Smishing versucht ein Angreifer, einen Benutzer dazu zu bringen, Informationen per SMS an ein mobiles Gerät weiterzuschicken. Dieser Angriffsvektor ist ein Ableger des traditionellen E-Mail-Phishings und der ständigen Robocalls, die heute alltäglich sind.
Warum ist Smishing eine ernsthafte Bedrohung?
Smishing stellt eine ernsthafte Bedrohung dar, da die Administratoren mobiler Geräte in Unternehmen meistens das SMS-Messaging der mobilen Nutzer nicht steuern und kontrollieren können. Beim Smishing liegen die Bedrohung, Verletzlichkeit und das Risiko buchstäblich in den Händen der Mitarbeiter. Damit stehen alle möglichen Informationen auf dem Spiel, von persönlichen Daten über Passwörter bis hin zum geistigen Eigentum des Unternehmens.
Smishing-Textnachrichten sind oft beiläufig und generisch, ähnlich wie traditionelle Spam- und Phishing-Mails. Sie verwenden gefälschte Links zu Social Media und anderen populären Online-Erlebnissen. Ein Beispiel zeigen die Screenshots in Abbildung 1.
Abbildung 1: Ein ungenauer Smishing-Text mit einem verkürzten Link
Die gefährlichsten Smishing-Angriffe richten sich jedoch an Unternehmen, mit Nachrichten, die für ahnungslose Benutzer legitimer erscheinen können. Gezielte Botschaften können die folgenden Ansätze verfolgen:
Was sollte die IT-Abteilung gegen Smishing unternehmen?
Die IT-Abteilung sollte im Rahmen der regelmäßigen Penetrationstests oder Analysen von Sicherheitsschwachstellen neben internen E-Mail-Phishing-Tests auch interne Smishing-Tests durchführen. Viele Benutzer kennen zwar traditionelle Phishing-Ansätze, aber dieser relativ neue Angriffsvektor kann sie überraschen.
Interne Tests mit simulierten Phishing- oder Smishing-Angriffen zeigen, ob die Schulungen für Security Awareness im Unternehmen funktionieren beziehungsweise effektiv sind. Gleichzeitig wird aus ihnen ersichtlich, welche Mitarbeiter besonders anfällig für derartige Angriffe sind.
Viele Benutzer kennen traditionelle Phishing-Ansätze, aber dieser relativ neue Angriffsvektor kann sie unvorbereitet erwischen.
Die IT-Abteilung kann einen Smishing-Test für ihre Benutzer mit einem normalen Mobiltelefon oder einem Online-Messaging-System durchführen, das der IT-Abteilung eine fingierte Rufnummer zur Verfügung stellt, die Texte senden und empfangen kann.
Die Herausforderung bei diesem Ansatz liegt in der Definition der passenden Nutzungsbedingungen für diese Plattformen. Darüber hinaus ist es für die IT sehr umständlich und schwer, mit einer einzelnen Handy- oder Dummy-Rufnummer eine große Anzahl von Benutzern zu erreichen. Die IT muss diese Daten sammeln und protokollieren; besonders für große Unternehmen würde dieser Prozess viel Zeit in Anspruch nehmen.
Der effizienteste Ansatz für die Durchführung großer Smishing-Tests ist der Einsatz einer der Phishing-Trainingsplattformen von Anbietern wie Proofpoint und Lucy. Diese Tools ermöglichen es IT-Experten, Smishing in bestehende E-Mail-Phishing-Aktivitäten zu integrieren und die Vorteile der Benutzer-, Vorlagen- und Berichtsfunktionen der Plattformen in großem Umfang zu nutzen. Abbildung 2 zeigt die SMS-Phishing-Möglichkeiten, die Lucy bietet.
Abbildung 2: Die Benutzeroberfläche der Phishing-Test-Plattform von Lucy.
Wenn IT-Experten den internen Smishing-Test entwerfen und durchführen, müssen sie bedenken, dass Smishing eine Form des Social Engineering darstellt. Kriminelle Hacker wollen die menschliche Leichtgläubigkeit und den Wunsch nach sofortiger Belohnung ausnutzen. Smishing mag ein relativ neuer Angriffsvektor sein, aber die IT-Abteilung kann die Anfälligkeit der Benutzer für diesen Angriff mit den gleichen Methoden angehen wie bei den meisten anderen Social-Engineering-Angriffen.
Das IT-Team sollte im ersten Schritt zunächst die Schwachstellen und Sicherheitslücken prüfen, die innerhalb des Unternehmens bestehen. Diese Evaluation umfasst die Gewohnheiten der mobilen Nutzer, ihre (häufig) eingesetzten mobilen Anwendungen und andere unternehmensspezifische Details.
Alle diese Informationen helfen der IT-Abteilung, die bestmögliche Phishing-Sicherheitsstrategie zu entwickeln. Diese sollte neben einer Security-Awareness-Schulung für die Anwender auch SMS-Filter-Tools und einen ausgeklügelten Plan für die schnelle Reaktion auf mobile Angriffe (Mobile Incident Response Plan) enthalten.
Die meisten Unternehmen sind bislang noch nicht in der Lage, ihre E-Mails ausreichend gegen Phishing-Attacken zu schützen; der Schutz vor Smishing wird sich wahrscheinlich noch schwieriger gestalten. Die IT-Abteilung kann jedoch SMS-Nachrichten mit relativ geringen Zusatzkosten im Vergleich zu bestehenden Phishing-Aktivitäten in ihre Schutzmaßnahmen aufnehmen.
