Die Wahrscheinlichkeit ist ziemlich hoch, dass gerade jetzt eine bösartige SMS oder Textnachricht auf Ihr Smartphone zusteuert. Diese Nachricht gibt beispielsweise vor, von Ihrer Bank zu kommen und Sie werden nach finanziellen oder persönlichen Daten gefragt, wie z. B. Ihrer Geldautomaten-PIN oder der Kontonummer. Diese Informationen preiszugeben ist in etwa gleichbedeutend damit, den Schlüssel zu Ihrem Bankkonto an die Diebe durchzureichen. Wie sein enger Verwandter, das Phishing, kommt diese Art von Angriff inzwischen deutlich häufiger vor als bisher - und das mit noch größerem Erfolg.
An dieser Stelle beschäftigen wir uns damit, woher Smishing kommt, warum es so verbreitet ist und wie man Sie sich davor schützt.
Womit Smisher ihre Opfer ködern
Was ist eigentlich Smishing? Smishing ist ein Begriff, der von SMS abgeleitet wurde, dem Short Message Service - oder das, was wir salopp als "Textnachrichten" bezeichnen. Die Verwendung von Textnachrichten ist immer noch eine der beliebtesten Kommunikationsmethoden auf Smartphones. Darüber hinaus gibt es weitere Faktoren, die Smishing zu einer besonders heimtückischen Bedrohung machen. Während die meisten Menschen über E-Mail-Betrug und die damit verbundenen Risiken Bescheid wissen, sind sie deutlich unvorsichtiger, wenn sie ihr Handy benutzen. Smartphones gelten gegenüber Notebooks als sicherer...
Aber auch die Sicherheit von Smartphones hat ihre Grenzen, und kein Mobilgerät kann den Benutzer direkt vor Smishing schützen. Cyberkriminalität, die sich gegen Mobiltelefone richtet, ist mit deren massenhafter Verbreitung proportional angestiegen. Im Fokus dieser Malware sind Android-basierte Geräte. Schlicht, weil es so viele davon gibt. Aber wie bei jeder anderen Form von Cyberbedrohung auch, niemand ist völlig gefeit davor, Opfer eines Smishing-Angriffs zu werden. Das gilt selbst für iPhone-Nutzer, auch wenn sie sich vielleicht besser geschützt fühlen.
Smartphones bieten Endbenutzern ein hohes Maß an Flexibilität. Davon profitieren allerdings auch Cyberkriminelle. Eines der Probleme entsteht durch die Nutzungsgewohnheiten. Smartphones verwendet man überwiegend unterwegs. Man ist tendenziell eher abgelenkt oder unachtsam und reagiert auf eingehende Nachrichten, ohne groß darüber nachzudenken. Eine Smishing-Nachricht kann selbst so etwas harmlos Erscheinendes sein wie ein Gutschein.
In den meisten Fällen versuchen Smisher, personenbezogene Daten zu stehlen. Aber es kommt auch vor, dass sie ihre Opfer verleiten, Malware herunterzuladen und zu installieren. Die Malware kann sich als legitime App tarnen und einen Nutzer dazu bringen, vertrauliche Informationen einzugeben und die gesammelten Daten an Cyberkriminelle zu senden. Oder der in einer Smishing-Nachricht enthaltene Link führt auf eine gefälschte Website, wo Sie aufgefordert werden, vertrauliche Informationen einzugeben. Informationen, die Cyberkriminelle später verwenden, um die betreffende Online-ID zu stehlen. Smartphones werden nahezu flächendeckend auch im professionellen Unternehmenseinsatz verwendet. Damit ist Smishing auch für Firmen zu einer ernsthaften Bedrohung geworden.
Wie Unternehmen sich vor Smishing-Angriffen schützen
Es gibt eine Reihe von grundlegenden Empfehlungen, um Mitarbeiter und Daten vor Smishing zu schützen:
1. Finden Sie heraus, wie gut Ihre Mitarbeiter in Sachen Cybersicherheit tatsächlich geschult sind. Bevor Sie etwas unternehmen, sollten sie wissen wie stark das Cybersicherheitsbewusstsein unter Ihren Mitarbeitern ausgeprägt ist. Führen Sie beispielsweise eine einfache Umfrage mit spezifischen Fragen durch, die das Wachsamkeitsniveau Ihrer Belegschaft gegenüber verschiedenen Betrugsversuchen misst. Solche Umfragen lassen sich ganz einfach mit einem kostenlosen Tool wie z. B. JotForm, erstellen. Wenn Sie den Wissensstand Ihrer Mitarbeiter zu diesem Thema kennen, hilft Ihnen das, ein passendes Schulungsprogramm zu entwickeln.
2. Legen Sie klare BYOD-Richtlinien und Einschränkungen fest. Wenn Mitarbeiter ihre privaten Smartphones auch bei der Arbeit verwenden dürfen, sollten Sie eine BYOD-Richtlinie (Bring Your Own Device) aufstellen, die klare Erwartungen und Richtlinien definiert. Und zwar für alles von der App-Nutzung bis hin zur Erkennung von Cyberbedrohungen.
3. Nutzen Sie eine Zugriffskontrolle. Nicht jeder im Unternehmen muss auf alle Dateien zugreifen können. Beschränken Sie den Zugriff auf Datenbanken, Websites und Netzwerke auf nur die Personen, die den Zugriff brauchen, um ihre Arbeit zu erledigen. Dies reduziert die potenzielle Anfälligkeit für Smishing-Angriffe. Weisen Sie Mitarbeiter an, Dateien zu packen (zip) und per E-Mail zu versenden, anstatt andere, weniger sichere Methoden zu verwenden.
4. Geben Sie Ihren Mitarbeitern Gelegenheit, sich über potenzielle Betrügereien zu informieren. Sorgen Sie dafür, dass Ihr Team weiß, wie man Bedrohungen meldet und wo man Ratschläge hinsichtlich verdächtiger Nachrichten erhält. Sie benötigen jede Hilfe, die Sie bekommen können, um neuartige Angriffe zu erkennen und zu stoppen.
5. Informieren Sie alle Mitarbeiter über mögliche Smishing-Angriffe. Wenn Sie feststellen, dass jemand Ihr Unternehmen als Teil eines Smishing- oder Phishing-Betrugs benutzt, informieren Sie Kunden und Klienten so schnell wie möglich, um ungewollte Datenschutzverletzungen zu verhindern und den Schaden für das Unternehmen zu begrenzen. Verweisen Sie erneut auf die Unternehmensrichtlinien bezüglich der Abfrage von Kontoinformationen und der erlaubten Kommunikationsmethoden.
Fazit
Betrügereien auf Basis von Smishing-Textnachrichten sind nicht neu, und sie werden nicht so bald verschwinden. Smishing sollte als eines der vorrangigen Themen in Cybersicherheitsschulungen Eingang finden. Die überwiegende Zahl der Mitarbeiter nutzt private oder von der Firma zur Verfügung gestellte Mobiltelefone, um geschäftsbezogene Aufgaben zu erfüllen. Damit vergrößert sich die Angriffsfläche auch für Smishing. Cyberkriminelle sind ständig auf der Suche nach besseren Methoden oder sie versuchen, bewährten Praktiken neue Impulse zu geben. Es lohnt sich also hinsichtlich von Smishing-Betrug wachsam zu bleiben.
Hinweis: Dieser Blogbeitrag wurde von einem Gastautor geschrieben. Die ausgedrückten Meinungen sind lediglich die des betreffenden Autors und geben nicht unbedingt die Ansicht von GlobalSign wieder.