Vergleich: Smishing, Vishing, Phishing

Smishing, Vishing und Phishing sind eng miteinander verwandt. Beim Smishing (SMS-Phishing) werden betrügerische Textnachrichten verwendet, um Opfer dazu zu bringen, schädlichen Links zu folgen oder vertrauliche Informationen preiszugeben. Bei Vishing-Angriffen (Voice-Phishing) werden Telefonanrufe verwendet, um Opfer dazu zu bringen, Informationen preiszugeben oder betrügerische Zahlungen zu tätigen. Phishing umfasst Smishing, Vishing und viele andere Techniken, die darauf abzielen, unterschiedliche Ziele und Kommunikationskanäle für dieselben Zwecke auszunutzen.

Fördert ChatGPT Smishing-Betrug?

Bedrohungsakteure können große Sprachmodelle (LLMs) wie ChatGPT missbrauchen, um noch überzeugendere Smishing-Betrugsmaschen zu entwickeln, indem sie die Fähigkeit von LLMs ausnutzen, natürliche menschliche Kommunikation schnell nachzuahmen. Generative KI ist eine sich rasch entwickelnde Technologie. Die ethischen Rahmenbedingungen und Einschränkungen ihrer Verwendung sind Gegenstand laufender Debatten in der Cybersicherheitsbranche.

Woher wissen Sie, ob Sie Opfer eines Smishing-Angriffs sind?

Wenn Sie einen Smishing-Versuch vermuten, können Sie einige Maßnahmen ergreifen. Seien Sie bei unerwünschten Textnachrichten immer vorsichtig, insbesondere wenn Sie darin zum schnellen Handeln gedrängt werden. Überprüfen Sie den Absender – die meisten Organisationen fragen nicht per Textnachricht nach vertraulichen Informationen. Achten Sie auf allgemeine Begrüßungen, vage Angaben oder Fehler. Folgen Sie vor allem keinen Links in verdächtigen Nachrichten. Normalerweise können Sie den vermeintlichen Absender über einen offiziellen Kanal erreichen, um die Legitimität einer Nachricht zu bestätigen.

Was ist ein Smishing-Text?

Ein Smishing-Text ist eine Textnachricht (z. B. SMS oder Direktnachrichten auf Diensten wie WhatsApp, Facebook Messenger, Twitter und vielen anderen), die darauf abzielt, Opfer dazu zu bringen, vertrauliche Informationen wie Anmelde- oder Finanzdaten preiszugeben. In den meisten Fällen scheinen Smishing-Texte von einem vertrauenswürdigen Absender zu stammen, der eine dringend erscheinende Anfrage stellt.

Können Sie gehackt werden, wenn Sie auf eine SMS antworten?

Ob Sie gehackt werden können, wenn Sie auf eine Textnachricht antworten, hängt von Ihrer Antwort ab. Wenn Sie tun, was der Smisher verlangt (z. B. Informationen weitergeben, einem Link folgen), setzen Sie sich wahrscheinlich einem Angriff aus. Wenn Sie das nicht tun, ist es unwahrscheinlich, dass Sie gehackt werden. Unabhängig davon ist es am sichersten, eine verdächtige Nachricht zu blockieren und zu melden.

Zpedia

/ Was ist Smishing (SMS-Phishing)?

Was ist Smishing (SMS-Phishing)?

Smishing ist eine Art Social-Engineering-Angriff, der über betrügerische Textnachrichten durchgeführt wird. Wie andere Phishing-Angriffe auch nutzen Smishing-Betrugsmaschen die Gutgläubigkeit oder Angst der Menschen aus, um ein Gefühl der Dringlichkeit zu erzeugen und die Opfer dazu zu verleiten, vertrauliche Informationen (z. B. Anmeldedaten, Kreditkartennummern) preiszugeben. Smishing ist eine gängige Taktik beim Identitätsdiebstahl.

So stoppen Sie Phishing-Angriffe mit Zscaler

Zum Phishing-Report von ThreatLabz 2024

Weitere Informationen zur Zscaler Zero Trust Exchange

Schutz vor Cyberbedrohungen Data Protection

Funktionsweise
Arten von Smishing
Beispiele
Effektive Abwehrmaßnahmen
Was Sie machen sollten
Schutz durch Zscaler
Empfohlene Ressourcen
FAQs
Ähnliche Themen

Wie funktionieren Smishing-Angriffe?

Wie bei allen Formen des Phishings verfolgen erfolgreiche Smishing-Angriffe zwei Ziele: Sie gewinnen das Vertrauen eines Opfers und missbrauchen es dann, um ihm private Informationen oder Geld zu entlocken. Wie gehen Betrüger konkret vor?

Sehen wir uns zunächst die Angriffsvektoren an. Smishing, auch SMS-Phishing genannt, muss nicht unbedingt über eine SMS-Textnachricht oder ein Mobilgerät erfolgen. Es kann auch in Messaging-Apps, Foren oder Social-Media-Plattformen wie Facebook, X (Twitter) oder Reddit vorkommen.

Absender geben sich oft als Personen aus, die ihre Opfer auf die eine oder andere Weise „kennen“. Typische Beispiele hierfür sind Finanzinstitute, Einzelhändler, Vorgesetzte oder Behörden. Dies führt dazu, dass die Opfer ihre Wachsamkeit vernachlässigen und nicht kritisch über die Absichten der Angreifer nachdenken.

Effektive Smishing-Nachrichten überzeugen die Opfer, sofort zu handeln. Normalerweise wird dem Opfer ein negatives Ergebnis präsentiert, das es vermeiden kann (Schließung des Kontos, Zahlung einer Gebühr, Disziplinarmaßnahmen usw.), oder ein positives Ergebnis, das es einfordern kann (eine Belohnung, eine Lieferung usw.). In beiden Fällen wird in der Nachricht etwas verlangt, beispielsweise vertrauliche Informationen oder eine Zahlung.

In jüngster Zeit haben vorgefertigte „Phishing-Kits“ und generative KI-Tools es Bedrohungsakteuren leichter gemacht, schnell Angriffe zu starten.

Zitat

„Mithilfe von Phishing-Kits und KI-Tools können Bedrohungsakteure hochwirksame E-Mail-, Smishing- und Vishing-Kampagnen im großen Maßstab durchführe.“

Deepen Desai, Global CISO und Head of Security, Zscaler

Warum führen Angreifer Smishing-Betrug durch?

Die meisten Smishing-Angriffe sind, wie auch andere Phishing-Betrügereien, finanziell motiviert. Cyberkriminelle haben es entweder direkt auf die Finanzdaten ihrer Opfer abgesehen, um ihnen das Geld zu stehlen, oder sie sind auf der Suche nach Informationen, die sie auf dem Schwarzmarkt verkaufen können, wie etwa wertvolle personenbezogene Daten oder geistiges Eigentum von Unternehmen. In selteneren Fällen versuchen Smishing-Kampagnen, die Opfer zum Herunterladen von Malwarezu verleiten.

Smishing-Angriffe profitieren außerdem von einem allgemeinen Mangel an Schulung, Aufklärung und Bewusstsein der Opfer, insbesondere im Vergleich zu E-Mail-basiertem Phishing. Darüber hinaus sind weitaus weniger Sicherheitslösungen darauf ausgelegt, Smishing-Spam zu erkennen oder zu blockieren. Hinzu kommt, dass es bei vielen Voice-over-IP-Diensten (VoIP) extrem einfach ist, die Anrufer-ID zu missbrauchen, um bestimmte Nummern oder Namen anzuzeigen.

Zudem kann man mit Smishing leicht ein breites Netz auswerfen, was es zu einem attraktiven Ziel für potenzielle Cyberbedroher macht. Angesichts von mehr als 4,6 Milliarden Smartphone-Nutzern im Jahr 2023 und Prognosen von über 5 Milliarden bis 2027 (Statista) ist die Zahl der potenziellen Opfer praktisch unbegrenzt.

Arten von Smishing-Angriffen

Ein Grund, warum Smishing und andere Arten von Phishing-Angriffen so heimtückisch sind, liegt darin, dass es viele Möglichkeiten gibt, einen Smishing-Angriff zu gestalten. Sehen wir uns einige der gängigen Ansätze und Frameworks von Smishern an.

Beim Gewinn- und Paketbetrug wird die Vorfreude des Opfers auf einen Gewinn (Geschenkkarte, Lottogewinn usw.) oder einen auf die Lieferung wartenden Artikel ausgenutzt. Angreifer geben sich häufig als große Einzelhandels- oder Paketzustellunternehmen aus – beispielsweise Amazon, Costco, FedEx oder UPS – und fordern eine Adresskorrektur, Kreditkarteninformationen, eine Versandgebühr oder Ähnliches an. Normalerweise leiten sie die Opfer zu einem bösartigen Link weiter, der darauf ausgelegt ist, den Diebstahl dieser Informationen zu ermöglichen.
Bank- und Finanzbetrüger machen sich die Sensibilität vieler Menschen in Finanzfragen zunutze, um heftige und schnelle Reaktionen zu provozieren. Angreifer geben sich als Bankunternehmen aus – oder, um die Angst zu verstärken, als eine Organisation wie das Finanzamt – und informieren das Opfer über ein Problem mit seinem Bankkonto, eine ausstehende Rückerstattung, eine überfällige Zahlung, eine Ermittlung oder etwas Ähnliches, um damit den Diebstahl von Anmeldedaten, Sozialversicherungsnummern, Kreditkartennummern oder anderen Bankdaten vorzutäuschen.
Bei Anlagebetrügereien wie dem gängigen „Pig Butchering“ werden die Opfer (die „Schweine“) dazu manipuliert, in Kryptowährungen zu investieren, und oftmals hohe Renditen versprochen. Betrüger drängen ihre Opfer dazu, Konten auf gefälschten Krypto- oder Finanzhandelsplattformen zu eröffnen, und erwecken durch anfängliche Gewinne ein falsches Gefühl der Legitimität. Sobald sich der Betrüger unbefugten Zugriff auf das Konto des Opfers verschafft hat, führt er betrügerische Transaktionen durch und raubt sämtliches Geld vom Konto.
Bei Betrugsversuchen mit Kontoüberprüfungen und Passwörtern werden die Opfer dazu verleitet, ihre Konten zu kompromittieren – oft, paradoxerweise, indem ihnen vorgegaukelt wird, dass ihre Konten kompromittiert wurden. Dies kann mit URL-Spoofing einhergehen, um überzeugende gefälschte Anmeldeportale zu erstellen. Bei einigen komplexen Angriffen mit Kontodiebstahl können Hacker Antworten auf Sicherheitsfragen oder Codes für die Multifaktor-Authentifizierung (MFA) anfordern und so zusätzliche Cybersicherheitsmaßnahmen umgehen.
Opportunistische und themenbezogene Betrugsmaschen nutzen die Ängste, Hoffnungen oder das soziale Verantwortungsgefühl der Opfer im Zusammenhang mit aktuellen Ereignissen oder Trends aus, um sie um Geld und/oder personenbezogene Daten zu betrügen. Gängige Beispiele der letzten Jahre sind unter anderem Betrug bei der Terminvereinbarung für die COVID-19-Impfung, falsche Wohltätigkeitsorganisationen im Zusammenhang mit Kriegen und Naturkatastrophen, Wirtschaftsbetrug im Zusammenhang mit Studienkrediten, Steuern, Förderprogrammen und Beschäftigungsmöglichkeiten und mehr.

Beispiele für Smishing-Betrug

Sehen wir uns nun einige Beispiele für echte Smishing-Versuche sowie einige Warnsignale bei diesen Angriffen an, anhand derer sie sich als Cyberangriffe erkennen lassen.

Beispiel 1: USPS-Paket-Smishing

Diese Nachricht ist voller Warnzeichen, die eine Erkennung als Smishing einfach machen. Beachten Sie das Fehlen spezifischer Details, wie etwa eines Namens oder eines Lager-Standorts, die merkwürdigen Abstände und seltsame Zeichenfolgen wie „7cng.vip“ in der angegebenen URL.

Zudem weist etwa der United States Postal Inspection Service ausdrücklich darauf hin, dass „USPS Kunden keine Textnachrichten oder E-Mails sendet, ohne dass diese den Service zunächst mit einer Sendungsverfolgungsnummer angefordert haben. Die Nachrichten enthalten KEINEN Link.“

Beispiel 2: Costco-Umfrage-Smishing

Dieser Smishing-Text ist etwas schwieriger zu identifizieren, weist aber dennoch zahlreiche verräterische Merkmale auf. Erstens bezeichnet sich die Costco Wholesale Corporation nicht als „CostcoUSA“. Wie bei der gefälschten USPS-Nachricht ist der Wortlaut etwas gestelzt und künstlich. Das deutlichste Anzeichen für Smishing ist die URL, da legitime Costco-Kommunikation immer von einer Costco-Domäne stammt.

Smisher können äußerst raffiniert vorgehen, doch wenn Sie wissen, wonach Sie suchen müssen, gibt es oft subtile und weniger subtile Möglichkeiten, ihre Versuche zu erkennen.

So schützen Sie sich vor Smishing-Angriffen

Smishing lässt sich nur schwer gänzlich vermeiden. Glücklicherweise gibt es jedoch viele wirksame Möglichkeiten, sich dagegen zu wehren, bevor es Schaden anrichten kann:

Einfach ignorieren: Wenn Sie eine Smishing-Nachricht erhalten, müssen Sie eigentlich nichts tun. Wenn Sie festgestellt haben, dass eine erhaltene Nachricht nicht legitim ist, können Sie sie einfach löschen, ohne dass weitere Konsequenzen zu befürchten sind. Smishing funktioniert nur, wenn das Opfer tatsächlich anbeißt.
Kritisch denken: Eine der besten Möglichkeiten, einen Smishing-Versuch zu erkennen, besteht darin, innezuhalten und nachzudenken – genau das, was die Angreifer verhindern wollen. Wenn Sie eine verdächtige Textnachricht erhalten, denken Sie über die konkreten Umstände nach. Haben Sie damit gerechnet, von dem angeblichen Absender zu hören? Hat sich der Absender eindeutig identifiziert? Ist die Anfrage angemessen?
Achten Sie auf Warnzeichen: Untersuchen Sie die Details genau. Stammt die Nachricht von einer Telefonnummer, die Ihrer verdächtig ähnlich ist? Wenn ja, könnte das auf „Neighbor Spoofing“ hinweisen. Enthält es E-Mail-Adressen oder Links? Stellen Sie sicher, dass sie mit den tatsächlichen Kontaktinformationen oder offiziellen Kanälen übereinstimmen, die Sie vom Absender erwarten. Gibt es unklare Angaben oder Fehler? Legitime Geschäftsnachrichten werden zumeist sorgfältig auf Fehler überprüft.
Überprüfen: Wenn Sie sich immer noch nicht sicher sind, ob eine Nachricht echt ist oder nicht, können Sie über einen offiziellen Kanal separat beim Absender nachfragen. Sie können beispielsweise auf der Website Ihrer Bank eine Kundenservicenummer nachschlagen oder mit einem Mitarbeiter chatten.
Blockieren und/oder Melden: Sie können Ihr eigenes Risiko sowie die Wahrscheinlichkeit verringern, dass andere Opfer von Smishing werden, indem Sie Smishing-Versuche blockieren und melden. Die meisten privaten Messaging-Apps sowie die Apple-Betriebssysteme iOS und Android verfügen über integrierte Blockierungs- und Meldefunktionen, die auch dabei helfen, andere User beim Erhalt verdächtiger Nachrichten zu warnen.

Was tun, wenn Sie einem Smishing-Anfall zum Opfer gefallen sind?

Wenn Sie feststellen oder auch nur den starken Verdacht haben, dass Sie Opfer von Smishing geworden sind, können Sie dennoch Maßnahmen ergreifen, um den Schaden eines erfolgreichen Angriffs zu begrenzen.

Meldung bei den zuständigen Behörden. Die meisten Banken verfügen über robuste Betrugsbekämpfungssysteme und können Ihnen möglicherweise sogar dabei helfen, verlorene Gelder zurückzuerhalten. Im Falle eines schwerwiegenderen Betrugs oder Identitätsdiebstahls können Sie eine Anzeige bei der Polizei erstatten oder eine zuständige Behörde kontaktieren .
Aktualisieren Sie kompromittierte Anmeldeinformationen. Wenn ein Angreifer über Ihre Kontodaten verfügt, besteht jederzeit die Gefahr, dass er sie verwendet. Ändern Sie betroffene Passwörter, PINs und dergleichen umgehend. Wenn Sie eine legitime E-Mail zur Bestätigung einer Passwortänderung erhalten, die Sie nicht angefordert haben, wenden Sie sich umgehend an den Absender.
Halten Sie Ausschau nach böswilligen Aktivitäten. Achten Sie anschließend auf Anzeichen weiterer Beeinträchtigungen in den betroffenen Bereichen. Sie können für viele Konten Betrugswarnungen anfordern, um verdächtige Aktivitäten leichter erkennen zu können.

Smishing-Schutz von Zscaler

Die Kompromittierung von Usern ist eine der größten Herausforderungen im Bereich der Sicherheit, da sie auf der Ausnutzung der menschlichen Natur beruht. Um aktive Sicherheitsverletzungen zu erkennen und den Schaden zu minimieren, den erfolgreiche Angriffe verursachen können, müssen Sie wirksame Kontrollen zur Phishing-Prävention als Teil einer umfassenderen Zero-Trust-Strategie einsetzen.

DieZscaler Zero Trust Exchange™ basiert auf einer ganzheitlichen Zero-Trust-Architektur, um die Angriffsfläche zu minimieren, Kompromittierungen vorzubeugen, laterale Bewegungen zu eliminieren und Datenverluste zu stoppen. Sie schützt vor Smishing-Angriffen und anderen Cyberbedrohungen durch:

Verhindern von Kompromittierungen: Funktionen wie lückenlose TLS/SSL Überprüfung, Browser-Isolierung, URL-Filterung und Erkennung von Phishing-Sites (einschließlich Links in SMS und auf Mobilgeräten), richtliniengesteuerte Zugriffskontrolle und Bedrohungsinformationenin Echtzeit schützen User vor bösartigen Websites.
Vermeidung lateraler Bewegungen: Sobald Angreifer erst einmal in Ihrem Netzwerk sind, können sie sich ausbreiten und noch größeren Schaden anrichten. Die Zero Trust Exchange verbindet User direkt mit Apps und nicht mit Ihrem Netzwerk. Dadurch wird die Reichweite etwaiger Angriffe begrenzt. Decoys werden eingesetzt, um Angreifer in die Irre zu führen und laterale Bewegungen zu erkennen.
Stoppen von Insider-Bedrohungen: Unsere Cloud-Proxy-Architektur stoppt Exploit-Versuche privater Unternehmensanwendungen durch vollständige Inline-Prüfung und erkennt selbst die raffiniertesten Angriffstechniken mit fortschrittlichen Täuschungstaktiken.
Datenverluste werden verhindert: Die Zero Trust Exchange überprüft sowohl ruhende als auch in Übertragung befindliche Daten, um potenziellen Datendiebstahl im Zuge eines laufenden Angriffs zu verhindern.