CyberInsights
Der Blog rund um
Ihre Datensicherheit

Smishing: So gefährlich ist die SMS-Hackermethode für Unternehmen

Smishing: Erkennen & Schützen

SMS von unbekannten Absendern können insbesondere auf geschäftlich genutzten Smartphones großen Schaden anrichten. Angreifer verwenden dafür oftmals eine Methode, die sich Smishing nennt. Wir beleuchten, wie SMS-Phishing funktioniert und zeigen Lösungswege für Unternehmen auf, um Risiken zu minimieren.

Smishing: Wie SMS-Phishing funktioniert

Durch Smishing verschaffen sich Hacker Zugriff auf mobile Endgeräte wie Smartphones und können somit persönliche Daten oder Firmeninterna einsehen. Über eine SMS-Benachrichtigung verleiten sie ihre Opfer zur Ausführung bestimmter Handlungen: Links anzuklicken, Downloads zu starten oder Anhänge zu öffnen. Damit kann ein erstes Einfallstor entstehen, über das sich Cyberkriminelle Zugang zu vertraulichen Informationen verschaffen können. Durch das Öffnen eines Links gelangt das Opfer auf eine manipulierte Website, auf der entweder Daten abgefragt werden oder auf einen Download verwiesen wird. Häufig erfragte Informationen sind:

  • Persönliche Daten wie Name und Adresse, die zum Informationsdiebstahl verwendet werden können.
  • Online-Anmeldeinformationen wie Benutzername und Passwörter, mittels derer Angreifer Zugriff auf Daten in weiteren Anwendungen erhalten.
  • Finanzdaten, die weiterverkauft werden können oder Online-Betrug ermöglichen.

Dabei erweisen sich einige Smishing-Attacken als besonders raffiniert:  Die Verwendung von Bots ermöglicht es Cyberkriminellen, SMS zu personalisieren, indem sie beispielsweise den Standort des Empfängers aufgreifen. Auch Pretexting ist gängig: Angreifer rufen dabei zunächst beim Opfer an und erfragen persönliche Informationen, um die SMS anschließend vertrauenswürdiger zu gestalten. Werden nachvollziehbare Motive für einen solchen Anruf genannt und die Opfer in einem stressigen Moment erreicht – beispielsweise zwischen zwei Meetings – geschieht es schnell, dass vertrauliche Daten preisgegeben werden.

Um Mitarbeitende über die Risiken und Raffinessen von Vorgehensweisen wie Smishing aufzuklären, sollten Entscheider konsequent auf individuelle Trainings und Workshops setzen. Einige Dienstleiter bieten hierfür gezielte Security Awareness Schulungen an, in denen die gesamte Belegschaft zum richtigen Umgang mit Cyberrisiken befähigt wird.

Beispiele für bewährte Smishing-Angriffe

Phishing-SMS auf Dienstgeräten haben in der Vergangenheit bereits häufiger für Aufruhr gesorgt. Im Herbst 2021 griffen laut Bundesamt für Sicherheit in der Informationstechnik (BSI) Smishing-Angreifer bevorzugt auf zwei Taktiken zurück: Die SMS enthielten Informationen über eine vorliegende Sprachnachricht – oder eine Infizierung mit einem Schadprogramm. Zusätzlich bauten die Angreifer mit der Aussage Druck auf, dass auf dem Smartphone gesicherte Fotos oder Dokumente geleakt worden seien. Der angehängte Link verleitete zum Download der angeblichen Voicemail oder eines neuen Virenschutzprogramms.

Auswirkungen für Unternehmen

Gerade letztere Smishing-Attacken sind für Empfänger unangenehm: Die Vorstellung, sie könnten für ein Datenleck verantwortlich sein, erhöht die Wahrscheinlichkeit, auf eine solche SMS hereinzufallen. Für Unternehmen kann das ernste Folgen haben: Gelangt Malware durch Smishing in die firmeninternen Netzwerke, vergeht in der Regel erst einige Zeit, bis die IT-Abteilung darauf aufmerksam wird. Genug Zeit für Cyberkriminelle, um Daten stehlen, verkaufen und veröffentlichen zu können. Das führt nicht nur zu finanziellen Einbußen – Unternehmen müssen auch mit einem herben Vertrauensverlust ihrer Kunden rechnen.

So erkennen und schützen Sie sich vor einem Smishing-Angriff

Ist die Malware über gefälschte SMS ins Firmennetz eingedrungen, sind die Auswirkungen schwer abzuschätzen. Die entstandenen Datenlecks müssen umgehend geschlossen werden, damit kein weiterer Schaden entsteht. Deshalb sollten Unternehmen folgende Vorkehrungen treffen:

Smishing erkennen

Häufig enthalten Phishing-SMS Anzeichen, die auf die unglaubwürdige Quelle hindeuten. Diese können sein:

  • Der Hinweis auf eine Paketzustellung oder einen angeblichen Gewinn, obwohl Nutzer nichts bestellt und an keinem Gewinnspiel teilgenommen haben – vor allem nicht mit dem dienstlichen Smartphone.
  • Rechtschreib- und Grammatikfehler zeigen, dass der Absender der Nachricht nicht für ein professionelles, glaubwürdiges Unternehmen arbeitet. 
  • Hinweise auf Bankmitteilungen. Eine Bank würde jedoch den persönlichen Kontakt suchen, sodass in einem solchen Fall die Finanzabteilung kontaktiert werden sollte.
  • Auch der Absender kann ein Indiz für das Erkennen von Smishing sein. Meist werden Phishing-SMS von unbekannten Nummern verschickt, weshalb hier besondere Vorsicht gilt, wenn Ihnen ein Link zugesandt wird. Es kann aber auch vorkommen, dass ein Handy von einer Ihnen bekannten Person infiziert wurde und nun automatisiert gefährliche SMS verschickt.

Wichtige Sicherheitsvorkehrungen für Unternehmen

Mit den richtigen Maßnahmen können Unternehmen die Risiken von Smishing senken:

  1. VPN verwenden: Die VPN ist eine legitime Art zur Verschleierung der IP-Adresse. Unbefugte können diese nicht einsehen und haben keinen Zugriff auf Daten wie den Standort oder die Webaktivitäten. Phishing-SMS können dank VPN leichter erkannt werden, wenn sie sich auf einen Standort beziehen, da die VPN einen falschen Standort vortäuscht.
  1. Multi-Faktor-Authentifizierung: Bei der Multi-Faktor-Authentifizierung wird die Zugangsberechtigung durch mehrere unabhängige Merkmale, wie einer speziellen PIN, einer Zugangskarte oder dem Fingerabdruck, überprüft. Das Stehlen von Passwörtern und Benutzernamen reicht somit häufig nicht mehr aus, um Cyberkriminellen den erwünschten Erfolg zu verschaffen.
  1. Umfassendes Sicherheitskonzept: Entwickeln Unternehmen ein einheitliches und umfassendes Konzept für den Umgang mit Bedrohungen aus dem Netz, beispielsweise durch die Verwendung eines Schwachstellenscanners oder die regelmäßige Durchführung von Pentests , sichern sie sich zusätzlich ab. Im Falle eines Angriffs wird dieser frühzeitig erkannt und abgewehrt.

Idealerweise setzen Unternehmen bei der Erhöhung ihrer IT-Sicherheitsvorkehrungen auf einen starken Partner. Ein geeigneter Dienstleister unterstützt weit über Security Awareness Trainings hinaus – mit einem 360-Grad Ansatz, um Bedrohungen durch Cyberkriminelle proaktiv vorzubeugen.

Smishing-Link angeklickt? Unsere Handlungsempfehlungen

Ergänzend zu den Sicherheitsvorkehrungen empfiehlt es sich, der eigenen Belegschaft konkrete Handlungsempfehlungen für den Ernstfall an die Hand zu geben. Diese Maßnahmen können Mitarbeitende direkt ergreifen, um Schlimmeres zu vermeiden:

  • Den Flugmodus zu aktivieren, unterbindet den Versand und Empfang von weiteren SMS und verhindert, dass die Schadsoftware mit anderen Geräten kommuniziert. 
  • Eine Drittanbietersperre kann durch den Mobilfunkanbieter veranlasst werden. Diese blockiert den Zahlungsweg über die Mobilfunkrechnung.
  • Die Durchführung von Schwachstellenscans ermöglicht es Unternehmen, Sicherheitslücken so schnell wie möglich zu erkennen – und damit auch Datenraub oder das Eindringen von Malware zu verhindern. IT-Security Tools wie cyberscan.io® prüfen die komplette IT-Landschaft und erkennen Schwachstellen ebenso wie bestehende Risiken.

Fazit: Smishing effektiv entgegenwirken

Die Auswirkungen von Smishing können Unternehmen große Probleme bereiten. Durch aufmerksames und gut geschultes Personal sowie Vorkehrungen wie einem umfassenden IT-Sicherheitskonzept wirken Unternehmen dieser Art von Cyberangriffen effektiv entgegen. Insbesondere IT-Sicherheitstrainings und ein kontinuierliches Schwachstellen-Monitoring tragen zum wirksamen Schutz vor Smishing bei.

Sie möchten mehr über den Schutz vor Smishing erfahren? Dann nehmen Sie Kontakt zu uns auf – wir beraten Sie gerne.

Aktuelle Beiträge

Pressekontakt

Uwe Budowsky
Telefon: +49 461 995838-21
E-Mail: presse@dgc.org

Folgen Sie uns auf

Abonnieren Sie unseren Newsletter rund um das Thema Cybersicherheit

Mit unserem Cyberletter sind Sie stets topaktuell informiert - über Schwachstellenmeldungen, aktuelle IT-Bedrohungsszenarien sowie andere relevante Nachrichten aus dem Bereich Cyber Security und Datensicherheit

Mit der Anmeldung akzeptiere ich den Umgang mit meinen personenbezogenen Daten (§13 DSGVO) und stimme der Datenschutzerklärung zu.

Soforthilfe im IT-Notfall
24h Hotline
Wenn Sie einen IT-Sicherheitsvorfall bemerken, zögern Sie nicht.
Kontaktieren Sie unsere Spezialisten, um umgehend Hilfe zu erhalten.
Notfallnummer