[datensicherheit.de, 15.01.2025] Cyber-Kriminelle haben nach ESET-Erkenntnissen eine neue Methode gefunden, um an Daten von „iMessage“-Nutzern zu gelangen: Mit SMS-Phishing-Nachrichten (sogenanntes Smishing), zum Beispiel Benachrichtigungen über den Paketversand, bringen sie ihre Opfer demnach derzeit dazu, darauf zu antworten und damit Phishing-Links zu aktivieren. „Wer hierauf hereinfällt, gibt persönliche Daten wie Passwörter, Kreditkarteninformationen oder Postadressen preis und macht sich zur Zielscheibe für weitere Phishing-Angriffe!“, warnt ESET in einer aktuellen Stellungnahme.

ESET-Sicherheitsexperte „Smishing“ nach wie vor eine beliebte Angriffsmethode

„Cyber-Kriminelle sind äußerst kreativ, wenn es darum geht, Sicherheitsfunktionen zu umgehen“, betont Jake Moore, Sicherheitsexperte bei ESET, und führt aus: „Smishing ist nach wie vor eine beliebte Angriffsmethode. Die meisten Menschen erkennen sie auf den ersten Blick, indem sie zum Beispiel sofort die Echtheit der Nachricht in Frage stellen. Dennoch fallen immer noch zu viele Nutzer darauf herein und lassen sich unter Druck setzen, einen fragwürdigen Link zu aktivieren.“

Apples „iMessage-App“ deaktiviere Links aus fremden Quellen, um Nutzer vor unbekannten Absendern zu schützen, sei es eine E-Mail-Adresse, eine Telefonnummer oder ein Link zu einer Website. „Wenn der Empfänger jedoch auf eine Nachricht antwortet oder den Absender zu seinen Kontakten hinzufügt, werden die Links wieder aktiviert.“

Art der Kommunikation laut ESET nicht ungewöhnlich – wird auch von legitimen Absendern verwendet

Diese Funktion nutzten Cyber-Kriminelle gezielt aus: In letzter Zeit häuften sich SMS-Phishing-Angriffe, bei denen die Angreifer ihre Opfer dazu verleiteten, auf die Nachricht zu antworten. Meist sollten sie mit einem „Y“ für „Yes“ reagieren oder alternativ den Link im „Safari“-Browser öffnen.

Das Perfide laut Moore: „Diese Art der Kommunikation ist nicht ungewöhnlich und wird auch von legitimen Absendern verwendet. Mobilfunkbetreiber nutzen sie beispielsweise, um ihre Nutzer über verbrauchtes Datenvolumen zu informieren und direkt zusätzliches Volumen anzubieten und zu verkaufen. Die Kunden schreiben dann den gewünschten Tarif zurück und erhalten umgehend das bestellte Produkt.“

Abbildung: ESET

ESET zeigt ein Beispiel für eine Smishing-Nachricht

ESET-Warnung für Deutschland: Angebliche Paket-Benachrichtigungen bei Hackern beliebt

Deutsche Nutzer erhielten häufig Benachrichtigungen über angeblich im Zoll festsitzende Pakete oder fehlende Adressdaten. Wie bei vielen anderen Phishing-Methoden bauten die Hacker hinter den Nachrichten gezielt Druck auf, indem sie für die Rückmeldung eine kurze Frist setzten.

„Kommen Nutzer der Aufforderung nach, werden sie auf eine Phishing-Seite weitergeleitet, auf der sie ihre persönlichen Daten eingeben sollen und sie damit direkt in die Hände der Kriminellen legen.“ Hinzu komme: Wenn Nutzer auf diese Nachricht antworteten, aktivierten sie nicht nur den bösartigen Link – sie signalisierten ihrem Gegenüber auch, „dass sie generell anfällig für Phishing-Nachrichten sind“. Im schlimmsten Fall ziehe dies weitere Betrugsversuche in der Zukunft nach sich.

ESET-Sicherheitsempfehlungen:

„Vermeiden Sie es, auf Nachrichten von unbekannten Kontakten zu antworten, da dies den integrierten Schutz von ,iMessage’ außer Kraft setzt und Sie anfällig für Phishing macht. Prüfen Sie immer die Legitimität einer Nachricht, bevor Sie etwas unternehmen, besonders wenn sensible Informationen verlangt werden!“, legt Moore abschließend nahe. Davon abgesehen sollte man eigene Online-Konten mit einer Zweifaktor-Authentifizierung (2FA) absichern – damit blieben sensible Daten sicher, „selbst wenn Zugangsdaten in die falschen Hände geraten“.

Weitere ESET-Tipps:

• Klicken Sie niemals auf Links in SMS von unbekannten Absendern: Seriöse Unternehmen oder Organisationen fordern Sie nicht unter Druck per SMS dazu auf, Links anzuklicken!
• Bleiben Sie skeptisch bei dringlichen Nachrichten: Lassen Sie sich nicht verunsichern und prüfen Sie die Echtheit der Nachricht, insbesondere wenn der Absender künstlich Druck aufbaut!
• Geben Sie keine persönlichen Daten preis: Seriöse Unternehmen fragen niemals Daten wie Passwörter, Kreditkartendaten usw. per SMS ab!
• Rufen Sie offizielle Websites direkt auf: Besuchen Sie die Website des Unternehmens direkt, indem Sie die Adresse selbst im Browser eingeben, anstatt einem SMS-Link zu folgen!

Weitere Informationen zum Thema:

BLEEPINGCOMPUTER, Lawrence Abrams, 12.01.2025
Phishing texts trick Apple iMessage users into disabling protection

welicesecurity by eseT, Jake Moore, 22.01.2021
Scams / Smishing: What it is and why we fall for these scams so easily / Here’s how to spot scams where criminals use deceptive text messages to hook and reel in their marks

[datensicherheit.de, 05.08.2022] Dermot Harnett und W. Stuart Jones, IT-Sicherheitsexperten bei Proofpoint, haben nach eigenen Angaben die Parallelen und Unterschiede zwischen sogenanntem Phishing und Smishing näher untersucht: Der Diebstahl von Anmeldedaten per E-Mail, also Phishing, sei nach wie vor die häufigste Form der Cyber-Kriminalität. Allerdings sei das Smishing ein schnell wachsendes Pendant zum E-Mail-Phishing – es nutze SMS, MMS, RCS und andere Nachrichtenarten, um Anmeldedaten zu erbeuten. In den USA beispielsweise hätten sich die Smishing-Raten im letzten Jahr, 2021, fast verdoppelt, und dieser Trend werde sich in diesem Jahr, 2022, fortsetzen. Die beiden Proofpoint-Experten gehen demnach in ihrer aktuellen Stellungnahme davon aus, dass die Erfolgsquote von Smishing-Angriffen insgesamt wesentlich höher ist als die von E-Mail-Phishing – obwohl das Volumen der E-Mail-Angriffe nach wie vor um ein Vielfaches höher sei.

Smishing-Kits ähnlich wie Phishing-Kits im DarkWeb zu kaufen

Eine moderne E-Mail-Phishing-Kampagne sei nicht schwierig zu realisieren: Es reiche eine Person mit einem Computer und Zugang zu gängigen „Cloud“-Diensten. Bei einer Smishing-Operation ergebe sich hingegen ein anderes Bild. Während Smishing-Kits ähnlich wie Phishing-Kits im DarkWeb zum Kauf angeboten würden, erfordere der Zugriff auf und der Missbrauch von Mobilfunknetzen etwas mehr Investitionen.

Im Gegensatz zum Internet handele es sich bei Mobilfunknetzen um geschlossene Systeme. Dies mache es schwieriger, anonym Nachrichten zu erstellen und über das Netz zu versenden. Um eine bösartige Mobilfunknachricht zu versenden, müsse sich ein Smishing-Angreifer zunächst Zugang zum Netz verschaffen, „was ausgeklügelte Exploits oder spezielle Hardware erfordert“.

„SIM-Bank“-Hardware sei in letzter Zeit im Preis gesunken, aber die Geräte könnten immer noch Hunderte oder sogar Tausende Euro kosten – „je nachdem, wie viele SIM-Karten unterstützt werden und wie viele gleichzeitige mobile Verbindungen sie aufbauen können“. Auch die aktiven SIM-Karten zur Verwendung in ihrer SIM-Bank müssten die Kriminellen bezahlen. Sobald Mobilfunk-Netzbetreiber bösartige Nummern identifizieren und sperren, benötigten die Kriminellen neue SIM-Karten, was weitere Kosten verursache.

Physische Beschaffenheit der Mobilfunknetze erhöht Entdeckungsrisiko für Smishing-Kriminelle

Die physische Beschaffenheit von Mobilfunknetzen erhöhe auch das Entdeckungsrisiko für Smishing-Kriminelle. So sei in einem konkreten Fall in Großbritannien der Täter in einem Hotelzimmer verhaftet worden. Dies sei nicht ungewöhnlich – Netzbetreiber könnten mit Hilfe von Mobilfunkmasten den Ursprungsort krimineller Aktivitäten feststellen. Smishing-Angreifer müssten daher sehr mobil sein und häufig den Standort wechseln, um nicht erwischt zu werden.

„Obwohl wichtige strukturelle Unterschiede zwischen Smishing und Phishing bestehen, weisen diese Angriffe beim Einsatz von ,Social Engineering‘ viele Gemeinsamkeiten auf.“ Im Grunde beruhten beide Ansätze auf Lockmitteln, welche die menschliche Psychologie auszunutzen versuchten: „Sie nutzen die Verlustängste potenzieller Opfer ebenso wie vermeintlich dringliche Anliegen oder autoritäres Auftreten, um die Opfer zu einer Aktion zu bewegen.“

Aufgrund der Unterschiede zwischen E-Mail- und Mobile-Messaging-Formaten seien Smishing-Nachrichten kürzer und weniger aufwändig als viele E-Mail-Köder. „Wenn die Ausführung im Detail auch variieren mag, bleibt allerdings das Druckmittel eines verpassten Pakets oder einer Aufforderung des Chefs dasselbe.“

Smishing und herkömmliches Phishing zeigen Ähnlichkeiten bei der Ansprache potenzieller Opfer

Smishing und herkömmliches Phishing zeigten auch Ähnlichkeiten in der Art und Weise, potenzielle Opfer anzusprechen. „Zusätzlich zu den Massenmails verwenden beide gleichsam spezifischere ,Spear Phishing/Smishing‘-Techniken. Bei diesen Angriffen nutzen Cyber-Kriminelle detaillierte Nachforschungen, um ihre Nachrichten zu personalisieren, und zielen dabei oft auf höherrangige Personen innerhalb einer Organisation ab.“

Mobiltelefonnummern könnten leicht mit einer Reihe von persönlichen Informationen verknüpft werden, „was sie zu einer wirkungsvollen Quelle für Spear-Smishing-Angriffe macht“.

Wie bei der Opferansprache bestünden auch ähnliche saisonale Kampagnenmuster bei Phishing und Smishing: „Die Sommermonate sind in der Regel ruhiger, und über die Feiertage im Winter ruhen die Aktivitäten oft vollständig.“

Abb.: proofpoint

proofpoint: Wesentliche Unterschiede Smishing vs. Phishing

Größere Anfälligkeit für Smishing-Angriffe

Für viele E-Mail-Nutzer sei es zur Normalität geworden, Spam und andere Arten gefährlicher Nachrichten zu ignorieren. „Da die mobile Nachrichtenübermittlung noch vergleichsweise jung ist, haben viele Menschen immer noch ein hohes Maß an Vertrauen in die Sicherheit der mobilen Kommunikation.“

Einer der wichtigsten Unterschiede zwischen Smishing und Phishing liege also in der größeren Anfälligkeit für Smishing-Angriffe. Die Klickraten auf URLs in mobilen Nachrichten seien bis zu achtmal höher als bei E-Mails. „Diese Empfänglichkeit besteht auch in Märkten, in denen Dienste wie ,WhatsApp‘ und ,Messenger‘ die SMS als dominierendes Mittel der mobilen Textkommunikation abgelöst haben.“ Menschen erwarteten von Organisationen und Unternehmen, dass sie wichtige Nachrichten per SMS (oder „Whatsapp“ etc.) schickten und reagierten schnell, wenn sie solche Nachrichten erhalten.

Die stärkere Nutzung von Links gegenüber Anhängen sei ein weiteres wichtiges Unterscheidungsmerkmal. „Mobilnachrichten sind kein effektiver Weg, um bösartige Anhänge zu versenden, da viele Geräte das Side-Loading beschränken und Messaging-Dienste die Größe von Anhängen begrenzen.“ Stattdessen würden bei den meisten mobilen Angriffen eingebettete Links verwendet – selbst bei der Verbreitung von Malware wie „FluBot“, welche sich im vergangenen Jahr, 2021, in Großbritannien und Europa ausgebreitet habe. Bei E-Mail-Angriffen hingegen enthielten immer noch etwa 20 bis 30 Prozent der bösartigen Nachrichten Malware-Anhänge.

Erfolgsquote bei Smishing-Angriffen wesentlich höher als beim E-Mail-Phishing

Persönliche Telefonnummern gäben auch Standortinformationen in Form einer Ortsvorwahl preis. Dies könne Möglichkeiten zur standort- und sprachbasierten Anpassung bieten, „die bei einer E-Mail-Adresse nicht gegeben sind“.  Ebenso hätten Endnutzer nur begrenzte Möglichkeiten zu sehen, wie die SMS-Nachricht weitergeleitet wurde, „da sie nur die Nummer sehen, von der sie scheinbar gesendet wurde“. Während sowohl Mobilfunknummern als auch E-Mail-Adressen maskiert werden könnten, enthielten E-Mail-Kopfzeilen (Header) viel detailliertere Informationen darüber, wie eine Nachricht an die Empfänger weitergeleitet wurde, „und ermöglichen es ihnen eher, eine bösartige Nachricht zu erkennen“.

„Als Schnittstelle zwischen privatem und beruflichem Leben sind Mobiltelefone ein wertvolles Ziel für Cyber-Kriminelle“, betonen die beiden Proofpoint-Experten in ihrem Fazit. Ein einziges Gerät könne Daten enthalten, „die Zugang zu privaten und geschäftlichen Konten, sensiblen persönlichen Informationen und vertraulichen Geschäftsdokumenten ermöglichen“. Smishing-Aktivitäten gingen mit Zeichenbegrenzungen, Standortbeschränkungen und erhöhten Kosten einher, aber die Lehren aus dem E-Mail-Phishing würden Cyber-Kriminellen helfen, ihre Gewinne aus Smishing-Kampagnen zu maximieren. „Insgesamt scheint die Erfolgsquote bei Smishing-Angriffen wesentlich höher als beim E-Mail-Phishing, obwohl das Volumen der E-Mail-Angriffe nach wie vor um ein Vielfaches größer ist.“

Vor diesem Hintergrund sei es von entscheidender Bedeutung, dass „Security Awareness“-Trainings das Smishing analog zu seinem Gefahrenpotenzial behandele, zumal das allgemeine Misstrauen gegenüber Mobilnachrichten noch nicht das erforderliche Niveau erreicht habe.

Weitere Informationen zum Thema:

proofpoint
What Is Security Awareness Training?

[datensicherheit.de, 06.04.2021] Laut aktuellen Medienberichten in den vergangenen Tagen soll es zu einem Diebstahl von mehr als 500 Millionen Datensätzen bei Facebook gekommen sein. Jacinta Tobin, „Vice President Cloudmark Operations“ bei Proofpoint, geht in ihrer Stellungnahme auf den Trend des sogenannten Smishings ein und gibt auch ein paar Tipps, um die eigene Gefährdung vor diesen Angriffen deutlich zu reduzieren.

Smishing-Nachrichten in den letzten 12 Monaten um 300% pro Quartal zugenommen

„Der Diebstahl persönlicher Informationen bei Facebook wird zweifellos zu einem deutlichen Anstieg von Cyber-Angriffen via SMS – ,Smishing‘ – führen. Es ist ein Trend, den wir vor allem während der ,Pandemie‘ immer häufiger beobachten konnten“, berichtet Tobin.
So hätten sogenannte Smishing-Nachrichten in den letzten zwölf Monaten bereits um 300 Prozent pro Quartal zugenommen. In erster Linie zielten die Angreifer auf Privatpersonen ab. Tobin warnt: „Jedoch haben wir zugleich einen besorgniserregenden Anstieg der Angriffe auf Unternehmen festgestellt: Mehr als 81 Prozent der Unternehmen meldeten im Jahr 2020 einen solchen Angriff.“

Smishing missbraucht Namen einer bekannten Marke

Ein wichtiger Bestandteil solcher Betrugsversuche via SMS sei der Missbrauch des Namens einer bekannten Marke in Kombination mit der Aufforderung, auf einen schädlichen Link zu klicken. Verbraucher vertrauten mobilen Nachrichten mehr als ihren E-Mails.
Insofern seien sie viel eher bereit, in SMS-Texten enthaltene Links zu lesen und darauf zuzugreifen. „Dieses Maß an Vertrauen, gepaart mit der Reichweite mobiler Geräte, macht den mobilen Kanal geradezu ideal für Betrug und Identitätsdiebstahl“, erläutert Tobin.

Anti-Smishing-Tipps

„Wir empfehlen den Anwendern, die Spam-Meldefunktion ihres Messaging-Clients zu nutzen, sofern sie über eine solche Funktion verfügen. Verbraucher sollen außerdem sehr skeptisch gegenüber mobilen Nachrichten sein, die von unbekannten Quellen stammen.“ Dabei sei es wichtig, niemals auf Links in Textnachrichten zu klicken, egal wie vertrauenswürdig sie aussehen.
Tobin rät: „Wenn Sie den vermeintlichen Anbieter kontaktieren möchten, so tun Sie dies am besten direkt über dessen Website und geben Sie dabei die URL immer manuell ein. Angebotscodes sollen ebenfalls direkt auf der Website eingegeben werden.“ Ungewöhnlich klingende Texte oder Texte von unbekannten Quellen sollten unbeantwortet bleiben – „wenn Nutzer auf solche Nachrichten antworten, so bestätigen sie zukünftigen Betrügern, dass Sie eine echte Person sind“.