Smishing: So schützen Sie sich vor Phishing-SMS
Neue Betrugsmasche: Über gefälschte Nachrichten werden Zugansdaten des Smartphone-Besitzers gestohlen © enjoys25 /
"Ihr Paket wird bald geliefert - zur Sendungsverfolgung klicken Sie auf diesen Link." Wer kennt solche Meldungen nicht? Kaum ist Online eine Bestellung gemacht, schon kommt vom Zustelldienst eine Benachrichtigung. Den bekannten Vorgang nutzen Hacker aus.
In Deutschland gibt es seit geraumer Zeit eine Welle an Textnachrichten, in denen schädliche Links zugesendet werden. Dies nennt man Smishing, eine Phishing-Masche über SMS. Verpackt ist das Ganze als Paket-Textnachricht, die zum Klicken eines Links auffordert. Dahinter steckt eine Schadsoftware namens FluBot, die besonders Android-Nutzer trifft. Die Malware kann auf wichtige Daten zugreifen, wie Kontakte oder Bankdaten, die auf dem Smartphone gespeichert sind.
Lesetipp: Android sicher machen: 10 Tipps, die Sie beachten sollten
Die von Cyberkriminellen gesteuerte Software wird als eine notwendige App von DHL oder FedEx getarnt, die für die Verfolgung der Sendung installiert werden muss. Wird diese installiert, kann die Schadsoftware auf zahlreiche Daten zugreifen. Bei Apple iOS-Nutzern öffnet sich nach Anklicken des Links eine Werbe- oder Phishing-Seite.
Anzeige
Warnzeichen für eine Phishing-SMS
In der SMS befinden sich Rechtschreibfehler/falsche Grammatik
Der Betroffene wird aufgefordert, persönliche Daten einzugeben
Nachricht über Sendungsverfolgung, obwohl kein Paket bestellt wurde
kryptische Links oder unseriöser Absender
So werden die Nachrichten zum Beispiel verschickt:
"Ihr paket wird heute zum Absender zurückgesendet. Letzte Moglichkeit es abzuholen." (Link)
"Hallo (Ihr Name), Der Kurier nahm das Paket ab. Track:" (Link)
"(Ihre Nummer) Sie haben ein ungelostes Problem mit Ihrem Paket:" (Link)
(Die Textnachrichten sind mit zahlreichen Fehlern gespickt.)
Anzeige
Beispiel Fake-SMS: So versuchen Hacker mit gefälschten Nachrichten zum Klicken auf den Link aufzufordern. © Bundesamt für Sicherheit in der Informationstechnik
Anzeige
Datenklau per SMS kann teuer werden
Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) wollen sich die Hacker beim Smishing hauptsächlich den Zugang zu Bankkonten ergattern. Die Mobilrufnummern könnten sich die Cyberkriminellen teilweise über den erst kürzlich bekannt gewordenen Facebook-Datenklau ergattert haben, von dem über 500 Millionen Accounts betroffen waren. Seitdem warnt das BSI aufgrund der Smishing-Welle in Deutschland zu erhöhter Vorsicht.
Was tun, wenn eine gefälschte SMS ankommt?
Zuallererst gilt: Nicht den Link anklicken!
Wenn eine Smishing-Nachricht eintrifft und gelesen wird, passiert erst einmal nichts. Am Besten einfach löschen, wenn Sie eine verdächtige SMS erhalten. Sie kann als Beweis natürlich auch als Screenshot gespeichert werden. Zusätzlich sollten Sie prüfen, ob das Smartphone schon das neueste Sicherheitsupdate installiert hat.
Bei Android-Smartphones sollte die Installation von Apps aus unbekannten Quellen deaktiviert werden. Für iOS-Nutzer sind Programme ohnehin nur aus dem offiziellen App-Store installierbar. Somit wird die Schadsoftware zum größten Teil abgeblockt. Allerdings können Phishing-Seiten auch andere Malware enthalten, die zum Beispiel Sicherheitslücken im Browser ausnutzen und auf diesem Weg das Smartphone infizieren kann.
Zusätzlich können Sie als Maßnahme über Ihr Betriebssystem den Absender der SMS blockieren, um weitere Nachrichten auszuschließen.
Anzeige
Sicherheits-Tipps Smartphone-Sicherheit: Schutz vor Hackern und Malware Auch Smartphones können Ziele von Hackerangriffen und Malware werden. Dabei kann man schon mit einfachen Maßnahmen die mobile Sicherheit erhöhen.
Anzeige
Link angeklickt oder Daten eingegeben?
Hegen Sie den Verdacht für eine Smishing-Nachricht erst, wenn der Link schon angeklickt oder bereits Daten eingegeben wurde? Dann gibt es einige Möglichkeiten zur Schadensbegrenzung.
Das BSI rät in diesem Fall das Smartphone möglichst schnell nach dem Anklicken des Links in den Flugmodus zu setzen. Damit kann man zum Beispiel einen weiteren SMS-Versand von FluBot an andere Kontakte unterbinden.
Zudem sollten Sie den Mobilfunkanbieter über den Vorfall informieren. Falls Bankdaten angegeben wurden oder in Ihrem Smartphone gespeichert sind, sollten Sie umgehend auch Ihre Bank kontaktieren. In jedem Fall sollten Sie Ihre Abbuchungen auf dem Konto im Auge behalten.
Das Smartphone sollte möglichst schnell in die Werkseinstellung zurückgesetzt werden, um installierte und gespeicherte Daten zu löschen. Fotos, Videos und persönliche Dateien können vorab über ein externes Medium gespeichert werden.
Haben Sie die Nachrichten als Beweis gespeichert, kann der Vorfall außerdem bei der örtlichen Polizeidienststelle zur Strafanzeige gebracht werden.
Mehr dazu: Bundesamt für Sicherheit in der Informationstechnik
Anzeige
Telekom Hilfe
Phishing-Seiten sprießen wie Pilze aus dem Boden. Derartige Internetseiten werden von Jahr zu Jahr authentischer, so dass man den Unterschied zur Original-Website kaum noch erkennen kann. So berauben Online-Kriminelle ihre oft ahnungslosen Opfer um deren Zugangsdaten mit dem Ziel, ihre Bankkonten leer zu räumen. Aber was bedeutet Phishing? Wie schütze ich mich vor derartigen Angriffen? Wie erkenne ich, dass ich einem Phishing-Angriff bzw. Versuch zum Opfer fiel? Was kann ich tun, wenn ich Opfer eines Phishing-Angriffs wurde?
Was bedeutet Phishing?
Beim Phishing (engl. angeln) nutzen Online-Kriminelle täuschend echte Köder wie Homepages von Banken, um Ihren Opfern persönliche Zugangsdaten wie Passwörter oder PINs Ihres Online-Banking-Zugangs zu entlocken. Geködert wird das Opfer meist mit E-Mails, die so echt wirken, dass man nur schwer einen Unterschied zur originalen Webseite bemerkt. Darin wird der Kunde aufgefordert, seine vertraulichen Daten einzugeben. Sind die Daten vom ahnungslosen Opfer einmal eingegeben, verschaffen sich die Täter Zugang zum Benutzerkonto des Phishing-Opfers und richten hohe finanzielle Schäden an. Als Köder werden bevorzugt Online-Anbieter genutzt, bei denen die Eingabe von Zugangsdaten notwendig ist. Zum Beispiel Online-Bankkonten, Online-Bezahlsystemen (wie PayPal) oder Online-Shopping-Anbieter (wie Amazon).
Wie kann ich mich schützen?
Zu aller erst kann eine gesunde Portion Misstrauen als Schutz gegen Phishing-Attacken hilfreich sein. Eine Bank verlangt niemals von Ihnen die Eingabe von Passwörtern oder TAN-Nummern via E-Mail. Bei offiziellen Anschreiben beginnt die Mail zudem meist mit einer direkten Anrede und nicht mit Formulierungen wie "Sehr geehrter Kunde". Das kann ein Zeichen für eine Phishing-Mail sein.
Generell gilt: Wenn Sie unsicher sind, ob eine Mail echt ist, fragen Sie direkt bei dem Unternehmen nach.
Weitere Maßnahmen können Sie vor einem Phishing-Angriff schützen:
Browser-Nutzung
Im Zweifelsfall sollten Sie die Web-Adresse des gewünschten Unternehmens selbst im Internet-Browser eintippen oder ein gespeichertes Lesezeichen nutzen. Weiterhin verfügt jeder neuere Browser heutzutage über einen Phishing-Schutz bzw. einen Filter. Ist eine Webseite nicht vertrauenswürdig, wird diese vom Browser blockiert und der Nutzer darüber informiert.
Im Zweifelsfall sollten Sie die Web-Adresse des gewünschten Unternehmens selbst im Internet-Browser eintippen oder ein gespeichertes Lesezeichen nutzen. Weiterhin verfügt jeder neuere Browser heutzutage über einen Phishing-Schutz bzw. einen Filter. Ist eine Webseite nicht vertrauenswürdig, wird diese vom Browser blockiert und der Nutzer darüber informiert. Sichere Passwörter
Verwenden Sie für sensible Zugänge unbedingt sichere Passwörter. Wie Sie ein sicheres Passwort erstellen, erfahren Sie in unserem Ratgeber zum Thema "Sichere Passwörter" .
Verwenden Sie für sensible Zugänge unbedingt sichere Passwörter. Wie Sie ein sicheres Passwort erstellen, erfahren Sie in unserem Ratgeber zum Thema . HTML-Scripts deaktivieren
Deaktivieren Sie die HTML-Script-Funktion in Ihrem E-Mail-Programm. Denn die meisten Phishing-Mails greifen auf HTML-Scripts zurück. Sie können die Funktion wieder aktivieren, wenn Sie zum Beispiel eine E-Mail-Grußkarte anschauen wollen. Oder Sie nutzen einen E-Mail-Filter, wie ihn viele Antivirenprogramme bieten. Wichtig ist hier jedoch, dass Sie die Virenschutzsoftware regelmäßig aktualisieren.
Deaktivieren Sie die HTML-Script-Funktion in Ihrem E-Mail-Programm. Denn die meisten Phishing-Mails greifen auf HTML-Scripts zurück. Sie können die Funktion wieder aktivieren, wenn Sie zum Beispiel eine E-Mail-Grußkarte anschauen wollen. Oder Sie nutzen einen E-Mail-Filter, wie ihn viele Antivirenprogramme bieten. Wichtig ist hier jedoch, dass Sie die Virenschutzsoftware regelmäßig aktualisieren. Aktuelle Technologie für Online-Banking nutzen
Einige Kreditinstitute nutzen Zertifikate, um die Authentizität von Informationen zu bestätigen. Andere Unternehmen bieten Chipkartenlesegeräte für die heimische Nutzung an. Wickeln Sie Ihr Online-Banking sicherheitshalber, anstatt über den Browser, über eine eigene Software ab.
Das Sicherheitspaket Komplett bietet zusätzlich eine Identity Safe-Funktion. Damit werden Ihre Anmeldedaten, Passwörter, persönlichen Daten und Ihre Identität beim Einkaufen im Web optimal geschützt.
Einige Kreditinstitute nutzen Zertifikate, um die Authentizität von Informationen zu bestätigen. Andere Unternehmen bieten Chipkartenlesegeräte für die heimische Nutzung an. Wickeln Sie Ihr Online-Banking sicherheitshalber, anstatt über den Browser, über eine eigene Software ab. Das Sicherheitspaket Komplett bietet zusätzlich eine Identity Safe-Funktion. Damit werden Ihre Anmeldedaten, Passwörter, persönlichen Daten und Ihre Identität beim Einkaufen im Web optimal geschützt. Sichere E-Mail-Adresse
Die meisten Anbieter von E-Mail-Adressen sind heutzutage mit einem Spamschutz ausgerüstet. Nutzen Sie zum Beispiel E-Mail@magenta.de ( Mail M ), so erhalten Sie Spamschutz Plus inklusive für Ihr E-Mail-Konto und Ihr Postfach ist vor gefährlichen E-Mails geschützt.
Wie erkenne ich, dass ich einem Phishing-Angriff bzw. Versuch zum Opfer fiel?
E-Mails mit folgenden Inhalten können auf einen vermutlichen Phishing-Angriff hinweisen:
Sie erhalten eine Warnung und Drohungen bezüglich einer Kontoschließung z. B. für Ihr Bankkonto oder ein Konto bei einem Online-Shopping-Anbieter wie Amazon. Es handelt sich hier meist um Unternehmen, mit denen Sie regelmäßig Geschäfte tätigen.
Versprechungen von Geld für wenig oder keinen Aufwand, zum Beispiel durch Heimarbeit.
Geschäfte, die sich zu gut anhören, um wahr zu sein.
Aufforderung zu einer Spende an eine Wohltätigkeitsorganisation nach einer Katastrophe, die vor Kurzem in den Nachrichten war.
Weitere Anzeichen sind:
Grammatik- oder Schreibfehler in der empfangenen E-Mail oder im integrierten Ziel-Link können auf eine gefälschte Website führen, wo Sie zur Eingabe persönlicher Informationen aufgefordert werden. Oder Phishing-Mails können so aussehen, als ob Sie von jemandem aus Ihrem E-Mail-Adressbuch gesendet wurden. Achten Sie auf Schreibfehler in E-Mail-Adressen oder Ziel-Links wie Mirosoft (anstatt Microsoft), oder
Einige Phishing-E-Mails können original aussehende Logos und andere Informationen von seriösen Websites beinhalten oder überzeugende Details über Ihre Vergangenheit beinhalten, die Betrüger in sozialen Netzwerken über Sie gefunden haben.
Sie können in Phishing-Mails aufgefordert werden, eine Telefonnummer anzurufen. Rufen Sie diese Nummer an, wird der Anruf von einer Person oder einem Anrufbeantworter beantwortet. Damit können Ihre Kontonummer, Ihre PINs zu verschiedenen Konten, Ihr Kennwörter oder andere persönliche Informationen entlockt und aufgezeichnet werden.
Was kann ich tun, wenn ich Opfer eines Phishing-Angriffs wurde?
Haben Sie bemerkt, dass Sie einem Betrug im Internet zum Opfer gefallen sind? Sobald Sie wissen, dass Sie Opfer einer Phishing-Mail oder -Website geworden sind, sollten Sie umgehend folgende Maßnahmen ergreifen:
TALKS: IT-Sicherheit. So schützen Sie sich vor Datenklau, Hackern und Phishing. - Hans Thormählen GmbH & Co. KG
IT-Sicherheit im Betrieb. So schützen Sie sich vor Datenklau, Hackerangriffen, Phishing und Ransomware.
Wann: 26.08.2021
Uhrzeit: 10:30 – 12:00 Uhr
Beschränken sich die Maßnahmen Ihres Betriebs zur IT-Sicherheit auf die Installation eines Softwarepakets aus Antivirus-Programm und Firewall?
Der Diebstahl Ihrer digitalen Identität beispielsweise kann von (Cyber-) Kriminellen für den unbefugten Zugang zu von Ihnen genutzten Portalen, Netzwerken oder Bankkonten missbraucht werden. Im Expertentalk wurde über diese und viele weitere Sicherheitsthemen aufgeklärt.
Das waren unsere Experten:
Jürgen Schüler, BIT, Cybersicherheit und DSGVO, HWK Rheinhessen
Tim Berghoff, Security Evangelist, G DATA CyberDefense AG
Maximilian Holtz, IT-Leitung, BROCHIER Holding GmbH + Co. KG Dipl.-Ing.
Reyno Thormählen, Geschäftsführer, Hans Thormählen GmbH & Co. KG
Agnieszka Pawlowska, Referentin beim Bundesamt für Sicherheit in der Informationstechnik