Was ist Smishing?
Smishing ist eine Art von Social-Engineering-Angriff, bei dem Täuschung, Bestechung oder andere Techniken eingesetzt werden, um das Opfer dazu zu bringen, das zu tun, was der Angreifer will. Smishing wird durch die Tatsache definiert, dass es SMS-Textnachrichten verwendet, was die Quelle seines Namens (SMiShing) ist.
Smishing hat als Cyberangriffstechnik in den letzten Jahren aufgrund der zunehmenden Nutzung mobiler Geräte an Bedeutung gewonnen. Viele Organisationen erlauben die Nutzung mobiler Geräte für geschäftliche Zwecke – entweder firmeneigene Telefone oder im Rahmen eines Bring-Your-Own-Gerät (BYOD)-Programms – was SMS zu einer gängigen Kommunikationsform macht.
Darüber hinaus nutzen viele Unternehmen – darunter Finanzdienstleister und Marken wie Apple, Amazon und Netflix – zunehmend SMS, um mit ihren Kunden zu kommunizieren. Dies gilt insbesondere für dringende Mitteilungen, wie z. B. Probleme mit dem Kundenkonto.
Smisher machen sich diese Tatsache zunutze, um ihre Angriffe plausibler zu machen. Smisming-Nachrichten tarnen sich häufig als Mitteilungen eines legitimen Anbieters und sollen die Zielperson dazu verleiten, auf einen bösartigen Link zu klicken. Dieser Ansatz nutzt einige Funktionen der SMS-Kommunikation, darunter:
- Link-Verkürzung: Viele seriöse Marken verwenden Link-Verkürzungsdienste (wie bit.ly) in SMS-Nachrichten aufgrund der begrenzten Nachrichtenlänge. Smisher machen sich die Tatsache zunutze, dass diese Dienste die Ziel-URL vor dem Benutzer verbergen und es so einfacher machen, einen Benutzer zum Besuch einer Phishing-Seite zu verleiten.
- Kein Link-Mouseover: Wenn Sie auf einem Computer mit dem Mauszeiger über einen Link fahren, kann das Ziel angezeigt werden. Dies ist bei mobilen Geräten nicht der Fall, wodurch es für einen Benutzer schwieriger wird, einen Link zu bestätigen, bevor er darauf klickt.
- Always-On-Mentalität: Die meisten Menschen sind ständig mit ihren Telefonen verbunden und daran gewöhnt, SMS-Nachrichten sofort zu lesen und zu beantworten. Diese Mentalität bedeutet, dass Smishing-Nachrichten die Zielperson eher dazu bringen, ohne nachzudenken zu handeln.
Was ist Phishing?
Phishing ist wie Smishing ein Cyberangriff, der auf Social Engineering basiert. Es ist jedoch nicht auf SMS-Nachrichten beschränkt, sondern verwendet eine Vielzahl verschiedener Messaging-Plattformen, um bösartige Nachrichten an den Benutzer zu übermitteln.
Im Allgemeinen nutzt Phishing eine von zwei Haupttechniken, um den Benutzer zu täuschen. Wie beim Smishing können bösartige Links verwendet werden, die das Ziel auf Phishing-Websites weiterleiten, die möglicherweise darauf ausgelegt sind, Benutzeranmeldeinformationen oder andere vertrauliche Daten zu stehlen oder Malware auf dem Gerät des Benutzers zu installieren. Alternativ können Phishing-Nachrichten bösartige Anhänge enthalten, die den Computer mit Malware infizieren sollen.
Während Phishing am häufigsten mit E-Mail in Verbindung gebracht wird, ist es ein allgemeiner Begriff für jeden Angriff dieser Art. Einige Formen von Phishing-Angriffen sind:
- Schmunzelnd: Phishing über SMS-Nachrichten.
- Vishing: Social Engineering am Telefon („Voice Phishing“).
- Spear Phishing: Phishing-Angriffe richten sich gezielt gegen eine Einzelperson oder eine kleine Gruppe.
- Walfang: Spear-Phishing-Angriffe, die auf hochrangige Führungskräfte innerhalb eines Unternehmens abzielen.
- Kompromittierung von Geschäfts-E-Mails (BEC): Phishing-Angriffe, bei denen sich der Angreifer als CEO oder andere Führungskraft ausgibt, um Mitarbeiter dazu zu verleiten, Geld oder Daten an den Angreifer zu senden.
Der Unterschied zwischen Smishing- und Phishing-Angriffen
Smishing ist eine besondere Art von Phishing-Angriff, bei dem SMS-Nachrichten verwendet werden, um schädliche Inhalte zu übermitteln. Während Phishing oft mit bösartigen E-Mails in Verbindung gebracht wird, kann dieser Angriff über jede Messaging-Plattform durchgeführt werden, einschließlich E-Mail, soziale Medien und Unternehmenskommunikations-Apps wie Slack und SMS.
Phishing- und Smishing-Prävention mit Check Point
Phishing und Smishing sind zwei der häufigsten Cyber-Bedrohungen, denen Unternehmen ausgesetzt sind. Da diese Angriffe auf Social Engineering basieren – Tricks, Bestechung oder Nötigung des Ziels, etwas zu tun – und nicht auf der Ausnutzung von Schwachstellen, sind sie für Angreifer oft einfacher durchzuführen. Daher nutzen Cyberkriminelle diese Angriffe häufig, um sensible Informationen zu stehlen oder als erste Stufe eines mehrphasigen Cyberangriffs.
Die Aufklärung der Mitarbeiter ist für die Phishing- und Smishing-Prävention wichtig, reicht aber allein nicht aus. Phishing-Angriffe werden immer ausgefeilter – insbesondere mit dem Aufkommen der generativen KI – und selbst der sorgfältigste Mitarbeiter ist möglicherweise nicht in der Lage, alle Angriffe zu erkennen und richtig darauf zu reagieren.
Check Point bietet Sicherheitslösungen, die einen umfassenden Schutz vor allen Phishing-Bedrohungen bieten, unabhängig davon, welches Medium zum Versenden der bösartigen Inhalte verwendet wird. Check Point Harmony Email and Office bietet starken Schutz vor E-Mail-basierten Phishing-Angriffen und wurde in der Forrester Wave 2023 for Enterprise Email Security als Leader ausgezeichnet. Um die Smishing-Bedrohung in den Griff zu bekommen, bietet Check Point Harmony Mobile an, das dieses Social-Engineering-Risiko sowie andere auf Mobilgeräte ausgerichtete Angriffsvektoren angehen kann. Wenn Sie mehr darüber erfahren möchten, wie Check Point vor Phishing und Smishing schützen kann, melden Sie sich noch heute für eine kostenlose Demo von Check Point Harmony Email and Office und Harmony Mobile an.
Feedback