Phishing ist tot, es lebe Smishing

Tatsächlich ist die Überschrift irreführend, Phishing ist leider noch nicht tot. Nach wie vor versuchen Cyberkriminelle mit allen möglichen Aufhängern, ihre Opfer zum Klick auf verseuchte Links oder Schadsoftware zu bringen. Eine aktuelle Studie von OpenText zum Umgang und den Erfahrungen deutscher Arbeitnehmer mit Phishing-/Scam-Mails sowie zum Thema Cyber-Resilienz zeigt, dass 79 Prozent der deutschen Büroangestellten bedenkenlos E-Mails von unbekannten Absendern öffnen. Aus den Ergebnissen geht weiterhin hervor, dass 28 Prozent der deutschen Befragten in den letzten zwölf Monaten mindestens einmal Opfer einer Phishing-Attacke waren. Kann es denn noch schlimmer werden? Es kann, denn nun kommt „Smishing“.

Immer öfter, dem Smartphone sei Dank, nutzen Angreifer mobile Kommunikationskanäle wie WhatsApp oder SMS, um ihre Opfer zu kontaktieren. Und das resultierende Angriffsmuster heißt eben „Smishing“ eine Kombination aus SMS und Phishing. In Zeiten verstärkter Home-Office Aktivität sind eben auch viele Mitarbeiter mit mobilen Endgeräten unterwegs. Für viele Tätigkeiten benötigt man nicht mehr als sein Firmen-Smartphone und -Laptop. Auch Produktionsprozesse werden zunehmend mobil gesteuert und eröffnen für Hacker ganz neue Möglichkeiten, abseits des E-Mail-Phishing an Unternehmensdaten zu gelangen. Das optimale Einfallstor ist dabei ein mobiles Endgerät. Smishing umfasst sämtliche Betrugsversuche per SMS, WhatsApp und anderen Messenger-Diensten, durch die Kriminelle versuchen, Malware zu verbreiten oder sensible Daten abzugreifen.

Auch wenn man es aufgrund der eingangs zitierten Studie nicht glauben möchte, sind dennoch zumindest einige Anwender hinsichtlich Phishing-Mails in der Inbox sensibilisiert. Der automatische Klick wurde endlich abtrainiert, die Zielobjekte lesen und überlegen ein wenig, bevor sie etwas tun, was sie besser gelassen hätten. Das gilt aber wohl nur für die klassische E-Mail auf dem PC oder Tablet. Klingelt das Handy mit einer Benachrichtigung für eine neue Instant-Message, sind die antrainierten Best Practices schnell vergessen. Smishing ist ein neues Phänomen, weswegen die potenziellen Opfer Gefahr laufen „mal eben schnell“ auf einen Link zu klicken, der auf eine täuschend echte Fake-Website führt. Genau das macht diese Geräte zu einem beliebten Ziel für Hacker. Auch wenn diese Fälle noch nicht separat in den Statistiken erfasst werden, nimmt Google Trends 2020 einen enormen Anstieg des Suchbegriffs wahr.

Hinzu kommt, dass Phishing-Angriffe in den letzten Jahren immer ausgefeilter geworden sind, was zu dem großen Erfolg dieser Attacken führt. Fake-SMS werden fast 1:1 von Nachrichten namhafter Unternehmen abgekupfert und erwecken damit beim Empfänger einen seriösen Eindruck. Beispielsweise vermeintliche Nachrichten eines Versandunternehmens, die einen betrügerischen Tracking-Link beinhalten. Smishing wird so zu einem sehr lukrativen Konzept für Cyberkriminelle.

Natürlich sind Smishing-Angriffe grundsätzlich nichts anderes als Phishing und wie man damit umgeht, müsste mittlerweile jedem klar sein. Es fängt damit an, dass mobile Endgeräte und deren spezifische Kommunikationskanäle wie WhatsApp als ebenso große Angriffsvektoren eingeschätzt werden wie ein typischer PC. Neben technischen Schutzmaßnahmen wie SMS-Blockern sollten Sicherheitsverantwortliche den Begriff „Smishing“ und dessen Bedeutung in ihre Awareness-Schulungen aufnehmen. Doch das allein reicht nicht. Wie immer ist es entscheidend, das Sicherheitskonzept ganzheitlich auf alle Geräte und Assets im Unternehmen auszudehnen und über Maßnahmen wie Least-Privilege und Zero-Trust eine Infektion auf einen möglichst kleinen Bereich zu beschränken.