Diesen Sommer warnte die CIFAS, der britische Service zur Betrugsabwehr, vor einer zunehmenden Bedrohung durch SMiShing. Diese Warnung wurde auch von der Tageszeitung The Guardian wiederholt.

Erste Berichte über SMiShing gehen bis in das Jahr 2006 zurück, als sich diese Bedrohung zum ersten Mal bemerkbar machte. Gespoofte oder anderweitig gefälschte SMS-Nachrichten wurden als Köder benutzt, um Opfer dazu zu verleiten, per SMS auf einen kostenpflichtigen Service zu reagieren, eine bösartige Website zu besuchen oder eine Telefonnummer anzurufen. Die SMS-Nachrichten selbst sind nicht bösartig, erfordern aber für ihre Erledigung oft sofort oder dringend die Aufmerksamkeit des Empfängers, wie z. B. Konto- oder Kreditkartendaten zu „bestätigen“ oderzu „aktivieren“, nicht vorhandene Abonnements zu kündigen oder fingierte Käufe zu bestätigen.

Beim SMiShing wird manchmal zusätzlich Vishing (Voice-Phishing) eingesetzt, wenn nämlich der Empfänger eine Telefonnummer anrufen muss, oder auch das gewöhnlichere Phishing, wenn der Empfänger angewiesen wird, eine bestimmte Website zu besuchen. Außerdem gibt es auch SMiShing-Nachrichten, die Empfänger auf bösartige Websites umleiten, wo ihr Computer dann infiziert wird.

„Jemand hat alle Ihre persönlichen und Bankdaten auf der Website – URL der bösartigen Website – veröffentlicht. Sie müssen diese jetzt löschen.“

„Achtung, diese Nachricht wurde automatisch von – Name der Bank – generiert. Ihre EC-Karte wurde gesperrt. Um die Karte zu entsperren, müssen Sie umgehend diese Nummer +##-####-#### anrufen.“

Wenn das Opfer die Nummer anruft, wird es beim Vishing von einem automatischen System (IVR), gelegentlich auch von einer echten Person, beispielsweise nach Kreditkartennummer, Kartenprüfnummer (Nummer auf der Rückseite Ihrer Kreditkarte), dem Ablaufdatum der Karte, Kontodaten oder sogar nach der PIN-Nummer der Karte gefragt. Oft haben es Kriminelle auch auf persönliche Daten, wie z. B. Geburtsdatum, Sozialversicherungs- oder Personalausweisnummer usw. abgesehen. Eine Audio-Aufnahme eines solchen Systems finden Sie hier.

Bei einer webbasierten Phishing-Bedrohung können auch mehr Daten entwendet werden, u. a. Angaben, die man nur schwer über eine Telefontastatur eingeben kann, wie z. B. den Geburtsnamen der Mutter oder eine E-Mail-Adresse. Mit diesen Angaben werden gefälschte Kreditkarten erstellt, oder sie werden als ID-Paket an andere Kreditkartenfälscher verkauft.

Werbung eines Kartenfälscherforums

Gleichzeitig ist auch ein Anstieg potenzieller, ausgehender Vishing-Anrufe zu beobachten. Diese Art von Anrufen nutzt das Vertrauen aus, das die Leute in das herkömmliche und ihnen vertraute Telefonsystem haben. Technologischer Fortschritt, insbesondere die Nutzung des Internets zum Telefonieren (VoIP), hat das Spoofing bzw. das Fälschen der Anrufer-ID sehr viel einfacher gemacht, so dass es deutlich schwieriger ist, den Betrüger zu entlarven und zu sperren. Diese Bedrohung hat sich schon so weit etabliert, dass telefonbasierte Cybercrime-as-a-Service-Einrichtungen bereits Geschäfte treiben.

Die Telefonnummer eines Vhishing-Anrufs ist gespooft und kommt häufig aus dem Ausland. Ein Beispiel wurde hier schon in einem früheren Blog genauer beschrieben.

Wenn Sie eine unerwartete Mitteilung erhalten, sei es per Telefon, E-Mail, SMS oder Brieftaube, und Sie darin aufgefordert werden, Ihre vertraulichen Daten einzugeben, sollten Sie *nicht reagieren*. Beantworten Sie die E-Mail oder die SMS nicht, sprechen Sie nicht mit der Person am anderen Ende der Leitung, und klicken Sie auf keinen der angezeigten Links. Notieren Sie sich stattdessen den Namen des Unternehmens, von dem die Mitteilung angeblich stammt, und setzen Sie sich direkt mit einem Mitarbeiter in Verbindung, um die Legitimität der Anfrage zu prüfen. Entgegen einigen Ratschlägen, die ich gelesen habe, sollten Sie die SMS oder E-Mail nicht sofort löschen, da die Inhalte für das Unternehmen, in dessen Namen die Mitteilung verschickt wurden, hilfreich sein könnten.

Wenn Sie Anti-Spam-Technologie fĂĽr SMS benötigen, brauchen Sie nicht weiterzusuchen (die Anwendung ist auch in der Pro-Version des Consumer-Produkts enthalten)…