Es ist Shopping-Saison, und das kann nur eines bedeuten: zahlreiche gefälschte SMS-Nachrichten, die mit dem Köder „verpasste Lieferung“ versuchen, unser Geld, unsere Daten und unsere Identitäten zu stehlen. Doch es gibt auch gute Nachrichten.
Gefahr geht von dieser Angriffsform in hohem Maße aus – Angriffe werden immer spezifischer und raffinierter.
Neue Formen von Konversationsmissbrauch
Im vergangenen Jahr konnte Proofpoint eine rasante Zunahme von Konversationsmissbrauch mittels Mobiltelefonen beobachten. Bei dieser Angriffsart senden die Täter mehrere Nachrichten und imitieren die Muster einer authentischen Kommunikation, um Vertrauen aufzubauen. In diesem Zeitraum hat das Volumen derartiger Attacken weltweit um 318 Prozent zugenommen. Das sogenannte Pig Butchering, über das Proofpoint bereits in der Vergangenheit berichtete, ist ein bemerkenswertes Beispiel für einen solchen Konversationsmissbrauch. Es ist jedoch nicht das einzige.
In einigen Teilen der Welt hat sich die Imitierung von Personen im Rahmen von Attacken zu einem bedeutenden Trend entwickelt. Dabei gibt sich der Angreifer als eine Person aus, die das Opfer kennt, z. B. ein Familienmitglied, ein Freund oder ein Geschäftspartner. Durch die Nachahmung wird die Wahrscheinlichkeit erhöht, dass das Opfer der Nachricht vertraut und sich in ein Gespräch verwickeln lässt.
In Großbritannien besteht zum Beispiel eine der häufigsten Taktiken darin, sich als Kind auszugeben, das sein Handy verloren hat oder dessen Akku defekt ist.
Dabei handelt es sich um ein klassisches Beispiel für Social Engineering, bei dem elterliche Ängste ausgenutzt werden, um das generelle Misstrauen zu umgehen. In einem nächsten Schritt wird das potenzielle Opfer in der Regel dazu überredet, die Konversation auf WhatsApp oder einem anderen Messaging-Dienst fortzusetzen, bevor die Anweisung für einen Geldtransfer erfolgt. Oft handelt es sich um einen kleinen Betrag, aber Proofpoint hat auch schon beobachten können, wie Täter größere Beträge angefordert und erhalten haben.
Ähnliche familienorientierte Nachrichten wurden auch in Neuseeland beobachtet. In den USA geben sich die Täter zumeist als Freund oder Geschäftspartner aus, der behauptet, einen Kontaktversuch verpasst zu haben, oder darum bittet, sich mit ihm zu treffen. Methoden, die in einem Land erfolgreich sind, werden oft auch in anderen Ländern angewandt.
Angreifer, die sich auf Betrugsversuche rund um Bewerbungen spezialisiert haben, setzen verstärkt auf das Handy zur Kontaktaufnahme. Nach dem Erstkontakt per SMS versuchen die Täter, das Gespräch mittels Messaging-Service fortzusetzen. Dabei besteht die Gefahr, Opfer eines Vorschussbetrugs oder eines Diebstahls persönlicher Daten zu werden. Opfer werden auch als Geldkuriere für kriminelle Banden missbraucht.
Stets wachsam bleiben und bösartige Nachrichten melden
Smishing-Angriffe sind allgegenwärtig und werden immer raffinierter. Mobiltelefone sind ein elementarer Teil unseres privaten, beruflichen und finanziellen Lebens. Angesichts immer vielfältigerer und gezielterer Betrugsversuche können die Kosten für die Opfer beträchtlich sein.
Wer auf Smishing, Spam oder andere verdächtige Inhalte stößt, sollte dies unbedingt mit Hilfe der Meldefunktionen in Android und iOS weitergeben. Ist die vereinfachte Meldefunktion nicht verfügbar, können Spam-SMS an die Nummer 7726 zur Meldung weitergeleitet werden – diese Nummer entspricht dem Wort „Spam“ auf der Telefontastatur.
www.proofpoint.com/de