Smishing und Vishing sind Arten von Phishing-Angriffen, die versuchen, ihre Opfer mit SMS-Nachrichten und Anrufen zu ködern. Beide stützen sich auf die gleichen emotionalen Appelle, die bei herkömmlichen Phishing-Betrügereien eingesetzt werden, und sollen Sie zu dringenden Handlungen veranlassen. Der Unterschied liegt in der Übermittlungsmethode.
„Cyberdiebe können Manipulationstechniken auf viele Kommunikationsformen anwenden, da die zugrunde liegenden Prinzipien gleich bleiben“, erklärt Stu Sjouwerman, CEO von KnowBe4, der für Sicherheitsbewusstsein zuständig ist. „Die Opfer werden mit einem Köder angelockt und dann mit einem Haken gefangen.“
Was ist Smishing?
Smishing Definition: Smishing (SMS-Phishing) ist eine Art von Phishing-Angriff, der über SMS (Short Message Services) auf Mobiltelefonen durchgeführt wird.
Gleich wie bei E-Mail-Phishing-Betrügereien enthalten Smishing-Nachrichten in der Regel eine Drohung oder Verlockung, auf einen Link zu klicken oder eine Nummer anzurufen und vertrauliche Informationen zu übermitteln. Manchmal wird auch vorgeschlagen, eine Sicherheitssoftware zu installieren, die sich als Malware entpuppt.
Smishing-Beispiel: Eine typische Smishing-SMS könnte in etwa so lauten: „Ihr ABC-Bank-Konto wurde gesperrt. Um Ihr Konto zu entsperren, tippen Sie hier: https://bit.ly/2LPLdaU“, und über den angegebenen Link wird Malware auf Ihr Telefon heruntergeladen. Betrüger sind auch geschickt darin, sich an das Medium anzupassen, das sie verwenden. So können Sie eine Textnachricht erhalten, in der es heißt: „Ist das wirklich ein Foto von Ihnen? https://bit.ly/2LPLdaU“, und wenn Sie auf den Link tippen, um das herauszufinden, laden Sie wiederum Malware herunter.
Was ist Vishing?
Vishing Definition: Vishing (Voice Phishing) ist eine Art von Phishing-Angriff, der per Telefon durchgeführt wird und oft auf Nutzer von Voice-over-IP-Diensten (VoIP) wie Skype abzielt.
Betrüger haben es leicht, die Anrufer-ID zu fälschen, so dass sie den Anschein erwecken können, sie würden von einer lokalen Vorwahl oder sogar von einer Ihnen bekannten Organisation anrufen. Wenn Sie nicht abnehmen, hinterlassen sie eine Voicemail-Nachricht mit der Aufforderung, zurückzurufen. Manchmal wird bei dieser Art von Betrug ein Anrufbeantworter oder sogar ein Callcenter eingesetzt, das nichts von dem Verbrechen weiß, das begangen wird.
Auch hier ist das Ziel, Kreditkartendaten, Geburtsdaten, Kontoanmeldungen oder manchmal auch nur Telefonnummern aus Ihren Kontakten zu erhalten. Wenn Sie darauf reagieren und zurückrufen, erscheint möglicherweise eine automatische Nachricht, die Sie auffordert, Daten zu übermitteln, und viele Menschen stellen dies nicht in Frage, weil sie automatisierte Telefonsysteme inzwischen als Teil des täglichen Lebens akzeptieren.
Wie man Smishing und Vishing verhindert
Wir sind heutzutage bei E-Mails etwas vorsichtiger, weil wir daran gewöhnt sind, Spam zu erhalten, und Betrügereien an der Tagesordnung sind, aber Textnachrichten und Anrufe kommen vielen Menschen immer noch legitimer vor. Da wir immer mehr unserer Einkäufe, Bankgeschäfte und andere Aktivitäten online über unsere Telefone abwickeln, werden die Möglichkeiten für Betrüger immer größer. Um zu vermeiden, dass man ein Opfer wird, muss man innehalten und nachdenken.
„Gesunder Menschenverstand ist eine allgemeine bewährte Praxis und sollte die erste Verteidigungslinie einer Person gegen Online- oder Telefonbetrug sein“, sagt Sjouwerman.
Obwohl die Ratschläge, wie man vermeiden kann, in die Fänge von Phishing-Betrügern zu geraten, mit Blick auf E-Mail-Betrügereien geschrieben wurden, gelten sie genauso für diese neuen Formen des Phishings. Vertrauen Sie niemandem, das ist ein guter Anfang. Tippen oder klicken Sie niemals auf Links in Nachrichten, suchen Sie Nummern und Website-Adressen heraus und geben Sie sie selbst ein. Geben Sie keine Informationen an einen Anrufer weiter, wenn Sie nicht sicher sind, dass es sich um einen seriösen Anrufer handelt – Sie können immer noch zurückrufen.
Vorsicht ist besser als Nachsicht, also gehen Sie immer auf Nummer sicher. Kein Unternehmen wird Ihnen einen Vorwurf machen, wenn Sie auflegen und dann direkt anrufen (nachdem Sie die Nummer nachgeschlagen haben), um sicherzugehen, dass sie auch wirklich die sind, für die sie sich ausgeben.
Aktualisieren Sie Ihr Bewusstseinstraining
Während es im Alltag ein guter Rat ist, immer auf der Hut zu sein, ist es in der Realität so, dass Menschen am Arbeitsplatz oft unvorsichtig sind. Sie sind vielleicht abgelenkt, stehen unter Druck und wollen mit ihrer Arbeit weitermachen, und Betrügereien können teuflisch clever sein. Was ist, wenn die SMS scheinbar vom CEO kommt oder der Anruf scheinbar von jemandem aus der Personalabteilung? Mit der richtigen Schulung und klaren Richtlinien können Sie Ihre Mitarbeiter stärken und Ihren Schutz verbessern.
Jedes Unternehmen sollte eine Art verpflichtendes, regelmäßiges Schulungsprogramm für das Sicherheitsbewusstsein haben. Es kann bewährte Praktiken für die allgemeine Sicherheit beinhalten, aber auch Richtlinien festlegen, z. B. an wen man sich im Falle eines verdächtigen Vorfalls wenden soll oder wie mit bestimmten sensiblen Mitteilungen umzugehen ist, so dass Täuschungsversuche viel leichter zu erkennen sind.
Wenn Sie von einem Phishing-Angriff betroffen sind, sollten Sie Änderungen vornehmen, um sicherzustellen, dass so etwas nie wieder vorkommt – dies sollte auch in Ihre Sicherheitsschulungen einfließen.
Die meisten Smishing- und Vishing-Angriffe werden nicht gemeldet, und das spielt den Cyberkriminellen in die Hände. Während Sie vielleicht klug genug sind, die letzte verdächtige SMS oder den letzten verdächtigen Anruf zu ignorieren, werden vielleicht Marge in der Buchhaltung oder Dave in der Personalabteilung zum Opfer. Wenn Sie ein System einrichten, mit dem Ihre Mitarbeiter diese versuchten Angriffe melden können, und vielleicht sogar eine kleine Belohnung dafür ausloben, haben Sie die Möglichkeit, andere zu warnen.
Da Phishing sich ständig weiterentwickelt und neue Angriffswege findet, müssen wir wachsam sein und unsere Strategien zur Bekämpfung ständig aktualisieren.