zum vorherigen Artikel

Artikel 2022

zum nächsten Artikel

Artikel 2020

11/2021

SMS-Phishing und Vishing nehmen massiv zu

Aus aktuellem Anlass ein Hinweis: Fallen Sie nicht auf Smishing und Fake-Calls herein! Das Bundesamt für Sicherheit und Informationstechnik BSI warnt vor neuen Betrugsmaschen, die den Tätern vertrauliche Informationen einbringen.

 

Ja, es hat sich herumgesprochen, dass man unbekannte E-Mails besser nicht öffnen sollte. Dringenden Nachholbedarf hat aber das Risikobewusstsein bei Textnachrichten und Anrufen. Dabei setzen die Täter auf Unachtsamkeit (sogenannte Drive-by-Downloads) und menschliche Verhaltensmanipulation
(Social Engineering-Angriffe). Ein weiterer Aspekt ist die veränderte, hybride Arbeitswelt. Die Steigerung von 200 % bei Phishing-Attacken auf Unternehmen innerhalb eines Jahres ist alarmierend!*

*Quelle: Malware Threat Report 2021 des globalen Unternehmens BeyondTrust.


Vorsicht bei SMS-Nachrichten zum Sendestatus

Das vermehrte Paketaufkommen in der Vorweihnachtszeit bietet ideale Bedingungen für Betrüger, um persönliche Daten abzufischen. Angeblich soll ein Paket bald eintreffen oder unzustellbar gewesen sein. Solche SMS-Nachrichten werden ruckzuck angetippt. Klickt das Opfer dann auch noch auf den Weblink in der gefälschten Textnachricht, können die Täter eine Schadsoftware aufs Handy einschleusen; oder man wird zu einer gefälschten Webseite weitergeleitet; oder man soll eine Telefonnummer zurückrufen; oder eine App zur Paketverfolgung herunterladen. Stets geht es darum, das eigene Konto zu aktualisieren, wiederherzustellen, zu vervollständigen oder zu prüfen. Beim vermeintlichen Abgleich werden dann die vertraulichen Informationen abgegriffen.


Neue Betrugsmasche per Sprachnachricht

Seit dem Sommer 2021 haben sich Smishing-Angriffe via Voicemail zur mittlerweile häufigsten Betrugsmasche entwickelt. Die Täter versenden eine SMS mit dem Hinweis auf eine eingegangene Sprachnachricht. Die Fake-SMS lautet beispielsweise „Sie haben 1 neue Voicemail erhalten. Gehe zu ...“, der Link führt jedoch zum Download einer Schadsoftware.

Wenn der „Sicherheitsalarm“ erst den Schaden anrichtet

Aktuell findet eine Smishing-Variante Verbreitung, die Handy-Nutzer warnt, ihr Gerät sei von Schadsoftware infiziert. Dazu wird ein Link angeboten, um ein „Sicherheitsupdate“ zu installieren. Stattdessen wird dann Spyware geladen.
Alternativ verschicken die Smisher eine Warnung, dass private Fotos vom Handy geleakt (also nicht autorisiert veröffentlicht) worden seien. Schuld daran sei eine Schadsoftware auf dem Smartphone, die man durch ein Sicherheitsupdate sogleich beheben könne. Über diesen angeblichen Clean-up Download wird aber dann die Malware platziert.

Vishing steht für „Abzocke-Anrufe“

Diese Phishing-Variante wird auch als Voice Phishing bezeichnet, wobei das englische voice nicht nur für Stimme steht, sondern auch für die Voice-over-IP-Telefonie, also die internetbasierte Übermittlungstechnik, welche gewisse Tricks überhaupt erst ermöglicht.

Beim Vishing versuchen Betrüger per Telefon, Kontozugangsinformationen zu erhalten. Dabei wenden sie eine Mischung aus technischer und emotionaler Manipulation an. Das Opfer bekommt eine Telefonnummer als eingehenden Anruf angezeigt, die von den Betrügern technisch vorgegaukelt wird.

In Wirklichkeit rufen Sie die Mitarbeiter von Banken und Sparkassen niemals an, um sensible Daten, wie zum Beispiel Ihre PIN, zu erfragen. Die Polizei kann von der deutschlandweiten 110 Hotline gar keine Anrufe ausgehen lassen. Ebenso meldet sich die 116 116, die zentrale Sperr-Notruf Vermittlung auch nicht bei Ihnen! Doch die Betrüger reden auf das Opfer ein, tragen dramatische Geschichten vor und drängen zur Eile. Mit psychologischen Tricks werden Menschen gezielt unter Druck gesetzt, damit sie Passwörter, TAN oder ähnliche Kontoinformationen preisgeben. Auch eine derartige Nachricht auf dem Anrufbeantworter mit der Bitte um dringenden Rückruf wegen eines Hackerangriffs, einer Datenpanne oder ähnlichen angeblichen Ausnahmesituationen gehört zu den bekannten Vishing-Beispielen; eine Bandansage verlangt dann, Konto- oder Kartendaten zu nennen.

Mit diesen Tipps ist es für Sie leicht, die Manipulation zu erkennen und sofort aufzulegen. Geben Sie unter gar keinen Umständen Ihre Banking-Daten, TAN-Nummern oder Passwörter heraus. Rufen Sie keine Telefonnummer zurück, die Ihnen per E-Mail oder Sprachnachricht zugeschickt wurde.


Quishing – der neue Phishing-Trick mit QR-Codes

Cybersicherheitsforscher berichten jetzt auch erstmals von der Quishing-Methode. Die Täter versuchen, ihre Opfer über QR-Codes auf gefälschte Webseiten zu leiten, um von dort sensible Nutzerdaten abzufischen. Die Datenpiraten nutzen dabei als Sicherheitslücke, dass QR-Codes von gängigen Virenscannern nicht als Bedrohung erkannt werden. Scannt das Opfer den QR-Code, der ihm per E-Mail von gekaperten Accounts zugespielt wurde, wird in der Regel auch der darin enthaltene Link angeklickt. Eine gefälschte Website geht auf, die zur Eingabe von Nutzerdaten ausgelegt ist. So fallen den Tätern Daten in die Hände, mit denen sie kriminellen Handel treiben oder ihre Schadprogramme gezielt einschleusen können. Eine Idee zum Schutz vor Quishing gibt es schon: die Aktivierung der Mehrfaktor-Authentifizierung.


Was tun, wenn Sie die Phishing-Attacke zu spät erkannt haben?

Sind Sie in die Smishing-Falle getappt?

  • Aktivieren Sie sofort den Flugmodus, um die Netzverbindung und damit auch weiteren SMS-Versand zu unterbinden.
  • Löschen Sie die Nachricht nicht, sie ist ein Beweis. (Dagegen sollten Empfänger, die noch nicht auf den Link eingegangen sind, die Nachricht sofort löschen.)
  • Folgen Sie den nachstehenden Regeln 1-4
  • Informieren Sie Ihren Mobilfunkanbieter.
  • Danach ist es unvermeidlich, dass Sie Ihr Handy auf Werkseinstellungen zurücksetzen. Anders sind die Schadprogramme nicht vollständig zu entfernen.

Sollten Sie den Verdacht haben, Opfer eines Phishing-Versuches geworden zu sein, gelten folgende Verhaltensregeln:

  1. Melden Sie Ihrer Bank oder Sparkasse gleich den Vorfall.
  2. Kontrollieren Sie die Abbuchungen auf sämtlichen Konten.
  3. Haben Sie sensible Daten offengelegt, lassen Sie sofort Ihr Konto sperren. Deshalb ist der Sperr-Notruf 116 116 rund um die Uhr erreichbar, auch am Wochenende.
  4. Erstatten Sie Strafanzeige bei der örtlichen Polizei.

 

 

Quellen:

https://www.it-daily.net/it-sicherheit/cybercrime/31086-massiver-anstieg-von-phishing-attacken

https://bankenverband.de/blog/achtung-vor-sms-betrugern/

https://www.ruhr24.de/service/phishing-sms-melden-blockieren-smhishing-neue-maschen-warnung-bundesamt-deutschland-91062960.html

https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Smishing_SMS-Phishing_141021.html

https://www.mimikama.at/aktuelles/vishing-betrugsmasche/

https://www.it-daily.net/it-sicherheit/cybercrime/31193-quishing-die-neue-phishing-kampagne-nutzt-qr-codes