Ebenfalls in die Social Engineering-Thematik fällt Smishing. Während Vishing für „Voice & Phishing“ (also betrügerische Anrufe) steht, bezeichnet Smishing die Kombination aus „SMS & Phishing“: Cyberkriminellen rufen nicht an, sondern versuchen über SMS (Short Message Service) oder andere Messaging-Dienste wie WhatsApp, Telegram, Messenger usw. an sensible Informationen von Nutzern zu gelangen. Und ähnlich wie beim Vishing werden auch hier psychologische Manipulationstechniken (Dringlichkeit, Angst, usw.) genutzt, um das Vertrauen der Empfänger auszunutzen und sie zur Preisgabe persönlicher Daten, finanzieller Details oder zur Installation von Schadsoftware zu bewegen.
Hinlänglich bekannt sollten inzwischen die Smishing-Nachrichten diverser Paketlieferdienste sein: Ein Paket befinde sich auf dem Weg zum Empfänger, irgendeine Angabe (oder die Zollgebühr) fehle aber, sodass leider keine erfolgreiche Zustellung möglich sei. Dasselbe gibt’s natürlich auch von der Hausbank: Das Konto wurde „wegen verdächtiger Aktivitäten“ aus Sicherheitsgründen gesperrt und muss nun neu aktiviert werden. Auch gefälschte Warnungen vor angeblichen Malware-Infektionen des Mobilgeräts, die zur Installation einer „Sicherheits-App“ auffordern, welche in Wirklichkeit aber natürlich selbst Schadsoftware ist, ist eine gängige Taktik. Im Regelfall enthalten alle diese Nachrichten dann einen Link, der – klarerweise – zu gefälschten Webseiten (siehe Webseite-Spoofing) führt. Im Grunde finden sich in Smishing-Nachrichten also oft dieselben Inhalt wie beim klassischen E-Mail-Phishing.
Die inzwischen allgegenwärtige Nutzung von Mobiltelefonen und Messaging-Diensten macht diesen Angriffskanal für Cyberkriminelle allerdings besonders attraktiv. Hinzu kommt, dass Smishing-Nachrichten, im Gegensatz zu vielen Phishing-Mails, nicht von Spam-Filtern aussortiert werden. Auch wirken SMS-Nachrichten direkter und persönlicher, was die Wahrscheinlichkeit erhöht, dass ein Empfänger auch reagiert.
Smishing kann nicht nur für Privatpersonen, sondern auch für Unternehmen zum Problem werden – vor allem dann, wenn es sich beim betroffenen Smartphone um ein Firmenhandy handelt. Mitarbeiter, die auf solche Nachrichten hereinfallen, könnten sensible Unternehmensinformationen preisgeben, interne Zugangsdaten kompromittieren oder gar Schadsoftware auf Geräte laden. Abhilfe können technische Lösungen wie Mobile Device Management (MDM)-Systeme schaffen, die App-Installation einschränken und verdächtige Links erkennen können. Der Fokus sollte aber dennoch primär auf der Sensibilisierung der Mitarbeiter liegen. Entsprechende Schulungen sind hier ebenso unerlässlich, wie die Etablierung eines sicheren Kommunikationsweges, über den die Mitarbeiter verdächtige Nachrichten melden können.
