Smishing (SMS plus Phishing) ist eine verhältnismäßig neue Methode zum Angriff auf mobile Geräte. Sie erfolgt über Textnachrichten, wie sie auch Unternehmen und ihre Mitarbeiter nutzen – die dadurch verstärkt ins Visier von Kriminellen geraten. Wer fünf Tipps beherzigt, vier davon sehr einfach, kann Smishing-Attacken ins Leere laufen lassen.

Bekannt geworden sind Smishing-Attacken im Frühjahr 2021 durch "Paket-ist-da!"-Benachrichtigungen via SMS, die dazu aufforderten, eine mit Malware verseuchte Paketbenachrichtigungs-App herunterzuladen (das "Morning Briefing" berichtete). Cyberkriminelle wollen durch die Angriffsmethode eine von zwei Reaktionen auslösen: eben den Klick auf einen Link oder eine Antwort via Textnachricht oder Anruf. "Noch steckt Smishing in den Kinderschuhen, aber die Bedrohung ist bereits groß", so die Einschätzung des IT-Sicherheitsanbieters (und Smartphone-Herstellers) Blackberry. Das Unternehmen gibt die folgenden fünf Empfehlungen, um sich gegen solche Attacken zur Wehr zu setzen.

1. Links nicht aufrufen
Ein einfacher erster Schritt für mehr Sicherheit besteht darin, Links in unerwarteten Textnachrichten von unbekannten Absendern nicht aufzurufen. Andernfalls gelangt eventuell ein Virus auf das eigene mobile Gerät, der Tastenanschläge protokolliert und sensible Informationen abgreift. Häufig setzen die Betrüger auf emotionale Manipulation und vermitteln beispielsweise eine gewisse Dringlichkeit, um ihre potenziellen Opfer dazu zu bringen, einen Fehler zu begehen. Das müssen Mitarbeiter im Hinterkopf behalten und entsprechend vorsichtig mit jeder Textnachricht umgehen.

2. Nicht antworten, sondern blockieren
Außerdem gilt es, den Cyberkriminellen nicht via Textnachricht oder Anruf zu antworten. Dazu zählt auch eine direkte Aufforderung, den Angriff zu beenden. Häufig wissen die Betrüger nicht, welche Telefonnummern tatsächlich genutzt werden. Eine Antwort liefert die Betätigung und führt womöglich zu weiteren Smishing-Attacken. Viel effektiver ist es dagegen, die Telefonnummer der Cyberkriminellen zu blockieren.

3. Kundenservice kontaktieren
Oft suggeriert die Textnachricht einer Smishing-Attacke, sie stamme von einem seriösen Absender, zum Beispiel einer Bank. Das soll für mehr Vertrauen und Authentizität sorgen. Im Zweifelsfall lohnt es sich, den Kundenservice des Unternehmens zu kontaktieren und sich zur Textnachricht zu erkundigen. Wenn der Ansprechpartner nichts von ihr weiß, kann sie gelöscht und der Absender blockiert werden.

4. Online recherchieren
Hilfreich ist es auch, die Telefonnummer und Textnachricht des Absenders bei Google oder einer anderen Suchmaschine einzugeben – also online zu recherchieren. Wahrscheinlich berichten im Internet andere Personen von ihrer Erfahrung mit der vermeintlichen Smishing-Attacke. Eine negative Einschätzung allein reicht aber nicht. Nur wenn mehrere Personen den Fall als Smishing-Attacke einstufen, kann man sich auf diese Einschätzung verlassen.

5. Mobile Threat Defense nutzen
Einen noch besseren Schutz bieten Funktionen, die eine so genannte Mobile Threat Defense (MTD) garantieren. Die entsprechenden Lösungen für mobile Geräte zeichnen sich zum Beispiel durch den Einsatz von Methoden der Künstlichen Intelligenz (KI) aus. Mit Blick auf die Endpunktsicherheit eines Unternehmens überwacht die KI automatisch die Systemparameter, Konfigurationen und Systembibliotheken von mobilen Geräten. Dadurch schafft sie es ebenso automatisch, Smishing-Attacken und andere potenzielle Bedrohungen zu erkennen, zu melden und zu verhindern beziehungsweise zu beheben. Darüber hinaus erhalten IT-Teams einen umfassenden Einblick in das eigene Netzwerk, wodurch sie es effizient verwalten können.