Mobile Geräte stellen für Cyberkriminelle ein beliebtes Ziel dar, schliesslich werden sie von vielen Menschen täglich genutzt und sind zugleich anfällig für Attacken. Auch Unternehmen und ihre Mitarbeiter verlassen sich für ihre Aufgaben auf mobile Geräte, wodurch sie ebenso verstärkt ins Visier geraten. Dabei existiert nun mit Smishing (SMS plus Phishing) eine verhältnismässig neue Angriffsmethode auf mobile Geräte, die jeweils über eine Textnachricht erfolgt.
Blackberry, ein Anbieter von Sicherheitssoftware und -dienstleistungen für das IoT, gibt Unternehmen und ihren Mitarbeiter fünf Tipps dafür, wie sie Smishing-Attacken erfolgreich verhindern. Cyberkriminelle wollen durch die recht neue Angriffsmethode eine von zwei Reaktionen auslösen: entweder einen Klick auf einen Link oder eine Antwort via Textnachricht oder Anruf. Noch steckt Smishing in den Kinderschuhen, aber die Bedrohung ist bereits gross.
1. Links nicht aufrufen
Ein einfacher erster Schritt für mehr Sicherheit besteht darin, Links in unerwarteten Textnachrichten von unbekannten Absendern nicht aufzurufen. Andernfalls gelangt eventuell ein Virus auf das eigene mobile Gerät, der Tastenanschläge protokolliert und sensible Informationen abgreift. Häufig setzen die Betrüger auf emotionale Manipulation und vermitteln in dieser Hinsicht beispielsweise eine gewisse Dringlichkeit, um ihre potenziellen Opfer dazu zu bringen, einen Fehler zu begehen. Das müssen Mitarbeiter im Hinterkopf behalten und entsprechend mit jeder Textnachricht umgehen.
2. Nicht antworten
Ausserdem gilt es, dem Cyberkriminellen nicht via Textnachricht oder Anruf zu antworten. Dazu zählt auch eine direkte Aufforderung, den Angriff zu beenden. Häufig wissen die Betrüger nicht, welche Telefonnummern tatsächlich genutzt werden. Eine Antwort liefert die Betätigung und führt womöglich zu weiteren Smishing-Attacken. Viel effektiver ist es dagegen, die Telefonnummer des Cyberkriminellen zu blockieren.
3. Kundenservice kontaktieren
Oft suggeriert die Textnachricht einer Smishing-Attacke, von einem seriösen Absender zu stammen, wie zum Beispiel einer Bank. Das soll aufseiten der Empfänger für mehr Vertrauen und Authentizität sorgen. Im Zweifelsfall lohnt es sich, den Kundenservice des Unternehmens zu kontaktieren und sich über die Textnachricht zu erkundigen. Wenn der Ansprechpartner nichts von ihr weiss, kann sie gelöscht und der Absender blockiert werden.
4. Online recherchieren
Hilfreich ist es auch, die Telefonnummer und Textnachricht des Absenders bei Google oder einer anderen Suchmaschine einzugeben – also online zu recherchieren. Wahrscheinlich berichten im Internet andere Personen von ihrer Erfahrung mit der vermeintlichen Smishing-Attacke. Eine negative Einschätzung allein reicht aber nicht aus. Nur wenn eine Reihe von Personen den Fall als Smishing-Attacke einstufen, können sich Mitarbeiter darauf verlassen.
5. Mobile Threat Defense nutzen
Einen noch besseren Schutz bieten Funktionen, die insgesamt eine Mobile Threat Defense (MTD) garantieren. Die entsprechenden Lösungen für mobile Geräte zeichnen sich vor allem durch eine erstklassige Performance und den Einsatz von künstlicher Intelligenz (KI) aus. Mit Blick auf die Endpunktsicherheit eines Unternehmens überwacht die KI automatisch die Systemparameter, Konfigurationen und Systembibliotheken von mobilen Geräten. Dadurch schafft sie es ebenso automatisch, Smishing-Attacken und andere potenzielle Bedrohungen zu erkennen, zu melden und zu verhindern beziehungsweise zu beheben. Darüber hinaus erhalten IT-Teams einen umfassenden Einblick in das eigene Netzwerk, wodurch sie es effizient verwalten können.
