Was ist eigentlich Smishing & Quishing?

Schützen Sie Ihr Unternehmen vor Datenklau und Betrug

G DATA Ratgeber

Zu Karneval oder Halloween verkleidet man sich gern. Manche E-Mail, Textnachricht oder mancher Telefonanruf braucht dafür nicht mal einen Anlass. Sie geben einfach vor, etwas anderes zu sein, als sie tatsächlich sind. Phishing-Angriffe, Smishing und Quishing setzen auf originalgetreu nachgebaute Webseiten, gefälschte E-Mails, manipulierte QR-Codes oder Messenger-Nachrichten, mit denen Kriminelle vertrauliche Daten abfischen. Schlimmstenfalls können mit diesen sensiblen Informationen Konten geplündert und sensible Unternehmensdaten oder Identitäten gestohlen werden. Neben sinnvollen technischen Schutzmaßnahmen ist die Sensibilisierung der Mitarbeitenden ein starkes Bollwerk gegen Angriffe dieser Art. Je konsequenter die Belegschaft informiert, aufgeklärt und geschult ist, desto geringer das Risiko erfolgreicher Angriffe.

Neugier kann gefährlich sein

%

Anteil aller Spam-Mails, die Cyberangriffe waren (1.6.2022 – 30.6.2023)

%

haben schon mal einen unbekannten QR-Code gescannt

%

haben während der Arbeitszeit schon mal auf Pop-up-Werbung geklickt

%

haben schon einmal eine potenziell unsichere Webseite oder Datei geöffnet

Quellen: BSI (Bundesamt für Sicherheit in der Informationstechnik) & Statista im Auftrag von G DATA 

Was ist Smishing?

Smishing ist die Kurzform für „SMS-Phishing“ und steht für einen Social-Engineering-Angriff, der gefälschte Textnachrichten verwendet, um Nutzer zu verleiten, Malware herunterzuladen, vertrauliche Informationen weiterzugeben oder Geld an Cyberkriminelle zu senden. Bei dieser Phishing-Methode nutzen Cyberkriminelle eine Vielzahl von Taktiken und psychologischen Tricks, die man sich bewusst machen sollte.

Smishing-Angriffe ähneln anderen Arten von Phishing-Attacken, der wesentliche Unterschied ist das Medium. Betrüger nutzen SMS oder Messaging-Apps, anstatt E-Mails zu versenden oder anzurufen. Zudem wird die Herkunft von Smishing-Nachrichten immer geschickter verschleiert, da Telefonnummern zum Beispiel mit Wegwerfhandys gefälscht oder spezielle Software verwendet wird, um Texte per E-Mail zu versenden.

Zudem ist es auf Mobiltelefonen nicht so leicht, gefährliche Links zu erkennen. Auf einem Computer können Nutzerinnen und Nutzer beispielsweise ihre Maus über einen Link bewegen, um zu sehen, wohin dieser führt. Auf Smartphones gibt es diese Option nicht. Zudem sind viele es mittlerweile gewohnt, von Banken und Marken per SMS kontaktiert zu werden und dabei verkürzte URLs in Textnachrichten zu erhalten.

Im Jahr 2023 waren 75 % der Unternehmen von Smishing-Angriffen betroffen.

 

Quelle: BSI (Bundesamt für Sicherheit in der Informationstechnik)

Was ist Quishing?

Eine neuere Betrugsmasche ist „Quishing“. Dabei versuchen Kriminelle, QR-Codes für ihre Zwecke zu missbrauchen. „Quishing“ ist eine Wortschöpfung aus „QR-Code“ und „Phishing“. Im öffentlichen Raum, an Bahnhöfen oder Bushaltestellen sollten Nutzerinnen und Nutzer wachsam sein und zum Beispiel auf überklebte, falsche QR-Codes achten.

Als neues Feld für Quishing haben Kriminelle Ladestationen für E-Autos und Parkautomaten entdeckt. Die dort angebrachten QR-Codes zum Laden oder zum Download der Park-Apps werden ebenfalls immer häufiger gefälscht.

Aber auch in Unternehmen kann es passieren: durch manipulierte QR-Codes auf Postern, Rechnungen und in E-Mails oder öffentliche QR-Codes auf Firmenveranstaltungen. Das Ergebnis ist immer dasselbe. Nach dem Scannen wird man aufgefordert, auf gefälschten Webseiten Kontakt-, Zugangs- oder Bankdaten einzugeben.

Hauptziel der Quishing-Betrügereien ist es ebenfalls, an persönliche Daten und/oder Geld zu gelangen. Mit den erbeuteten Daten können Cyberkriminelle zukünftige Phishing-Attacken gezielter durchführen und durch den Klick auf unseriöse Links kann Schadsoftware auf die Geräte gelangen.

Darum ist Quishing besonders für Unternehmen gefährlich:

  • Einfache Erstellung: QR-Codes lassen sich leicht generieren und nutzen. Für Angreifer ist es ein Leichtes, schädliche Websites oder Dateien hinter einem seriös aussehenden und harmlos wirkenden QR-Code zu verbergen. 
  • Wenig Bekanntheit: Während Phishing-Schutz bereits ein Begriff ist, ist Quishing, besonders in Unternehmen, noch weitgehend unbekannt. Das erhöht die Wahrscheinlichkeit, dass Mitarbeitende auf diese Betrugsmasche hereinfallen. 
  • Schwer zu erkennen: Automatisierte Sicherheitssysteme haben es schwerer, bösartige QR-Codes zu erkennen. Da die schädlichen Links nicht direkt in der E-Mail sichtbar sind, sondern sich hinter einem in der E-Mail eingebetteten QR-Code „verstecken“, sind herkömmliche URL-Scan-Technologien häufig wirkungslos. 

Die Zunahme von „Bring Your Own Device“ (BYOD) sowie Remote-Arbeitsplätzen hat ebenfalls dazu geführt, dass immer mehr Mitarbeitende ihre Mobilgeräte für die Arbeit einsetzen, was es Angreifern erleichtert, über deren Smartphones und Tablets auf Unternehmensnetzwerke zuzugreifen.

So läuft Quishing ab

Infografik: Wie Quishing funktioniert in 4 Schritten

Wie Sie Phishing-, Smishing- und Quishing-Angriffe erkennen

  • Rechtschreibfehler, falsche Grammatik in der E-Mail
  • Unpersönliche Anrede
  • E-Mail-Adressen passen nicht zum Absender
  • Unbekannter Absender
  • Vermittlung besonderer Dringlichkeit
  • Androhung von Konsequenzen
  • Fragen nach Kontodaten/Passwörtern
  • Eingabe von Anmeldedaten
  • Zahlung per Vorkasse
  • Nie auf Links klicken, die von unbekannter Seite oder unerwartet von bekannten Kontakten zugeschickt werden.
  • Phishing-Mails immer in den Spam-Ordner verschieben. Hat man zufällig bei der betreffenden Bank ein Konto, unbedingt auf der offiziellen Seite oder in der App prüfen, ob dort ähnliche Aufforderungen zu finden sind.
  • Erwartet man tatsächlich ein Paket, am besten die Internetseite des Paketdienstes in einem Browser öffnen und dort die Sendungsnummer manuell eingeben, um den Status zu prüfen.
  • QR-Codes nur scannen, wenn die Seriosität gewährleistet ist. Inzwischen erkennen viele Smartphones einen QR-Code über die Kamera-App. Diese Methode sollte jedoch nur genutzt werden, wenn die Infos des Codes (z. B. Internet-Adresse) erst angezeigt und nicht direkt geöffnet werden.

 

TIPP: Auf dem sogenannten Phishing-Radar der Verbraucherzentrale werden tagesaktuelle Warnungen und Betrugsversuche angezeigt. Ein verlässlicher Seißmograf, der die aktuellen Gefahren von Phishing-Fällen aufzeigt.

Zwei wichtige Schutzschilde für erfolgreiche Schadensabwehr

1. Technische Schutzmaßnahmen

Auf technischer Ebene sind effiziente Sicherheitslösungen sowie die Implementierung von SMS-Filtern, Antiphishing-Gateways, die Nutzung von Mobile Device Management (MDM) zur Absicherung von Firmengeräten sowie ein Whitelisting von QR-Codes für Unternehmensanwendungen empfehlenswert. Zudem empfiehlt sich die Einrichtung einer Multi-Faktor-Authentifizierung auf den Geräten der Mitarbeitenden, die es Cyberkriminellen erschwert, auf persönliche und geschäftliche Konten zuzugreifen und Daten zu stehlen. 

 

2. Mitarbeitersensibilisierung

Periodische Schulung der Mitarbeitenden, um das Bewusstsein für die Risiken derartiger Angriffe zu schärfen. Seriös aussehende Links auf Webseiten und in E-Mails, echt wirkende Messenger-Nachrichten oder QR-Codes sind noch lange kein Zeichen von Legitimität. Geschult wird hier das gesunde Misstrauen gegenüber unbekannten Quellen und verdächtigen Anfragen. 

Verhalten nach einem falschen Klick

Auf jeden Fall Ruhe bewahren, sich nicht grämen und keine Angst vor falscher Scham. Als erstes den echten Anbieter kontaktieren und ihm mitteilen, welche Daten preisgegeben wurden. Danach sollte folgendes unternommen werden:

Nach dem falschen Klick:

  • Passwörter ändern
  • Bank oder Kreditkartenunternehmen informieren
  • Strafanzeige bei der Polizei stellen
  • Konto auf ungewöhnliche Abbuchungen beobachten

Besonders wichtig: Auf keinen Fall nachträglich etwas löschen, zum Beispiel E-Mails. Im Schadensfall kann all das als Beweismittel dienen. 

Awareness und Schulungen: Wichtige Schritte zu mehr Sicherheitsbewusstsein

Holen Sie alle Mitarbeitenden in Ihr Security-Team

Sicheres Verhalten ganz einfach lernen: Das geht mit den Security Awareness Trainings der G DATA academy – inklusive Quishing-Schulung.

Awareness Trainings kennenlernen

Unternehmen können mehr Betrugsfälle stoppen, indem sie ihre Mitarbeitenden darin schulen, die Warnzeichen für Cyberangriffe und Phishing-Versuche aller Art zu erkennen. Zum Beispiel ungewöhnliche Telefonnummern, unbekannte Absender, unerwartete URLs oder ein erhöhtes Gefühl der Dringlichkeit.

Immer mehr Unternehmen nutzen professionell aufbereitete Simulationen, um ihren Mitarbeitenden dabei zu helfen, neue Fähigkeiten im Bereich der Cybersicherheit zu trainieren. Diese Simulationen können Sicherheitsteams zudem helfen, Schwachstellen in den eigenen Computersystemen und Richtlinien aufzudecken, die das Unternehmen für Betrug anfällig machen.  

Unternehmen können so Schwachstellen erkennen und beheben, indem sie Tools zur Bedrohungserkennung mit Richtlinien für den Umgang mit sensiblen Daten, die Autorisierung von Zahlungen und die Überprüfung von Anfragen kombinieren, bevor sie darauf reagieren.

Vorsicht ist und bleibt der beste Schutz

Darüber hinaus ist und bleibt der beste Schutzmechanismus der gesunde Menschenverstand und ein vernünftiges Maß an Misstrauen. Der Hauptgrund, warum Menschen eiskalt von diesen Angriffen erwischt werden, ist Gutgläubigkeit. Die Wissenschaft nennt das Social Engineering. Ratsam ist daher ein Bewusstsein für die Methoden der Kriminellen. Denn Phishing-Angriffe sind in den letzten Jahren deutlich intelligenter geworden. Die Varianten nehmen zu, die Methoden sind schwieriger zu durchschauen und gefakte E-Mails und Webseiten werden immer besser und sind vom Original fast nicht mehr zu unterscheiden.

Umso wichtiger ist es daher, das Risiko zu minimieren. Hier hilft ein Verhalten wie im Straßenverkehr. Als Fußgänger schaut man auch zuerst nach links und rechts, bevor man eine Straße überquert. Genau so sollte man beim Phishing-Schutz verfahren. Das heißt, jede Nachricht erst kritisch prüfen, bevor man sie öffnet oder reagiert. Besonders wenn der Absender unbekannt ist. Das kann nervig sein und kostet Zeit. Aber damit werden die Erfolgschancen Betrüger deutlich gesenkt. Zusammen mit einer starken Antivirenlösung und einer VPN-Software, für sicheres und anonymes Surfen, ist alles getan, um Cyberkriminellen einen Angriff auf Unternehmensgeräte, -daten, Identitäten und Geld erheblich zu erschweren.

Von Dirk Oltersdorf
Online Editor