Der jüngste Fall von Smishing erweckt einen Alarm, der niemals abklingen darf
Vergessen Sie Waffen, verdeckte Gesichter, waghalsige Fluchten und gefährliche Aktionen. Heute genügt eine Textnachricht, um Bankkonten leer zu räumen.
Das jüngste Opfer war vor ein paar Tagen ein Rentner aus Favaro Veneto, dessen Konto innerhalb weniger Minuten leergeräumt wurde und der unmittelbar danach nicht nur die Kriminellen verfluchte, die ihn betrogen hatten, sondern vor allem seine eigene Naivität.
Der ältere Mann erhielt eine gefälschte Textnachricht von der Bank, in der von einer „verdächtigen Transaktion“ berichtet wurde und, um noch mehr Vertrauen zu schaffen, die Möglichkeit, mit einem Operator zu sprechen, um das Einfrieren der Karte zu vermeiden, befürchtet wurde. Natürlich war auch der Anruf des gefälschten Betrugsbekämpfers, der ihn vor „laufenden Kontrollen“ seines Girokontos warnte, ein Betrug.
Das Opfer befand sich jedoch bereits in einem alarmierten emotionalen Zustand und war daher nicht mehr ganz klar im Kopf.
Eine Geisteshaltung, die den Weg für Kriminelle ebnet. Der betreffende Hacker hatte dem Opfer also alle Verfahren aufgezeigt, die zu befolgen waren, um die Zahlung zu blockieren. Nachdem er das Telefon geschlossen hatte, wartete der Mann auf eine Textnachricht, die ihm mitteilte, dass die Operation „erfolgreich“ gewesen sei. Stattdessen kam ein neuer Anruf von 39-113, dieses Mal von einem falschen Polizisten, der dem Opfer riet, die gebührenfreie Nummer seiner Bank zu kontaktieren, um den „noch laufenden Betrug“ zu verhindern. Daraufhin wurde der Mann misstrauisch und kontaktierte die echte Polizei, die natürlich bestritt, den Anruf getätigt zu haben.
Zu diesem Zeitpunkt hatte das Opfer verstanden, dass das Spiel vorbei war. Er war in die Falle getappt und das Geld, das er auf seinem Konto hatte (seine gesamten Ersparnisse), war verschwunden und auf dem Konto eines anderen gelandet.
Es ist im Grunde so, als würde man mit einem schweren Schlag auf den Kopf aufwachen, der sehr tiefe und schmerzhafte Spuren hinterlassen kann.
Smishing
Genauer gesagt geht es um Smishing, die SMS-Angriffstechnik, und Vishing (Voice-Phishing), die sicherlich nicht neu sind, sich aber als Bedrohung konsolidieren, weil die Angriffe immer gezielter und gefährlicher werden, wie der, der dem Herrn aus Favaro Veneto passiert ist.
Der Angreifer kann sich als Polizist oder Bankangestellter ausgeben, wie in dem soeben geschilderten Fall, aber auch als eine dem Opfer bekannte Person, wie z.B. ein Familienmitglied, ein Freund oder ein Arbeitskollege, um die Wahrscheinlichkeit zu erhöhen, dass das Opfer der Nachricht vertraut und sich in ein Gespräch verwickeln lässt, das es dann zur Herausgabe seiner persönlichen Daten verleitet.
Im vergangenen Jahr haben Forscher eine rasante Zunahme von Angriffen über mobile Geräte festgestellt. Dabei werden mehrere Nachrichten von Cyberkriminellen verschickt, die darauf abzielen, echtes Engagement zu erzeugen, um Vertrauen zu schaffen und das Opfer in die Falle zu locken.
In diesem Zeitraum stieg das Volumen der „conversationalen“ Angriffe weltweit um 318%, in den USA um 328% und in Großbritannien um 663%.
Der Erfolg dieser Techniken in der Welt der Cyberkriminalität ist auf mehrere Faktoren zurückzuführen: die inzwischen weit verbreiteten Spam-Filter für E-Mails, die zusammen mit einer größeren und weiter verbreiteten Sensibilisierung der Nutzer die Barriere für die Blockierung von Phishing-E-Mails verstärken; die Tatsache, dass Textnachrichten im Gegensatz zu E-Mails eine sehr hohe Öffnungsrate aufweisen und die meisten von ihnen innerhalb von 15 Minuten geöffnet werden; und die Tatsache, dass die Telefongesellschaften noch keine dem hohen Risiko angemessenen Methoden zur Nachrichtenfilterung eingerichtet haben. Schließlich muss man bedenken, wie einfach es für einen Cyberkriminellen ist, Telefonkontakte abzurufen.
Dem Betrüger bleibt dann nichts anderes übrig, als eine glaubwürdige Geschichte zu erfinden, um den Empfänger der Nachricht in die Falle zu locken: ein Problem mit dem Bankkonto, einer Kreditkarte, einem Preisgewinn, aber auch eine Bitte um Hilfe von einem Freund oder einem Kind, das schreibt, dass es sein Handy verloren hat.
Kurz gesagt, alles, was die unglückliche Person überzeugend dazu bringen könnte, auf einen bösartigen Link zu klicken.
Vishing ist also noch heimtückischer, denn am anderen Ende des Telefons ist eine Stimme zu hören, die sehr überzeugend klingt und von einer bekannten Nummer anruft, bei der es sich um die einer Bank, einer Versicherung oder einer anderen Einrichtung handeln kann.
Sogar in den Chroniken der letzten Jahre finden sich Geschichten über mit Künstlicher Intelligenz reproduzierte Stimmen, die unter dem Vorwand, CEOs von Unternehmen zu sein, ihre Untergebenen gebeten haben, große Geldsummen zu bewegen.
Empfehlungen
Selbst im Falle dieser beiden Arten von Verbrechen gibt es immer gültige Empfehlungen:
- Klicken Sie bei Smishing nicht auf verdächtige Links, füllen Sie keine Formulare mit Ihren Daten aus, zumindest nicht, ohne vorher die Bank, die Versicherung oder das betreffende Unternehmen anzurufen und sich von der Zuverlässigkeit der Nachricht zu überzeugen.
- Für Vishing schlagen viele die Stimmbiometrie vor, mit der die Identität eines Anrufers anhand einer mathematischen Darstellung der Stimme, die in einer Datenbank gespeichert ist, überprüft werden kann.
Sicher ist, dass es nicht mehr möglich ist, vor allem auf Unternehmensebene, aktuelle Schulungen zu ignorieren, die mit den schnelllebigen Entwicklungen der Piraterie Schritt halten können.
Letztere scheint nicht aufhören zu wollen, neue Wege zu erfinden, um Unternehmen, Verwaltungen, Konzerne und Privatpersonen zu betrügen. Das Einzige, was sie aufhalten kann, ist der Umgang mit Nutzern, die darauf vorbereitet und in der Lage sind, auf Angriffe mit der gleichen Gerissenheit zu reagieren.
Da es immer der menschliche Faktor ist, der es den Piraten ermöglicht, ungestraft davonzukommen, wie im jüngsten Fall, sind die Vorbereitung, das Bewusstsein und die richtige digitale Haltung jedes Nutzers die wirksamste Barriere, um das zunehmend alarmierende Cyberrisiko einzudämmen.