Phishing – Smishing – Vishing

Obwohl Smishing und Vishing in der Vergangenheit im Vergleich zu E-Mail-Phishing-Attacken keine große Bedrohung darstellten, deuten die Zahlen auf einen Umschwung hin. Derzeit erleben Vishing und Smishing jedoch ein rasantes Wachstum. So stieg die Häufigkeit von Vishing-Angriffen in der zweiten Jahreshälfte 2024 um 442 Prozent. Auch die Zahl der Smishing-Vorfälle ist seit Beginn dieses Jahrzehnts stetig gestiegen.

Die Cyber-Kriminellen betätigen sich hier als Hochstapler. Sie geben sich als Personen aus, denen ihre Opfer vertrauen. Bei Vishing-Angriffen schlüpfen sie zum Beispiel in die Rolle eines IT-Support-Mitarbeiters und bringen Angestellte dazu, ihre Anmeldedaten preiszugeben. In anderen Fällen gaukeln sie vor, eine Führungskraft zu sein, um Überweisung auf ihr Bankkonto anzuweisen.

Diese Angriffsmethoden machen es für einige Mitarbeiter (insbesondere für diejenigen, die weniger technisch versiert sind) schwierig, Smishing und Vishing zu erkennen. Herkömmliche Tipps zur Abwehr von Phishing, wie zum Beispiel E-Mails mit vielen Tippfehlern nicht zu vertrauen, sind gegen Smishing und Vishing nahezu unwirksam.

Vorgehensweise der Cyber-Kriminellen

Neben der Hochstapelei kann auch das typische Verleiten zum Herunterladen von Malware, das klicken auf verseuchte Links, oder das Ändern von Rechnungsdaten zur Umleitung von Zahlungen gehören.

Die Vorgehensweise der Angriffe ähnelt dabei in den meisten Punkten dem E-Mail-Phishing. Die Angreifer suchen zunächst Ziele und erstellen Inhalte, die dazu verleiten sollen, sensible Daten preiszugeben. Besonders Social Engineering, also das Zusammensuchen von Informationen über Social Media, um möglichst viel über eine Zielperson herauszufinden, ist ein integraler Bestandteil.

Das gefährlich dieser beiden Angriffsmethoden, im Vergleich zum typischen E-Mail-Phishing: Mitarbeiter zögern oft, einer E-Mail-Nachricht von einer ihnen unbekannten Quelle das Vertrauen zu schenken – aber sie sind häufig weniger misstrauisch gegenüber einer Textnachricht oder einem Anruf. Außerdem können sie – anders als beim E-Mail-Phishing – nicht so einfach den Absender oder Anrufer auf Legitimität prüfen. Hinzu kommt, dass die meisten Mobil-Geräte privater Natur sind, das heißt, dass sie nicht von unternehmenseigenen SIcherheits-Teams oder SOC-Teams (Security Operations Center) überwacht werden oder nicht in deren Zuständigkeitsbereich fallen. Außerdem gibt es keine speziellen Sicherheitsprogramme, die bösartige SMS-Nachrichten oder Anrufe automatisch erkennen und blockieren, ebensowenig E-Mail-Sicherheitprodukte, die Phishing-E-Mails daran hindern können, überhaupt in einem Posteingang zu landen. Wenn ein Mitarbeiter also durch Smishing oder Vishing hereingelegt wird, ist die Wahrscheinlichkeit gering, dass die Sicherheitsabteilung davon erfährt. Sogar dann, wenn der Mitarbeiter das selbst bemerkt und den Vorfall meldet, ist die Erkennung und Reaktion erheblich erschwert.

Aktuelle Angriffe

Noch besorgniserregender ist der nachweisliche Erfolg dieser Taktiken bei hochkarätigen Vorfällen. Kürzlich wurden mehrere große Einzelhändler in Großbritannien Opfer von Angriffen, die Berichten zufolge von der berüchtigten Gruppe Scattered Spider orchestriert wurden. Diese Angriffe sowie die erheblichen Sicherheitsverletzungen bei großen US-Marken im Jahr 2024 durch Scattered Spider nutzten insbesondere Vishing als ersten Angriffsweg.

Dabei riefen die Mitglieder der Hacker-Gruppierung als englische Muttersprachler den IT-Helpdesk an, gaben sich geschickt als Mitarbeiter aus und manipulierten die IT-Leute dann so, dass diese die Passwörter der nachgeahmten Mitarbeiter zurücksetzten. Dadurch erhielten die Cyber-Kriminellen ersten Zugriff auf Unternehmensnetzwerke und Mitarbeiterkonten. Außerdem nutzen sie Social-Engineering-Techniken, um ihre Opfer zu verleiten, auf einen Link zu klicken oder das Passwort eines Nutzers so zu ändern, das sie es verwenden konnten.

Die Gruppe hat sogar SIM-Swapping-Funktionen genutzt (wie bei einem Angriff auf einen anderen großen britischen Einzelhändler zu sehen war), um ihre Identitätsfälschung zu festigen – möglicherweise in Zusammenarbeit mit Personen bei Internet-Dienstanbietern oder Providern, um an die erforderlichen Informationen zu gelangen. Beim SIM-Swapping ersetzt ein Krimineller die SIM-Karte einer Person durch eine andere, oder verleitet diese dazu, dies selbst zu tun, um so die Kontrolle über die Mobilfunknummer und die dazugehörigen Online-Konten zu erlangen. Die Täter können dann SMS und Telefonanrufe abfangen, einschließlich SMS-TAN-Nachrichten für Online-Authentifizierung. Das ermöglicht ihnen die Übernahme von Online-Konten.

Wie sich Unternehmen schützen können

In den meisten Fällen ist es nicht möglich, die Cyber-Kriminellen bereits daran zu hindern, ihre Angriffe durchzuführen. Künstliche Intelligenz (KI) in Kombination mit Massen-Messaging-Diensten macht es Angreifern schlicht zu einfach, solche Angriffe zu starten.

Stattdessen sollten Schutzstrategien als präventive Ansätze darauf ausgerichtet sein, Smishing und Vishing so schnell wie möglich zu erkennen und zu blockieren, beispielsweise durch folgende Maßnahmen:

• Durchsuchen Sie das Deep und Dark Web nach Phishing-Kits, die auf die Marke eines Unternehmens abzielen.
• Durchsuchen von Telegram und WhatsApp nach Betrugsversuchen, die ein Unternehmen betreffen.
• Erkennen ähnlicher Domains, auf die Smishing-Nachrichten verweisen, und Entfernen dieser, sobald sie mit schädlichen Inhalten gefüllt werden.
• Durchführung von KI-Bedrohungssimulationen, um die Fähigkeit des Security Operations Center (SOC) und des Incident-Response-Teams zu testen, auf Angriffe zu reagieren, die generative KI nutzen.
• Verbesserung des Endgeräteschutzes durch verschiedene Funktionen, wie die automatische Erkennung der Ausführung unautorisierter Codes oder der Manipulation von Dateien. Diese Maßnahmen erschweren die Bereitstellung von Malware, wenn Ziele auf Links in bösartigen Nachrichten klicken.
• Schulung der Mitarbeiter, damit sie SMS oder Anrufe von nicht zu verifizierenden Absendern, insbesondere solchen, die dringend sensible Daten anfordern, mit Misstrauen begegnen.
• Reduzierung der Gefährdung sensibler Daten durch Verschärfung der Zugriffskontrollen und Prüfung interner Dokumentations-Repositorys, um sensible Informationen (wie Anmeldedaten) zu entfernen, die dort nicht vorhanden sein sollten.
• Sicherstellung, dass die Funktionen zur Abwehr von Bedrohungen mit den jüngsten Signaturen und Verhaltensmodellen auf dem Stand der Technik sind, einschließlich solcher, die KI-gestützte Angriffe mit multimodalen Eingaben (wie Sprache, Bilder und Code) erkennen können.

Fazit

Wer Hochstapelei nur mit der analogen Welt in Verbindung bringt, der ist nicht vorbereitet auf die modernen Cyber-Attacken dieser Tage. Hacker haben längst die SMS und den klassischen Telefonanruf, sogar Video-Konferenzen für sich entdeckt, um hochwertige Cyber-Attacken durchzuführen. Sie geben sich als Unternehmen aus, als Führungskräfte, Partner und Kunden, um über Smishing und Vishing an sensible Informationen zu gelangen, Nachrichten abzufangen, oder Überweisungen auf ihre eigenen Konten anzuweisen. Phishing-Abwehr darf sich daher nicht nur auf E-Mail-Sicherheit konzentrieren, sondern muss die Welt der mobilen Geräte, wie Smartphones, einbeziehen, die oftmals nicht im Unternehmensinventar erfasst sind, weil viele Angestellte mit ihren privaten Geräten arbeiten oder arbeiten sollen. Somit werden diese nicht konstant von der Unternehmenssicherheit überwacht und geschützt. Entsprechend ist eine präventive Schutzstrategie, die anerkennt, dass sich die meisten Angriffe nicht verhindern lassen in ihrer Ausführung, aber abwehren lassen, bevor sie eindringen können, der Königsweg.

Although smishing and vishing did not pose a significant threat compared to email phishing attacks in the past, current figures indicate a turnaround. Currently, however, vishing and smishing are experiencing rapid growth. Vishing attacks increased by 442 percent in the second half of 2024. The number of smishing incidents has also steadily increased since the beginning of this decade.

Cybercriminals act as imposters. They pretend to be people their victims trust. In vishing attacks, for instance, they impersonate IT support employees and trick employees into revealing their login details. In other cases, they impersonate a manager to instruct employees to transfer money to their bank account.

These attack methods make it difficult for employees, especially those who are less tech-savvy, to recognize smishing and vishing. Traditional tips for defending against phishing, such as not trusting emails with typos, are virtually ineffective against smishing and vishing.

How cybercriminals operate

In addition to impersonation, typical tactics may include tricking victims into downloading malware, clicking on infected links, or changing billing information to divert payments.

These attacks are similar to email phishing in most respects. First, attackers seek out targets and create content designed to trick them into revealing sensitive data. An integral part of this process is social engineering, which involves gathering information via social media to find out as much as possible about a target person.

These two attack methods are more dangerous than typical email phishing because employees are often reluctant to trust an email from an unknown source, but they are often less suspicious of a text message or phone call. Furthermore, unlike with email phishing, employees cannot easily verify the legitimacy of the sender or caller. Additionally, most mobile devices are personal, meaning they aren’t monitored by corporate security or SOC (Security Operations Center) teams. Additionally, there are no security programs that automatically detect and block malicious text messages or calls. Likewise, there are no email security products that can prevent phishing emails from landing in an inbox. Therefore, if an employee falls victim to smishing or vishing, there is little chance that the security department will find out about it. Even if the employee notices and reports the incident, detection and response are significantly more difficult.

Current attacks

More worrying still is the proven success of these tactics in high-profile incidents. Recently, several major UK retailers fell victim to attacks reportedly orchestrated by the notorious Scattered Spider group. These attacks, as well as the significant security breaches that Scattered Spider caused at major US brands in 2024, used vishing as the initial attack vector.

The hacker group members, who were native English speakers, called the IT help desk, pretended to be employees, and manipulated the IT staff into resetting the passwords of the employees they were impersonating. This gave the cybercriminals initial access to company networks and employee accounts. The hackers also used social engineering techniques to trick their victims into clicking on a link or changing their password, which the hackers could then use.

The group used SIM swapping techniques, as seen in an attack on another major British retailer, to solidify their identity theft. They may have collaborated with individuals at internet service providers or carriers to obtain the necessary information. In SIM swapping, a criminal replaces a person’s SIM card with another one or tricks the person into doing so themselves to gain control of their mobile phone number and associated online accounts. Perpetrators can then intercept text messages and phone calls, including SMS TAN messages for online authentication. This enables them to take over online accounts.

How can companies protect themselves?

In most cases, it is not possible to prevent cybercriminals from carrying out attacks. Artificial intelligence (AI) combined with mass messaging services makes it far too easy for attackers to launch such attacks.

Protection strategies should focus on preventive approaches to quickly detect and block smishing and vishing, for example, by taking the following measures:

–  Search the deep and dark web for phishing kits targeting a company’s brand.

– Search Telegram and WhatsApp for fraud attempts affecting a company.

– Identify similar domains referenced in smishing messages and remove them as soon as they contain malicious content.

– Conduct AI threat simulations to test the Security Operations Center (SOC)’s and the Incident Response Team’s ability to respond to attacks that use generative AI.

– Improve endpoint protection with features like automatic detection of unauthorized code execution or file manipulation. These measures make it more difficult to deploy malware when targets click on links in malicious messages.

– Train employees to be suspicious of text messages or calls from unverifiable senders, especially those that urgently request sensitive data.

– Reduce exposure to sensitive data by tightening access controls and reviewing internal documentation repositories to remove sensitive information (e.g., login credentials) that does not belong there.

– Ensure threat prevention capabilities are updated with the latest signatures and behavior models, including those that can detect AI-powered attacks using multimodal inputs, such as voice, images, and code.

Conclusion

Those who associate impersonation only with the analog world are not prepared for modern cyberattacks. Hackers have long used SMS, classic phone calls, and even video conferences to carry out high-quality cyberattacks. They pose as companies, executives, partners, and customers to obtain sensitive information via smishing and vishing, intercept messages, or instruct transfers to their own accounts. Therefore, phishing defense must focus not only on email security but also on mobile devices, such as smartphones. These devices are often not included in a company’s inventory because many employees use their personal devices for work. Consequently, these devices are not constantly monitored and protected by corporate security. Therefore, the ideal solution is a preventive protection strategy that recognizes most attacks cannot be prevented, but can be repelled before they penetrate.