Why is smishing more effective than email phishing?

SMS phishing (smishing) achieves click rates 6 to 10 times higher than email phishing. People trust text messages more because they feel personal and immediate. Mobile screens truncate URLs, making it harder to spot fakes. Push notifications create urgency. And most phones lack the anti-phishing filters that protect email inboxes. Proofpoint's 2023 report found 76% of organizations experienced smishing attacks.

How can you tell if a text message is a smishing attempt?

Watch for unexpected messages from delivery services, banks, or IT departments. Be suspicious of shortened URLs, urgent language about account lockouts or missed deliveries, and requests to verify personal information. Legitimate organizations rarely ask for credentials via text. Instead of tapping any link, open the official app or website directly. If a message claims to be from a colleague, verify through a separate channel.

Schmunzelnd

Detect fraud hiding in your text messages.

What Is Schmunzelnd?

Smishing ist Phishing, das über SMS-Textnachrichten übermittelt wird, und es nimmt schneller zu als jeder andere Phishing-Kanal. Der Proofpoint-Bericht „State of the Phish“ aus dem Jahr 2023 ergab, dass 76 % der Unternehmen Smishing-Angriffe erlebten, wobei die Klickraten auf bösartige SMS-Links sechs- bis zehnmal höher waren als bei E-Mail-Phishing. Der Grund ist einfach: Die Menschen vertrauen ihren Telefonen mehr als ihren E-Mail-Postfächern, und mobile Bildschirme machen es schwieriger, URLs vor dem Tippen zu überprüfen. In dieser Simulation erhalten Sie eine Textnachricht, die wie eine Paketzustellungsbenachrichtigung, eine Banksicherheitswarnung oder eine Aufforderung zum Zurücksetzen des Passworts der IT-Abteilung aussieht. Die Nachricht ist kurz, dringend und enthält eine verkürzte URL, die das eigentliche Ziel verschleiert. Auf einem kleinen mobilen Bildschirm sind die Unterschiede zwischen einem legitimen und einem bösartigen Link nahezu unsichtbar. Sie werden lernen, Ihre Reaktion zu verlangsamen, anstatt auf die Dringlichkeit zu reagieren, die die Nachricht erzeugt. In der Übung lernen Sie, Zustellbenachrichtigungen zu überprüfen, indem Sie direkt auf die Website oder App des Spediteurs gehen, anstatt auf den Link zu klicken, Ihre Bank über die Nummer auf der Rückseite Ihrer Karte anzurufen, anstatt den Anweisungen per SMS zu folgen, und verdächtige Textnachrichten an das Sicherheitsteam Ihrer Organisation weiterzuleiten. Sie werden auch sehen, wie Angreifer Lookalike-Domains registrieren, die sich nur durch ein einzelnes Zeichen unterscheiden, URL-Verkürzer verwenden, um bösartige Ziele zu verbergen, und wie sie ihre Nachrichten zeitlich so anpassen, dass sie mit realen Ereignissen wie tatsächlichen Paketzustellungen oder aktuellen Banktransaktionen übereinstimmen, um die Glaubwürdigkeit zu erhöhen.

What You'll Learn in Schmunzelnd

Identifizieren Sie die Merkmale von Smishing-Nachrichten, einschließlich verkürzter URLs, Dringlichkeitssprache und Nachahmung bekannter Dienste
Überprüfen Sie die Legitimität von SMS-Benachrichtigungen, indem Sie direkt zu offiziellen Apps oder Websites navigieren, anstatt auf eingebettete Links zu klicken
Erklären Sie, warum die Klickraten bei SMS-Phishing deutlich höher sind als bei E-Mail-Phishing und wie kleine mobile Bildschirme die Inspektionsfähigkeit beeinträchtigen
Leiten Sie verdächtige Textnachrichten mithilfe etablierter Meldeverfahren an das Sicherheitsteam Ihres Unternehmens weiter
Erkennen Sie zeitbasierte Smishing-Taktiken, bei denen Angreifer Nachrichten senden, die mit realen Ereignissen übereinstimmen, um die Glaubwürdigkeit zu erhöhen

Schmunzelnd — Training Steps

Einführung

In dieser Schulung werden Sie Zeuge eines von Bob inszenierten Smishing-Angriffs, einem Cyberkriminellen, der es sich zum Ziel gesetzt hat, Ihre Anmeldedaten durch betrügerische Taktiken zu stehlen.
Empfang der verdächtigen SMS

Als Alice summt plötzlich Ihr Mobiltelefon auf Ihrem Schreibtisch und zeigt eine neue SMS an. Sie sind fasziniert von der unerwarteten Benachrichtigung an Ihrem geschäftigen Morgen und greifen zum Telefon, um nachzusehen.
Klicken Sie auf den verdächtigen Link

Als Alice fühlen Sie sich wegen der SMS unwohl, sind aber besorgt über das vermeintliche Kontoproblem. Unter dem Druck des dringenden Tons beschließen Sie, den verdächtigen Link zu öffnen, um weitere Nachforschungen anzustellen.
Anzeigen der gefälschten Anmeldeseite

Der Link öffnet eine Webseite, die dem offiziellen Anmeldeportal von CypherPeak Technologies sehr ähnlich ist, einschließlich des Logos, der Farben und des Layouts des Unternehmens. Sie werden aufgefordert, Ihren Benutzernamen und Ihr Passwort einzugeben, um Ihr Konto zu „verifizieren“. Bob hat diese gefälschte Website entworfen, um Sie dazu zu verleiten, Ihre Anmeldeinformationen preiszugeben, und nutzt dabei das Vertrauen aus, das durch ihr professionelles Erscheinungsbild entsteht. Die URL http://cypherpeak-secure-login.com unterscheidet sich von der offiziellen Website, die Ähnlichkeit täuscht jedoch.
Anmeldedaten eingeben

Als Alice sind Sie durch das vertraute Erscheinungsbild der Webseite beruhigt und beschließen, immer noch besorgt über das dringende Kontoproblem, Ihren Benutzernamen und Ihr Passwort in das gefälschte Anmeldeportal einzugeben, um das vermeintliche Problem zu lösen.
Es wird eine Fehlerseite angezeigt

Nach Eingabe Ihrer Anmeldeinformationen wird auf der Webseite eine Fehlermeldung angezeigt: „Konto konnte nicht bestätigt werden. Bitte versuchen Sie es später erneut.“ Als Alice steigert dieser unerwartete Fehler Ihre Sorge und lässt Sie vermuten, dass etwas mit dem Anmeldevorgang oder Ihrem Konto nicht stimmt. Ohne dass Sie es wissen, hat Bob Ihre Anmeldeinformationen bereits erfasst und bereitet sich darauf vor, sie zu missbrauchen. Diese Fehlerseite ist eine gängige Taktik bei Smishing-Angriffen, um den Verdacht abzulenken, während der Angreifer Zugriff erhält.
Bob greift auf das System zu

Bob nutzt die gestohlenen Zugangsdaten nun für böswillige Aktionen wie Datenexfiltration. Dies zeigt die realen Auswirkungen von Smishing – es kann nicht nur Anmeldedaten, sondern auch ganze Systeme kompromittieren.
Empfangen der Login-Benachrichtigungs-E-Mail

Als Alice öffnen Sie am nächsten Morgen Ihre E-Mail-App und finden eine E-Mail mit einer Anmeldebenachrichtigung von der IT-Abteilung von CypherPeak Technologies.
Melden Sie den Vorfall

Als Alice, die durch die E-Mail mit der Anmeldewarnung alarmiert ist und sich an den verdächtigen Text und die Fehlerseite erinnert, beschließen Sie, auf die E-Mail der IT-Abteilung zu antworten und den Vorfall zu melden. Die Berichterstattung ist der Schlüssel zur Schadensbegrenzung. Beschreiben Sie den Vorfall genau, damit die IT-Abteilung effektiv reagieren kann. Selbst mutmaßliche Angriffe sollten gemeldet werden.
Einloggen auf der Unternehmenswebsite

Nachdem Sie den Vorfall gemeldet haben, ergreifen Sie sofort Maßnahmen zur Sicherung Ihres Kontos, indem Sie sich auf der offiziellen Unternehmenswebsite von CypherPeak Technologies anmelden und Ihr Passwort über das sichere Portal aktualisieren. Um die Sicherheit zu gewährleisten, navigieren Sie mit Ihrem Browser manuell zur offiziellen Website und vermeiden dabei Links zu verdächtigen Nachrichten.

What Is Schmunzelnd?

What You'll Learn in Schmunzelnd

Schmunzelnd — Training Steps

Einführung

Empfang der verdächtigen SMS

Klicken Sie auf den verdächtigen Link

Anzeigen der gefälschten Anmeldeseite

Anmeldedaten eingeben

Es wird eine Fehlerseite angezeigt

Bob greift auf das System zu

Empfangen der Login-Benachrichtigungs-E-Mail

Melden Sie den Vorfall

Einloggen auf der Unternehmenswebsite