Was ist Smishing und wie kann Betrug vermieden werden?

Was ist Smishing?

„Hinweis zu Ihrer Paketlieferung: bitte klicken Sie auf den Link und geben Ihre Daten ein“. So oder so ähnlich kann eine Smishing-SMS aussehen, in der Kriminelle versuchen, an die Daten von Opfern zu kommen. Smishing ist eine Form von Cyber-Angriff durch betrügerische Textnachrichten (SMS).¹

Der Begriff "Smishing" ist eine Kombination aus "SMS" (kurz für die englische Bezeichnung “short messaging system”, also eine Textnachricht) und "Phishing" (wiederum eine Kombination aus den englischen Wörtern „password“ und „fishing“, grob übersetzt Fischen nach Passwörtern).²

Wie beim Phishing versuchen die Smishing-Angreifer, persönliche Informationen wie Passwörter, Bankdaten oder Kreditkartennummern zu stehlen, indem sie Opfer dazu verleiten, auf gefälschte Links zu klicken oder betrügerische Anhänge herunterzuladen. Beim Phishing erfolgt die Kontaktaufnahme in der Regel über E-Mails, die oft so gestaltet sind, dass sie von legitimen Unternehmen zu stammen scheinen. Hier gibt es einen Überblick, wie man Phishing-E-Mails erkennt.²

Beim Smishing wiederum werden betrügerische Nachrichten über SMS versendet. Smishing und Phishing sind dementsprechend ähnlich und unterscheiden sich nur über den Kommunikationskanal. Smishing zielt direkt auf mobile Benutzer:innen ab und nutzt das größere Vertrauen, das Menschen in SMS-Nachrichten im Vergleich zu E-Mails setzen.²

Wie funktioniert Smishing?

Beim Smishing-Betrugsversuch versenden Angreifer:innen gefälschte SMS-Nachrichten an potenzielle Opfer. Diese können vorgeben von einer bekannten Institution wie einer Bank, einem Lieferdienst oder einem Regierungsamt zu stammen. Sie enthalten oft eine Aufforderung, auf einen Link zu klicken und dort Daten einzugeben, oder eine bestimmte Telefonnummer anzurufen.²

Oft werden in Smishing-Nachrichten Taktiken wie Angstmache oder Dringlichkeit verwendet, um die potenziellen Opfer dazu zu bringen, schnell und ohne viel Nachdenken zu handeln. Wenn diese auf den Smishing-Link in der SMS-Nachricht klicken, werden sie möglicherweise zu einer gefälschten Website weitergeleitet, die dem Erscheinungsbild einer legitimen Website ähnelt.²

Diese gefälschten Websites können dazu verwendet werden, persönliche Informationen wie Benutzernamen, Passwörter oder Kreditkartennummern abzufangen. Sobald die Opfer ihre sensiblen Informationen auf der gefälschten Website preisgegeben haben, können Angreifer:innen diese Informationen für betrügerische Zwecke verwenden, wie z. B. Identitätsdiebstahl, finanzielle Betrügereien oder den Zugriff auf Online-Konten.³

Die Verbreitung und starke Zunahme von Smishing

Die kurzen und schnellen Kommunikationswege via SMS gehören zu den großen Annehmlichkeiten des digitalen Zeitalters. Doch leider bringen sie auch Schwachstellen mit sich. Es gibt mehrere Faktoren, die zum Anstieg von Smishing beitragen.

Da Smartphones heutzutage allgegenwärtig sind, haben sich Textnachrichten über SMS oder über soziale Medien als ein wichtiges Kommunikationsmittel entwickelt – sowohl im privaten als auch im beruflichen Bereich. Dadurch erhöht sich auch die Zahl der potenziellen Zielpersonen von Smishing-SMS.⁴

Während Phishing-Versuche über E-Mails sowohl von Spam-Filtern als auch von der erhöhten Achtsamkeit von Nutzer:innen leichter erkannt werden, vertrauen Menschen der digitalen Kommunikation via Textnachricht wesentlich mehr.⁴

Außerdem wird es zunehmend schwerer, betrügerische Nachrichten von echten Nachrichten zu unterscheiden. Es gibt viele Kanäle, über die Smishing-Versuche unternommen werden, z. B. direkte Textnachrichten (SMS), Nachrichten über Social-Media-Plattformen und über Messaging-Apps. Jeder Kanal bietet den Betrüger:innen andere Möglichkeiten, mit potenziellen Opfern in Kontakt zu treten.⁴

Gängige Smishing-Betrugsarten

Hier ist ein Überblick der verschiedenen Smishing-Typen, die es heutzutage gibt. Es ist wichtig zu beachten, dass sich diese oft und schnell ändern können:

Bank-Smishing

Betrüger:innen können sich in der Smishing-Nachricht als Bank ausgeben, um an sensible Finanzdaten zu gelangen. Darin behaupten sie beispielsweise, dass ein Konto gesperrt wurde, dass eine Zahlung ausstehend ist oder dass es ein Sicherheitsproblem gibt, das sofort behoben werden muss. Die Opfer werden gebeten, schnell zu reagieren, auf Links zu klicken und ihre Finanzdaten und Passwörter einzugeben.⁴

Malware-Smishing

Bei Malware-Smishing-Angriffen versenden Kriminelle betrügerische SMS-Nachrichten, die dazu dienen, Malware auf die Geräte der Opfer zu schleusen. Die SMS-Nachrichten können Anhänge mit Malware oder Links enthalten, die zu infizierten Webseiten führen. Häufige Arten von Malware, die in Smishing-Angriffen verwendet werden können, sind:⁴

• Spyware, um die Aktivitäten auf dem infizierten Gerät zu überwachen, persönliche Informationen zu stehlen oder Tastenanschläge aufzuzeichnen
• Trojanische Pferde, die heimlich auf einem Gerät installiert werden und vertrauliche Informationen stehlen, Schadcodes ausführen oder das Gerät ferngesteuert kontrollieren können
• Ransomware, die die Dateien auf dem infizierten Gerät verschlüsselt und vom Opfer ein Lösegeld fordert, um die Dateien wiederherzustellen
• Adware, die unerwünschte Werbung auf dem infizierten Gerät zeigt und die Leistung beeinträchtigen oder persönliche Daten sammeln kann

Geld-Smishing

Eine weitere Variante ist das „Geld-Smishing“, bei der Betrüger:innen versuchen, Opfer dazu zu bringen, Geld zu überweisen oder finanzielle Informationen preiszugeben. Opfer erhalten beispielsweise eine SMS, die vorgibt, dass sie einen Geldpreis oder eine Belohnung gewonnen haben. Um diesen Preis zu erhalten, sollen sie oft ihre persönlichen oder finanziellen Informationen preisgeben oder eine Gebühr zahlen.⁵

So können die Anzeichen von Smishing-Versuchen erkannt werden

Manchmal ist es einfach, Smishing zu erkennen: „Hallo Mama, das hier ist meine neue Nummer, bitte speichern“. Solche SMS werden zuhauf versendet, auch an Menschen, die gar keine Kinder (mit Telefon) haben oder die keine Mütter, sondern Väter sind.⁶

Doch wie können Nutzer:innen Anzeichen von Smishing erkennen, wenn es nicht so offensichtlich ist? Hier ein Leitfaden:^7,8

• Skepsis gegenüber SMS-Nachrichten von unbekannten Absendern.
• Vorsicht bei SMS-Nachrichten, die persönliche oder finanzielle Informationen anfordern, ohne dass eine vorherige Interaktion mit der angeblichen Organisation bestand.
• Misstrauen, wenn die Nachricht Dringlichkeit oder Angst erzeugt. Smishing-Nachrichten verwenden oft Taktiken wie "Ihr Konto wurde gesperrt" oder "Es gibt ein Sicherheitsproblem, handeln Sie sofort", um Opfer dazu zu bringen, schnell zu reagieren, ohne viel nachzudenken.
• Auf Rechtschreib- oder Grammatikfehler in der Nachricht achten, da betrügerische Nachrichten oft fehlerhaft sein können.
• Vorsichtig beim Klicken auf Links in SMS-Nachrichten, insbesondere wenn diese auf unbekannte oder verdächtige Webseiten führen.
• Die Echtheit der Nachricht durch alternative Kanäle überprüfen, zum Beispiel, indem man die Bank direkt über die offizielle Telefonnummer anruft oder bei einer Nachricht wie “Hallo Mama, ich habe eine neue Nummer, bitte speichern!“ erstmal über die bisherige Nummer des Kindes Kontakt aufnimmt und nachfragt.
• Im Internet zu aktuellen Betrugswarnungen und -trends recherchieren.

Nutzer:innen können außerdem mit dem folgenden Leitfaden viele Email-Phishing-Angriffe erkennen.

Wie kann Smishing vermieden werden?

Es ist immer angebracht, misstrauisch gegenüber unbekannten Nachrichten zu sein, die persönliche oder finanzielle Informationen anfordern. Legitime Unternehmen oder Organisationen fordern normalerweise keine persönlichen Informationen per SMS an. Zusätzlich zu den oben genannten Sicherheitsmaßnahmen gibt es weitere Möglichkeiten, wie Menschen Smishing verhindern bzw. sich davor schützen können.^8,9

• Nicht auf Links in SMS von unbekannten Absendern klicken
• Einladungen zu Gewinnspielen löschen
• Den Status von Paketen direkt auf der Webseite der Zustellfirma prüfen
• Handynummern, von denen dubiose SMS kommen, blockieren
• Apps nur aus offiziellen Stores laden
• Das Smartphone bei einem möglichen schadhaften Befall umgehend in den Flugmodus setzen, um es vom Netz zu trennen und anschließend professionelle Hilfe in Anspruch nehmen

Auch bei Online-Einkäufen oder beim Nutzen von Online-Finanzinstituten gibt es verschiedene Möglichkeiten für sicheres Bezahlen im Internet. Etablierte Finanzinstitute bieten Kund:innen starke Schutzmaßnahmen, um Finanzen und Überweisungen sicher im Internet zu tätigen.

Was ist zu tun, wenn ein Smishing-Versuch erfolgreich war?

Opfer eines Smishing-Betrugs können folgende Schritte unternehmen, um den Schaden zu minimieren:

Als erstes sollte der Vorfall sofort bei allen relevanten Behörden und Unternehmen gemeldet werden. Zum Beispiel der Bank, dem Mobilfunkunternehmen und der örtlichen Polizei. Je schneller der Vorfall gemeldet wird, desto besser können Maßnahmen ergriffen werden, um den Betrug zu untersuchen und weitere potenzielle Opfer zu schützen. Gut ist es auch, das BSI (Bundesamt für Sicherheit in der Informationstechnik) und die Verbraucherzentrale zu kontaktieren.¹⁰

Anschließend sollten alle Passwörter und Sicherheitseinstellungen, die mit den betroffenen Konten verbunden sind, geändert werden. Zudem sollte die Nummer der betrügerischen SMS-Nachricht blockiert, aber die Beweise aufbewahrt werden. Das heißt, die Smishing-SMS oder Bildschirmfotos sollten als Beweismittel behalten werden. Denn wenn der Vorfall bei den Behörden bewiesen werden kann, könnten mögliche finanzielle Verluste erstattet werden.

In den darauffolgenden Wochen und Monaten sollten Bankkonten und Kreditkartenabrechnungen regelmäßig auf verdächtige Aktivitäten überprüft werden. Falls verdächtige Transaktionen festgestellt werden, sollten diese sofort gemeldet werden. Hilfreich ist es auch, Angehörige und Freunde über die eigenen Erfahrungen mit Smishing zu informieren, um sie zu warnen.¹⁰

Hier sind noch weitere Informationen, wie sich Nutzer:innen vor Internetbetrug schützen können.