Was ist Smishing? Fallen Sie sich nicht auf einen SMS-Phishing-Betrug herein

Bei welcher Phishing-Methode werden Textnachrichten an das Smartphone eines potenziellen Opfers verschickt? Falls Sie mit „Smishing“ geantwortet haben, dann liegen Sie richtig. Lesen Sie weiter, um zu erfahren, warum diese Online-Bedrohung oft effektiver ist als das Pendant per E-Mail, wie die meisten Smishing-Angriffe aussehen und warum Cyberkriminelle so wild nach Ihrer Telefonnummer sind. Heutzutage ist es nicht die Liebe, die (ungebeten) anklopft. Schützen Sie sich daher mit Avira Free Security vor allen Arten von Malware und sogar vor den neuesten Online-Bedrohungen.

Was ist Smishing? Und worin besteht der Unterschied zu Phishing? Oder Vishing?

Erinnern Sie sich an die traditionelle Angelmethode, bei dem naive Fische dachten, dass Würmer freiwillig im Wasser hängen und nur darauf warten würden, gefressen zu werden? Wenn der Fisch anbeißt, hat das ernsthafte Folgen für ihn. Dann kam ein digitales Äquivalent außerhalb des Wassers: Phishing. Bei diesem bösartigen Online-Angriff versuchen Cyberkriminelle, wertvolle Infos (wie Benutzernamen, Passwörter, Kreditkartendetails) und letztendlich Geld zu erlangen, indem sie sich per ​E-Mail als vertrauenswürdige Instanz ausgeben. Somit ist die elektronische Kommunikation der fette „Köder“, und wenn Sie ein unachtsamer „Fisch“ sind, werden Sie jede E-Mail als legitim betrachten und bereitwillig anbeißen (darauf klicken). Weniger bekannt​ ​ist eine Art des Phishings​, ​die ihre Opfer ​über​ SMS oder Textnachrichten ins Visier nimmt. Durch die Kombination der Wörter „SMS“ und „Phishing“ entstand der Begriff „Smishing“, dessen Ziele die gleichen wie bei der E-Mail-Methode sind. Der Betrüger verschickt irreführende Textnachrichten, um seine Opfer dazu zu verleiten, auf präparierte Links zu klicken, schädliche Anhänge zu öffnen und letztendlich persönliche oder finanzielle Informationen preiszugeben. Es handelt sich um Phishing in Textform, sodass Ihr Mobiltelefon zum Angriffsort wird. Ähnlich wie ihre E-Mail-basierten Verwandten versuchen diese betrügerischen Nachrichten, so auszusehen, als stammten sie von seriösen Quellen wie Amazon, PayPal, der Post oder dem Finanzamt. „Ihr Konto wurde gesperrt!“ „Es wurde versucht, Ihr Passwort zurückzusetzen.“ „Für Ihr Konto wurde ein neuer Zahlungsempfänger angefordert!“ Ziel ist es, ein Gefühl der Dringlichkeit zu erzeugen, damit der Empfänger bestimmte Maßnahmen ergreift. Wenn wir Angst oder Wut spüren oder einfach neugierig sind, handeln wir schnell, ohne viel nachzudenken.

Doch damit nicht genug: Es gibt auch „Vishing“! Falls Sie jetzt verwirrt sind, sehen Sie sich die praktische Übersicht unten an. Smishing ist nur eine von fünf häufigen Phishing-Formen​​. Das sind ihre Funktionsweisen und Merkmale. 

1. E-Mail-Phishing ist nach wie vor am weitesten verbreitet. Der Betrüger registriert meist eine gefälschte Domäne, die eine echte Domäne imitiert, und versendet Tausende ganz allgemein gehaltener Anfragen. Achten Sie auf unpersönliche Anreden und Rechtschreibfehler in der E-Mail. Fahren Sie mit dem Mauszeiger über die E-Mail-Adresse, dann Sie können möglicherweise sehen, dass sie eine Zeichenersetzung enthält, beispielsweise ein „r“ anstelle eines „n“. Mitunter erscheint der Name eines seriösen Absenders in abgeänderter Form, wie „amazonservice.com“ anstelle von „amazon.com“: „Guten Tag, geschätzter Kunde. Ihr Konto wurde gesperrt …“
   Lesen Sie, wie Sie Phishing-Versuche erkennen und vermeiden können. 
2. Spear-Phishing ist ebenfalls eine Art E-Mail-Phishing, das aber auf eine bestimmte Person zugeschnitten wurde, um glaubwürdiger zu erscheinen. In diesem Fall​​ hat der Betrüger seine Hausaufgaben gemacht und persönliche Details wie Name, Adresse und Berufsbezeichnung des Empfängers herausgefunden: „Sehr geehrter Dr. Schmidt, es gab unerwartete Aktivitäten auf Ihrem Barclays-Konto und …“
3. „Whaling“ ist eine Form von E-Mail-Phishing, das die ganz Großen ins Visier nimmt! Diese E-Mails sind in der Regel an Führungskräfte gerichtet und geben vor, vom gestressten Geschäftsführer zu stammen, der um einen Gefallen bittet. Die Mitarbeiter sind möglicherweise zu eingeschüchtert, um nicht das zu tun, worum ihr Chef sie „gebeten“ hat. „Hallo Maria, ich bin am Flughafen und habe meine Anmeldedaten für das VPN nicht dabei …“
4. Smishing läuft über das Telefon und bedient sich betrügerischer SMS, um zur Angabe persönlicher Daten zu verleiten. „Klicken Sie auf diesen Link, um Ihr fehlendes Paket nachzuverfolgen …“
5. Vishing oder Voice-Phishing verwendet ebenfalls das Telefon, aber anstelle von Textnachrichten machen Betrüger Telefonanrufe oder Robocalls, hinterlassen Sprachnachrichten oder rufen über Internettelefonie (VoIP) an. Falls Sie den Anruf annehmen, werden Sie möglicherweise zu einem „Mitarbeiter“ durchgestellt, der natürlich Ihre persönlichen Daten benötigt: „Sie waren kürzlich in einen Autounfall verwickelt …“

Alle oben genannten Varianten haben wichtige Merkmale gemeinsam: Es handelt sich um Formen des Social Engineering, was bedeutet, dass sie unser Vertrauen ausnutzen und uns psychologisch manipulieren, anstatt sich mithilfe von Technologie einzuhacken. Alle sind außerdem Versuche von Identitätsbetrug, sie unterscheiden sich jedoch in der Art und Weise der Kontaktaufnahme: per E-Mail, SMS oder Telefon. Viele Menschen denken bei Phishing noch immer nur an E-Mails, in Wirklichkeit aber müssen Sie sich​ bei​ allen Kommunikationsmedien in Acht nehmen!

Lernen Sie die zwei Arten von Smishing kennen – und warum sie bei Cyberkriminellen beliebt sind

Beim Smishing gibt es sogar noch zwei verschiedene Arten, aber im Gegensatz zum E-Mail-Phishing sind ihre Bezeichnungen frei von fischigen Anspielungen. Zum einen gibt es das SMS-Phishing, für das Sie nach sorgfältigem Lesen des vorherigen Abschnitts bereits ein Experte sind. Sie werden per SMS aufgefordert, auf einen Link zu klicken oder eine Nummer anzurufen. Dieser Typ kommt in verschiedenen Varianten vor, je nachdem, als wen sich der Betrüger ausgibt.

Puristen könnten argumentieren, dass Instant-Messaging-Smishing nicht wirklich Smishing ist, da es IM-Freeware wie Facebook Messenger oder WhatsApp anstelle von SMS verwendet. Die Absicht dahinter ist jedoch zweifellos „Phishing“, da das Ziel darin besteht, dass Sie dem Angreifer persönliche Daten, einschließlich Kennwörter und/oder Kreditkartennummern, zur Verfügung stellen. Möglicherweise wird Ihnen ein Sonderangebot oder ein Preis versprochen. Falls die Nachricht von einem fremden Absender stammt, ist das ein guter Hinweis darauf, dass Sie möglicherweise Ziel eines Betrugs sind. Beachten Sie jedoch, dass solche Angriffe auch scheinbar von Menschen kommen können, die Sie kennen! Ihr Social-Media-Konto wurde möglicherweise gehackt. Vertrauen Sie​ ​online niemandem bedingungslos – nicht einmal Ihrer Mutter. 

Smishing bleibt aus mehreren Gründen eine beliebte Betrugsform: Es ist relativ einfach, eine Telefonnummer mit einem Wegwerf-Handy zu fälschen oder eine Software zu verwenden, um SMS per E-Mail zu versenden. Aufgrund des kleineren Bildschirms von ​Mobilgeräten​ kann es schwerer fallen, gefährliche Links zu erkennen. Außerdem können Sie nicht mit dem Mauszeiger über den Link fahren, um zu sehen, wohin er verweist. 2020 startete die Federal Communications Commission (FCC) in den USA eine branchenweite Initiative, um Verbrauchern und Unternehmen zu helfen, sich nicht von Robocalls und illegal gefälschten Telefonnummern täuschen zu lassen. Telekommunikationsunternehmen in den USA mussten das ​​STIR/SHAKEN-Protokoll für die Anrufer-ID-Authentifizierung einführen. Deshalb sieht man dort den Hinweis „wahrscheinlich Betrug/Spam“, wenn unbekannte Anrufe eingehen. Sehr zur Erleichterung der Cyberkriminellen sind Scam-SMS aber weiterhin möglich.

So funktioniert Smishing

Smishing-​Betrugsversuche ​folgen einem ähnlichen Muster wie E-Mail-Phishing und kombinieren technologische und psychologische Taktiken, um Opfer zu manipulieren. Cyberangreifer gehen in der Regel nach folgendem Schema vor:

SCHRITT 1: Auswahl der Opfer: Zunächst wählen Cyberkriminelle ihre Ziele aus. Sie nehmen entweder zufällige Nummern aus einer Liste, die sie besitzen, oder greifen bestimmte Personen an, basierend auf den Daten, die sie aus früheren Datenlecks erhalten haben. Diese Informationen sind häufig im Dark Web zu finden.

SCHRITT 2: Verfassen der Nachricht: Als Nächstes erstellen sie eine Textnachricht, die eine bestimmte Reaktion oder eine Emotion wie Angst, Mitgefühl oder Neugier hervorruft. Sie enthält in der Regel einen (meist dringenden) Handlungsaufruf. Klicken Sie auf diesen Link oder rufen Sie diese Nummer an! Kontaktieren Sie uns! 

SCHRITT 3: Versenden der Nachricht: Jetzt ist es an der Zeit, den Köder auszuwerfen. Cyberkriminelle nutzen häufig SMS-Gateways, bei denen ein Computer über das globale Telekommunikationsnetz Textnachrichten an Mobilgeräte senden und sie von diesen empfangen kann. Spoofing-Tools sind ein weiteres Hilfsmittel für Betrüger – sie generieren Software- und Hardware-Informationen, die darauf ausgelegt sind, Überwachungssysteme zu täuschen. Hier erfahren Sie weitere Infos über die verschiedenen Formen des Spoofings.

SCHRITT 4: Interaktion mit dem Opfer: Falls der Betrüger Glück hat, reagiert das Opfer auf die empfangene Nachricht und führt die beabsichtigte Aktion aus (beispielsweise das Beanspruchen des angeblich gewonnenen Lotteriegelds oder das Anrufen des gefälschten technischen Supports über die angegebene Nummer). Er oder sie könnte auf einer betrügerischen Website landen, auf der man persönliche oder finanzielle Daten preisgeben oder Schadsoftware auf sein Gerät herunterladen soll. Beim Anrufen einer gefälschten Nummer könnte das Opfer dazu verleitet werden,​ persönliche​ Informationen preiszugeben, oder es entstehen unerwartete Gebühren.

SCHRITT 5: Schädigen des Opfers: Wenn das Opfer die gewünschte Aktion ausgeführt hat, können die Angreifer wieder tätig werden. Sie verfügen jetzt über die notwendigen Informationen für eine Vielzahl mieser Betrügereien, einschließlich Identitätsdiebstahl und nicht autorisierter Transaktionen. Sie können die ​sensiblen ​Daten auch auf dem Schwarzmarkt verkaufen oder sie für andere gezielte Angriffe verwenden.

SCHRITT 6: Ausbauen und Verschleiern: Die Arbeit der Betrüger ist niemals erledigt, da sie ständig ihre Taktiken, Telefonnummern und die Methoden zur Verschleierung ihres Standorts und ihrer Identität wechseln müssen.

Vorsicht vor ​diesen ​häufigen Formen von Smishing​-Angriffen​! 

Erfundene Geschichten. Als virtuelle Polizisten verkleidete Personen. Finstere Online-Machenschaften. Willkommen in der undurchschaubaren Welt des SMS-Betrugs. Glücklicherweise sind Sie zu clever, um auf diese Tricks hereinzufallen. Wir haben eine Zusammenfassung einiger gängiger virtueller Tarnungen erstellt​, damit Sie mühelos hinter die Maske der Betrüger sehen können. 

• Banken oder andere Dienstleister:
  „Es gibt ein Problem mit Ihrem ​Bank​konto…“ oder „Wir haben Ihr Konto aus Sicherheitsgründen gesperrt“ sind Beispiele für solche gefälschten Benachrichtigungen. Normalerweise werden Sie über nicht autorisierte Aktivitäten „informiert“ oder zur Bestätigung Ihrer Kontodaten aufgefordert. Falls Sie auf den bereitgestellten Link klicken, werden Sie zu einer gefälschten Website oder App weitergeleitet, mit der Ihre sensiblen Daten gestohlen werden sollen, zum Beispiel​ Anmeldedaten​ oder Kreditkartendetails und PINs.

• Behörden:
  „Die Kriminalabteilung des Finanzamts erhebt Anklage gegen Sie. Weitere Informationen erhalten Sie unter dieser Nummer:“ Hier geben sich die Angreifer als Steuerbehörde aus und drohen Ihnen mit Verhaftung oder finanziellem Ruin – oder versprechen eine Steuerrückerstattung. Manchmal scheinen solche Scam-SMS auch von der Polizei zu stammen. Sie sehen amtlich aus und fordern zum sofortigen Handeln und der Angabe persönlicher Daten auf. 

• Telekommunikationsunternehmen:
  „Als geschätzter XX-Kunde haben Sie jetzt Anspruch auf ein kostenloses iPhone-Upgrade …“ Beim Handy-Smishing erhält das potenzielle Opfer eine Nachricht, die wie ein Angebot des Mobilfunkanbieters klingt, zum Beispiel ein Rabatt oder ein Telefon-Upgrade. Klicken Sie gleich auf den Link, um das Angebot anzunehmen – nein, bitte nicht! Sie würden sonst auf einer gefälschten Webseite landen, die aussieht wie die Ihres Providers, und Ihre eingegebenen Kontodaten gelangen in die falschen Hände. 

• Post/Paketunternehmen:
  „Die Auslieferung Ihres Pakets hat sich verzögert. Hier können Sie es nachverfolgen:“ Ob Hermes, UPS oder DHL – Betrüger wählen ein beliebiges Logistikunternehmen aus und überbringen dem „Kunden“ die schlechten Nachrichten. Die Behauptung lautet meist​,​ dass es ein Problem mit Ihrer Lieferung gab oder eine Gebühr fällig ist. 

• Kunden-Support:
  „Am 27.04.2024 um 15:10:07 wurde eine Anmeldung bei Ihrem PayPal-Konto von einem neuen Gerät festgestellt. Bitte bestätigen Sie, dass sie von Ihnen kam…“ Angreifer können Experten​​ darin sein, sich als Kundendienstmitarbeiter vertrauenswürdiger Marken und Händler wie Amazon oder Microsoft auszugeben. Typischerweise behaupten sie, dass es ein Problem mit dem Kundenkonto gäbe oder eine nicht beanspruchte Rückerstattung. Sie könnten auch Ratschläge zur Fehlerbehebung anbieten.

• Technischer Support:
  „Das Microsoft-Sicherheitsteam hat versucht, Sie bezüglich eines Sicherheitsrisikos auf Ihrem PC zu kontaktieren …“ Benutzer erhalten eine Textnachricht, die sie vor einem Problem mit ihrem Gerät oder Konto warnt und eine Kontaktnummer für den technischen Support angibt. Der Anruf erfolgt auf eigene Gefahr, da dies zu unerwarteten Kosten oder sogar zum Datendiebstahl führen könnte, falls Sie dem „Techniker“ Fernzugriff auf Ihr Gerät gewähren.

• Warnung vor einer Serviceunterbrechung:
  „Ihre Karte wurde zurückgewiesen und Ihr Abonnement für X Premium-TV ist ausgesetzt …“ Das Opfer wird gewarnt, dass ein von ihm abonnierter Dienst kurz vor der Kündigung stünde oder bereits eingeschränkt wurde, meist aufgrund eines Zahlungsproblems. Die Aufforderung lautet, auf einen Link zu klicken, um das Problem zu „beheben“.

• Sachpreise oder Lotteriegewinne:
  „HERZLICHEN GLÜCKWUNSCH! Sie haben gewonnen. Fordern Sie Ihren Bargeldpreis ein, bevor die Zeit abläuft.“ Wir müssen Ihnen leider mitteilen, dass Sie nicht im Lotto oder bei einer Verlosung gewonnen haben. Stattdessen sollen Sie Ihre persönlichen Daten angeben, auf einen präparierten Link klicken oder eine kleine Gebühr entrichten, um Ihren fiktiven Gewinn in Empfang zu nehmen. Sie werden nichts erhalten, könnten aber sensible Informationen offenlegen oder Geld verlieren.

• Werbung für Apps oder Unterhaltungsangebote:
  „Spielen Sie jetzt Funky Chicken Bingo und erhalten Sie Gratis-Spielmarken im Wert von 10 €. Laden Sie die App herunter auf…“ Benutzer erhalten eine Nachricht, die eine nützliche oder unterhaltsame App bewirbt. Ein Klick auf den Download-Link könnte dazu führen, dass Schadsoftware wie Ransomware heruntergeladen wird.

• Ein Notfall oder Hilferuf:
  „Eines Ihrer Familienmitglieder hatte einen Unfall. Rufen Sie für Details diese gebührenpflichtige Nummer an …“ Der Inhalt könnte etwas so Ernstes sein wie die Nachricht, dass ein geliebter Mensch verletzt wurde, oder so harmlos wie ein Facebook-Freund, der um einen Code bittet, um wieder Zugang zu seinem Konto zu erhalten. Dabei könnte es sich um einen Betrugsversuch mit Multi-Faktor-Authentifizierung (MFA) handeln, bei dem ein Hacker bereits Ihren Benutzernamen und Ihr Passwort besitzt und nun den benötigten Verifizierungscode stehlen möchte. Am Ende senden Sie ihm vielleicht den MFA-Code für Ihr eigenes Konto!

Unabhängig davon, wie der Betrugsversuch im Detail aussieht, werden Sie feststellen, dass Smishing-​Versuche​ nach einem bestimmten Schema ablaufen. Sie enthalten ungewöhnliche URLs oder zufällige Telefonnummern, die nicht dem typischen Format folgen oder eine Reihe gleicher Ziffern verwenden. Oftmals enthalten sie eine unangenehme Nachricht – oder versprechen einen Preis, der zu schön ist, um wahr zu sein – und setzen auf Dringlichkeit. Denken Sie daran: Falls Sie sich bedrängt fühlen, halten Sie kurz inne und denken Sie in Ruhe nach!

Der unaufhaltsame Aufstieg von Smishing

Laut einem ​​Bericht der Telekommunikationsexperten ENEA erleiden 61 % der Unternehmen erhebliche Verluste durch mobilen Betrug, wobei Smishing und Vishing die häufigsten und kostspieligsten Formen sind. Der gleiche Bericht zeigt, dass seit der Einführung von ChatGPT im November 2022 diese Form von Angriffen um unglaubliche 1.265 % zugenommen hat! Angesichts der Tatsache, dass ​​SMS eine achtmal höhere Antwortrate als E-Mail haben, ist es kein Wunder, dass sie ein bevorzugtes Werkzeug für Cyberkriminelle sind. Tatsächlich berichtet Verizon, dass 85 % der Phishing-Angriffe über Kanäle jenseits von E-Mails erfolgen, beispielsweise Messaging-, Social-Media- und Produktivitäts-Apps.

Smishing-Angriffe erobern den Malware-Markt, begünstigt durch die fehlende Authentifizierung des SMS-Absenders​​. Telekommunikationsunternehmen müssten mehr dagegen tun, aber wie die Dinge derzeit liegen, ist niemand gegen den Ansturm gefeit. 2021 wurden Millionen bösartiger Textnachrichten über das Netzwerk von Vodafone verschickt, die Android-Geräte mit der Flubot-Malware infizierten und den Telekommunikationsriesen dazu veranlassten, eine Warnung über Twitter herauszugeben. Es ist immer wichtig, Ihre Geräte regelmäßig auf Malware zu überprüfen und Malware-Tests durchzuführen.

Damit ein Angriff erfolgreich ist, muss jedoch immer jemand auf den Link klicken. Befolgen Sie daher unbedingt unsere Anti-Smishing-Tipps, um nicht versehentlich zum Komplizen von Malware zu werden.

Sicherheitstipps: Falls Sie ein Smishing-Empfänger geworden sind

Falls Sie nicht zu einer Smishing-Statistik werden möchten, dann befolgen Sie unser VERMEIDEN-SCHÜTZEN-PRÜFEN-Protokoll und bleiben Sie immer skeptisch.

• Vermeiden Sie es, auf verdächtige Links oder Anhänge zu klicken, unbekannte Nummern anzurufen oder in irgendeiner Weise auf verdächtige Textnachrichten zu reagieren. Das Reagieren auf eine Smishing-SMS bestätigt nämlich, dass Ihre Nummer aktiv ist, und das könnte weitere Angriffe nach sich ziehen.

• Schützen Sie Ihre Daten und Ihr Gerät, indem Sie eine Zwei-​​​​Faktor-​​​​ oder Multi-Faktor-Authentifizierung für alle Ihre Online-Konten einrichten, eine vertrauenswürdige Antivirus-Software herunterladen und Ihr Gerät regelmäßig auf Malware scannen, besonders wenn Sie auf einen unbekannten Link geklickt haben. Verwenden Sie starke, einzigartige Passwörter und ändern Sie diese umgehend, sobald Sie denken, dass ein Konto gefährdet ist. Und halten Sie sich stets an die goldene Regel: Geben Sie niemals persönliche Daten wie Passwörter, Kreditkartennummern, Anschriften oder E-Mail-Adressen per SMS weiter!

• Prüfen und verifizieren Sie alle Anfragen von Banken, Dienstleistern und Einzelhändlern. Betrüger sind Meister der Täuschung, deshalb sollten Sie sich direkt an das Unternehmen wenden, von dem die SMS angeblich stammt, und nachfragen. Es empfiehlt sich, regelmäßig Ihre Kontoauszüge und Kreditkartenaktivitäten zu überprüfen. Wenn Sie etwas Verdächtiges bemerken, informieren Sie Ihre Bank.

Bevor Sie eine Smishing-SMS löschen, erwägen Sie, diese den zuständigen Behörden zu melden. Falls Sie im Vereinigten Königreich leben, leiten Sie sie kostenlos an die Nummer 7726 weiter, senden Sie sie per E-Mail an report@phishing.gov.uk oder füllen Sie dieses Online-Formular zur Meldung verdächtiger Betrugsversuche oder Websites aus.

Bekämpfen Sie Smishing und andere Online-Betrugsmaschen mit Avira 

Smishing und andere Social-Engineering-Angriffe bauen darauf, dass der Empfänger einen Fehler macht. Sie sind nur ein Mensch, aber Sie können sich Unterstützung holen. Bleiben Sie informiert und wachsam und wenden Sie eine Reihe mehrschichtiger Online-Schutz- und Datenschutzmaßnahmen für Ihre Geräte an. Avira Free Security vereint Tools für Privatsphäre, Schutz und Leistungsoptimierung in einer zentralen, cleveren Lösung. Es hilft Ihnen beim Speichern und Verwalten starker Passwörter, dem Aktualisieren von Software, beim Bereinigen Ihres Geräts für einen Leistungsschub – und natürlich beim sichereren Surfen mit einer vertrauenswürdigem Antivirussoftware.

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch