Datenklau per Textnachricht, Smishing: So erkennen Sie betrügerische SMS
Sie haben eine SMS von Ihrer Bank erhalten und werden auf einer Phishing-Website, die in der SMS verlinkt ist, zur Eingabe Ihrer Anmeldedaten aufgefordert? Vorsicht: Vermutlich handelt es sich dann um Smishing.
Smishing, Das Wichtigste in Kürze
- Smishing ist eine spezielle Form des Phishing. Die Methode: Das Vertrauen der Nutzer zu gewinnen, um so an ihre Daten zu gelangen.
- Beim Smishing erhalten Opfer täuschend echte SMS, die schädliche Links enthalten. So können persönliche Daten geklaut oder Schadsoftware installiert werden.
- Typische Anzeichen für Phishing-SMS sind unbekannte Absender, Rechtschreibfehler und ein dringlicher Tonfall.
- Wenn Sie Opfer eines Smishing-Angriffs geworden sind, sollten Sie schnell und überlegt handeln und sofort Ihre Bank informieren.
Definition, Was ist Smishing?
Smishing (auch „Phishing SMS”) setzt sich aus den Begriffen „SMS” und „Phishing” zusammen. Es bezeichnet Cyberangriffe, die per Kurznachricht aufs Handy erfolgen. Beim Smishing erhalten Opfer täuschend echt wirkende Mitteilungen von vertrauten Institutionen wie Banken oder Dienstleistern. Darin werden die Empfänger unter einem dringenden Vorwand zum Handeln aufgefordert, z. B. den Preis eines Gewinnspiels einzulösen oder nicht zustellbare Pakete abzuholen, unbezahlte Rechnungen zu begleichen oder Kontosperren aufzuheben. Meist enthalten die Nachrichten schädliche Links zu seriös anmutenden Webseiten. Beim Klick auf diese Links werden vertrauliche Informationen wie Passwörter oder Kreditkartendaten abgefragt und gestohlen oder Malware installiert.
Angreifer nutzen SMS, WhatsApp oder andere Textnachrichtendienste, um Kontakt zu Opfern herzustellen. SMS werden heute zwar kaum noch privat versendet, viele sind aber daran gewöhnt, wichtige Informationen per SMS zu erhalten – zum Beispiel Sicherheitscodes für die 2-Faktor-Authentifizierung oder Lieferbenachrichtigungen. Da solche Nachrichten mittlerweile alltäglich sind, wird es immer schwieriger, echte SMS von Fake-SMS zu unterscheiden.
Smishing: Eine unterschätzte Form des Phishing
Smishing ist eine spezielle Art des Phishing (vom englischen „fishing” = „angeln”) per SMS bzw. Textnachricht, bei der Cyberkriminelle durch fingierte Inhalte persönliche Daten stehlen oder Schadsoftware verbreiten. Häufig wird dabei Angst geschürt oder Zeitdruck ausgeübt. Teilweise wird auch Hilfsbereitschaft ausgenutzt, etwa indem angeblich enge Verwandte um Unterstützung bitten. In einigen Fällen spionieren Täter Social-Media-Profile aus, um ihre Lügengeschichten glaubwürdiger wirken zu lassen. Bei solchen Taktiken spricht man auch von „Social Engineering” (zu deutsch: „soziale Manipulation”).
Phishing, Vishing, Smishing: Was ist der Unterschied?
Betrüger nutzen verschiedene Kommunikationskanäle, um Ihre Opfer zu täuschen. Zu den häufigsten Methoden zählen:
- Phishing per E-Mail:
Betrüger versenden schädliche Links meist per E-Mail. Diese E-Mails sehen oft täuschend echt aus und fordern die Opfer auf, auf einen Link zu klicken und persönliche Daten einzugeben – zum Beispiel im Rahmen einer angeblichen „Sicherheitsüberprüfung“, die eine Kontosperre verhindern oder aufheben soll. - Vishing (Voice Phishing):
Bei dieser Methode wird das Opfer per Telefonanruf kontaktiert. Die Betrüger geben sich häufig als Mitarbeiter von Banken oder Behörden aus und weisen zum Beispiel auf falsche Überweisungen hin, die sie rückgängig machen möchten. Dabei fragen sie im Gespräch persönliche Daten oder Zugangsinformationen ab. - Smishing (SMS-Phishing):
Hierbei handelt es sich um Betrugsmaschen per SMS oder andere Kurznachrichten. Oft enthalten die Mitteilungen Links zu gefälschten Webseiten oder verlangen eine sofortige Reaktion, um angebliche Probleme wie verpasste Lieferungen oder gesperrte Konten zu beheben.
Smishing ist bei Cyberkriminellen besonders beliebt, da SMS in der Regel häufiger und schneller geöffnet werden als E-Mails. SMS haben sogar eine achtmal höhere Interaktionsrate als E-Mails. Während viele Nutzer mittlerweile für die Gefahren von E-Mail-Phishing sensibilisiert sind und Spam-Mails einfach ignorieren, wird die Bedrohung durch gefälschte SMS oft unterschätzt.
Gut zu wissen:
Es gibt viele weitere Phishing-Arten wie Phishing per QR-Code oder Brief sowie Karten-Phishing, das auf Zahlungskarten und die damit verbundenen Daten abzielt.
Typischer Ablauf, Wie laufen SMS-Phishing-Attacken ab?
- Ein Nutzer erhält eine SMS, z. B. von seiner vermeintlichen Bank, die beispielsweise vor einer Kontosperrung warnt.
- Die SMS enthält einen Link, über den sich der Nutzer ins Online Banking einloggen soll – angeblich, um Daten abzugleichen und die Sperrung des Kontos zu verhindern.
- Klickt der Nutzer auf den Link, gelangt er zu einer täuschend echten Webseite mit einer Eingabemaske, die kaum von der des echten Online Banking zu unterscheiden ist.
- Trägt der Nutzer nun seine Login-Daten in diese Maske ein, schnappt die Falle zu: Die Angreifer können die persönlichen Daten abgreifen und sie für betrügerische Zwecke verwenden.
Vorsicht vor SIM-Swap:
Beim SIM-Swap und besonders dem eSIM-Swap können Betrüger durch Schwachstellen bei Telekommunikationsanbietern Zugriff auf Ihr Mobilfunk-Konto erlangen. Sie beantragen eine neue SIM oder eSIM, die auf ihren Namen ausgestellt wird. Dadurch können die Kriminellen alle eingehenden Nachrichten, wie mTANs oder One-Time-Passwörter, mitlesen und missbrauchen. Sie können sogar Zwei-Faktor-Authentifizierungen umgehen und sich unbefugt Zugang zu Ihren Konten verschaffen oder Transaktionen durchführen.
Warnzeichen, Smishing: Wie erkennen Sie Fake-SMS?
Unbekannter Absender
Sie kennen den Absender der Textnachricht nicht oder die Nummer scheint Ihnen verdächtig? Reagieren Sie nicht auf die Nachricht und kontaktieren Sie im Zweifel die Institution, von der die SMS angeblich stammt. Wichtig: Selbst eine bekannte Rufnummer ist längst kein zuverlässiger Indikator mehr für einen seriösen Kontakt, da es Kriminellen gelingt, bekannte Nummern zu imitieren. Man spricht dann vom SMS-Spoofing.
Rechtschreib- oder Grammatikfehler
Obwohl viele Phishing-Nachrichten heute mit Unterstützung von künstlicher Intelligenz sehr gut formuliert sind, findet man gerade bei Angriffen aus dem Ausland häufig Rechtschreib- und Grammatikfehler. Auch untypische Formulierungen, die nicht zum vermeintlichen Absender passen, können Hinweise auf Betrugsversuche sein.
Dringlichkeit
Phishing-SMS fallen oft dadurch auf, dass sie sofortige Aktionen verlangen, z. B. „Ihr Konto wird gesperrt, wenn Sie jetzt nicht handeln.” Bleiben Sie skeptisch: Ihre Bank oder andere seriöse Anbieter würden solche dringlichen Anliegen nicht per SMS klären.
Unstimmiger Inhalt
Die Nachricht gibt vor, von einem Paketdienstleister zu stammen, obwohl Sie gar kein Paket erwarten? Hinterfragen Sie, ob die Nachrichteninhalte überhaupt Sinn ergeben.
Links in Nachrichten
Seien Sie besonders wachsam bei SMS-Nachrichten, die Links enthalten. Auch scheinbar harmlose URLs können auf gefälschte Webseiten führen, die darauf ausgelegt sind, Ihre Daten abzugreifen. Im Zweifel gilt: Klicken Sie nicht – rufen Sie stattdessen die offizielle Website des Absenders über eine selbst eingegebene Adresse auf.
Erscheint Ihnen eine Nachricht aufgrund dieser Hinweise verdächtig, reagieren Sie auf keinen Fall auf die Nachricht und blockieren Sie den Absender. Außerdem können Sie einen Smishing-Angriff über das Beschwerdeformular der Bundesnetzagentur und bei Ihrem Mobilfunkanbieter melden.
Verschickt die Commerzbank SMS an Kunden?
Wie die meisten Banken verschickt auch die Commerzbank gelegentlich SMS an ihre Kunden. Allerdings enthalten offizielle Mitteilungen der Commerzbank keine Links. Seien Sie stets vorsichtig und lassen Sie sich im Zweifel die Echtheit der Nachricht von der Bank bestätigen.
Prävention, So schützen Sie sich vor Smishing-Angriffen
- Keine Links anklicken:
Klicken Sie keine Links in SMS-Nachrichten an – insbesondere dann nicht, wenn Ihnen die Nachricht verdächtig erscheint. Seien Sie auch vorsichtig, wenn Sie zu anderen Handlungen wie der Installation einer App aufgefordert werden. - Updates installieren:
Achten Sie darauf, dass das Betriebssystem Ihres Smartphones und alle Apps stets auf dem neuesten Stand sind. Regelmäßige Updates schließen bekannte Sicherheitslücken. Am besten aktivieren Sie automatische Updates, um keine Aktualisierung zu verpassen. - Achtsamkeit mit persönlichen Daten:
Teilen Sie persönliche Daten wie Ihre Mobilfunknummer nur, wenn es wirklich notwendig ist. Passwörter, Anmeldedaten zum Online Banking oder Kreditkartendaten sollten Sie niemals per SMS, Anruf oder Mail weitergeben. - Informiert bleiben:
Halten Sie sich über aktuelle Betrugsmaschen und Sicherheitshinweise auf dem Laufenden – etwa über Ihre Bank, Verbraucherzentralen oder das Bundesamt für Sicherheit in der Informationstechnik (BSI). Wer gut informiert ist, kann Risiken besser erkennen und sich gezielter schützen.
Was zu tun ist, Sie haben auf den Link in einer Phishing-SMS geklickt?
Trennen Sie Ihr Gerät vom Internet:
Wenn Sie die Internetverbindung trennen, verhindern Sie möglicherweise größeren Schaden, da Schadsoftware unter Umständen nicht vollständig installiert werden kann. Dafür können Sie z. B. den Flugmodus Ihres Smartphones aktivieren.
Scannen Sie Ihr Gerät nach Viren:
Verwenden Sie einen zuverlässigen Virenscanner, um Ihr Handy auf Schadsoftware zu überprüfen. Wenn nötig, setzen Sie das betroffene Gerät auf Werkseinstellungen zurück, um sicherzugehen, dass keine schädlichen Dateien übrigbleiben.
Ändern Sie Ihre Passwörter:
Wenn Sie Opfer von Smishing geworden sind, besteht die Gefahr, dass Ihre Anmeldeinformationen abgegriffen wurden. Ändern Sie daher alle Passwörter, die betroffen sein könnten, insbesondere für Konten wie Online Banking, E-Mail-Konten oder Social-Media-Accounts.
Reaktion im Ernstfall, Ihre Bankdaten sind in die Hände Cyberkrimineller geraten?
Bank kontaktieren:
Kontaktieren Sie Ihre Bank über die offiziellen Kontaktwege. Ihre Bank unterstützt Sie bei der Klärung des Sachverhalts und hilft Ihnen bei weiteren Schritten. Die Commerzbank erreichen Sie rund um die Uhr über folgende Telefonnummern:
Zugänge sperren:
Wenn Sie Ihre Zugangsdaten zum Online Banking auf einer Phishing-Seite eingegeben haben, sperren Sie Ihr Online Banking selbst oder kontaktieren Sie schnellstmöglich Ihre Bank. Die Sperr-Hotline der Commerzbank ist rund um die Uhr unter der Rufnummer +49 69 50 50 27 86 erreichbar.
Polizei informieren:
Informieren Sie die Polizei über den Vorfall, wenn Sie einen Schaden erlitten haben. Dokumentieren Sie alle relevanten Details, z. B. durch Screenshots der SMS-Nachricht und der gefälschten Webseite, um den Vorfall zu melden. Wenden Sie sich an Ihre örtliche Polizeidienststelle oder nutzen Sie die Online-Wache, um Anzeige zu erstatten.
Wir sind an Ihrer Seite, Das tut die Commerzbank für Ihre Onlinesicherheit
Modernste Sicherheitsstandards:
Unsere spezialisierten Sicherheitsteams überwachen regelmäßig unser Online und Mobile Banking. Wir führen kontinuierlich Tests durch und entwickeln unsere Sicherheitsmaßnahmen ständig weiter.
Abschaltung betrügerischer Webseiten:
Sollten gefälschte Commerzbank-Webseiten im Umlauf sein, sorgen wir dafür, dass diese umgehend abgeschaltet werden.
2-Faktor-Authentifizierung:
Mit der 2-FA bieten wir Ihnen einen zusätzlichen Schutz beim Online Banking. So wird es für Betrüger deutlich schwieriger, unbefugte Transaktionen mit Ihren Daten vorzunehmen.
Individuelle Beratung:
Bei Fragen oder Bedenken stehen wir Ihnen jederzeit zur Verfügung. Kontaktieren Sie einfach unsere Kundenhotline für eine persönliche Beratung.
Weiterführende Informationen
Das könnte Sie auch interessieren:
Ende 2024 warnte die BaFin vor mehr Betrugsversuchen durch Quishing: Betrüger nutzen QR-Codes, um auf gefälschte Internetseiten zu locken und z. B. Bankdaten zu stehlen. Erfahren Sie, wie die Betrugsmasche funktioniert und wie Sie sich schützen können.
Zahlungskarten sind äußerst beliebt, da sie das Bezahlen in Geschäften und online schnell und komfortabel machen. Leider sind sie auch ein häufiges Ziel von Kriminellen. Erfahren Sie, wie Sie dem Diebstahl von Kartendaten vorbeugen.
Beim Social Engineering gelangen Kriminelle durch perfide Tricks und Täuschungen an sensiblen Daten und Informationen. So schützen Sie sich davor.