Smishing: So erkennen Sie betrügerische SMS

Smishing (auch „Phishing SMS”) ist ein Kofferwort aus „SMS” und „Phishing”. Es bezeichnet Cyberangriffe, die per SMS oder anderen Kurznachrichten erfolgen.

Beim Smishing erhalten Opfer täuschend echt wirkende Nachrichten von vertrauten Institutionen wie Banken oder Dienstleistern. Diese Nachrichten enthalten schädliche Links, über die Daten gestohlen oder Malware installiert werden.

Kurz gesagt: Bei Smishing und Vishing handelt es sich um Spielarten des Phishing (von eng. „fishing” – „angeln”).

Hinter allen dreien verbirgt sich also dieselbe Methode: Durch fingierte Inhalte wird das Vertrauen der Opfer gewonnen, damit sie bereitwillig Daten preisgeben oder Schadsoftware installieren. Das nennt man auch „Social Engineering” (zu deutsch: „soziale Manipulation”).

Die Angriffe erfolgen auf verschiedene Weise:

Beim klassischen Phishing werden die schädlichen Links per E-Mail versendet.
Beim Smishing werden SMS oder andere Kurznachrichten versendet.
Beim Vishing erhalten Opfer Telefonanrufe und werden in Gesprächen dazu gebracht, ihre Daten preiszugeben.

Smishing gehört zu den häufigsten Angriffen auf die Cybersicherheit. Das liegt unter anderem daran, dass die meisten SMS geöffnet und gelesen werden. Außerdem gibt es für das Phishing per E-Mail inzwischen eine viel größere Sensibilisierung in der Bevölkerung.

Phishing ist in seinen verschiedenen Varianten ein besonderes Problem für Unternehmen: Cyberkriminelle nutzen oft das Vertrauen von Angestellten aus, um an sensible Daten der Unternehmen zu gelangen oder ihnen finanziell zu schaden. 2023 beliefen sich die Schäden durch Cyberkriminalität in Deutschland auf über 200 Milliarden Euro.¹

• Das Opfer erhält eine gefälschte SMS von seiner vermeintlichen Bank, die vor einer Kontosperrung warnt.
• Die SMS enthält einen Link: Über diesen soll sich das Opfer ins Online-Banking einloggen – angeblich, um Daten abzugleichen und die Sperrung des Kontos zu verhindern.
• Klickt das Opfer auf den Link, gelangt es zu einer täuschend echten Webseite mit einer Eingabemaske, die kaum von der des echten Online-Banking zu unterscheiden ist.
• Trägt das Opfer nun seine Daten in diese Maske ein, schnappt die Falle zu: Die Login-Daten liegen den Cyberkriminellen nun vor und können für betrügerische Zwecke verwendet werden.

Smishing ist so gefährlich, weil die Textnachrichten und ihre Inhalte oft täuschend echt wirken. Es gibt aber einige Hinweise, die Ihnen helfen können, einen Angriff zu entlarven:

• Sie kennen den Absender nicht: Sie kennen den Absender der Textnachricht nicht oder die Nummer scheint Ihnen verdächtig? Dann ist Vorsicht geboten: Klicken Sie nicht auf Links und kontaktieren Sie im Zweifel die Institution, von der die SMS angeblich stammt, oder einen Experten für Cybersicherheit.
• Sie werden zu Handlungen gedrängt: Phishing-SMS fallen oft dadurch auf, dass sie sofortige Aktionen verlangen, z. B. „Ihr Konto wird gesperrt, wenn Sie jetzt nicht handeln.” Bleiben Sie skeptisch: Ihre Bank oder andere seriöse Anbieter würden solche dringlichen Anliegen nicht per SMS klären.
• Das Anliegen der SMS ist unplausibel: Die Nachricht gibt vor, von einem Paketdienstleister zu stammen, obwohl Sie gar kein Paket erwarten? Hinterfragen Sie, ob die Nachrichteninhalte überhaupt Sinn ergeben.
• Die Textnachricht enthält Rechtschreibfehler: Viele Phishing-Nachrichten enthalten Tippfehler und ungewöhnliche Formulierungen.
• Die Textnachricht enthält Links und Anhänge: Vermeiden Sie unbedingt das Anklicken von Links oder das Öffnen von Anhängen in verdächtigen Nachrichten.

Erscheint Ihnen eine Nachricht aufgrund dieser Hinweise verdächtig, löschen Sie sie und sperren Sie den Absender. Außerdem können Sie einen Smishing Angriff über das Beschwerdeformular der Bundesnetzagentur melden.

Wenn Sie auf den Link einer Phishing-SMS geklickt haben, sollten Sie umgehend handeln. Gehen Sie nun wie folgt vor:

1. Trennen Sie Ihr Gerät vom Internet: Wenn Sie die Internetverbindung trennen, verhindern Sie möglicherweise größeren Schaden, da Schadsoftware unter Umständen nicht vollständig installiert werden kann.
2. Scannen Sie Ihr Gerät nach Viren: Verwenden Sie einen zuverlässigen Virenscanner, um Ihr Gerät auf Schadsoftware zu überprüfen. Auf der Seite des BSI finden Sie hilfreiche Tipps, um einen guten Scanner auszuwählen.
3. Setzen Sie Ihr Gerät auf Werkseinstellungen zurück: Wenn nötig, setzen Sie das betroffene Gerät zurück, um sicherzugehen, dass keine schädlichen Dateien übrigbleiben.