Smishing – So erschwindeln Betrüger dein Geld

5 Minuten
Bei Smishing handelt es sich um eine perfide Betrugsmasche, die einerseits das Bankkonto eines Opfers leeren und andererseits auch dessen Kontakte angreifen kann. Dabei lassen sich Smishing-Angriffe vergleichsweise leicht abwehren. Man muss nur wissen, wie.
Smishing, Phishing-SMS, Betrugsmasche
SmishingBildquelle: StockSnap / Pixabay

Eine vernetzte Welt bietet ungeahnte Möglichkeiten, birgt jedoch auch unzählige Fallstricke. Diese können vielfältig ausfallen und reichen von Betrügereien auf eBay Kleinanzeigen bis hin zu ab Werk vorinstallierten Spionage-Viren. Das sogenannte Smishing stellt eine besonders weit verbreitete Masche dar, deren Namen nichtsdestotrotz kaum jemand kennt. Doch was steckt hinter Smishing, worauf müssen Betroffene achten und wie können sie sich schützen? Wir verraten es.

Was bedeutet Smishing?

Das Wort „Smishing“ setzt sich aus den beiden Begriffen „SMS“ und „Phishing“ zusammen. Die Bedeutung liegt dabei auf der Hand: Bei Smishing handelt es sich um eine Phishing-Betrugsmasche, im Rahmen derer Cyberkriminelle ihre digitalen Köder jedoch nicht mittels E-Mail, sondern per SMS verbreiten. Der Vorteil bei dieser Vorgehensweise ist, dass Empfänger SMS-Benachrichtigungen als seriöser ansehen und daher generell weniger misstrauisch sind. Das erhöht die Erfolgschancen.

Der Ablauf sieht dabei wie folgt aus: Zunächst erhält das potenzielle Opfer eine betrügerische SMS. Darin wird es beispielsweise darüber informiert, dass ein Paket nicht zugestellt werden konnte. Oder aber das Bankkonto sei aufgrund verdächtiger Aktivitäten eingeschränkt worden und man müsse seine Nutzerinformationen bestätigen, um dieses wieder zu reaktivieren. In beiden Fällen enthält die SMS eine hinterlegte Verlinkung, die angeklickt werden soll. Ab diesem Punkt werden die Opfer mit zwei unterschiedlichen Methoden konfrontiert.

Smishing: Diese zwei Fallen dominieren

Klickt der Empfänger auf die hinterlegte Verlinkung, erwarten ihn einerseits Viren, die automatisch heruntergeladen und bei falscher Smartphone-Einstellung auch ohne Gegenwehr installiert werden. Von da an sind Nutzerdaten inklusive Passwörtern und Zugängen zum Online-Banking nicht mehr sicher. Andererseits kann die Verlinkung jedoch auch zu einer gefälschten Website führen – etwa einer Bankseite oder PayPal. Alle hier eingetragenen Login-Daten landen bei den Cyberkriminellen und können für unterschiedliche Zwecke missbraucht werden. Wie eine Smishing-Nachricht aussehen könnte, verrät die folgende SMS, welche einem unserer Redakteure zugeschickt wurde.

Smishing, SMS
Smishing – SMS-Betrug

Bei den zuvor aufgeführten Methoden handelt es sich um die beiden am weitesten verbreiteten Smishing-Maschen. Doch grundsätzlich werden Betrüger hier lediglich durch ihre Fantasie eingeschränkt. So können diese beispielsweise um einen Rückruf bitten, um die Opfer verbal zu verunsichern und in die Falle zu locken – an dieser Stelle spricht man von Vishing. Oder aber der Rückruf selbst ist mit Kosten verbunden.

Wozu benötigen Betrüger deine Daten?

Wozu Banking-Daten samt Passwörtern benötigt werden, ist offensichtlich. Doch bereits Namen, Anschriften und E-Mail-Adressen können einen beachtlichen Schaden verursachen. Denn diese Informationen können etwa für zielgerichtetere und damit deutlich gefährlichere Phishing-Angriffe verwendet werden. Wer misstraut schon einer Postbank-E-Mail, wenn diese sowohl den eigenen Namen, als auch die Anschrift oder gar die Kundennummer umfasst? Ferner ist auch Identitätsdiebstahl möglich. Ergaunern Kriminelle etwa die Zugangsdaten zu WhatsApp oder Facebook, können sie deine Kontakte in deinem Namen um finanzielle Unterstützung bitten oder diesmal ihre Nutzerdaten in Erfahrung bringen – und die Smishing/Phishing-Spirale beginnt von vorn.

So enttarnst du Smishing

Betrügerische SMS lassen sich am Absender, an der hinterlegten Verlinkung sowie am Inhalt identifizieren. Zunächst empfiehlt es sich, die Telefonnummer des Absenders zu googeln. Zahlreiche Websites führen Listen mit betrügerischen Nummern und sollte die gesuchte Telefonnummer in einer solchen auftauchen, ist dies ein klares Warnzeichen. In unserem Fall fand sich die Rufnummer auf dem Portal werruft.info wieder – mit fünf negativen und keinem positiven Eintrag sowie mehreren Kommentaren: „Versendet Links, welche vom Adressaten bestätigt werden sollen.“ Wenn du deine Telefonnummer nicht auf Anhieb finden solltest, können die folgenden Google-Suchbefehle weiterhelfen. Doch Achtung: Die Nummer des Anrufers lässt sich mittels SMS-Spoofing manipulieren. Daher könnte sich auch hinter einer echten Rufnummer Smishing verbergen.

Die hinterlegte Verlinkung sollte derweil im Normalfall zur Website von beispielsweise der Deutschen Post oder der Seite der Sparkasse führen. Kryptische Links stellen somit ebenfalls ein Warnzeichen dar. Zudem solltest du auf die länderspezifische Top-Level-Domain, wie etwa „.de“ oder „.com“ achten. Die TDL in unserem Beispiel (.cn) führt etwa auf eine Website der Volksrepublik China.

Zu guter Letzt wäre da noch der inhaltliche Aspekt. Merke: Mitarbeiter eines Kundenservices würden dich niemals nach deinen Zugangsdaten fragen. Auch wächst die Wahrscheinlichkeit von Smishing mit jedem Rechtschreib- und Grammatikfehler, den du in der SMS entdeckst. Zudem solltest du dir stets Gedanken darüber machen, woher das angebliche Unternehmen deine Telefonnummer haben könnte. Hast du etwa zwar deinen Namen und deine Anschrift, nicht aber deine Telefonnummer gegenüber der Deutschen Post respektive DHL preisgegeben, ist es auch kaum möglich, dass sich diese per SMS melden. Cyberkriminelle können deine Rufnummer ihrerseits aus früheren Phishing-Angriffen, diversen Datenlecks oder dem Darknet beschafft haben.

Smishing: So schützt du dich vor

Zunächst einmal solltest du angesichts der Smishing- und weiterer Maschen generell keine verdächtigen Links anklicken – weder in E-Mails noch in SMS-Nachrichten. Solltest du dir unsicher sein, könntest du den Kundendienst des fraglichen Unternehmens kontaktieren und „an der Quelle“ Erkundigungen einholen. Die dazu erforderliche Telefonnummer kannst du im Internet heraussuchen. Und wenn du angesichts der Rufnummernmanipulation auf Nummer sicher gehen möchtest, sollte der Anruf von einem anderen Telefon erfolgen. Ferner sollte jedes Mobiltelefon heutzutage genauso wie der heimische Rechner mit einem Antiviren-Tool ausgestattet sein und die Einstellung „Installation aus fremden Quellen“ sollte nach jeder Installation wieder manuell deaktiviert werden. Auch die sogenannte Zwei-Faktor-Authentifizierung (2FA) bietet zusätzlichen Schutz. Was sich hinter dieser Bezeichnung verbirgt, verrät unser Ratgeber:

Und was sagst du?

Bitte gib Dein Kommentar ein!
Bitte gibt deinen Namen hier ein