In den letzten Jahren stiegen Straftaten im Bereich der Cyberkriminalität immer mehr an. Darunter auch das neuere „Smishing“, das auf mobile Nutzer:innen abzielt.
Doch was ist Smishing? Wie kann es zu Betrugsversuchen kommen und wie können sich potenzielle Opfer davor schützen? Diese und weitere Fragen werden in diesem Artikel behandelt.
„Hinweis zu Ihrer Paketlieferung: bitte klicken Sie auf den Link und geben Ihre Daten ein“. So oder so ähnlich kann eine Smishing-SMS aussehen, in der Kriminelle versuchen, an die Daten von Opfern zu kommen. Smishing ist eine Form von Cyber-Angriff durch betrügerische Textnachrichten (SMS).1
Der Begriff "Smishing" ist eine Kombination aus "SMS" (kurz für die englische Bezeichnung “short messaging system”, also eine Textnachricht) und "Phishing" (wiederum eine Kombination aus den englischen Wörtern „password“ und „fishing“, grob übersetzt Fischen nach Passwörtern).2
Wie beim Phishing versuchen die Smishing-Angreifer, persönliche Informationen wie Passwörter, Bankdaten oder Kreditkartennummern zu stehlen, indem sie Opfer dazu verleiten, auf gefälschte Links zu klicken oder betrügerische Anhänge herunterzuladen. Beim Phishing erfolgt die Kontaktaufnahme in der Regel über E-Mails, die oft so gestaltet sind, dass sie von legitimen Unternehmen zu stammen scheinen. Hier gibt es einen Überblick, wie man Phishing-E-Mails erkennt.2
Beim Smishing wiederum werden betrügerische Nachrichten über SMS versendet. Smishing und Phishing sind dementsprechend ähnlich und unterscheiden sich nur über den Kommunikationskanal. Smishing zielt direkt auf mobile Benutzer:innen ab und nutzt das größere Vertrauen, das Menschen in SMS-Nachrichten im Vergleich zu E-Mails setzen.2
Beim Smishing-Betrugsversuch versenden Angreifer:innen gefälschte SMS-Nachrichten an potenzielle Opfer. Diese können vorgeben von einer bekannten Institution wie einer Bank, einem Lieferdienst oder einem Regierungsamt zu stammen. Sie enthalten oft eine Aufforderung, auf einen Link zu klicken und dort Daten einzugeben, oder eine bestimmte Telefonnummer anzurufen.2
Oft werden in Smishing-Nachrichten Taktiken wie Angstmache oder Dringlichkeit verwendet, um die potenziellen Opfer dazu zu bringen, schnell und ohne viel Nachdenken zu handeln. Wenn diese auf den Smishing-Link in der SMS-Nachricht klicken, werden sie möglicherweise zu einer gefälschten Website weitergeleitet, die dem Erscheinungsbild einer legitimen Website ähnelt.2
Diese gefälschten Websites können dazu verwendet werden, persönliche Informationen wie Benutzernamen, Passwörter oder Kreditkartennummern abzufangen. Sobald die Opfer ihre sensiblen Informationen auf der gefälschten Website preisgegeben haben, können Angreifer:innen diese Informationen für betrügerische Zwecke verwenden, wie z. B. Identitätsdiebstahl, finanzielle Betrügereien oder den Zugriff auf Online-Konten.3
Die kurzen und schnellen Kommunikationswege via SMS gehören zu den großen Annehmlichkeiten des digitalen Zeitalters. Doch leider bringen sie auch Schwachstellen mit sich. Es gibt mehrere Faktoren, die zum Anstieg von Smishing beitragen.
Da Smartphones heutzutage allgegenwärtig sind, haben sich Textnachrichten über SMS oder über soziale Medien als ein wichtiges Kommunikationsmittel entwickelt – sowohl im privaten als auch im beruflichen Bereich. Dadurch erhöht sich auch die Zahl der potenziellen Zielpersonen von Smishing-SMS.4
Während Phishing-Versuche über E-Mails sowohl von Spam-Filtern als auch von der erhöhten Achtsamkeit von Nutzer:innen leichter erkannt werden, vertrauen Menschen der digitalen Kommunikation via Textnachricht wesentlich mehr.4
Außerdem wird es zunehmend schwerer, betrügerische Nachrichten von echten Nachrichten zu unterscheiden. Es gibt viele Kanäle, über die Smishing-Versuche unternommen werden, z. B. direkte Textnachrichten (SMS), Nachrichten über Social-Media-Plattformen und über Messaging-Apps. Jeder Kanal bietet den Betrüger:innen andere Möglichkeiten, mit potenziellen Opfern in Kontakt zu treten.4
Hier ist ein Überblick der verschiedenen Smishing-Typen, die es heutzutage gibt. Es ist wichtig zu beachten, dass sich diese oft und schnell ändern können:
Betrüger:innen können sich in der Smishing-Nachricht als Bank ausgeben, um an sensible Finanzdaten zu gelangen. Darin behaupten sie beispielsweise, dass ein Konto gesperrt wurde, dass eine Zahlung ausstehend ist oder dass es ein Sicherheitsproblem gibt, das sofort behoben werden muss. Die Opfer werden gebeten, schnell zu reagieren, auf Links zu klicken und ihre Finanzdaten und Passwörter einzugeben.4
Bei Malware-Smishing-Angriffen versenden Kriminelle betrügerische SMS-Nachrichten, die dazu dienen, Malware auf die Geräte der Opfer zu schleusen. Die SMS-Nachrichten können Anhänge mit Malware oder Links enthalten, die zu infizierten Webseiten führen. Häufige Arten von Malware, die in Smishing-Angriffen verwendet werden können, sind:4
Eine weitere Variante ist das „Geld-Smishing“, bei der Betrüger:innen versuchen, Opfer dazu zu bringen, Geld zu überweisen oder finanzielle Informationen preiszugeben. Opfer erhalten beispielsweise eine SMS, die vorgibt, dass sie einen Geldpreis oder eine Belohnung gewonnen haben. Um diesen Preis zu erhalten, sollen sie oft ihre persönlichen oder finanziellen Informationen preisgeben oder eine Gebühr zahlen.5
Manchmal ist es einfach, Smishing zu erkennen: „Hallo Mama, das hier ist meine neue Nummer, bitte speichern“. Solche SMS werden zuhauf versendet, auch an Menschen, die gar keine Kinder (mit Telefon) haben oder die keine Mütter, sondern Väter sind.6
Doch wie können Nutzer:innen Anzeichen von Smishing erkennen, wenn es nicht so offensichtlich ist? Hier ein Leitfaden:7,8
Nutzer:innen können außerdem mit dem folgenden Leitfaden viele Email-Phishing-Angriffe erkennen.
Es ist immer angebracht, misstrauisch gegenüber unbekannten Nachrichten zu sein, die persönliche oder finanzielle Informationen anfordern. Legitime Unternehmen oder Organisationen fordern normalerweise keine persönlichen Informationen per SMS an. Zusätzlich zu den oben genannten Sicherheitsmaßnahmen gibt es weitere Möglichkeiten, wie Menschen Smishing verhindern bzw. sich davor schützen können.8,9
Auch bei Online-Einkäufen oder beim Nutzen von Online-Finanzinstituten gibt es verschiedene Möglichkeiten für sicheres Bezahlen im Internet. Etablierte Finanzinstitute bieten Kund:innen starke Schutzmaßnahmen, um Finanzen und Überweisungen sicher im Internet zu tätigen.
Opfer eines Smishing-Betrugs können folgende Schritte unternehmen, um den Schaden zu minimieren:
Als erstes sollte der Vorfall sofort bei allen relevanten Behörden und Unternehmen gemeldet werden. Zum Beispiel der Bank, dem Mobilfunkunternehmen und der örtlichen Polizei. Je schneller der Vorfall gemeldet wird, desto besser können Maßnahmen ergriffen werden, um den Betrug zu untersuchen und weitere potenzielle Opfer zu schützen. Gut ist es auch, das BSI (Bundesamt für Sicherheit in der Informationstechnik) und die Verbraucherzentrale zu kontaktieren.10
Anschließend sollten alle Passwörter und Sicherheitseinstellungen, die mit den betroffenen Konten verbunden sind, geändert werden. Zudem sollte die Nummer der betrügerischen SMS-Nachricht blockiert, aber die Beweise aufbewahrt werden. Das heißt, die Smishing-SMS oder Bildschirmfotos sollten als Beweismittel behalten werden. Denn wenn der Vorfall bei den Behörden bewiesen werden kann, könnten mögliche finanzielle Verluste erstattet werden.
In den darauffolgenden Wochen und Monaten sollten Bankkonten und Kreditkartenabrechnungen regelmäßig auf verdächtige Aktivitäten überprüft werden. Falls verdächtige Transaktionen festgestellt werden, sollten diese sofort gemeldet werden. Hilfreich ist es auch, Angehörige und Freunde über die eigenen Erfahrungen mit Smishing zu informieren, um sie zu warnen.10
Hier sind noch weitere Informationen, wie sich Nutzer:innen vor Internetbetrug schützen können.
Wenn Sie Cookies akzeptieren, verwenden wir diese, um Ihre Erfahrung zu verbessern und anzupassen und unseren Partnern zu ermöglichen, Ihnen personalisierte PayPal-Anzeigen zu zeigen, wenn Sie andere Websites besuchen. Cookies verwalten und mehr erfahren