043 500 11 11
Smishing: Phishing via SMS
Blog| 19. März 2024 | Lesezeit: 5 Minuten
Bei Smishing werden potenzielle Opfer per SMS oder andere Nachrichtendienste dazu aufgefordert, auf einen Link zu klicken und persönliche Informationen preiszugeben oder Schadsoftware herunterzuladen. Wir erklären, wie Smishing funktioniert, welche Arten es gibt und wie Sie sich dagegen schützen können.
Smishing ist eine Wortschöpfung aus den Begriffen SMS und Phishing. Um ahnungslose Personen dazu zu verleiten, vertrauliche Informationen weiterzugeben, Malware herunterzuladen oder Geld an Cyberkriminelle zu bezahlen, nutzen Angreifer neben E-Mail nämlich immer häufiger auch Textnachrichten. Diese Textnachrichten werden entweder via SMS oder via anderer Nachrichtendienste wie WhatsApp, Telegram oder iMessage verbreitet.
Smisher erfragen dabei zum Beispiel Anmeldeinformationen von Online-Konten, private Daten, die sie dann für Identitätsdiebstahl verwenden können, oder Finanzinformationen wie Kreditkartendaten, um sie im Darknet weiterzuverkaufen.
Die Textnachrichten sehen für ahnungslose Opfer deshalb seriös aus, weil sie teilweise auch persönliche Daten wie Vor- und Nachnamen oder Wohnadressen aus öffentlichen Quellen enthalten. Solche Informationen lassen die Absender vertrauenswürdig aussehen.
So funktioniert Smishing
Wie bei E-Mail-Phishing fordern Smishing-Nachrichten die angeschriebene Person meistens dazu auf, auf einen Link zu klicken. Dieser führt allerdings nicht auf die vorgebliche, sondern auf eine gefälschte Website, die der Absender kontrolliert.
Gibt man dann dort Anmeldeinformationen wie Benutzername und Passwort eines Webdienstes ein, können die Smisher damit das echte Konto hacken und entsprechend weitere Informationen abgreifen oder gar Finanztransaktionen oder Online-Einkäufe tätigen.
Auch kann bereits ein Klick auf einen betrügerischen Link dazu führen, dass sich Schadsoftware auf dem Handy oder dem Computer installiert. Solche Malware-Programme kompromittieren die Geräte, spionieren dort weitere Nutzerdaten aus, leiten sie unbemerkt weiter oder verfolgen die Aktivitäten der Benutzerinnen und Benutzer.
Manchmal wird Smishing auch mit zusätzlichen Social-Engineering-Massnahmen wie Telefonbetrug eingesetzt. Bei dieser besonders heimtückischen Variante rufen die Verbrecher als vermeintliche Helfer zuerst an und kündigen die betrügerische Textnachricht im Voraus an. Sie versuchen so, das Vertrauen der Opfer zu erlangen. Diese werden dann eher dazu verleitet, auf die schädlichen Links zu klicken und Daten preiszugeben.
Arten von Smishing-Attacken
Smishing-Betrüger bedienen sich immer ausgefeilteren Methoden, um die Gutgläubigkeit der Menschen auszunutzen. Seien Sie besonders vorsichtig, wenn sich die Kriminellen ausgeben als:
Versandunternehmen
Diese Art von Smishing-Nachricht täuscht vor, die Post oder ein Versandunternehmen sei der Absender. Die Nachrichten informieren Sie über den angeblichen Zustellungsverlauf einer Sendung oder über ein Problem damit. Sie werden darin zum Beispiel aufgefordert, eine fällige Zustell- oder Zollgebühr zu bezahlen oder sich bei dem Webdienst des Unternehmens anzumelden, um bei einem Zustellproblem Hilfe zu leisten.
Solche Nachrichten sind häufig dann im Umlauf, wenn gerade viele Menschen Bestellungen tätigen, also vor Weihnachten oder um den Black Friday.
Kundensupport
Bei dieser häufigen Art von Smishing geben sich die Betrüger als Supportabteilungen von bekannten Marken wie Amazon, Microsoft oder von Telekommunikationsunternehmen aus. Die Angreifer gaukeln Ihnen dabei vor, ein Kontoproblem müsse behoben oder eine Rückerstattung ausgelöst werden. Üblicherweise werden Sie aufgefordert, Kreditkarteninformationen oder Bankdaten auf einer gefälschten Website einzugeben.
Banken
Oft geben Smisher auch vor, dass es sich beim Absender der Textnachricht um die Bank des Opfers handelt. Nicht selten geht es auch hier um angebliche Kontoprobleme, die sich beheben lassen, indem Sie Anmeldeinformationen, Passwörter, PIN oder Kreditkartendaten eingeben.
Regelmässig geben die Angreifer auch vor, die Opfer vor Betrug schützen zu wollen. Im Glauben, nicht autorisierte Überweisungen zu verhindern, geben die Betrogenen persönliche Daten auf einer gefälschte Webseite ein oder rufen eine Telefonnummer an, bei der dann saftige Gebühren anfallen.
Behörden und Regierungen
Diese Form von Smishing übt üblicherweise Druck auf die Opfer aus, indem die Nachrichten mit vermeintlichen Steuervergünstigungen locken oder mit Geldstrafen drohen. Dabei werden zum Beispiel Sozialversicherungsinformationen und andere Daten abgefragt, um damit Identitätsbetrug zu begehen. Die Betrüger können sich dann bei den echten Behörden als die Opfer ausgeben, um in ihrem Namen Leistungen zu erschwindeln.
Newsletter abonnieren
Sie möchten keine Beiträge mehr verpassen? Dann abonnieren Sie unseren monatlichen Newsletter!
Weitere Formen von SMS-Phising
Es gibt noch zahlreiche andere Smishing-Formen, bei denen Betrüger versuchen, an vertrauliche Informationen zu kommen. Dazu gehören zum Beispiel angebliche Chefs oder Arbeitskollegen, die dringend Hilfe benötigen. Oder auch Gauner, die vorgeben, versehentlich eine falsche Nummer angeschrieben haben. Bei letzteren legen es die Kriminellen darauf an, Ihr Vertrauen auf lange Sicht zu gewinnen und wiederholt mit Ihnen in Kontakt zu treten. Ziel ist dabei immer, an Ihr Geld zu gelangen.
Auch heimtückisch, weil komplex, ist der MFA-Betrug (Multifaktor-Authentifizierung). Hier wollen Betrügerinnen und Betrüger, die bereits über Ihr Nutzernamen und Passwort verfügen, an einen Verifizierungscode oder ein Einmalpasswort kommen. Das Opfer soll dabei den Zahlencode empfangen, weil der Absender scheinbar von einem Social-Media-Konto ausgesperrt sei.
So schützen Sie sich vor Phishing-SMS
Untersuchungen haben gezeigt, dass Menschen rund zehnmal häufiger auf Links in Textnachrichten als in E-Mails klicken. Am wichtigsten ist es also, den Betrug als solchen zu erkennen.
Bei Smishing wird wie bei Phishing oder anderen Social-Engineering-Aktivitäten immer mit Emotionen gespielt. Die Betrüger üben sehr oft Druck aus, indem sie vorgeben, dass besondere Dringlichkeit zum Handeln bestehe. In Kombination mit einem Schaden (z. B. Strafgebühren) oder einem Nutzen (z. B. Gewinne) erreichen sie dann bei vielen Opfern die gewünschte Wirkung.
Seien Sie also besonders vorsichtig, wenn die Nachrichten von unbekannten und ungewöhnlichen Telefonnummern stammen oder Links zu unerwarteten oder verdächtig aussehenden URL enthalten. Ausserdem erfragen seriöse Anbieter niemals Passwörter oder Kreditkarteninformationen per SMS oder E-Mail.
Ebenfalls verdächtig ist es, wenn Textnachrichten nach Kleinstbeträgen für eine Leistung verlangen. Das war beispielweise bei den gefälschten SMS der Schweizerischen Post der Fall. Hier wurde eine Servicegebühr von 27 Rappen für eine angebliche nicht erfolgte Lieferung verlangt. Der Betrag ist deshalb so tief gehalten, damit die Hemmschwelle zum Bezahlen möglichst niedrig bleibt.
Vorsicht auch bei anderen Kanälen als SMS
Android- und iOS-Geräte kommen mit eigenen Schutzmassnahmen für Smishing. So lassen sich verdächtige Nachrichten direkt in einen Spam-Ordner verschieben oder nicht genehmigte Apps blockieren.
Telekommunikationsanbieter schützen ihre Kunden mit Smishing-Filtern so gut es geht vor Phishing-SMS. Bei betrügerischen Nachrichten, die über iMessage, WhatsApp und andere Kommunikationsdienste eintreffen, sind ihnen allerdings die Hände gebunden.
Hier gilt es, als Privatperson grundsätzlich kritisch zu sein im Umgang mit aussergewöhnlichen, unerwarteten Nachrichten. Unternehmen wiederum sollten nicht nur technische Massnahmen prüfen, sondern bei ihren Mitarbeitenden vor allem das Sicherheitsbewusstsein regelmässig schulen und fördern.
Markus Häfliger
PR-Fachmann
Markus Häfliger ist PR-Fachmann und schreibt seit 2018 für iWay. Als ehemaliger IT-Journalist liest er sich in jedes Thema ein. Ihn fasziniert, wie IT unser Leben durchdringt und stets spannend bleibt.
