Der Begriff Smishing setzt sich aus den Wörtern „SMS“ und „Phishing“ zusammen. Ähnlich wie beim Phishing geben sich Cy­ber­kri­mi­nel­le als Re­prä­sen­tan­ten einer ver­trau­ens­wür­di­gen Firma oder Or­ga­ni­sa­ti­on aus. Anstelle von E-Mails nutzen Angreifer beim SMS-Phishing al­ler­dings SMS (Short Message Service), also Text­nach­rich­ten, um die Opfer zur Preisgabe von Kon­to­in­for­ma­tio­nen oder zur un­be­wuss­ten In­stal­la­ti­on von Malware und Trojanern zu bewegen.

Auch wenn diese Smishing-De­fi­ni­ti­on eventuell einen ge­gen­sätz­li­chen Eindruck erweckt, ist es nicht immer leicht, eine Phishing-SMS zu erkennen. Cy­ber­kri­mi­nel­le spielen gezielt mit den Emotionen der Opfer, um diese zu ir­ra­tio­na­len Ent­schei­dun­gen zu drängen. In unserem Ratgeber erklären wir die Vor­ge­hens­wei­se der Smisher. Wir zeigen, wie SMS-Phishing ty­pi­scher­wei­se aussieht und wie Sie die Au­then­ti­zi­tät von Text­nach­rich­ten über­prü­fen können.

SMS-Phishing in der Praxis: So gehen die Betrüger vor

Smisher haben ver­schie­de­ne Vor­ge­hens­wei­sen ent­wi­ckelt, um an die Daten von Smart­phone-Nutzern zu kommen. Das Grund­mus­ter ist aber immer gleich: Der Betrüger gibt sich als Un­ter­neh­mens­ver­tre­ter oder Bekannter aus und erzählt eine Ge­schich­te, die das Opfer zur Preisgabe von per­sön­li­chen Daten oder zum Download schäd­li­cher Software bringen soll. Dieses Element ist für den Erfolg von Smishing we­sent­lich und wird auch als Social En­gi­nee­ring be­zeich­net. Der Angreifer versucht, ein be­son­de­res Ver­trau­ens­ver­hält­nis auf­zu­bau­en und das Opfer emotional ein­zu­bin­den. Man soll das Gefühl bekommen, es sei genau in diesem Moment das Richtige, den An­wei­sun­gen des Betrügers Folge zu leisten und übliche Vor­sichts­maß­nah­men über Bord zu werfen.

In den folgenden Ab­schnit­ten stellen wir Ihnen die mar­kan­tes­ten Be­stand­tei­le und Inhalte von Phishing-SMS vor, damit Sie ein Gefühl dafür bekommen, wie die be­trü­ge­ri­schen SMS funk­tio­nie­ren und worauf Sie achten müssen, um die Echtheit einer Text­nach­richt zu über­prü­fen.

Beispiel 1: Phishing-SMS mit Down­load­link zu schäd­li­cher Software

Der Klassiker des SMS-Phishings ist eine kurze Text­nach­richt, die so ge­schrie­ben ist, als würde sie von einem Freund kommen. Sie soll Neugier wecken und fordert den Empfänger auf, den in der SMS ent­hal­te­nen Link an­zu­kli­cken. Wenn Sie auf den Link klicken, wird au­to­ma­tisch eine Software im Hin­ter­grund her­un­ter­ge­la­den, die den Angreifer auf das Smart­phone zugreifen lässt. Geht der Smisher dabei pro­fes­sio­nell vor, werden Sie von dem Download – und damit auch von der Ge­fähr­dung Ihrer per­sön­li­chen Daten – gar nichts mit­be­kom­men.

Beispiel 2: SMS leitet zu einem ge­fälsch­ten Formular weiter

Beim ver­wand­ten E-Mail-Phishing geht es darum, Menschen mit einer ge­fälsch­ten E-Mail auf eine Website mit einem Formular zu lenken. Diese Vor­ge­hens­wei­se gibt es in über­tra­ge­ner Form auch beim Smishing: Kri­mi­nel­le binden in die ver­sen­de­te Text­nach­richt einen Link ein, der Sie wiederum zu einem Formular wei­ter­lei­tet. Wenn Sie Ihre per­sön­li­chen Daten darin eingeben, werden diese direkt an die Betrüger gesendet. Beliebt ist diese Smishing-Technik vor allem, wenn Kri­mi­nel­le an Bank­kon­to­in­for­ma­tio­nen oder Kre­dit­kar­ten­da­ten gelangen wollen. In der SMS spricht der Smisher ty­pi­scher­wei­se über ein Si­cher­heits­pro­blem, das angeblich die sofortige Über­mitt­lung Ihrer Daten erfordert.

Beispiel 3: Spear-Smishing mithilfe in­di­vi­du­el­ler In­for­ma­tio­nen

Beim Spear-Smishing zielt die Attacke auf die Daten einer ganz be­stimm­ten Person ab. Dafür werten Angreifer bei­spiels­wei­se Profile des Opfers in den sozialen Netz­wer­ken aus und entwerfen auf dieser Grundlage perfekt auf das Opfer zu­ge­schnit­te­ne Phishing-SMS, die bereits per­sön­li­che Daten enthalten. Auf diese Weise wird wie beim Spear-Phishing, also dem Da­ten­dieb­stahl mithilfe per­so­na­li­sier­ter E-Mails, ein hohes Maß an Glaub­wür­dig­keit erzeugt.

Beispiel 4: Smisher gibt sich als Mit­ar­bei­ter der Kun­den­be­treu­ung aus

SMS-Phishing wird auch genutzt, um Opfer an eine an­geb­li­che Hotline eines Un­ter­neh­mens wei­ter­zu­lei­ten. Eine SMS-Nachricht weist den Empfänger an, sich über eine an­ge­ge­be­ne Nummer an eine Kun­den­sup­port-Hotline zu wenden. Sobald der Betrüger in der Leitung ist, wird er versuchen, dem Anrufer In­for­ma­tio­nen zu entlocken. Der Vorteil für den Betrüger liegt hierbei in der erhöhten Glaub­wür­dig­keit. Viele Menschen sind mitt­ler­wei­le be­rech­tig­ter­wei­se miss­trau­isch, per­sön­li­che Daten einfach in On­line­for­mu­la­re ein­zu­tra­gen. Der Umweg über eine Telefon-Hotline ver­spricht Se­rio­si­tät. Mit dem so­ge­nann­ten Vishing (Voice-Phishing) existiert eine sehr ähnliche Vor­ge­hens­wei­se, bei der Kri­mi­nel­le versuchen, sensible Daten über direkt in­iti­ier­te VoIP-Anrufe ab­zu­grei­fen.

So ver­hin­dern Sie Smishing

Beim SMS-Phishing geht es prin­zi­pi­ell immer darum, ein drän­gen­des Problem oder Ereignis zu sug­ge­rie­ren, das so­for­ti­ges Handeln er­for­der­lich macht. Daher sollten Sie nie sofort handeln und die SMS statt­des­sen gründlich über­prü­fen. Wir haben für Sie die wich­tigs­ten Kriterien gesammelt, mit denen Sie eine echte SMS von einer Phishing-SMS un­ter­schei­den können. Die Leitfrage dabei ist immer: Wie au­then­tisch sind Absender und Inhalt der SMS?

Tipp 1: Prüfen Sie die SMS auf Fehler in der Recht­schrei­bung und Grammatik. Cy­ber­kri­mi­nel­le agieren oft in­ter­na­tio­nal und nutzen Über­set­zungs­tools. Dies sehen Sie den er­hal­te­nen Text­nach­rich­ten in vielen Fällen an.

Tipp 2: Über­prü­fen Sie die Te­le­fon­num­mer des Absenders, um si­cher­zu­stel­len, dass sie wirklich zum vor­geb­li­chen Un­ter­neh­men gehört. Beachten Sie al­ler­dings, dass Sie es auch bei einer scheinbar echten Nummer nicht au­to­ma­tisch mit einer au­then­ti­schen Nachricht zu tun haben. Smisher können durch so­ge­nann­tes Spoofing eine andere Nummer vor­täu­schen.

Tipp 3: Stellen Sie sich die Frage, bei welchen Anlässen eine SMS ein an­ge­mes­se­nes Kom­mu­ni­ka­ti­ons­me­di­um wäre. Eine Bank wird Sie im Falle eines Problems niemals per SMS kon­tak­tie­ren, und auch die Wahr­schein­lich­keit, dass Sie über einen Gewinn in einem Ge­winn­spiel per SMS in­for­miert werden, geht gegen null.

Tipp 4: Geben Sie niemals Finanz- oder Zah­lungs­in­for­ma­tio­nen auf einer Website bzw. in For­mu­la­ren an, die in einer SMS verlinkt sind. Klicken Sie zudem niemals auf Links von un­be­kann­ten Absendern oder solchen, denen Sie nicht vertrauen. Seien Sie bei Text­nach­rich­ten, die eine besondere Dring­lich­keit trans­por­tie­ren, besonders miss­trau­isch.

Tipp 5: In­stal­lie­ren Sie ein An­ti­vi­rus­pro­gramm auf dem Smart­phone und führen Sie re­gel­mä­ßig die nötigen Updates aus. Eine solche Si­cher­heits­soft­ware bietet zwar keine Garantie gegen die Infektion des Smart­phones mit schäd­li­cher Software, in­te­griert aber eine zu­sätz­li­che Si­cher­heits­stu­fe, auf die Sie nicht ver­zich­ten sollten.

Zum Hauptmenü