Skip to Main Content
smishing attacks

Was ist Smishing und wie können Sie sich schützen?

Wahrscheinlich kennen Sie „Phishing“. Hier versuchen Betrüger anhand fingierter E-Mails arglose Internetnutzer auf manipulierte Internet-Seiten zu locken. Wer hier Zugangsdaten oder Passwörter eintippt, ist in die Falle getappt.  Smishing ist die mobile Variante dieser Betrugsmasche, also betrügerische Textnachrichten, die die Opfer austricksen sollen. Wie sie funktioniert und wie Sie sich schützen, erfahren Sie in diesem Artikel.

Haben Sie jemals eine Textnachricht von einem bekannten Transportunternehmen erhalten, die Sie nicht eine Sekunde hinterfragt haben? Warum sollten Sie auch? Wir bestellen schließlich heutzutage so viel online und angesichts der vielen Lieferbenachrichtigungen schaut man nicht immer so genau hin. Das sollten Sie aber. Denn dahinter könnte eine sogenannte Smishing-Nachricht stecken. Dabei handelt es sich um eine abgewandelte Form von Phishing.

Smishing, der mobile Bruder des Phishing

Phishing-Nachrichten dienen bildlich gesprochen zum „Angeln“, also zum Klauen von Kennwörtern oder anderen Zugangsdaten. Dazu schicken die Phishing-Betrüger gefälschte E-Mails, die so aufgemacht sind, als kämen sie etwa von einem Kundenberater einer Bank.  Mit einem fadenscheinigen Grund lotsen sie den Empfänger auf eine gefälschte Internetseite, wo sie beispielsweise „zur Überprüfung“ Kontonummer, Passwort (PIN) und Transaktionsnummern (TAN) eintippen sollen. Ist das passiert, räumen die Betrüger das Konto leer.

Betrug per SMS

Smishing setzt auf das gleiche Prinzip, allerdings setzen die Betrüger hier für die Manipulation nicht auf E-Mails, sondern Kurznachrichten wie SMS. Daher auch die Bezeichnung, die sich aus SMS und Phishing zusammensetzt. In solchen Kurznachrichten sind beispielsweise Links enthalten, die zum Download von Schädlingen führen, die dann wiederum beispielsweise den Angreifern Zugriff auf Smartphone verschaffen, Anmeldedaten auslesen oder das Gerät sperren, um dann Geld fürs Entsperren zu verlangen. Gängig sind auch Aufforderungen, sich unter einer bestimmten Telefonnummer melden zu sollen. In diesem Fall lauern entweder teure Bandansagen oder geschulte Täter, die versuchen, den Opfern persönliche Informationen zu entlocken. Oder es wird klassischer Weise auf eine gefälschte Internetseite verlinkt, in die das Opfer persönliche Daten eintippen soll.

Typische Smishing-Maschen

Zurück zum Beispiel Paketverfolgung: Opfer erhalten beispielsweise eine Textnachricht, die angeblich von DHL stammt und einen Link zur Paketverfolgung enthält. Hinter dem Link versteckt sich aber zum Beispiel eine Seite zum Abgreifen von Kreditkartendaten. Weitere Smishing-Maschen:

  • Eine Bank meldet ungewöhnliche Kontobewegungen
  • Bestätigung für den Abschluss eines kostenpflichtigen Abos
  • Der Mobilfunkanbieter verlangt Zusatzgebühren für besondere Services
  • Gewinn bei einem Preisausschreiben
  • Mahnungen, beispielsweise wegen nicht erfolgter Zahlungen

Warum das so gefährlich ist

Die meisten Menschen wissen inzwischen, dass Sie E-Mails kritisch gegenüberstehen sollten und misstrauisch so zu sein, wenn Sie dazu aufgefordert werden, bestimmte Dinge zu tun.  Am Smartphone sind sie dagegen nicht so skeptisch. Denn die meisten halten Ihr Smartphone für sicherer als den Computer. Ein Trugschluss, insbesondere bei der Nutzung von Android-Smartphones. Aber auch iPhone-Nutzer dürfen sich nicht allzu sicher fühlen, Smishing-Angriffe funktionieren schließlich plattformübergreifend. Ein weiterer nicht zu unterschätzender Risikofaktor: Smartphones kommen auf unterwegs zum Einsatz, wenn die Nutzer abgelenkt oder in Eile sind. Das senkt die Aufmerksamkeitsschwelle und man tippt eher „mal schnell“ auf einen Link in einer Nachricht.

Smishing: So schützen Sie sich

Die gute Nachricht ist, dass Sie sich vor Smishing leicht schützen können. Die Angriffe führen nur dann zu einem Schaden, wenn Sie den Köder schlucken. Achten Sie daher auf folgende Alarmsignale.

  • Muster erkennen: Immer, wenn dringend dazu aufgefordert werden, möglichst schnelle etwas zu tun, sollten Ihre innere Alarmanlage anspringen. Dringende Sicherheitswarnungen, ablaufende Angebote und besonders tolle Deals sollten Sie stets als Warnzeichen für einen Hacking-Versuch betrachten.
  • Misstrauisch sein: Gehen Sie davon aus, dass Banken, Bezahldienste und andere Unternehmen niemals in Textnachrichten nach Passwörtern, Anmeldedaten oder anderen persönlichen Daten fragen.
  • Nicht auf den Link klicken: Wenn Sie glauben, an einer Nachricht könnte etwas Wahres dran sein, klicken Sie trotzdem nicht auf den Link. Melden Sie sich stattdessen im Browser manuell beim Dienst an und überprüfen auf diese Weise, ob etwas nicht stimmt.
  • Nicht antworten: Niemals auf Smishing antworten: In diesem Fall wissen die Cybergangster, dass die E-Mail-Adresse auch tatsächlich genutzt wird. Dadurch hagelt es noch mehr Spam- und Phishing-Mails.
Avira ist mit rund 100 Millionen Kunden und 500 Mitarbeitern ein weltweit führender Anbieter selbst entwickelter Sicherheitslösungen für den professionellen und privaten Einsatz. Das Unternehmen gehört mit mehr als 25-jähriger Erfahrung zu den Pionieren in diesem Bereich.