Smishing: Die besten Tipps für den Kampf gegen Phishing-SMS

Der Begriff Smishing setzt sich aus den Wörtern „SMS“ und „Phishing“ zusammen. Ähnlich wie beim Phishing geben sich Cyberkriminelle als Repräsentanten einer vertrauenswürdigen Firma oder Organisation aus. Anstelle von E-Mails nutzen Angreifer beim SMS-Phishing allerdings SMS (Short Message Service), also Textnachrichten, um die Opfer zur Preisgabe von Kontoinformationen oder zur unbewussten Installation von Malware und Trojanern zu bewegen.

Auch wenn diese Smishing-Definition eventuell einen gegensätzlichen Eindruck erweckt, ist es nicht immer leicht, eine Phishing-SMS zu erkennen. Cyberkriminelle spielen gezielt mit den Emotionen der Opfer, um diese zu irrationalen Entscheidungen zu drängen. In unserem Ratgeber erklären wir die Vorgehensweise der Smisher. Wir zeigen, wie SMS-Phishing typischerweise aussieht und wie Sie die Authentizität von Textnachrichten überprüfen können.

Smisher haben verschiedene Vorgehensweisen entwickelt, um an die Daten von Smartphone-Nutzern zu kommen. Das Grundmuster ist aber immer gleich: Der Betrüger gibt sich als Unternehmensvertreter oder Bekannter aus und erzählt eine Geschichte, die das Opfer zur Preisgabe von persönlichen Daten oder zum Download schädlicher Software bringen soll. Dieses Element ist für den Erfolg von Smishing wesentlich und wird auch als Social Engineering bezeichnet. Der Angreifer versucht, ein besonderes Vertrauensverhältnis aufzubauen und das Opfer emotional einzubinden. Man soll das Gefühl bekommen, es sei genau in diesem Moment das Richtige, den Anweisungen des Betrügers Folge zu leisten und übliche Vorsichtsmaßnahmen über Bord zu werfen.

In den folgenden Abschnitten stellen wir Ihnen die markantesten Bestandteile und Inhalte von Phishing-SMS vor, damit Sie ein Gefühl dafür bekommen, wie die betrügerischen SMS funktionieren und worauf Sie achten müssen, um die Echtheit einer Textnachricht zu überprüfen.

Der Klassiker des SMS-Phishings ist eine kurze Textnachricht, die so geschrieben ist, als würde sie von einem Freund kommen. Sie soll Neugier wecken und fordert den Empfänger auf, den in der SMS enthaltenen Link anzuklicken. Wenn Sie auf den Link klicken, wird automatisch eine Software im Hintergrund heruntergeladen, die den Angreifer auf das Smartphone zugreifen lässt. Geht der Smisher dabei professionell vor, werden Sie von dem Download – und damit auch von der Gefährdung Ihrer persönlichen Daten – gar nichts mitbekommen.

Beim verwandten E-Mail-Phishing geht es darum, Menschen mit einer gefälschten E-Mail auf eine Website mit einem Formular zu lenken. Diese Vorgehensweise gibt es in übertragener Form auch beim Smishing: Kriminelle binden in die versendete Textnachricht einen Link ein, der Sie wiederum zu einem Formular weiterleitet. Wenn Sie Ihre persönlichen Daten darin eingeben, werden diese direkt an die Betrüger gesendet. Beliebt ist diese Smishing-Technik vor allem, wenn Kriminelle an Bankkontoinformationen oder Kreditkartendaten gelangen wollen. In der SMS spricht der Smisher typischerweise über ein Sicherheitsproblem, das angeblich die sofortige Übermittlung Ihrer Daten erfordert.

Beim Spear-Smishing zielt die Attacke auf die Daten einer ganz bestimmten Person ab. Dafür werten Angreifer beispielsweise Profile des Opfers in den sozialen Netzwerken aus und entwerfen auf dieser Grundlage perfekt auf das Opfer zugeschnittene Phishing-SMS, die bereits persönliche Daten enthalten. Auf diese Weise wird wie beim Spear-Phishing, also dem Datendiebstahl mithilfe personalisierter E-Mails, ein hohes Maß an Glaubwürdigkeit erzeugt.

SMS-Phishing wird auch genutzt, um Opfer an eine angebliche Hotline eines Unternehmens weiterzuleiten. Eine SMS-Nachricht weist den Empfänger an, sich über eine angegebene Nummer an eine Kundensupport-Hotline zu wenden. Sobald der Betrüger in der Leitung ist, wird er versuchen, dem Anrufer Informationen zu entlocken. Der Vorteil für den Betrüger liegt hierbei in der erhöhten Glaubwürdigkeit. Viele Menschen sind mittlerweile berechtigterweise misstrauisch, persönliche Daten einfach in Onlineformulare einzutragen. Der Umweg über eine Telefon-Hotline verspricht Seriosität. Mit dem sogenannten Vishing (Voice-Phishing) existiert eine sehr ähnliche Vorgehensweise, bei der Kriminelle versuchen, sensible Daten über direkt initiierte VoIP-Anrufe abzugreifen.

Beim SMS-Phishing geht es prinzipiell immer darum, ein drängendes Problem oder Ereignis zu suggerieren, das sofortiges Handeln erforderlich macht. Daher sollten Sie nie sofort handeln und die SMS stattdessen gründlich überprüfen. Wir haben für Sie die wichtigsten Kriterien gesammelt, mit denen Sie eine echte SMS von einer Phishing-SMS unterscheiden können. Die Leitfrage dabei ist immer: Wie authentisch sind Absender und Inhalt der SMS?

Tipp 1: Prüfen Sie die SMS auf Fehler in der Rechtschreibung und Grammatik. Cyberkriminelle agieren oft international und nutzen Übersetzungstools. Dies sehen Sie den erhaltenen Textnachrichten in vielen Fällen an.

Tipp 2: Überprüfen Sie die Telefonnummer des Absenders, um sicherzustellen, dass sie wirklich zum vorgeblichen Unternehmen gehört. Beachten Sie allerdings, dass Sie es auch bei einer scheinbar echten Nummer nicht automatisch mit einer authentischen Nachricht zu tun haben. Smisher können durch sogenanntes Spoofing eine andere Nummer vortäuschen.

Tipp 3: Stellen Sie sich die Frage, bei welchen Anlässen eine SMS ein angemessenes Kommunikationsmedium wäre. Eine Bank wird Sie im Falle eines Problems niemals per SMS kontaktieren, und auch die Wahrscheinlichkeit, dass Sie über einen Gewinn in einem Gewinnspiel per SMS informiert werden, geht gegen null.

Tipp 4: Geben Sie niemals Finanz- oder Zahlungsinformationen auf einer Website bzw. in Formularen an, die in einer SMS verlinkt sind. Klicken Sie zudem niemals auf Links von unbekannten Absendern oder solchen, denen Sie nicht vertrauen. Seien Sie bei Textnachrichten, die eine besondere Dringlichkeit transportieren, besonders misstrauisch.

Tipp 5: Installieren Sie ein Antivirusprogramm auf dem Smartphone und führen Sie regelmäßig die nötigen Updates aus. Eine solche Sicherheitssoftware bietet zwar keine Garantie gegen die Infektion des Smartphones mit schädlicher Software, integriert aber eine zusätzliche Sicherheitsstufe, auf die Sie nicht verzichten sollten.