{{toplineText}}
{{headlineText}}
{{ratingValue}}{{ratingValueMax}}
{{ratingLabel}}
{{kmText}}
Smish mich nicht: So funktioniert der SMS-Betrug Smishing
12.07.2023 - „Ihr Paket kommt bald, tracken Sie es hier“ – und es folgt ein kryptischer Link? Schauen wir uns die Betrugsmasche namens Smishing näher an.
Lesedauer: 8 Minuten
Das Smartphone klingelt und die Anrufer-ID gibt ein mir vollkommen unbekanntes „Finanzierungsbüro“ an.
Die Telefonnummer ist aus dem Ausland und hat mir vor einigen Tagen bereits schlecht formulierte SMS gesendet, die ich getrost ignoriert hatte. Ich bin mir jetzt schon sicher, dass es sich um einen Betrugsversuch handelt und nehme aus beinahe morbidem Interesse an. Nicht sehr clever, ich weiß. Machen Sie mir das bitte nicht nach.
Eine von Rauschen durchsetzte Frauenstimme erinnert mich an einen Kredit, nach dem ich nie gefragt hatte. Ich lehne ab und lege auf. Es folgen in unregelmäßigen Abständen weitere SMS bezüglich meines vermeintlichen Kredits, den ich unter dubios aussehenden Links abrufen könne. Natürlich klicke ich nicht darauf. Ich frage mich allerdings: Wo haben die nur meine Nummer her?
Was mir hier widerfahren ist, war ein Smishing-Versuch. Unter dem ungewöhnlich klingenden Wort verbirgt sich die Abkürzung SMS, verbunden mit der Bezeichnung für eine weitere, etwas bekanntere Betrugsmasche: Phishing.
Beim Phishing werden gefälschte E-Mails versendet, um die Empfänger dazu zu verleiten, auf einen Betrug hereinzufallen. Das kann vom Klicken auf einen virenverseuchten Link bis hin zur Abgabe persönlicher Daten auf regelrecht professionell gemachten Nachbauten seriöser Webseiten reichen. Das Ziel der Kriminellen: Das „Abfischen“ von Zugangsdaten, Finanzdaten und anderen sensiblen Informationen der arglosen Nutzer.
Smishing ist also ein verkapptes Kofferwort aus SMS und Phishing. Es wäre mit „Phishing per SMS“ am sinnvollsten ausgeschrieben. Der Unterschied zum herkömmlichen Phishing: Die Kriminellen sind in Besitz der Mobilfunknummer ihrer potenziellen Opfer und verlagern den Phishing-Versuch vom E-Mail-Postfach in den Kurznachrichtendienst.
Das Perfide an Smishing: Die persönliche Handynummer geben die meisten Menschen seltener heraus als die E-Mail-Adresse – wir „vertrauen“ einer SMS demzufolge häufiger als einer E-Mail. Schließlich wissen wir doch genau, welchen Diensten wir diese gegeben haben, nicht wahr?
Viele Benutzer sind sich der Gefahren bewusst, die mit dem Anklicken eines Links in einer E-Mail verbunden sind. Aber nur wenige sind sich darüber im Klaren, welche Gefahren bei einer SMS lauern.
Die vom Angreifer – dem „Smisher“ – in der SMS verlangten Informationen können vielfältig sein:
Smisher gehen regelrecht kreativ vor, um Benutzer zum Senden privater Informationen zu verleiten. Sie verwenden Informationen aus öffentlichen Online-Tools, um der Zielperson vorzugaukeln, die Nachricht stamme von einer vertrauenswürdigen Quelle.
Besonders beliebt: Name und (ungefährer) Wohnort für eine direkte Ansprache. In der SMS wird ein Link aufgeführt, der auf einen vom Angreifer kontrollierten Server verweist. Wer den Link anklickt und sich tatsächlich auf der nachgelagerten Seite anmeldet, der könnte unwissentlich eine Malware herunterladen oder durch die Weitergabe der Informationen Schaden anrichten.
Die häufigsten Inhalte der Smishing-SMS sind:
Malware und Fake-Seiten werden mitunter durch grundlegende Sicherheitsfilter des Postfachs oder des Betriebssystems von Smartphones gestoppt. Vor einem Anruf und der mündlichen Weitergabe von sensiblen Daten hilft allerdings kein Spam-Filter.
Ein Smisher, der bereits in Besitz einer Handynummer ist, kann sich – sollte der Betroffene ein so lohnenswertes Ziel sein – regelrecht verausgaben, um den Betrugsversuch noch glaubhafter zu machen.
Auftritt des Social Engineering – die Logik ist banal: Ich erhalte einen Anruf, bei dem sich der oder die Betrüger wahlweise als Bank, Versicherung, ein „Finanzierungsbüro“, Polizei oder Mitarbeiter von bekannten Firmen ausgeben.
Vorausgesetzt, die Masche wird nicht schon am Hörer durchschaut, erfragt der Smisher die Informationen, die er für seine kriminellen Aktivitäten benötigt direkt von seinem Opfer. Er reichert sein Wissen zielgenau an, um die folgenden Smishing SMS noch glaubhafter zu machen.
Smishing SMS lassen sich mit ein wenig Aufmerksamkeit schnell erkennen. Hier sammeln wir die deutlichsten Warnsignale, an denen Sie sich orientieren können.
Angreifer nutzen gerne Automatismen, um vielen Menschen gleichzeitig Textnachrichten zu schicken. Die in der Anrufer-ID gezeigte Telefonnummer ist dabei häufig eine, die auf einen VoIP-Dienst, also Telefonie per Breitbandinternet statt klassichem Festnetztelefon verweist. Hier kann die Herkunft nicht oder nur erschwert überprüft werden.
Schließt die fragliche SMS mit einem Link ab, sollten Sie Vorsicht walten lassen. Behauptet die SMS beispielsweise, von einem Paketdienstleister zu sein, der Link ist jedoch eine kryptische Buchstaben- und Zahlenreihe, liegt ein Indikator für Smishing vor.
Auch seriöse Services nutzen Dienste und Tools, um Links optisch zu verkürzen. Schließlich geht es in SMS auch um die maximale Zeichenzahl. Gerade Tracking-URLs von Paketzustellern sind per se individuell und oftmals lang. Daher ist nicht jeder Kurzlink ein Hinweis auf Smishing.
Smishing-Angreifer versenden viele SMS zugleich und spielen ein Spiel mit der Wahrscheinlichkeit. Schließlich erwartet irgendjemand immer ein Paket, befindet sich im Gespräch mit der Bank bezüglich eines Kredits oder nimmt an einem Gewinnspiel teil. Für den Smisher gilt: Die Menge macht’s.
Die Täter rechnen von vorneherein nur mit einem Bruchteil an „Rückläufern“ aus ihren versendeten SMS. Deshalb ziehen sie alle Register, um den Klick zu kriegen. Faustregel: Ist der Inhalt einer SMS zu schön um wahr zu sein, ist er genau das.
Deutliche Hinweise auf Smishing geben häufig schon die Formulierungen innerhalb der SMS:
Die Frage ist beinahe müßig zu beantworten: Smisher haben Telefonnummern (oder am besten gleich vollständige Datensätze) aus dem Internet. Gestohlene Adressen und Kontaktdaten werden im Darknet gehandelt. Der Datenkauf geht auch in vollkommen legal: Datenbörsen stellen legal erworbene Adressen und Telefonnummern – die beispielsweise bei Gewinnspielen oder Logins für zahllose schnell abrufbare Services erhoben werden – zum Verkauf.
Nur der vorsichtige Umgang mit den persönlichen Daten schützt verlässlich vor Smishing, Phishing & Co. Sieht man sich den nervenden SMS oder Anrufen bereits ausgesetzt, hilft nur die fragliche Nummer sperren und dem Netzbetreiber melden.
Wer Opfer einer Smishing-Attacke wurde, der sollte Anzeige erstatten. Da die Täter oftmals im Ausland operieren und ihre Spuren effektiv verwischen, sind Ermittlungserfolge jedoch nicht garantiert. Wenn es dennoch gelingt, den oder die Täter zu verhaften, steht Ihnen die Rechtsschutzversicherung bei der Geltendmachung von Schadenersatzansprüchen zur Seite.
Johannes Traub arbeitet seit Juni 2019 bei der Württembergischen Versicherung und kümmert sich um alles, was sich Content nennen darf. Mit seiner Erfahrung in den Bereichen Gesundheitsmanagement, Marketing sowie im Journalismus sorgt er dafür, dass die Inhalte der Württembergischen so viel klare Kante zeigen wie ihr Slogan.
Das haben andere gelesen
Existenz
13.12.2024 - Wissen Sie, was eine Patientenquittung ist? Am Ende dieses Beitrags definitiv. Und Sie wissen außerdem, weshalb man ab und zu einen Blick darauf werfen sollte.
Existenz
02.12.2024 - Bescheinigt eine Ärztin oder Arzt die Arbeitsunfähigkeit, hat das einen hohen Beweiswert. Dieser kann laut Bundesarbeitsgericht trotzdem „erschüttert“ werden.
Existenz
28.05.2024 - Möchten Sie, dass Ihre Wünsche respektiert werden, wenn Sie keine Entscheidungen mehr selbst treffen können? Dann sollten Sie über Vorsorgeverfügungen nachdenken. Was das ist und was zu beachten gilt erfahren Sie in diesem Beitrag.
Existenz
29.04.2024 - Die Hochzeitssaison steht vor der Tür. In den Monaten Mai bis September geben sich etwa 40.000 Paare das Jawort – pro Monat. Worauf sollten die neuen Ehepaare beim Thema Versicherung achten? Wir geben Ihnen den Überblick.
Existenz
03.08.2023 - Manche Vermieter integrieren – wissentlich oder unwissentlich – unwirksame Klauseln in ihre Mietverträge. Vielen Mieter fehlt das juristische Wissen, um das zu erkennen. Wir zeigen Ihnen einige der am häufigsten verwendeten und unwirksamen Klauseln.