A dark, menacing figure holding a white smiling mask over its face.

Sagt dir der Begriff Smishing etwas?

Die meisten werden diese Frage wohl mit Nein beantworten. Allerdings ist die Wahrscheinlichkeit hoch, dass du schon einmal selbst Angriffsziel einer Smishing-Attacke geworden bist. 

Vielleicht hast du eine SMS erhalten, die behauptete, dass dein Paket wegen einer falschen Adresse nicht zugestellt werden konnte; oder die Nachricht einer Bank, dass du dein Konto verifizieren musst, da du ansonsten den Zugriff aufs Online-Banking verlierst. Diese Attacken zielen darauf ab, Daten von dir zu stehlen, oder Cyberkriminelle nutzen sie, um sich finanziell zu bereichern.

Smishing-Attacken sind allgegenwärtig und eine ständige Bedrohung, weshalb es wichtig ist, Smishing frühzeitig zu erkennen. Erfahre im Folgenden, worum es sich bei Smishing handelt, welche Formen von Smishing es gibt und wie du Smishing verhindern kannst.

Inhaltsverzeichnis

    Was ist Smishing?

    Bei Smishing handelt es sich um einen Phishing-Angriff, der über Textnachrichten (SMS – Short Message Service) erfolgt. Daher stammt auch der Name, ein Kunstwort, das sich aus den Begriffen SMS und Phishing zusammensetzt.

    Das Vorgehen beim Smishing ist mit dem beim Phishing per E-Mail vergleichbar – nur, dass der Cyberkriminelle in diesem Fall eine betrügerische Textnachricht versendet. Ein Smishing-Angriff kann ebenso über Messaging-Apps wie WhatsApp, Signal oder Telegram erfolgen.

    In der Nachricht befindet sich ein schädlicher Link, und der Empfänger soll dazu verleitet werden, diesen zu öffnen.

    Die Taktik beruht auf Social Engineering, das bedeutet, der Angreifer zielt vor allem auf die Emotionen des Opfers ab und möchte dessen Vertrauen gewinnen. Ein verbreitetes Beispiel ist die SMS eines Paketdienstes wie DHL oder Hermes, in der der Empfänger eine falsche Paketankündigung erhält. In der Nachricht heißt es, dass die eigene Adresse innerhalb einer gewissen Zeitspanne über einen Link bestätigt werden soll, da sonst keine Zustellung erfolgen kann.

    Die Smishing-Täter setzen hierbei darauf, dass Empfänger aufgrund der vielen Pakete, die sie im Alltag erhalten, im ersten Moment nicht erkennen, dass es sich um eine gefälschte Textnachricht handelt. Zudem wird mit dem Zeitlimit eine Dringlichkeit erzeugt.

    Folgst du dem Link in einer solchen SMS, wirst du zu einer ebenfalls gefälschten Webseite geleitet, die dem Original zum Verwechseln ähnlich sieht. Denn die Hacker wollen dich so lange wie möglich in dem Glauben lassen, dass es sich um eine legitime SMS handelt – die Täuschung soll also nicht auf der Webseite auffliegen. 

    An deine Nummer gelangen die Kriminellen durch gehackte oder geleakte Datenbanken. Manchmal können aber auch schädliche Apps auf deinem Smartphone die Ursache für Smishing sein. Sie können Zugriff auf gespeicherte Kontakte erlauben, so dass Handynummern ausgelesen werden können. Dadurch können Empfänger direkt angesprochen werden, wie mit “Hallo Mama”, denn die Kriminellen arbeiten mit Platzhaltern, so dass nach der Anrede nur noch der Name eingefügt werden muss.

    Wie funktioniert Smishing?

    Nun ist die Frage, was Smishing ist, geklärt. Aber wie funktioniert es genau? Die Funktionsweise beim Smishing ist weniger technischer Natur. Vielmehr setzt es wie Phishing darauf, das Vertrauen einer Person zu gewinnen.

    Die stetige Entwicklung von künstlicher Intelligenz hat dazu geführt, dass SMS immer überzeugender werden. Sprachbarrieren sind kein Hindernis mehr. Früher war es möglich, viele dieser Smishing-Scams schon durch eine schlechte Rechtschreibung und unnatürliche Sprache frühzeitig zu erkennen. Außerdem sind viele Nutzer inzwischen für Phishing per E-Mail sensibilisiert, zweifeln aber leider nicht immer SMS-Phishing an. 

    Hacker setzen bei Smishing auf Masse, grenzen die SMS aber thematisch ein. Eine Nachricht von der Sparkasse oder Deutschen Bank ist erfolgversprechend, da die Wahrscheinlichkeit hoch ist, dass der Empfänger Kunde dort ist.

    Es gibt an sich drei Erfolgsfaktoren, die Smishing-Versuche leider zu oft erfolgreich enden lassen. Zunächst einmal ist dies das bereits erwähnte Vertrauen des Opfers. Ohne einen Vertrauensgewinn kann der Kriminelle die natürliche Skepsis seines Opfers nicht überwinden. Dafür muss er in seiner SMS persönlich werden, zum Beispiel, indem Anreden auf Beziehungsebene erfolgen (“Hallo Mama”, “Hallo Papa”). 

    Oder aber der Hacker gibt sich als vertrauenswürdiges Unternehmen oder Institution aus. Das können beispielsweise bekannte Unternehmen wie Amazon, DHL oder eine Bank sein, mit der fast jeder im Alltag zu tun hat.

    Ist das Vertrauen gewonnen, muss ein Kontext erzeugt werden, mit dem sich der Empfänger identifizieren kann, wie das oben erwähnte Paket, das wegen einer scheinbar falschen oder fehlenden Adresse nicht zugestellt werden kann. 

    Schließlich setzt der Kriminelle auf Emotionen, wie Angst, Dringlichkeit oder Hoffnung. Im Fall der gefälschten Paketankündigung wird ein Angst- und Dringlichkeitsszenario erzeugt (“Holen Sie das Paket nicht ab, kann es nicht zugestellt werden”). Es sind aber auch SMS mit vermeintlichen Gewinnen möglich, wie die Aussicht auf einen 10.000 Euro Gewinn.

    Alle drei Faktoren sollen den Empfänger dazu bewegen, dass er, ohne groß nachzudenken, dem Link folgt. Auf einer gefälschten Webseite oder App sollen dann Daten preisgegeben werden. 

    Als erfolgreich angesehen werden kann Smishing, wenn der Täter deine Daten erbeutet hat und für kriminelle Zwecke missbraucht, zum Beispiel, um sich finanziell zu bereichern oder deine Identität zu stehlen.

    Formen von Smishing-Angriffen

    Es gibt verschiedene Formen von Smishing, wie die vermeintliche Kontoverifizierung bei einer Bank, Preis- oder Lotteriebetrug oder Tech-Support-Betrug. Im Folgenden ein Überblick:

    Kontoverifzierungsbetrug

    Du erhältst eine Nachricht, die angeblich von der Bank stammt und in der du aufgefordert wird, deine Kontodaten zu verifizieren. In der SMS könntest du auch gewarnt werden, dass es eine nicht authentifizierte Aktivität bei einem Konto gibt, die ein sofortiges Handeln erfordert. Klickst du auf die Links, wirst du auf eine gefälschte Anmeldeseite weitergeleitet, auf der deine Kontodaten gestohlen werden.

    Gewinn- oder Lotteriebetrug

    Die SMS informiert dich darüber, dass du einen Preis gewonnen hast. Um diesen zu erhalten, sollst du deine persönlichen Daten auf einer Website eingeben und gegebenenfalls eine Gebühr zahlen, um das Geld zu erhalten. Letztlich stiehlt der Angreifer aber deine Informationen oder bereichert sich finanziell. 

    Tech-Support-Betrug

    Du erhältst eine SMS, die vor einem vermeintlichen technischen Problem mit deinem Gerät warnt und dich auffordert, eine angegebene Telefonnummer zu wählen, um das Problem zu beheben. Entweder bereichert sich der Kriminelle durch diese kostenpflichtige Nummer, oder er fordert dich auf, ihm Fernzugriff auf dein Gerät zu gewähren, um Daten von dir zu stehlen.

    Kündigung von Abos/Diensten

    In der SMS kann es heißen, dass es zu einer Kündigung deines Abos kommen kann, beispielsweise wegen eines Problems mit deiner Zahlungsmethode. Du sollst auf den Link klicken, um das Problem zu lösen, der dich zu einer gefälschten Website führt.

    Download von Apps

    Eine Nachricht bewirbt eine angeblich nützliche App, die du herunterladen sollst. Doch der Download-Link installiert stattdessen Malware auf deinem Gerät.

    Gefälschte Umfragen

    In dieser Form von Smishing wirst du aufgefordert, an einer Umfrage teilzunehmen, manchmal in Verbindung mit einem Gewinn, der dich bei einer Teilnahme erwartet. Ein Beispiel könnte die Abstimmung über dein Lieblingsspiel bei der Gaming-Plattform Steam sein. Letztlich geht es aber erneut darum, deine Daten zu stehlen.

    Smishing-Beispiele

    Smishing-Beispiele wurden bereits kurz erwähnt. Im Folgenden weitere Szenarien, wie Smishing aussehen könnte:

    Beispiel 1: Nachricht von einem Bekannten

    Beliebt bei Hackern sind Nachrichten, die angeblich von einem Familienmitglied stammen. Dabei werden vor allem ältere Personen im Text angesprochen. Zum Beispiel könnte der Täter vorgeben, dass der eigene Enkel in Schwierigkeiten steckt und dringend Geld benötigt. 

    Diese Textnachrichten manipulieren stark auf emotionaler Ebene, da vorgegeben wird, dass ein naher Verwandter in Schwierigkeiten steckt. Der Kontext ist eher zweitrangig. Wer möchte schon als Vater/Mutter oder Opa/Oma seinen Verwandten im Stich lassen?

    Oft wird die vorgegebene Notlage mit einem angeblichen Nummernwechsel des Verwandten eingeleitet. Unter dieser neuen Handynummer soll der Empfänger den Verwandten kontaktieren. Lässt sich die Person darauf ein, folgt daraufhin die Bitte, Geld zu überweisen. 

    Diese Form von Smishing kann auch als Phishing per E-Mail erfolgen.

    Ein Smartphone mit einer geöffneten Textnachricht auf dem Bildschirm.

    Beispiel 2: Nachricht von der Bank

    Die Sparkasse schreibt dir, dass du deine Daten bestätigen musst, um dein Konto weiter nutzen zu können. Das sorgt bei vielen für Panik, denn wer möchte schon seinen Zugriff auf das Online-Banking verlieren? Oder es gibt angeblich Neuerungen, denen du zustimmen sollst. Im ersten Moment klingt das für viele nicht verdächtig, vor allem wenn sie Kunden bei der Sparkasse sind.

    Diese Form von Smishing kann auch als Phishing per E-Mail erfolgen.

    Eine Hand mit scharfen Nägeln hält eine Textnachrichten-Blase.

    Beispiel 3: Der vermeintliche Gewinn

    Die Freude ist groß. Angeblich hast du den großen Gewinn abgesahnt und mehrere tausend Euro gewonnen. Doch du kannst dir sicher sein, dass niemand dich nur per SMS über einen Gewinn informiert und es sich um eine Fälschung handelt. Offizielle Gewinnbenachrichtigungen würden ausschließlich per Post erfolgen. Zudem wüsstest du wohl, dass du an einem Gewinnspiel teilgenommen hast.

    Dieses Smishing-Beispiel setzt stark auf Emotionen. Dass ein Gewinn wartet, der nur einen Klick entfernt ist, verleitet leider zu viele dazu, auf den angegebenen Link zu klicken, selbst wenn sie im Unterbewusstsein wissen, dass sie gar nicht an einem Gewinnspiel teilgenommen haben.

    Diese Form eines Smishing-Angriffes kann auch als Phishing per E-Mail erfolgen.

    Eine Hand hält eine leicht geöffnete Geschenkbox, aus der Viren herauskommen. Eine Textnachrichten-Blase schwebt in der Nähe.

    Beispiel 4: Paketankündigung

    Du erhältst eine Nachricht, zum Beispiel von DHL, mit einer Paketankündigung. Dein Paket konnte nicht zugestellt werden, und du hast nur wenige Tage Zeit (Dringlichkeit), um deine Adresse zu bestätigen. Ansonsten kann die Lieferung nicht zugestellt werden.

    Selbst wenn du ein Paket erwarten solltest, klicke niemals auf den Link. Paketdienste verschicken zwar auf Wunsch SMS mit dem neuesten Status einer Lieferung; solltest du also ein Paket erwarten, prüfe vorher genau, ob die Nachricht seriös ist und tatsächlich von DHL, Hermes oder einem anderen Paketdienst stammt.

    Diese Form von Smishing kann auch als Phishing per E-Mail erfolgen.

    Ein Smartphone mit einer geöffneten Textnachricht auf dem Bildschirm.

    Was sind die Ziele von Smishing-Angriffen?

    Smishing kann verschiedene Ziele haben. Meistens steht nicht nur ein Zweck im Mittelpunkt, sondern eine Mischung daraus. Im Folgenden eine Übersicht, welche Ziele Kriminelle mit Smishing verfolgen:

    • Diebstahl von persönlichen Informationen: Deine Daten können die Täter für Identitätsdiebstahl missbrauchen oder sie an Dritte weiterverkaufen;
    • Diebstahl von finanziellen Informationen: Das häufigste Motiv für Smishing ist finanzielle Bereicherung, und am ehesten erreichen dies Kriminelle, wenn sie Bankdaten oder Kredit-/EC-Karteninformationen von dir erbeuten können;
    • Verbreitung von Malware: Über Links in den Nachrichten wollen Cyberkriminelle Malware verbreiten. Damit wollen sie dich schädigen oder Dateien verschlüsseln, um Lösegeld zu fordern (Ransomware).
    • Distributed-Denial-of-Service (DDoS): Durch Smishing können Kriminelle versuchen, dein Gerät in eine DDoS-Attacke mit einzubinden.
    • Data Harvesting: Hacker sammeln von dir persönliche Daten, um sie im Dark Web weiterzuverkaufen oder um mit ihnen gezielte Werbung zu schalten.

    Wie kann ich Smishing verhindern?

    Smishing-Attacken sind perfide Betrugsversuche, vor denen man sich in Acht geben sollte. Du fragst dich daher bestimmt, wie du Smishing verhindern kannst, richtig?

    Dazu solltest du wissen: Dass du eine Smishing-Nachricht erhältst, lässt sich nie gänzlich verhindern. 

    Vor allem, wenn du Telefonnummern auf Webseiten oder Online-Plattformen hinterlässt und es zu Datenlecks kommt, hast du leider keinen Einfluss darauf, dass deine Daten in falsche Hände geraten. Es gibt jedoch Maßnahmen, mit denen du die Chancen minimiert, Opfer eines Smishing-Angriffes zu werden.

    Ignoriere die Nachricht

    Zunächst solltest du, wenn du sicher bist, dass es sich um einen Smishing-Versuch handelt, die Nachricht ignorieren und umgehend löschen. Interagiere auf keinen Fall mit der Textnachricht, klicke auf keinen Link und antworte auch nicht darauf. Selbst Reaktionen wie “Kein Interesse” oder gar beleidigende Antworten solltest du unter allen Umständen vermeiden. Damit bestätigst du nur, dass es sich um eine aktive Nummer handelt. Denk immer daran, dass es sich um eine Massennachricht handelt, die an tausende Empfänger geschrieben wurde. 

    Blockiere die Nummer

    Bevor du die Nachricht löschst, blockiere die Nummer, so dass du Smishing-SMS blockieren kannst. 

    Verifiziere den Absender

    Wenn du dir im ersten Moment unsicher bist, ob es sich um einen legitimen Absender handelt, der dir die Nachricht gesendet hat, recherchiere, ob es sich um die tatsächliche Telefonnummer handelt. Nutze dafür zum Beispiel die offizielle Webseite oder den offiziellen Social-Media-Account eines Unternehmens. 

    Installiere niemals eine App über einen Link

    Wenn in der Nachricht eine App beworben wird, klicke niemals auf den angegebenen Link, um diese zu installieren. Ansonsten läufst du Gefahr, dir Malware auf dein Gerät zu laden.

    Aktiviere eine Zwei-Faktor-Authentifizierung (2FA)

    Sollte es Hackern durch Smishing gelingen, an deine Anmeldedaten zu gelangen, kannst du mit einer Zwei-Faktor-Authentifizierung eine zusätzliche Sicherheitsschicht für deine Konten schaffen. Dann benötigen diese einen Code per App oder SMS, um sich anzumelden. Deine Logindaten sind also wertlos für die Täter.

    Sei stets misstrauisch

    Ein gesundes Misstrauen ist eine effektive Maßnahme gegen Smishing-Angriffe. Wenn dir ein Verwandter schreibt, dass er vermeintlich eine neue Nummer hat und in Not ist, solltest du dich fragen, wieso er dir dies nicht telefonisch mitteilt. Auch ein Finanzinstitut wie die Sparkasse wird dich niemals per Textnachricht auffordern, Daten von dir zu bestätigen. 

    Halte dich auf dem Laufenden

    Aktuelle, großflächige Smishing-Attacken machen schnell die Runde. Halte dich daher auf Nachrichtenseiten, Technik-Blogs oder in den sozialen Medien auf dem Laufenden, welche Betrugsmaschen derzeit im Umlauf sind, um diese rechtzeitig zu erkennen.

    Regelmäßige Updates für Geräte und Software

    Lade regelmäßig Software-Updates oder Aktualisierungen für dein Betriebssystem oder Anwendungen herunter. Dadurch schließt du bekannte Sicherheitslücken, die Kriminelle ausnutzen könnten, um zum Beispiel Malware auf dein Gerät zu schleusen.

    Nutze Sicherheitssoftware

    Schütze dich und deine Geräte mit Cybersicherheitstools. Das kann ein Antivirenprogramm sein, das rechtzeitig Schadsoftware erkennen und beseitigen kann. Oder aber du installierst eine Software, die Phishing und auch Smishing erkennen kann. Sei aber vorsichtig, dass es sich um eine seriöse Anwendung handelt, die nicht ihrerseits Schadsoftware auf deinem Gerät installiert. 

    Ein gutes Allround-Tool für mehr Cybersicherheit ist ein VPN. Denn einerseits schützt es deine Daten, wenn du online unterwegs bist, bietet darüber hinaus aber noch weitere Funktionen wie einen Malware-Schutz, Phishing-Schutz oder Benachrichtigungen, wenn personenbezogene Daten von dir offengelegt wurden, die zum Beispiel für Smishing genutzt werden können.

    Surfshark VPN bietet zudem die Funktion Alternative ID. Du kannst dir damit eine neue digitale Identität und E-Mail-Adresse erschaffen, die du auf Webseiten oder Online-Diensten nutzen kannst, wenn du dir nicht sicher bist, wie diese mit deinen persönlichen Informationen umgehen. 

    Eingehende E-Mails an diese Adresse werden an deine primäre E-Mail-Adresse weitergeleitet. Wirst du plötzlich mit Spam belästigt oder hast das Gefühl, dass deine Daten nicht sicher sind, kannst du die ID löschen lassen oder sie löscht sich nach einer gewissen Zeit selbst.

    Alternative ID
    Schütze deine identität mit einer Alt ID
    Surfshark

    FAQs

    Was ist der Unterschied zwischen Smishing und Vishing?

    Während Smishing per Textnachricht erfolgt, ist Vishing ein Phishing-Anruf per Telefon und ist die Abkürzung für Voice Phishing. Jedoch haben beide dasselbe Ziel – das Stehlen von sensiblen Daten und finanzielle Bereicherung – und benötigen jeweils die Telefonnummer ihres Opfers, um ihren Angriff durchzuführen.

    Ist Smishing ein Cyberverbrechen?

    Ja, denn die betrügerischen Textnachrichten werden dafür verwendet, um gezielt Personen dazu zu bringen, sensible Daten von sich preiszugeben. Diese erste Phase, das reine Versenden von Smishing-Nachrichten, ist bereits als Betrug zu werten. Die Konsequenzen, also das Stehlen von Daten, als Diebstahl. Smishing melden bei Polizei oder anderen Institutionen kann ebenso sinnvoll sein. 

    Ist Smishing und Phishing dasselbe?

    Nein, Smishing und Phishing in anderer Form sind eng miteinander verwandt. Aber Smishing erfolgt über eine Textnachricht, während Phishing über E-Mails angewandt wird. Beide Formen enthalten aber immer böswillige Links oder virenverseuchte Anhänge, und die Hacker versuchen dich davon zu überzeugen, diese zu öffnen.

    Was sollte ich tun, wenn ich Opfer von Smishing geworden bin?

    Wenn du Opfer von Smishing geworden bist, dann melde den Vorfall allen Stellen, die dir in diesem Fall helfen können, wie der Polizei. Ändere die Zugangsdaten der betreffenden Konten oder sperre dein Bankkonto. Kontrolliere, ob es bei deinen Konten bereits zu einer Anmeldung gekommen ist oder ob Kontobewegungen stattgefunden haben.