Smishing-Attacken zielen darauf ab, Daten von dir zu stehlen, oder Cyberkriminelle nutzen sie, um sich finanziell zu bereichern. Erfahre im folgenden Beitrag, worum es sich bei Smishing handelt, welche Formen von Smishing es gibt und wie du Smishing verhindern kannst.
Inhaltsverzeichnis
Was ist Smishing?
Bei Smishing handelt es sich um einen Phishing-Angriff, der über Textnachrichten (SMS – Short Message Service) erfolgt. Ein Smishing-Angriff kann ebenso über Messaging-Apps wie WhatsApp, Signal oder Telegram erfolgen.
In Nachricht befindet sich ein schädlicher Link, und der Empfänger soll dazu verleitet werden, diesen zu öffnen.
Wie funktioniert Smishing?
Die Funktionsweise beim Smishing ist weniger technischer Natur. Vielmehr setzt es, wie Phishing, darauf, das Vertrauen einer Person zu gewinnen. Die stetige Entwicklung von künstlicher Intelligenz hat dazu geführt, dass SMS immer überzeugender werden. Sprachbarrieren sind kein Hindernis mehr.
Hacker setzen bei Smishing auf Masse, grenzen die SMS aber thematisch ein. Eine Nachricht von der Sparkasse oder Deutschen Bank ist erfolgversprechend, da die Wahrscheinlichkeit hoch ist, dass der Empfänger Kunde dort ist.
Ist das Vertrauen gewonnen, muss ein Kontext erzeugt werden, mit dem sich der Empfänger identifizieren kann, wie das oben erwähnte Paket, das wegen einer scheinbar falschen oder fehlenden Adresse nicht zugestellt werden kann.
Formen von Smishing-Angriffen
Es gibt verschiedene Formen von Smishing, wie die vermeintliche Kontoverifizierung bei einer Bank, Preis- oder Lotteriebetrug oder Tech-Support-Betrug. Im Folgenden ein Überblick:
Kontoverifzierungsbetrug
Du erhältst eine Nachricht, die angeblich von der Bank stammt und in der du aufgefordert wird, deine Kontodaten zu verifizieren. In der SMS könntest du auch gewarnt werden, dass es eine nicht authentifizierte Aktivität bei einem Konto gibt, die ein sofortiges Handeln erfordert. Klickst du auf die Links, wirst du auf eine gefälschte Anmeldeseite weitergeleitet, auf der deine Kontodaten gestohlen werden.
Gewinn- oder Lotteriebetrug
Die SMS informiert dich darüber, dass du einen Preis gewonnen hast. Um diesen zu erhalten, sollst du deine persönlichen Daten auf einer Website eingeben und gegebenenfalls eine Gebühr zahlen, um das Geld zu erhalten. Letztlich stiehlt der Angreifer aber deine Informationen oder bereichert sich finanziell.
Tech-Support-Betrug
Du erhältst eine SMS, die vor einem vermeintlichen technischen Problem mit deinem Gerät warnt und dich auffordert, eine angegebene Telefonnummer zu wählen, um das Problem zu beheben. Entweder bereichert sich der Kriminelle durch diese kostenpflichtige Nummer, oder er fordert dich auf, ihm Fernzugriff auf dein Gerät zu gewähren, um Daten von dir zu stehlen.
Kündigung von Abos/Diensten
In der SMS kann es heißen, dass es zu einer Kündigung deines Abos kommen kann, beispielsweise wegen eines Problems mit deiner Zahlungsmethode. Du sollst auf den Link klicken, um das Problem zu lösen, der dich zu einer gefälschten Website führt.
Download von Apps
Eine Nachricht bewirbt eine angeblich nützliche App, die du herunterladen sollst. Doch der Download-Link installiert stattdessen Malware auf deinem Gerät.
Gefälschte Umfragen
In dieser Form von Smishing wirst du aufgefordert, an einer Umfrage teilzunehmen, manchmal in Verbindung mit einem Gewinn, der dich bei einer Teilnahme erwartet. Ein Beispiel könnte die Abstimmung über dein Lieblingsspiel bei der Gaming-Plattform Steam sein. Letztlich geht es aber erneut darum, deine Daten zu stehlen.
Smishing-Beispiele
Smishing-Beispiele wurden bereits kurz erwähnt. Im Folgenden weitere Szenarien, wie Smishing aussehen könnte:
Beispiel 1: Nachricht von einem Bekannten
Beliebt bei Hackern sind Nachrichten, die angeblich von einem Familienmitglied stammen. Dabei werden vor allem ältere Personen im Text angesprochen. Zum Beispiel könnte der Täter vorgeben, dass der eigene Enkel in Schwierigkeiten steckt und dringend Geld benötigt.
Oft wird die vorgegebene Notlage mit einem angeblichen Nummernwechsel des Verwandten eingeleitet. Unter dieser neuen Handynummer soll der Empfänger den Verwandten kontaktieren. Lässt sich die Person darauf ein, folgt daraufhin die Bitte, Geld zu überweisen.
Diese Form von Smishing kann auch als Phishing per E-Mail erfolgen.
Beispiel 2: Nachricht von der Bank
Die Sparkasse schreibt dir, dass du deine Daten bestätigen musst, um dein Konto weiter nutzen zu können. Das sorgt bei vielen für Panik, denn wer möchte schon seinen Zugriff auf das Online-Banking verlieren? Oder es gibt angeblich Neuerungen, denen du zustimmen sollst. Im ersten Moment klingt das für viele nicht verdächtig, vor allem wenn sie Kunden bei der Sparkasse sind.
Diese Form von Smishing kann auch als Phishing per E-Mail erfolgen.
Beispiel 3: Der vermeintliche Gewinn
Die Freude ist groß. Angeblich hast du den großen Gewinn abgesahnt und mehrere tausend Euro gewonnen. Doch du kannst dir sicher sein, dass niemand dich nur per SMS über einen Gewinn informiert und es sich um eine Fälschung handelt. Offizielle Gewinnbenachrichtigungen würden ausschließlich per Post erfolgen. Zudem wüsstest du wohl, dass du an einem Gewinnspiel teilgenommen hast.
Dieses Smishing-Beispiel setzt stark auf Emotionen. Dass ein Gewinn wartet, der nur einen Klick entfernt ist, verleitet leider zu viele dazu, auf den angegebenen Link zu klicken, selbst wenn sie im Unterbewusstsein wissen, dass sie gar nicht an einem Gewinnspiel teilgenommen haben.
Diese Form eines Smishing-Angriffes kann auch als Phishing per E-Mail erfolgen.
Beispiel 4: Paketankündigung
Du erhältst eine Nachricht, zum Beispiel von DHL, mit einer Paketankündigung. Dein Paket konnte nicht zugestellt werden, und du hast nur wenige Tage Zeit (Dringlichkeit), um deine Adresse zu bestätigen. Ansonsten kann die Lieferung nicht zugestellt werden.
Selbst wenn du ein Paket erwarten solltest, klicke niemals auf den Link. Paketdienste verschicken zwar auf Wunsch SMS mit dem neuesten Status einer Lieferung; solltest du also ein Paket erwarten, prüfe vorher genau, ob die Nachricht seriös ist und tatsächlich von DHL, Hermes oder einem anderen Paketdienst stammt.
Diese Form von Smishing kann auch als Phishing per E-Mail erfolgen.
Was sind die Ziele von Smishing-Angriffen?
- Diebstahl von persönlichen Informationen
- Diebstahl von finanziellen Informationen
- Verbreitung von Malware
- Distributed-Denial-of-Service (DDoS)
- Data Harvesting
Wie kann ich Smishing verhindern?
Ignoriere die Nachricht
Interagiere auf keinen Fall mit der Textnachricht, klicke auf keinen Link und antworte auch nicht darauf. Selbst Reaktionen wie “Kein Interesse” oder gar beleidigende Antworten solltest du unter allen Umständen vermeiden. Damit bestätigst du nur, dass es sich um eine aktive Nummer handelt.
Blockiere die Nummer
Bevor du die Nachricht löschst, blockiere die Nummer, so dass du Smishing-SMS blockieren kannst.
Verifiziere den Absender
Wenn du dir im ersten Moment unsicher bist, ob es sich um einen legitimen Absender handelt, der dir die Nachricht gesendet hat, recherchiere, ob es sich um die tatsächliche Telefonnummer handelt.
Installiere niemals eine App über einen Link
Wenn in der Nachricht ein Link beworben wird, klicke niemals darauf. Ansonsten läufst du Gefahr, dir Malware auf dein Gerät zu laden.
Aktiviere eine Zwei-Faktor-Authentifizierung (2FA)
Sollte es Hackern durch Smishing gelingen, an deine Anmeldedaten zu gelangen, kannst du mit einer Zwei-Faktor-Authentifizierung eine zusätzliche Sicherheitsschicht für deine Konten schaffen.
Sei stets misstrauisch
Wenn dir ein Verwandter schreibt, dass er vermeintlich eine neue Nummer hat und in Not ist, solltest du dich fragen, wieso er dir dies nicht telefonisch mitteilt. Auch ein Finanzinstitut wie die Sparkasse wird dich niemals per Textnachricht auffordern, Daten von dir zu bestätigen.
Halte dich auf dem Laufenden
Halte dich daher auf Nachrichtenseiten, Technik-Blogs oder in den sozialen Medien auf dem Laufenden, welche Betrugsmaschen derzeit im Umlauf sind, um diese rechtzeitig zu erkennen.
Regelmäßige Updates für Geräte und Software
Lade regelmäßig Software-Updates oder Aktualisierungen für dein Betriebssystem oder Anwendungen herunter. Dadurch schließt du bekannte Sicherheitslücken, die Kriminelle ausnutzen könnten.
Nutze Sicherheitssoftware
Schütze dich und deine Geräte mit Cybersicherheitstools. Das kann ein Antivirenprogramm sein, das rechtzeitig Schadsoftware erkennen und beseitigen kann. Ein gutes Allround-Tool für mehr Cybersicherheit bietet das VPN von Surfshark.
Surfshark VPN bietet dir mit der Funktion Alternative ID zudem eine anonyme Identität im Netz.
FAQs
Was ist der Unterschied zwischen Smishing und Vishing?
Während Smishing per Textnachricht erfolgt, ist Vishing ein Phishing-Anruf per Telefon und ist die Abkürzung für Voice Phishing. Jedoch haben beide dasselbe Ziel – das Stehlen von sensiblen Daten und finanzielle Bereicherung – und benötigen jeweils die Telefonnummer ihres Opfers, um ihren Angriff durchzuführen.
Ist Smishing ein Cyberverbrechen?
Ja, denn die betrügerischen Textnachrichten werden dafür verwendet, um gezielt Personen dazu zu bringen, sensible Daten von sich preiszugeben. Diese erste Phase, das reine Versenden von Smishing-Nachrichten, ist bereits als Betrug zu werten. Die Konsequenzen, also das Stehlen von Daten, als Diebstahl. Smishing melden bei Polizei oder anderen Institutionen kann ebenso sinnvoll sein.
Ist Smishing und Phishing dasselbe?
Nein, Smishing und Phishing in anderer Form sind eng miteinander verwandt. Aber Smishing erfolgt über eine Textnachricht, während Phishing über E-Mails angewandt wird. Beide Formen enthalten aber immer böswillige Links oder virenverseuchte Anhänge, und die Hacker versuchen dich davon zu überzeugen, diese zu öffnen.
Was sollte ich tun, wenn ich Opfer von Smishing geworden bin?
Wenn du Opfer von Smishing geworden bist, dann melde den Vorfall allen Stellen, die dir in diesem Fall helfen können, wie der Polizei. Ändere die Zugangsdaten der betreffenden Konten oder sperre dein Bankkonto. Kontrolliere, ob es bei deinen Konten bereits zu einer Anmeldung gekommen ist oder ob Kontobewegungen stattgefunden haben.
