Smishing: Was es ist, wie man es erkennt und sich dagegen schützt

Handys und Mobilgeräte erleichtern es, mit Freunden und Familie in Kontakt zu treten, aber sie machen Sie auch angreifbar für Interaktionen mit Cyberkriminellen.

Was ist Smishing?

Smishing ist eine Art von Phishing-Cyberangriff, der irreführende Textnachrichten nutzt, um Empfänger dazu zu verleiten, personenbezogene Daten preiszugeben oder auf schädliche Links zu klicken.

Der Begriff "Smishing" setzt sich aus den Begriffen "Phishing" und "SMS" (Short Messaging Service) zusammen. Phishing ist üblicherweise ein Social-Engineering-Angriff per E-Mail, Smishing dagegen nutzt SMS- bzw. Textnachrichtenkanäle.

Betrüger nutzen Smishing, um Identitätsdiebstahl und Betrug zu begehen oder sogar um verschiedene Arten von Malware zu verbreiten. Um sich vor Smishing-Angriffen zu schützen, müssen Sie wachsam bleiben, die Anzeichen für verdächtige Phishing-Textnachrichten kennen und lernen, die Sicherheit Ihrer Mobilgeräte zu schützen.

Smishing vs. Phishing vs. Vishing

Phishing, Smishing und Vishing sind alles Taktiken zum Stehlen personenbezogener Daten. Sie unterscheiden sich lediglich in der Art der Übermittlung.

Vishing und Smishing sind Arten von Phishing.

Phishing ist eine Social-Engineering-Taktik, die von Betrügern und Cyberkriminellen eingesetzt wird. Dabei werden oft gefälschte E-Mails versendet, die vorgeben, von vertrauenswürdigen Quellen zu stammen.

Beim Smishing oder SMS-Phishing werden betrügerische oder schädliche Textnachrichten versendet, in der Hoffnung, dass jemand antwortet oder auf einen Link klickt.

Beim Vishing oder Voice-Phishing geben sich Betrüger am Telefon als Experten oder andere vertrauenswürdige Personen aus, um ihre Opfer dazu zu bringen, sensible Daten preiszugeben oder Geld oder digitale Währungen zu überweisen.

Wie funktioniert Smishing?

Bei Smishing-Angriffen nutzen Cyberkriminelle eine Kombination aus Schadsoftware, bösartigen Links, Droh-Nachrichten per SMS und Social-Engineering-Methoden wie angstfördernde Sprache und Manipulation. Ein Smishing-Angriff läuft in der Regel wie folgt ab:

1. Ein Betrüger schickt Ihnen eine Textnachricht und nutzt Social-Engineering-Taktiken, um Sie glauben zu lassen, dass die Nachricht echt ist.
2. Sie klicken auf einen infizierten Link oder geben personenbezogene Daten preis.
3. Der Betrüger nutzt Ihre Informationen, um weitere Angriffe durchzuführen, Betrug zu begehen oder die gestohlenen Daten gar im Darknet zu verkaufen.

5 Arten von Smishing-Angriffen

Smishing-Textnachrichten können in vielen Formen auftreten, da Hacker ihre Nachrichten gerne gezielt auf ihre Opfer abstimmen. Achten Sie auf diese verschiedenen Arten von Smishing-Texten, um die Cybersicherheit Ihrer Smartphones und Tablets zu gewährleisten.

1. Smishing mit Zustellungsbescheid und Paket-Tracking

Betrug mit Paketzustellungen gehört zu den häufigsten Arten von Smishing-Angriffen, besonders während der Feiertage oder bei großen Verkaufsaktionen. Sie erhalten möglicherweise eine betrügerische SMS von DHL, UPS oder der Deutschen Post, die Sie über ein Lieferproblem informiert oder um Aktualisierung der Versanddetails bittet. Die SMS ist ein Betrug, der Sie dazu verleiten soll, auf einen schädlichen Link zu klicken oder personenbezogene Daten preiszugeben.

2. Finanz-Smishing-Scams

Smishing-Angriffe im Finanzbereich machen sich zunutze, dass heute praktisch jeder seine Finanzen über Banken oder Kreditkartenanbieter verwaltet. Mit diesen Smishing-Nachrichten geben sich Betrüger als seriöse Banken aus, um Sie zur Herausgabe sensibler Informationen wie Ihrer Adresse, Telefonnummer, Ihres Passworts, Ihrer E-Mail-Adresse und weiterer Daten zu verleiten. Smisher versenden häufig Betrugswarnungen, in denen sie ihre potenziellen Opfer vor verdächtigen Aktivitäten auf ihrem Konto warnen und sie auffordern, auf einen Link zu klicken oder eine Telefonnummer anzurufen, die beide schädlich sind.

3. Smishing-Scams mit Bestätigungsaufforderung

Ein Smishing-Betrug mit Bestätigungen nutzt gefälschte Bestätigungsanfragen, um Sie zur Preisgabe sensibler Informationen zu verleiten. Dies kann für eine Online-Bestellung, einen bevorstehenden Termin oder eine Rechnung für Geschäftsinhaber sein. Die Smishing-SMS kann einen Link enthalten, der Sie auf eine Website leitet, auf der Sie Login- oder andere sensible Daten eingeben sollen, um Ihren Termin oder Kauf zu bestätigen.

4. Smishing-Betrug, getarnt als Kundensupport

Beim Smishing-Betrug, der sich als Kundensupport ausgibt, werden SMS verschickt, in denen sich die Absender als vertrauenswürdige Unternehmen ausgeben, die nicht unbedingt Banken oder Kreditkartenanbieter sein müssen. Sie tarnen sich möglicherweise als Vertreter eines Online-Unternehmens oder Einzelhändlers, der Sie über ein Problem mit Ihrem Konto informiert. Sie geben Anweisungen zur Lösung des Problems, wozu auch die Weiterleitung auf eine gefälschte, mit Spyware infizierte Website gehören kann.

5. Smishing-Betrug mit Geschenken oder Gewinnspielen

Bei dieser Art von Smishing-Angriff wird Ihnen ein kostenloses Geschenk angeboten oder für ein gefälschtes Gewinnspiel geworben, um Sie dazu zu bringen, auf einen schädlichen Link zu klicken und Ihren gewonnenen Preis einzufordern. Wenn Sie auf den Link tippen und auf einer Website landen, könnte Ihr "Geschenk" darin bestehen, dass Ihr Gerät mit Malware infiziert wird.

Beispiele für Smishing-Angriffe

Wenn Sie reale Beispiele für Smishing kennen, können Sie diese im Alltag leichter vermeiden.

• UPS Kanada (2023): Bei UPS kam es zu einer Datenpanne, bei der durch unbefugten Zugriff auf das Tool zur Paketverfolgung die Daten einiger Empfänger offengelegt wurden. UPS warnte seine Kunden, dass Angreifer einige Empfänger mit Smishing-Angriffen ins Visier genommen hatten, in denen sie eine Zahlung vor der Zustellung forderten.
• Olympische Spiele in Tokio (2020): Das auf Bedrohungsanalysen spezialisierte Unternehmen CYFIRMA entdeckte eine Smishing-Kampagne, die auf Olympia-Fans abzielte. Dabei wurde versucht, gefälschte Eintrittskarten zu verkaufen, um personenbezogene Daten und Bankinformationen zu stehlen.
• United States Postal Service (2020): Der CEO von SlickRockWeb berichtete von einer Smishing-Kampagne, bei der sich die Betrüger als USPS-Mitarbeiter ausgaben, um Kunden zur Preisgabe ihrer Login-Daten zu verleiten.

Um sich vor Smishing-Versuchen zu schützen, sollten Sie die Warnsignale und die Tipps zum Schutz vor Smishing kennen.

Warnsignale für Smishing-Angriffe

Achten Sie auf die folgenden Warnsignale für Smishing-Angriffe, um festzustellen, ob Sie es auf Ihrem Mobilgerät mit Smishing-Spam-SMS zu tun haben:

• Verdächtige Telefonnummern: Smishing-Nachrichten stammen oft von Nummern, die nicht dem typischen Format entsprechen oder eine Reihe derselben Ziffern enthalten.
• Rechtschreib- oder Grammatikfehler: Seriöse Unternehmen stellen sicher, dass ihre Mitteilungen frei von Tipp- und Grammatikfehlern sind, bevor sie sie an Kunden senden. Grobe Fehler sind Warnsignale und deuten in vielen Fällen auf einen Betrugsversuch hin.
• Links und Dateien von unbekannten Nummern: SMS-Phishing enthält oft irreführende Links mit ungewöhnlichen URLs, die auf eine unsichere Website führen.
• Dringliche Anfragen: Betrüger erzeugen häufig ein Gefühl der Dringlichkeit, um ihre Opfer einzuschüchtern. Seriöse Unternehmen geben rechtzeitig Bescheid, wenn es Probleme gibt. Daher sollten solche dringlichen Nachrichten entweder gelöscht oder über einen offiziellen Kanal beim vermeintlichen Absender überprüft werden.
• Geldforderungen: Nachrichten, die zu Online-Geldüberweisungen drängen, sind mit großer Wahrscheinlichkeit ein Betrugsversuch, der darauf abzielt, Ihr Geld zu stehlen.
• Gewinnbenachrichtigungen: Gewinnbenachrichtigungen für Preisausschreiben, an denen Sie nicht teilgenommen haben, sind ein Warnsignal. Reagieren Sie nicht darauf und klicken Sie nicht auf eingebettete Links.

Wie vermeiden Sie Smishing-Betrug?

Ihr Handy ist wahrscheinlich eines Ihrer meistgenutzten und vertrauenswürdigsten Geräte. Vermeiden Sie potenziellen Smishing-Betrug mithilfe dieser Cybersicherheitstipps:

• Versenden Sie keine personenbezogenen Daten per SMS: Geben Sie niemals personenbezogene Daten wie Passwörter, Kreditkartennummern, Adressen oder E-Mails per SMS preis.
• Überprüfen Sie neue Telefonnummern: Ungewöhnliche Telefonnummern können auf einen Smishing-Versuch hindeuten. Seien Sie vorsichtig bei internationalen Nummern oder solchen, die nicht dem üblichen Format entsprechen.
• Klicken Sie nicht auf verdächtige Links oder Dateien: Der Kern eines Smishing-Angriffs ist oft ein schädlicher Link. Vermeiden Sie es unter allen Umständen, auf solche Links zu klicken. Wenn Sie eine SMS bereits beim Empfang als Fälschung erkennen, löschen Sie sie sofort.
• Kontaktieren Sie das Unternehmen direkt: Betrüger geben sich häufig als legitime Unternehmen oder Banken aus. Wenn Ihnen eine SMS fragwürdig erscheint, kontaktieren Sie das Unternehmen oder Finanzinstitut direkt, um sie zu überprüfen.
• Antworten Sie niemals: Eine der besten Methoden, um zukünftige Smishing-Versuche zu vermeiden, ist, nicht zu reagieren. Wenn Sie auf eine Smishing-SMS antworten, bestätigen Sie, dass Ihre Nummer aktiv ist, und dies kann zu weiteren Angriffen führen.
• Nutzen Sie Zwei-Faktor-Authentifizierung: Selbst wenn Sie sich täuschen lassen und Ihr Passwort kompromittiert wird, bietet Zwei-Faktor-Authentifizierung eine zusätzliche Schutzebene. Biometrische Technologie z. B. nutzt einen Fingerabdruck oder Gesichtserkennung zum Überprüfen Ihrer Identität.
• Installieren Sie eine Antivirus-Software: Wenn Sie eine vertrauenswürdige Antivirus-Software wie Norton 360 Deluxe herunterladen, schützen Sie Ihr Gerät vor Hacking und blockieren Malware sowie andere Online-Bedrohungen, bevor es infiziert wird.

Wie Sie auf Smishing reagieren sollten

Wenn Sie eine verdächtige SMS erhalten, die Anzeichen von Smishing oder Phishing zeigt, bewahren Sie Ruhe und geraten Sie nicht in Panik. Merken Sie sich diese bewährten Vorgehensweisen, um richtig zu reagieren:

• Antworten Sie nicht: Antworten Sie niemals auf eine mutmaßliche Smishing-SMS.
• Melden Sie den Angriff: Markieren Sie die SMS als Spam, melden Sie die Nummer und benachrichtigen Sie Ihren Mobilfunkanbieter.
• Aktualisieren Sie Ihre Passwörter: Ändern Sie die Passwörter aller Konten, von denen Sie glauben, dass sie gefährdet sein könnten. Verwenden Sie lange und einzigartige Passwörter oder Passphrasen, um die Passwortsicherheit zu erhöhen.
• Überwachen Sie Ihre Finanzen: Überprüfen Sie Ihre Kontoauszüge und Kreditkartenaktivitäten. Wenn Sie etwas Verdächtiges bemerken, benachrichtigen Sie sofort Ihre Bank.
• Scannen Sie Ihr Gerät auf Malware: Verwenden Sie eine vertrauenswürdige Antivirus-Software, um einen gründlichen Malware-Scan auf Ihrem Gerät durchzuführen. Sollten Sie Links angeklickt haben, könnten Bedrohungen lauern.

Schutz vor Online-Betrug mit Norton 360 Deluxe

Wie andere Social-Engineering-Taktiken auch, nutzt Smishing menschliche Fehler aus – deshalb ist es wichtig, informiert zu bleiben. Und eine leistungsstarke Sicherheitssoftware wie Norton 360 Deluxe kann Sie vor Malware, Hacking und anderen Online-Bedrohungen schützen. Laden Sie Norton 360 Deluxe noch heute herunter, um Ihr Handy online besser zu schützen.

Häufig gestellte Fragen zu Smishing

Lesen Sie diese häufig gestellten Fragen zu Smishing, um richtig zu handeln, wenn Sie eine schädliche Textnachricht erhalten.

Woher kommt der Begriff "Smishing"?

Smishing ist eine Kombination aus "SMS" (Short Message Service) und "Phishing".

Welcher Zusammenhang besteht zwischen Smishing und Social Engineering?

Im Rahmen von Social Engineering versteht man unter Smishing den Einsatz psychologischer Taktiken durch Angreifer, die über täuschende Textnachrichten versuchen, Empfänger zum Klicken auf schädliche Links oder zur Preisgabe persönlicher oder finanzieller Informationen zu bewegen.

Kann ich mir einen Virus einfangen, wenn ich eine SMS öffne?

Das Öffnen einer Textnachricht ist im Allgemeinen sicher, aber nachfolgende Aktionen wie das Klicken auf einen schädlichen Link oder das Herunterladen eines schädlichen Anhangs können Ihr Gerät mit einem Virus oder mit Malware infizieren.

Was ist der Unterschied zwischen Phishing und Smishing?

Smishing ist eine Art von Phishing. Phishing bezieht sich oft auf betrügerische E-Mails, während Smishing ausschließlich Textnachrichten nutzt.

Ist Smishing eine Form der Cyberkriminalität?

Ja, Smishing ist eine Form der Cyberkriminalität, bei der schädliche Textnachrichten genutzt werden, um Betrug zu begehen oder personenbezogene Daten zum Vorteil des Cyberkriminellen zu stehlen.

Warum werden Smishing-Techniken von Cyberkriminellen eingesetzt?

Cyberkriminelle greifen auf Smishing zurück, da SMS sofort verfügbar sind und zu raschen Reaktionen führen, wodurch sie ein besonders erfolgreiches Werkzeug für Betrüger werden. Das Ziel ist in der Regel, die personenbezogenen Daten eines Opfers zu stehlen oder es zum Klicken auf einen schädlichen Link zu verleiten.

Was sollten Sie tun, wenn Sie eine SMS von einem Fremden erhalten?

Wenn Sie eine SMS von einer unbekannten Nummer erhalten, besonders wenn der Inhalt seltsam oder zu gut erscheint, um wahr zu sein, klicken Sie auf keine Links, antworten Sie nicht, melden Sie die Nummer als Spam und blockieren Sie sie.