Smishing-Betrugsmaschen nehmen 2025 explosionsartig zu – so schützen Sie sich

Beim sogenannten Smishing handelt es sich um einen Social-Engineering-Angriff, der auf SMS-Nachrichten basiert – und 2025 explodieren solche Angriffe förmlich.

In diesem Leitfaden befassen wir uns mit folgenden Fragestellungen:

• Was ist ein Smishing-Angriff und wie sieht sowas aus?
• Was können Sie tun, um sich vor Smishing-Angriffen zu schützen?
• Was ist zu tun, wenn Sie einem solchen Angriff zum Opfer gefallen sind?

Lassen Sie uns direkt loslegen!

Smishing-Betrugsmaschen: Wie sehen sie aus?

Beginnen wir mit den Grundlagen – lassen Sie uns zunächst einmal definieren, was Smishing ist.

Das Wort „Smishing“ ist die Kurzform der Kombination aus „SMS“ und „Phishing“. Beim Smishing handelt es sich um eine Phishing-Technik, bei der anstelle einer E-Mail eine Textnachricht eingesetzt wird.

Mit anderen Worten: Smishing ist eine Cyberbedrohung, die darauf abzielt, Ihnen per SMS einen Virus zu schicken oder Sie dazu zu bringen, eine Aktion auszuführen, die Ihnen schadet.

Laut dem State of the Phish Report 2024 von Proofpoint waren im Jahr 2023 drei von vier Unternehmen von Smishing-Angriffen betroffen. Und diese Zahl wird im Laufe der Jahre nur noch steigen.

Mobiltelefone sind heute ein fester Bestandteil unseres Privat- und Berufslebens. Denken Sie doch einmal an das letzte Mal, als Sie Ihr Telefon nicht in Reichweite hatten.

Jüngsten Studien zufolge sehen die Amerikaner*innen 144 Mal pro Tag auf ihr Telefon. Betrüger*innen wissen das und haben mittlerweile Taktiken entwickelt und eingesetzt, um unsere Sucht nach Smartphones auszunutzen. Viele Smishing-Angriffe nutzen ein „falsches Gefühl der Dringlichkeit“, um diesen Trend noch effektiver zu nutzen. Eine schädliche SMS vermittelt ein Gefühl der Dringlichkeit, um die Opfer dazu zu bringen, noch schneller zu handeln.

Darüber hinaus sind sich die Menschen sehr wohl bewusst, dass sie bei Links in E-Mails vorsichtig sein sollten. „Klicken Sie niemals auf einen Link, ohne ihn vorher zu überprüfen“ ist normalerweise das Erste, was Sie in einem neuen Job lernen. Bei Textnachrichten sind sich die Menschen jedoch viel weniger bewusst, dass sie vorsichtig sein sollten.

Angreifende mögen Smishing besonders, weil es ein kostengünstiger Angriff ist. Kostenlose Einmal-Telefonnummern sind billig zu haben, und die Kosten für eine SMS gehen gegen null. Außerdem gibt es immer mehr Telefonnummern, die im Netz geleakt wurden – perfekt, wenn Sie einen Smishing-Angriff starten wollen.

Beispiele für Smishing-Angriffe

Wie sieht ein Smishing-Angriff in der Praxis aus?

Eine Smishing-SMS wird Sie immer dazu auffordern, eine Handlung auszuführen: entweder eine Nummer anzurufen oder auf einen Link zu tippen.

Es versteht sich von selbst, dass Sie niemals eine in einer Textnachricht genannte Nummer anrufen oder auf einen Link klicken sollten, ohne sich vorher zu vergewissern. Später in diesem Artikel werden wir auf Präventionsmethoden zurückkommen. Doch sehen wir uns zunächst einige Beispiele für Smishing-Angriffe an.

1. Die fingierte Lieferung

Diese Art von Smishing-Angriff erfolgt in Form einer Nachricht, die Sie darüber informiert, dass es ein Problem mit Ihrer Lieferung gibt. Sie werden dann angewiesen, einem Link zu folgen, um das Problem zu beheben.

In einem anderen Szenario erhalten Sie einen Link, mit dem Sie angeblich die Lieferung Ihres Pakets verfolgen können”.

In beiden Fällen nutzen die Betrüger*innen den zunehmenden Trend zum Online-Shopping, um ihren Angriff zu tarnen, in der Hoffnung, dass Sie tatsächlich eine Lieferung erhalten.

Wenn Sie keine Tracking-Nummer angefordert haben, klicken Sie nicht auf den Link! Es handelt sich wahrscheinlich um einen Phishing-Angriff. Rufen Sie auch nicht die angezeigte Nummer an, wenn Sie keine Lieferung erwarten: Sie werden wahrscheinlich in einem Call-Center von Betrüger*innen landen.

Wenn Sie mehr über diese Art von Smishing-Angriffen erfahren möchten, lesen Sie diese Meldung des US Postal Inspection Service.

2. Die angebliche Kontosperrung

In einem anderen Szenario erhalten Sie eine Textnachricht, in der Ihnen mitgeteilt wird, dass „Ihr Konto sofort gesperrt wird“ und Sie einem Link folgen oder eine Nummer anrufen müssen, um das Problem zu beheben.

Die Angreifer*innen in diesen Smishing-Angriffen geben sich oft als Finanzinstitute oder Zahlungsanbieter wie Mastercard oder Paypal aus.

Wenn Sie eine solche Nachricht erhalten, melden Sie sich über die üblichen Wege in Ihrem Konto an (mobile App, offizielle Website …). Wenn Sie dort keine Benachrichtigung sehen, können Sie die Textnachricht getrost als Smishing-Versuch abtun.

3. Der gefälschte Sicherheitsalarm

Wir sind es gewohnt, E-Mails von Google oder Facebook zu erhalten, die uns auf „verdächtige Verbindungsaktivitäten“ hinweisen:

Betrüger*innen wissen das und nutzen diese Gewohnheit, um ähnliche Nachrichten per SMS zu versenden. Beachten Sie jedoch, dass diese Plattformen Ihnen niemals eine SMS für diese Art von Benachrichtigung schicken, sondern Sie immer per E-Mail oder direkt über ihre App kontaktieren.

Risiken von Smishing-Angriffen

Wie viele Cyberbedrohungen zielt auch ein Smishing-Angriff darauf ab, Ihre persönlichen Daten zu stehlen: Bankkontodaten, Passwörter, Sozialversicherungsnummer etc.

Manchmal versuchen Smishing-Angriffe auch, Sie dazu zu bringen, etwas zu tun: Geld zu überweisen, Malware herunterzuladen, Zugang zu Ihrem Computer zu gewähren …

Smishing kann Sie dazu verleiten, eine schädliche Website zu besuchen, die darauf abzielt, Ihre Zugangsdaten oder Ihre persönlichen Daten zu stehlen.

Oder es könnte versucht werden, Sie dazu zu verleiten, eine betrügerische Telefonnummer anzurufen. Dann könnten die Cyberkriminellen am Telefon auch einen Quid-pro-quo-Angriff oder einen Pretexting-Angriff auf Sie starten, um an sensible Informationen zu gelangen. Dazu geben sie sich als Führungskräfte Ihres Unternehmens, als Polizeibeamt*innen oder als Wachpersonal aus und bitten Sie, ihnen Ihre Anmeldedaten zu nennen.

Das häufigste Risiko ist jedoch das Herunterladen eines Virus oder einer anderen Art von Malware über die Textnachricht, zum Beispiel eines Trojaners.

Dies könnte Ihr Telefon in einen Zombie verwandeln, sodass Hacker*innen es kontrollieren können. Als Zombie-Gerät könnte es Teil eines Botnetzes werden und dazu verwendet werden, einen DDoS-Angriff (Distributed Denial-of-Service) zu starten oder Spam zu versenden etc.

Wie erkennen Sie einen Smishing-Angriff?

Nachfolgend lesen Sie einige der häufigsten Anzeichen, anhand derer Sie erkennen können, wenn es sich bei einer Textnachricht in Wirklichkeit um Smishing handelt.

Verdächtige Telefonnummern

Jede SMS, die von einer Rufnummer kommt, die nicht wie eine Telefonnummer aussieht, wie zum Beispiel „0420“, könnte ein Zeichen dafür sein, dass es sich bei dieser Textnachricht in Wahrheit um eine E-Mail handelt, die an ein Telefon gesendet wurde. Dies könnte auch bedeuten, dass es sich um einen Smishing-Angriff handelt und die gesendete SMS einen Virus enthalten könnte.

Einige Hacker*innen verwenden sogar einen Email-to-Text-Dienst, mit dem sie ihren SMS-Virus oder andere SMS versenden, um ihre tatsächlichen Telefonnummern zu verbergen.

Rechtschreibfehler

Umgangssprache, Grammatikfehler, Tippfehler … All dies sind Anzeichen für einen Smishing-Angriff. Nicht nur, dass eine offizielle Institution Sie selten per SMS kontaktiert, sie wird auch kaum Rechtschreibfehler machen.

Verdächtiger Link

Leitet die Textnachricht Sie über eine gekürzte URL weiter? Wird das Ziel des Links absichtlich verborgen? Dann ist die Wahrscheinlichkeit hoch, dass es sich um einen Smishing-Angriff handelt.

Dringlichkeit

Dringlichkeit ist eine gängige Technik, die bei Social-Engineering-Betrugsmaschen eingesetzt wird. Die Angreifer*innen wollen Ihnen weismachen, dass Sie rasch handeln müssen.

Das Ziel ist es, das Opfer daran zu hindern, kritisch über die Konsequenzen seines Handelns nachzudenken. Hüten Sie sich daher vor jeder SMS, die Sie zu einer dringenden Handlung auffordert.

Wie Sie sich vor Smishing-Versuchen schützen können

Glauben Sie, dass Sie einen Smishing-Versuch erhalten haben? Dann halten Sie sich an diese Schritte:

1. Klicken Sie niemals auf einen Link, den Sie über eine SMS erhalten. Die einzige Ausnahme ist, wenn Sie den*die Absender*in persönlich kennen (und diesen Link erwarten). Selbst dann sollten Sie sich direkt bei dem*der Absender*in vergewissern, dass der Link sicher ist.
   
2. Werden Sie in der SMS aufgefordert, sofort zu handeln? Dann sollten Sie zusätzliche Vorsichtsmaßnahmen ergreifen. Seriöse Unternehmen werden Sie niemals zu einer sofortigen Handlung drängen, selbst wenn etwas dringend ist.
   
3. Seien Sie vorsichtig bei ungewöhnlich kurzen Telefonnummern. Sie können von Email-to-Text-Diensten stammen, mit deren Hilfe Hacker*innen ihre tatsächliche Telefonnummer verbergen.
   
4. Installieren Sie niemals eine App, indem Sie auf einen Link in einer SMS klicken. Downloaden und installieren Sie Apps immer nur über den offiziellen App Store.
   
5. Geben Sie niemals persönliche oder finanzielle Informationen per SMS oder am Telefon weiter.
   
6. Antworten Sie nicht auf Textnachrichten von Personen, die Sie nicht kennen.
   
7. Speichern Sie keine Bankdaten oder Kartennummern auf Ihrem Telefon. Dann können Hacker*innen sie auch nicht stehlen, selbst wenn Ihr Telefon einem Virus zum Opfer fällt, der durch eine Smishing-Attacke eingerichtet wurde.
   
8. Schulen Sie als Unternehmen Ihre Mitarbeiter*innen darin, unsere Ratschläge zu befolgen, alle Cyberbedrohungen zu erkennen und Cybersicherheitsregeln anzuwenden. Sie müssen darauf verzichten, vertrauliche Daten am Telefon oder per E-Mail zu teilen.
   
9. Lernen Sie diese 10 Tipps zum Schutz Ihres Computers, um die Auswirkungen eines Angriffs auf Sie oder Ihr Unternehmen zu minimieren.
   
10. Wenn Sie Opfer eines Smishing-Angriffs geworden sind oder wissen, dass jemand Ihren Namen für einen Smishing-Angriff verwendet hat, können Sie den Identitätsdiebstahl auch melden unter: https://www.identitytheft.gov/
    
11. Wenn Sie sich immer noch unsicher sind, ignorieren Sie die Textnachrichten einfach. Wenn die Angelegenheit wirklich dringend ist, wird die Bank oder Organisation einen Weg finden, Sie zu kontaktieren.

Berühmte Smishing-Fallstudien

Nachdem wir nun die Theorie behandelt haben, lassen Sie uns einen Blick auf einige Smishing-Beispiele aus der echten Welt werfen – und was wir aus ihnen lernen können.

Die Betrugsmasche mit fingierten Bank-Benachrichtigungen

Im Jahr 2022 wurde eine Frau in Neuseeland Ziel einer Smishing-Kampagne. Die Betrüger*innen gaben sich als ihre Bank (BNZ – Bank of New Zealand) aus und leiteten sie auf eine perfekt geklonte – aber gefälschte – Website um.

Dort gab sie ihre Anmeldedaten ein und dachte, sie würde sich in ihr Konto einloggen. Stattdessen wurde dann Geld von ihrem Konto überwiesen.

Insgesamt wurde sie um 42.000 USD betrogen. Ein Mann, der auf die gleiche Masche hereinfiel, verlor 37.300 USD.

Die angebliche FedEx-Zustellbenachrichtigung

Ende 2022 verbreitete sich ein Smishing-Angriff, der als gefälschte FedEx-Lieferbenachrichtigung getarnt war, in ganz Europa. Diese Betrugsmasche verleitete Nutzer*innen dazu, auf einen Link zu klicken, um ihr Paket zu verfolgen, aber stattdessen wurde die Malware FluBot auf ihr Gerät heruntergeladen.

Die FluBot-Malware wurde erstmals im Jahr 2020 entdeckt und verbreitete sich dann 2021 und 2022 in ganz Europa.

Einmal installiert bittet die Malware (unter dem Deckmantel einer „Tracking-App“) um Zugriffsberechtigungen, bevor sie die Anmeldedaten für die Banking-App oder ähnliche Daten von Finanzkontodaten stiehlt.

Wenn Sie mehr über diese Art von Smishing-Angriffen erfahren möchten, lesen Sie diese Meldung der Federal Trade Commission sowie diese Analyse der FluBot-Malware von EuroPol.

Smishing-Betrug bei der OCBC Bank

Im Jahr 2022 meldete die OCBC Bank in Singapur, dass etwa zehn Millionen US-Dollar von insgesamt 790 Kund*innen durch einen raffinierten Smishing-Angriff gestohlen wurden.

Die Angreifer*innen nutzten fortschrittliche Social-Engineering-Techniken, um Kund*innen der Bank zur Herausgabe sensibler Daten zu verleiten. Die Nachrichten wirkten extrem echt, da sie ein offiziell wirkendes Branding der Bank und eine dringliche Sprache verwendeten.

Nachdem sie auf eine Phishing-Seite umgeleitet wurden, gaben die Opfer die Zugangsdaten und PIN für ihr Online-Banking ein. Dies ermöglichte es den Betrüger*innen, ihre Bankkonten zu übernehmen und betrügerische Transaktionen durchzuführen.

Wegen der Schwierigkeit, die verlorenen Gelder wiederzuerlangen, erklärte sich OCBC bereit, den betroffenen Kund*innen den Betrag persönlich zu erstatten.

Was können wir aus diesen Angriffen lernen?

• Klicken Sie niemals auf Links in nicht erwarteten SMS von Banken oder Finanzinstituten wie PayPal.
• Installieren Sie niemals eine App, die Ihnen in einer unaufgeforderten SMS angeboten wird.
• Melden Sie sich im Zweifelsfall über die üblichen Wege (offizielle App, offizielle Website) bei Ihrer Bank an.
• Rufen Sie außerdem direkt bei Ihrer Bank an, um verdächtige Aktivitäten zu überprüfen und zu melden.
• Aktivieren Sie schließlich 2FA, um unbefugten Zugriff auf Ihre Konten zu verhindern.

Fazit

Damit sind wir am Ende dieses Leitfadens über Smishing-Angriffe angekommen. Wir hoffen, dass er Ihnen nützlich war und Sie Smishing-Angriffe in Zukunft erkennen können.

Als letzte Erinnerung: Sie sollten niemals unaufgeforderten Textnachrichten vertrauen, die von Ihrer Bank, Ihrem Arbeitgeber oder sogar von Freund*innen kommen und Links zu einer App oder Website enthalten.

Wenn Sie Ihre Cybersicherheit erhöhen wollen, dann sollte Ihr erster Schritt darin bestehen, einen privaten und sicheren E-Mail-Anbieter zu wählen. Wir bei Mailfence sind stolz darauf, Ihnen diese Features zu bieten:

• Fortschrittliche Sicherheitstools: Ende-zu-Ende-Verschlüsselung, symmetrische Verschlüsselung, digitale Signaturen und vieles mehr.
  
• Kein Tracking, keine Werbung. Wir verwenden keine Werbe- oder Marketing-Tracker von Dritten. Außerdem verfolgen wir Ihre Aktivitäten in der Anwendung nicht. Mailfence ist vollkommen werbefrei.
  
• Strenge Datenschutzgesetze. Die Server von Mailfence befinden sich in Belgien, wo strenge Gesetze zum Schutz der Privatsphäre herrschen. Nur ein gültiger belgischer Gerichtsbeschluss kann uns zur Herausgabe von Daten zwingen.

Möchten Sie Ihre Privatsphäre und Ihre Cybersicherheit auf die nächste Stufe heben? Erstellen Sie jetzt Ihr kostenloses Konto!