Smishing-Betrügereien nehmen im Jahr 2025 explosionsartig zu – so können Sie sich schützen

Smishing ist ein Social-Engineering-Angriff, der auf SMS-Nachrichten basiert – und im Jahr 2025 explodiert er.

In diesem Leitfaden werden wir uns also damit befassen:

• was ein Smishing-Angriff ist und wie er aussieht;
• was Sie tun können, um sich vor Smishing-Angriffen zu schützen;
• was zu tun ist, wenn Sie Opfer werden.

Lassen Sie uns auf Entdeckungsreise gehen!

Mailfence - Erhalten Sie Ihre kostenlose, sichere E-Mail.

4.1 basierend auf 177 Benutzerbewertungen

Registrieren

Mailfence - Erhalten Sie Ihre kostenlose, sichere E-Mail.

Registrieren

4.1 basierend auf 177 Benutzerbewertungen

Smishing-Betrügereien: Wie sehen sie aus?

Lassen Sie uns zunächst einmal definieren, was Smishing ist.

Das Wort „Smishing“ ist die Kurzform von „SMS“ und „Phishing“. Es handelt sich um eine Phishing-Technik, bei der eine Textnachricht anstelle einer E-Mail verwendet wird.

Mit anderen Worten: Smishing ist eine Cyber-Bedrohung, die darauf abzielt, Ihnen per SMS einen Virus zu schicken oder Sie dazu zu bringen, sich selbst etwas anzutun.

Laut dem 2024 State of the Phish Report von Proofpoint waren im Jahr 2023 3 von 4 Unternehmen von Smishing-Angriffen betroffen. Und diese Zahl wird im Laufe der Jahre nur noch steigen.

Mobiltelefone sind heute ein fester Bestandteil unseres privaten und beruflichen Lebens. Denken Sie an das letzte Mal, als Sie Ihr Telefon nicht in Reichweite hatten. Jüngsten Studien zufolge überprüfen die Amerikaner ihr Telefon 144 Mal pro Tag.

Betrüger wissen das und haben nun Taktiken entwickelt und eingesetzt, um unsere Sucht nach Smartphones auszunutzen. Viele Smishing-Angriffe nutzen ein „falsches Gefühl der Dringlichkeit“, um diesen Trend noch effektiver zu nutzen. Die bösartige SMS vermittelt ein Gefühl der Dringlichkeit, um die Opfer dazu zu bringen, noch schneller zu handeln.

Darüber hinaus sind sich die Menschen sehr wohl bewusst, dass sie bei Links in E-Mails vorsichtig sein sollten. „Klicken Sie niemals auf einen Link, ohne ihn vorher zu überprüfen“ ist normalerweise das erste, was Sie in einem neuen Job lernen. Bei Textnachrichten sind sich die Menschen jedoch viel weniger bewusst, dass sie vorsichtig sein sollten.

Angreifer mögen Smishing besonders, weil es ein kostengünstiger Angriff ist. Kostenlose Burner-Telefonnummern sind billig zu haben, und die Kosten für eine SMS tendieren gegen Null. Außerdem gibt es immer mehr Telefonnummern, die im Netz geleakt wurden – perfekt, wenn Sie einen Smishing-Angriff starten wollen.

Beispiele für Smishing-Angriffe

Wie sieht also ein Smishing-Angriff in der Praxis aus?

Eine Smishing-SMS wird Sie immer zum Handeln auffordern: entweder eine Nummer anzurufen oder auf einen Link zu tippen.

Es versteht sich von selbst, dass Sie niemals eine in einer Textnachricht genannte Nummer zurückrufen oder auf einen Link klicken sollten, ohne sich vorher zu vergewissern. Aber wir werden später in diesem Blog-Beitrag auf Präventionsmethoden zurückkommen. Sehen wir uns zunächst einige Beispiele für Smishing-Angriffe an.

1. Die „gefälschte Lieferung“

Diese Art von Smishing-Angriff hat die Form einer Nachricht, die Sie darüber informiert, dass es ein Problem mit Ihrer Lieferung gibt. Sie werden dann angewiesen, einem Link zu folgen, um das Problem zu beheben.

In einem anderen Szenario erhalten Sie einen Link, „um die Lieferung Ihres Pakets zu verfolgen“.

In beiden Fällen nutzen die Betrüger den zunehmenden Trend zum Online-Shopping, um ihren Angriff zu tarnen und hoffen, dass Sie tatsächlich eine Lieferung erhalten.

Wenn Sie keine Tracking-Nummer angefordert haben, klicken Sie nicht auf den Link! Es handelt sich wahrscheinlich um einen Phishing-Angriff. Rufen Sie auch nicht die angeforderte Nummer an, wenn Sie keine Lieferung erwarten: Sie werden wahrscheinlich auf ein Call Center eines Betrügers stoßen.

Wenn Sie mehr über diese Art von Smishing-Angriffen erfahren möchten, lesen Sie diese Meldung des US Postal Inspection Service.

2. Die gefälschte „Kontosperrung“

Ein anderes Szenario ist, dass Sie eine Textnachricht erhalten, in der Ihnen mitgeteilt wird, dass „Ihr Konto sofort gesperrt wird“ und dass Sie einem Link folgen oder eine Nummer anrufen müssen, um das Problem zu lösen.

Diese Smishing-Angriffe geben sich oft als Finanzinstitute oder Zahlungsanbieter wie Mastercard oder Paypal aus.

Wenn Sie eine solche Nachricht erhalten, verbinden Sie sich über die üblichen Wege mit Ihrem Konto (mobile App, offizielle Website…). Wenn Sie dort keine Benachrichtigung sehen, können Sie die Textnachricht getrost als Smishing-Versuch abtun.

3. Der gefälschte „Sicherheitsalarm“

Wir sind es gewohnt, E-Mails von Google oder Facebook zu erhalten, die uns auf „verdächtige Verbindungsaktivitäten“ hinweisen:

Betrüger wissen das und nutzen diese Gewohnheit, um ähnliche Nachrichten per SMS zu versenden. Beachten Sie jedoch, dass diese Plattformen Ihnen niemals eine SMS für diese Art von Benachrichtigung schicken, sondern Sie immer per E-Mail oder direkt über ihre App kontaktieren.

Risiken von Smishing-Angriffen

Wie viele Cyber-Bedrohungen zielt auch ein Smishing-Angriff darauf ab, Ihre persönlichen Daten zu stehlen: Bankkontodaten, Passwörter, Sozialversicherungsnummer usw.

Manchmal versuchen Smishing-Angriffe auch, Sie dazu zu bringen, etwas zu tun: Geld zu überweisen, Malware herunterzuladen, Zugang zu Ihrem Computer zu gewähren…

Smishing kann Sie dazu verleiten, eine bösartige Website zu besuchen, die darauf abzielt, Ihre Anmeldedaten oder persönlichen Daten zu stehlen. Oder Sie werden dazu verleitet, eine betrügerische Telefonnummer anzurufen. Von dort aus könnten die Cyberkriminellen am Telefon auch einen Quid Pro Quo-Angriff oder einen Pretexting-Angriff auf Sie starten, um an sensible Informationen zu gelangen. Dazu geben sie sich als Manager Ihres Unternehmens, als Polizeibeamter oder als Wachmann aus und bitten Sie, ihnen Ihre Anmeldedaten zu geben.

Das häufigste Risiko ist jedoch das Herunterladen eines Virus oder einer anderen Art von Malware, wie z.B. eines Trojaners, über die Textnachricht.

Dies könnte Ihr Telefon in einen Zombie verwandeln, so dass Hacker es kontrollieren können. Als Zombie-Gerät könnte es Teil eines Botnetzes werden und dazu verwendet werden, einen DDoS-Angriff (Distributed Denial-of-Service) zu starten oder Spam zu versenden usw.

Wie erkenne ich einen Smishing-Angriff?

Hier sind einige der häufigsten Anzeichen für Textnachrichten, die in Wirklichkeit Smishing sind.

Verdächtige Telefonnummern

Jede SMS, die von einer Telefonnummer kommt, die nicht wie eine Telefonnummer aussieht, wie z.B. ‚0420‘, könnte ein Zeichen dafür sein, dass es sich bei dieser Textnachricht in Wirklichkeit um eine E-Mail handelt, die an ein Telefon gesendet wurde. Dies könnte auch bedeuten, dass es sich um einen Smishing-Angriff handelt und dass die gesendete SMS einen Virus enthalten könnte.

Einige Hacker verwenden sogar einen E-Mail-zu-Text-Dienst, um ihren SMS-Virus oder andere bösartige SMS zu versenden, um ihre tatsächlichen Telefonnummern zu verbergen.

Rechtschreibfehler

Unverbindliche Sprache, Grammatikfehler, Tippfehler… All dies sind Anzeichen für einen Smishing-Angriff. Nicht nur, dass eine offizielle Institution Sie selten per SMS kontaktiert, sie wird auch kaum Rechtschreibfehler machen.

Verdächtiger Link

Leitet die Textnachricht Sie mit einer verkürzten URL weiter? Wird das Endziel des Links absichtlich verborgen? Dann ist die Wahrscheinlichkeit hoch, dass es sich um einen Smishing-Angriff handelt.

Dringlichkeit

Dringlichkeit ist eine gängige Technik, die bei Social-Engineering-Betrügereien eingesetzt wird. Die Angreifer wollen Ihnen weismachen, dass Sie sehr schnell handeln müssen.

Das Ziel ist es, das Opfer daran zu hindern, kritisch über die Konsequenzen seines Handelns nachzudenken. Hüten Sie sich daher vor jeder Textnachricht, die Sie zu einer dringenden Handlung auffordert.

Wie Sie sich vor Smishing-Versuchen schützen können

Glauben Sie, dass Sie einen Smishing-Versuch erhalten haben? Dann sind hier die Schritte, die Sie befolgen sollten:

1. Klicken Sie niemals auf einen Link, den Sie über eine SMS erhalten. Die einzige Ausnahme ist, wenn Sie den Absender persönlich kennen (und diesen Link erwarten). Selbst dann sollten Sie sich direkt beim Absender vergewissern, dass der Link sicher ist.
   
2. Fordert die SMS Sie auf, sofort zu handeln? Dann sollten Sie zusätzliche Vorsichtsmaßnahmen ergreifen. Seriöse Unternehmen werden Sie niemals dazu drängen, „sofort“ zu handeln, selbst wenn etwas dringend ist.
   
3. Seien Sie vorsichtig bei ungewöhnlich kurzen Telefonnummern. Sie können von E-Mail-zu-Text-Diensten ausgegeben werden, die von Hackern benutzt werden, um ihre tatsächlichen Telefonnummern zu verbergen.
   
4. Installieren Sie niemals eine App, indem Sie auf eine Textnachricht klicken. Verwenden Sie immer den offiziellen App Store für die Installation von Apps.
   
5. Geben Sie niemals persönliche oder finanzielle Informationen per SMS oder Telefonanruf weiter.
   
6. Beantworten Sie keine Textnachrichten von Personen, die Sie nicht kennen.
   
7. Vermeiden Sie die Speicherung von Bankdaten oder Kartennummern auf Ihrem Telefon. Selbst wenn Ihr Telefon einem Virus zum Opfer fällt, der durch eine Smishing-Attacke eingerichtet wurde, können die Hacker sie nicht stehlen.
   
8. Wenn Sie ein Unternehmen sind, sollten Sie Ihre Mitarbeiter darin schulen, unsere Ratschläge zu befolgen, alle Cyber-Bedrohungen zu erkennen und die Regeln der Cybersicherheit anzuwenden. Sie müssen darauf verzichten, vertrauliche Daten per Telefon oder E-Mail zu versenden.
   
9. Lernen Sie diese 10 Tipps zum Schutz Ihres Computers, um die Auswirkungen eines Angriffs auf Sie oder Ihr Unternehmen zu minimieren.
   
10. Wenn Sie Opfer eines Smishing-Angriffs geworden sind oder wissen, dass jemand Ihren Namen für einen Smishing-Angriff verwendet hat, können Sie den Identitätsdiebstahl auch melden unter: https://www.identitytheft.gov/
    
11. Wenn Sie sich immer noch unsicher sind, ignorieren Sie die Textnachrichten einfach. Wenn die Angelegenheit wirklich dringend ist, wird die Bank oder Organisation einen Weg finden, Sie zu kontaktieren.

Berühmte Fallstudien von Smishing

Nachdem wir nun die Theorie behandelt haben, lassen Sie uns einen Blick auf einige reale Beispiele von Smishing werfen und was wir daraus lernen können.

Der gefälschte Bankalarm-Betrug

Im Jahr 2022 wurde eine Frau in Neuseeland Ziel einer Smishing-Kampagne. Die Betrüger gaben sich als ihre Bank (BNZ – Bank of New Zealand) aus und leiteten sie auf eine perfekt geklonte, aber gefälschte Website um.

Dort gab sie ihre Anmeldedaten ein und dachte, sie würde sich mit ihrem Konto verbinden. Stattdessen sah sie dann, dass Geld von ihrem Konto überwiesen wurde.

Insgesamt wurde sie um 42.000 US$ betrogen. Ein anderer Mann, der auf die gleiche Masche hereinfiel, verlor 37.300 US$.

Die gefälschte FedEx Zustellbenachrichtigung

Ende 2022 verbreitete sich ein Smishing-Angriff, getarnt als gefälschte FedEx-Lieferbenachrichtigung, in ganz Europa. Dieser Betrug verleitete Benutzer dazu, auf einen Link zu klicken, um „ihr Paket zu verfolgen“, aber stattdessen wurde die Malware FluBot auf ihre Geräte heruntergeladen.

Die FluBot-Malware wurde erstmals im Jahr 2020 entdeckt und verbreitete sich dann 2021 und 2022 in ganz Europa.

Nach der Installation (unter dem Deckmantel einer „Tracking-App“) bittet die Malware um Zugriffsberechtigungen, bevor sie die Anmeldedaten für die Banking-App oder damit verbundene Finanzkontodaten stiehlt.

Wenn Sie mehr über diese Art von Smishing-Angriffen erfahren möchten, lesen Sie diese Meldung der Federal Trade Commission sowie diese Aufschlüsselung der FluBot-Malware von EuroPol.

OCBC Bank Smishing-Betrug

Im Jahr 2022 meldete die OCBC Bank in Singapur, dass etwa 10 Millionen US-Dollar von insgesamt 790 Kunden durch einen fortgeschrittenen Smishing-Angriff gestohlen wurden.

Die Angreifer nutzten fortschrittliche Social-Engineering-Techniken, um Kunden zur Herausgabe sensibler Daten zu verleiten. Insbesondere wirkten die Nachrichten extrem echt, da sie ein offizielles Branding und eine eindringliche Sprache verwendeten.

Nachdem sie auf eine Phishing-Seite umgeleitet wurden, gaben die Opfer ihre Online-Banking-Zugangsdaten und PINs ein. Dies ermöglichte es den Betrügern, ihre Bankkonten zu übernehmen und betrügerische Transaktionen durchzuführen.

Da es schwierig ist, die verlorenen Gelder wiederzuerlangen, erklärte sich OCBC bereit, den betroffenen Kunden den Betrag persönlich zu erstatten.

Was können wir aus diesen Angriffen lernen?

• Klicken Sie niemals auf Links in unerwarteten SMS-Nachrichten von Banken oder Finanzinstituten wie PayPal.
• Installieren Sie niemals eine App, die Ihnen in einer unaufgeforderten SMS angeboten wird.
• Im Zweifelsfall stellen Sie die Verbindung zu Ihrer Bank über die üblichen Wege her (offizielle App, offizielle Website).
• Rufen Sie außerdem direkt bei Ihrer Bank an, um verdächtige Aktivitäten zu überprüfen und zu melden.
• Aktivieren Sie schließlich 2FA, um unbefugten Zugriff auf Ihre Konten zu verhindern.

Fazit

Damit ist dieser Leitfaden über Smishing-Angriffe abgeschlossen! Wir hoffen, dass er Ihnen nützlich war und dass Sie in Zukunft Smishing-Angriffe erkennen können.

Als letzte Erinnerung: Sie sollten niemals unaufgeforderten Textnachrichten vertrauen, die von Ihrer Bank, Ihrem Arbeitgeber oder sogar einem Freund kommen und Links zu einer App oder Website enthalten.

Wenn Sie Ihre Cybersicherheit erhöhen wollen, dann sollte Ihr erster Schritt darin bestehen, einen privaten und sicheren E-Mail-Anbieter zu wählen. Hier bei Mailfence sind wir stolz darauf:

• Erweiterte Sicherheitstools: Ende-zu-Ende-Verschlüsselung, symmetrische Verschlüsselung, digitale Signaturen und vieles mehr.
  
• Kein Tracking oder Werbung. Wir verwenden keine Werbe- oder Marketing-Tracker von Dritten. Wir verfolgen Ihre Aktivitäten in der Anwendung nicht. Mailfence ist völlig frei von Werbung.
  
• Strenge Datenschutzgesetze. Die Server von Mailfence befinden sich in Belgien, wo strenge Gesetze zum Schutz der Privatsphäre gelten. Nur ein gültiger belgischer Gerichtsbeschluss kann uns zwingen, Daten herauszugeben.

Möchten Sie Ihren Datenschutz und Ihre Cybersicherheit auf die nächste Stufe heben? Erstellen Sie noch heute Ihr kostenloses Konto!

Mailfence - Erhalten Sie Ihre kostenlose, sichere E-Mail.

4.1 basierend auf 177 Benutzerbewertungen

Registrieren

Mailfence - Erhalten Sie Ihre kostenlose, sichere E-Mail.

Registrieren

4.1 basierend auf 177 Benutzerbewertungen