Betrüger lassen sich immer wieder neue Ideen einfallen, wie sie ihren Opfern das Geld aus der Tasche ziehen können. Sie versuchen es als Callcenter-Mitarbeiter per Telefon, fälschen Onlineshops im Internet oder verschicken Betrugsmails. Jetzt haben sie ein weiteres Mittel gefunden: Smishing, den Betrug per SMS.
Die SMS ist auf dem Rückzug. Haben die Bundesbürger 2012 noch 59,8 Milliarden SMS versandt, waren es 2019 lediglich 7,9 Milliarden. Internetbasierte Messenger wie WhatsApp und Telegram graben der altehrwürdigen SMS das Wasser ab. Und dennoch: Für einen bestimmten Zweck ist die Popularität der SMS ungebrochen – bei der Kommunikation von Unternehmen mit Kunden. Und genau hier setzen die Betrüger an.
Smishing: was steckt dahinter?
Beim Smishing verschicken Betrüger kriminelle Textnachrichten an ihre Opfer, um an persönliche, finanzielle oder sicherheitsbezogene Informationen zu gelangen. Der Begriff setzt sich aus den Worten „SMS“ und „Phishing“ zusammen. Phishing ist ein schon länger bekanntes Phänomen, bei dem E-Mails unter falschem Namen versendet werden. Die Empfänger sollen zum Öffnen eines Anhangs oder Aufrufen eines schädlichen Links bewegt werden. Beim Smishing passiert das Gleiche, nur auf einem anderen Weg. Kriminelle nutzen dabei aus, dass der Betrug per SMS noch relativ neu ist. Denn während die meisten Menschen sich an E-Mail-Spam gewöhnt haben, wird der Inhalt von Textnachrichten seltener angezweifelt.
Smisher hoffen auf Reaktionen
Das Vorgehen der Täter ist immer ähnlich: Der Smisher gibt sich als ein Vertreter einer Organisation, eines Unternehmens oder als ein Bekannter aus. Er erfindet einen Sachverhalt oder erzählt eine Geschichte, mit der er das Opfer dazu bewegen will, persönliche Daten preiszugeben oder schädliche Software zu installieren. Oft versucht der Täter dabei, ein Vertrauensverhältnis aufzubauen, damit das Opfer die übliche Vorsicht außer Acht lässt. Dies wird auch als Social Engineering bezeichnet.
Smishing ist nicht nur eine Bedrohung für Privatpersonen. Auch Mitarbeiter von Unternehmen werden so angegriffen, um auf diese Weise der Firma zu schaden. Laut dem Statistikportal Statista gaben 39 Prozent der deutschen IT-Sicherheitsexperten in einer Umfrage an, dass sie vergangenes Jahr zwischen 11 und 25 Smishing-Angriffe erlebt hatten.
Die Smisher lassen sich oft unterschiedliche Methoden einfallen:
- Der Klassiker: Smisher verschicken Textnachrichten, die so geschrieben sind, als würden sie von einem Freund kommen. Der Empfänger wird aufgefordert, einen Link anzuklicken. Kommt er dem nach, wird eine Software heruntergeladen, die den Angreifer auf das Smartphone zugreifen lässt.
- Gefälschtes Formular: Hier geben Smisher vor, eine Firma zu vertreten, etwa einen Paketzusteller. Die Kriminellen bauen in die Textnachricht einen Link ein, der zu einem Formular weiterleitet. Wer seine Daten eingibt, übermittelt diese direkt an die Betrüger.
- Bank Smishing: In einer SMS heißt es, dass eine Transaktion in Auftrag gegeben wurde und die Kreditkarte oder das Bankkonto belastet wird, wenn der Kontoinhaber nicht auf diese Nachricht antwortet.
Eine gefälschte Nachricht erkennt man oft daran, dass die Täter zur Eile drängen – mit Worten wie „dringend“ oder „jetzt antworten“. Die Betrüger hoffen, dass ihre Opfer sich davon beeindrucken lassen und so schnell wie möglich reagieren.
Einfach die SMS ignorieren
Das Landeskriminalamt Niedersachsen rät: Der einfachste Schutz vor solchen Angriffen ist, ganz einfach nichts zu tun. Solange man nicht antwortet, kann eine Angreifer-SMS keinen Schaden anrichten. Kein Finanzinstitut und kein seriöser Händler schickt Ihnen eine Textnachricht, um Sie nach Kontodaten oder PIN zu fragen. Klicken Sie auf keine Links, ohne vorher den Absender überprüft zu haben. Lassen Sie sich auf keinen Fall hetzen, überprüfen Sie in Ruhe die Telefonnummer im Internet oder gleichen Sie sie mit der offiziellen Nummer des Absenders ab, von dem sie angeblich stammt.
Ganz wichtig: Antworten Sie niemals auf eine Textnachricht, in der Sie nach einer PIN, einem Onlinebanking-Passwort oder anderen Sicherheitsdaten gefragt werden. Sind Sie Opfer eines Smishing-Angriffs geworden und haben Bankdaten preisgegeben, wenden Sie sich sofort an Ihre Sparkasse.