Vorsicht Smishing! SMS als Einfallstor für Cyberangriffe

11. November 2021
Ein Beitrag von Susanne Lenz

Kennen Sie Smishing? Tatsächlich handelt es sich um eine Wortschöpfung aus den Begriffen SMS und Phishing. Wobei SMS für Short Message Services, deutsch Kurznachrichten, steht und Phishing für das digitale Fischen nach Passwörtern. Bei Smishing geht es also um die leider immer öfter auftretenden Phishing-Angriffe, die nicht per E-Mail erfolgen, sondern per SMS. Das Einfallstor ist ein Smartphone oder Handy. Lesen Sie hier, wie Sie solche Angriffe erkennen und sich vor Schäden schützen können.

Smishing-SMS: unterschiedliche Gestalt, gleiches Ziel

Dieses Jahr zogen mehrere Smishing-Wellen durch unser Land. Dabei wurden beispielsweise Banking-Apps von Consorsbank, N26, SpardaApp, Sparkasse und VR Banking Classic als Absender fingiert. In entsprechenden SMS wurde dazu aufgefordert, Daten zu aktualisieren, etwas im Account zu überprüfen oder eine App herunterzuladen. Ansonsten drohe beispielsweise die Sperrung des Kontos.

In anderen Fällen nutzte man die Identitäten bekannter Logistikunternehmen wie FedEx oder DHL und wies in einer SMS-Nachricht fälschlicherweise auf eine anstehende Paketlieferung hin. Wieder andere Adressatinnen und Adressaten wurden per SMS über eine neue Nachricht auf Ihrer Mailbox informiert.

All diese SMS haben etwas gemeinsam: Sie als Empfängerin oder Empfänger werden aufgefordert, auf einen Link zu klicken! Dieser Link leitet Sie dann direkt zu Schadsoftware oder zu Phishing-Seiten, auf denen Sie sensible Informationen preisgeben sollen.

Die durch den Klick auf einen Smishing-Link installierte Schadsoftware kann dann beispielsweise ungewollt SMS empfangen und senden. Manche Betroffene berichten nach der Installation vom Eingang mehrerer hundert Phishing-SMS von verschiedenen Nummern täglich! Alternativ kommt es vor, dass das eigene Smartphone nach einer Infektion selbst solche SMS massenweise versendet und dadurch nicht unerhebliche Kosten entstehen.

Dasselbe gilt für MMS, wenn das Smartphone diese zulässt: MMS steht für Multimedia Messaging Service, eine Erweiterung von SMS, etwa hinsichtlich Textlänge und Bilder.

Screenshot SMS Paketbenachrichtigungen

Vorgebliche Paketbenachrichtigungen können einzeln oder wie hier gehäuft auftreten, Quelle Stadt München.

Wie Sie schädliche SMS von Ihrer Mailbox identifizieren

Hinweise auf angebliche Sprachnachrichten gehören zu den beliebtesten Smishing-Angriffen. Wie können Sie sie erkennen, auch wenn sie nicht so unprofessionell erstellt sind wie in unserem Beispiel?

Eine Mailbox verschickt SMS immer von ein und derselben Nummer. Sie können diese Nummer bei Ihrem Mobilfunk-Provider erfragen. Häufig ist sie in den eigenen Kontakten bereits unter „Mailbox“ eingetragen. Alternativ ist in vielen Smartphones ein fester Voicemail-Kanal integriert und viele Kundinnen und Kunden nutzen spezielle Apps zum Abhören der Sprachnachrichten.

Generell ist in einer SMS von der echten Mailbox kein Link zu einer unbekannten Internetseite enthalten. Sollten Sie doch eine entsprechende SMS empfangen und diese für plausibel halten, rufen Sie sicherheitshalber telefonisch bei Ihrer Mailbox an.

Smishing-SMS Anruf

Falsche Voicemail-SMS, Quelle: Stadt München

Erste Hilfe für die Abwehr von Smishing-Attacken

Am sichersten entgehen Sie Bedrohungen durch gefährliche SMS, wenn Sie die beiden folgenden Regeln beherzigen:

  • Öffnen Sie niemals einen Link, den Sie per SMS erhalten haben.
    Holen Sie stattdessen die Informationen auf anderem Weg ein. Wenn Sie beispielsweise eine Sendung erwarten, dann klicken Sie nicht auf den Link, sondern rufen Sie selbsttätig die Sendungsverfolgung des Paketdienstes im Internet auf.
  • Antworten Sie nicht auf die SMS
    Sondern löschen Sie sie. Jede andere Reaktion zeigt, dass die Handynummer aktiv genutzt wird.

Falls Sie bereits einen Link geöffnet haben, wird es aufwendiger:

  • Schalten Sie das Gerät sofort in den Flugmodus, um mögliche Schäden zu verhindern und wenden Sie sich an eine kompetente Stelle. Bei dienstlichen Endgeräten ist das die Abteilung für IT-Sicherheit Ihrer Organisation.
  • Kommen Sie in keinem Fall der Aufforderung zu einer App-Installation nach.
  • Erstellen Sie einen Screenshot und melden Sie den Vorfall bei der Bundesnetzagentur. Diese wird die Beschwerde prüfen und ihr gegebenenfalls nachgehen. Wenn Sie zukünftige Opfer und sich selbst vor Betrug und Spam schützen möchten, ist das der richtige Weg.
  • Bei Straftaten allerdings sind der Bundesnetzagentur die Hände gebunden. Dann müssen Sie Anzeige erstatten.

Updates und Drittanbietersperre gegen Smishing-Schäden

Als grundlegende Vorsorge sollten Sie Ihr Betriebssystem, den Virenschutz und die installierten Apps stets auf dem neusten Stand halten. Das Blockieren der bei den betrügerischen SMS angezeigten Rufnummern ist in den meisten Fällen leider nicht sonderlich erfolgreich. Cyberkriminelle verwenden immer wieder neue Rufnummern für ihre Angriffe.

Es gibt aber noch eine weitere wirksame Maßnahme, um sich vorsorglich vor gefährlichen Apps zu schützen. Falls noch nicht geschehen, können Sie eine sogenannte Drittanbietersperre einrichten. Dann können ausschließlich Apps aus dem offiziellen App Store des Providers geladen werden. Bei Apple iPhones ist diese bereits standardmäßig eingestellt. Bei Android können Sie festlegen, dass keine Apps aus unbekannten Quellen installiert werden dürfen.

Nützliche Informationen für die Abwehr gefährlicher SMS

Ausführliche Hinweise zum Thema SMS beziehungsweise Smishing erhalten Sie online beispielsweise bei der Verbraucherzentrale oder im Portal Sparkassen-Portal.

Lange Internetadressen werden vor dem Versand häufig zu sogenannten Short-Links verkürzt. Wenn Sie einen solchen erhalten haben, dann können Sie ihn überprüfen, etwa mit der Webseite CheckShortURL. Diese zeigt Ihnen an, zu welcher Seite Sie wirklich weitergeleitet werden, bevor Sie den Link anklicken.

Gute Hinweise für einen wirksamen Basisschutz für Smartphones und Tablets gibt das Bundesamt für Sicherheit in der Informationstechnik, BSI. Und zuletzt noch ein Video-Tipp: Dramatische Beispiele von gelungenen Smishing-Attacken und was Sicherheitsexperten dazu sagen, sehen Sie in einer Reportage des SWR im Rahmen der Serie „Marktcheck“.

Leider gilt für Smishing-Attacken: Ist die eine Welle verebbt, rollt die nächste oft schon an. Deshalb: Bleiben Sie informiert und wachsam!

Kommentare (2)


  1. Danke für den Beitrag.
    Der erste Absatz “In anderen Fällen nutzte…” ist doppelt vorhanden.

    Antworten

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Weitere Beiträge

Feedback zum Beitrag:
7 Bewertungen mit 4.6 von 5 Sternen
Susanne Lenz - Informations­sicherheits­­beauftragte im IT-Referat
Ein Gastbeitrag von:
Susanne Lenz
Informations­sicherheits­­beauftragte im IT-Referat
Elisabeth Wagner -
Co-Autoren­schaft:
Elisabeth Wagner