Smishing – Was steckt hinter dem neuen Spam Trend und wie schützt man sich dagegen? – Im mobilen Bereich gibt es immer wieder neuen Spam-Wellen und das sogenannte Smishing wird derzeit sehr stark ausgenutzt – entsprechend viele Nutzer sind von diesen Betrugsversuchen betroffen. Smishing ist dabei zusammengesetzt aus den Begriffen SMS und Phising und beschreibt letztendlich einen Phishing Versuch per SMS. Smishing ist daher eine Sonderform des bereits hinlänglich bekannten SMS Spam.
Nutzer erhalten dabei per SMS unterschiedliche Nachrichten: das reicht von einer Paketankündigung, über angebliche Bilder, die vom Empfänger im Internet aufgetaucht sind bis hin zur einfacher Nachricht mit einem „coolen Link“. Hintergrund ist immer, die Nutzer auf eine präparierte Internet-Seite zu locken um dort Daten abzugreifen oder Malware zu installieren.
Das Bundesamt für Sicherheit in der Informationstechnik informiert Nutzer dazu wie folgt:
Im Frühjahr 2021 gaben die Täter häufig vor, dass die Empfängerinnen und Empfänger der SMS bald ein Paket erhalten oder eine Sendung zurück an die Absenderin beziehungsweise den Absender gehen soll. In einigen der SMS-Texte ist sogar eine persönliche Anrede zu beobachten. Dieses Phänomen wurde bereits im Bürger-CERT Newsletter vom 18.02.2021 aufgegriffen. Damals handelte es sich um das Android-Botnetz „MoqHao“. Diese Methode wurde in Deutschland verwendet, um weitere Android-Schadsoftware wie „FluBot“ und „TeaBot“ zu verbreiten.
Android-Nutzerinnen und -Nutzer bekommen über den Link in der SMS-Nachricht den Download einer App angeboten. Diese löst allerdings keines der vorgetäuschten Probleme, sondern späht lokale Adressdaten aus, verbreitet weitere schadhafte SMS-Nachrichten und führt Phishing-Angriffe durch. Dabei tarnen die Kriminellen die Schadsoftware z. B. als eine für die Paketverfolgung angeblich notwendige App von bekannten Logistikunternehmen wie FedEx oder DHL. Apple iOS-Anwenderinnen und -Anwender landen in der Regel auf Werbe- oder Phishing-Seiten.
Auch die Bundesnetzagentur hat in diesem Jahr nochmal eine ausdrückliche Warnung in diesem Bereich ausgesprochen.
In der Regel schützen aktuellen Betriebssystem davor, das die Geräte einfach beim Besuch einer solchen Seite infiziert werden, aber vor allem bei älteren Modellen und Geräten, die nicht alle Sicherheitsupdates haben, können bekannte Sicherheitslücken dazu führen, dass man direkt Malware auf das Handy lädt, einfach in dem man den Link aufruft. Das ist aber eher die Ausnahmen, meistens muss man aktiv eine App installieren oder Daten eingeben.
Smishing Angriffe werden häufig auch verwendet, um bereits vorhanden illegale Datensätze zu vervollständigen. Klick man den Link in den SMS an, weiß der Betrüger im Hintergrund, dass die Telefonnummer korrekt ist und das erhöht den Wert des Datensatzes. Dazu werden beim Aufruf des Links oft auch Daten zum genutzten Betriebssystem und Gerät übertragen, so dass solche Informationen ergänzt und für zukünftige Angriffe genutzt werden können. Im schlechtesten gibt das Opfer sogar noch weitere Daten in den Fragebogen hinter dem Link und ergänzt damit das Profil. Auf diese Weise steigt die Wahrscheinlichkeit, dass zukünftige Angriffe erfolgreich sind.
Mittlerweile werden teilweise auch ausländische Rufnummern für diese Angriffe verwendet. Dann kommen die SMS mit Vorwahl 0044 oder 0043 oder 0033 und damit ist an sich sofort klar, dass es sich um einen Betrugsversuch handelt, denn deutsche Unternehmen verwenden deutsche Rufnummern.
Generell gilt daher: bei Smishing versuchen nie auf den angegeben Link klicken und im besten Fall die SMS gleich löschen. Kommen solche SMS von bekannten Kontakten, wurden diese eventuelle gehackt und man sollte sie darüber informieren.
Das Netz und auch der Tarif macht dabei keinen Unterschied. Smishing gibt es daher sowohl im D1 Netz, im Vodafone Netz und auch im O2 Netz. Prepaid Karten sind davon ebenso betroffen wie Allnet Flat und neuere Tarife.
Inhaltsverzeichnis
VIDEO Smishing einfach erklärt
Wie schützt man sich vor Smishing Versuchen?
Den besten Tipp zum Schutz gegen Smishing haben wir oben bereits genannt: einfach die SMS ignorieren, auf keinen Fall auf die geschickten Links klicken und die SMS direkt löschen.
So schützen Sie sich gegen Smishing-Versuche auf dem Handy:
Seien Sie wachsam und misstrauisch:
- Achten Sie auf ungewöhnliche Absender: Smishing-Nachrichten kommen oft von unbekannten Nummern oder Nummern, die sich als bekannte Unternehmen oder Institutionen ausgeben. Seien Sie besonders vorsichtig bei Nachrichten, die von Ihrer Bank, Ihrem Mobilfunkanbieter oder anderen sensiblen Stellen zu kommen scheinen.
- Grammatik- und Rechtschreibfehler: Smishing-Nachrichten enthalten oft Fehler in Grammatik und Rechtschreibung. Dies ist ein Zeichen dafür, dass die Nachricht nicht von einem seriösen Unternehmen stammt.
- Dringlichkeit und Druck: Smishing-Nachrichten versuchen oft, ein Gefühl der Dringlichkeit oder des Drucks zu erzeugen, damit Sie schnell handeln, ohne nachzudenken. Seien Sie vorsichtig bei Nachrichten, die Sie auffordern, sofort auf einen Link zu klicken oder Ihre persönlichen Daten einzugeben.
- Links und Anhänge: Öffnen Sie niemals Links oder Anhänge in Smishing-Nachrichten. Diese können Schadsoftware enthalten, die Ihr Gerät infizieren und Ihre Daten stehlen kann.
Richtiger Umgang mit Links und Inhalten
- Klicken Sie nicht auf Links: Auch wenn die Nachricht von einem seriösen Unternehmen zu stammen scheint, klicken Sie nicht auf den Link in der SMS. Rufen Sie die Website des Unternehmens stattdessen direkt über Ihren Browser auf oder verwenden Sie die offizielle App.
- Geben Sie keine Daten ein: Geben Sie niemals persönliche Daten wie Bankkontoinformationen, Passwörter oder Kreditkartennummern in einer SMS ein. Seriöse Unternehmen werden Sie niemals per SMS nach diesen Informationen fragen.
- Löschen Sie die Nachricht: Löschen Sie die Smishing-Nachricht sofort, um zu verhindern, dass Sie versehentlich darauf klicken oder sie an andere weiterleiten.
- Melden Sie die Nachricht: Sie können Smishing-Nachrichten an die Anti-Phishing-Zentrale des Bundeskriminalamts melden: https://www.bka.de/SharedDocs/Kurzmeldungen/DE/Warnhinweise/230519_FakeSchreiben.html.
Vorsorge treffen:
- Installieren Sie Anti-Virensoftware: Installieren Sie eine Anti-Virensoftware auf Ihrem Handy, die Sie vor Schadsoftware schützen kann, die über Smishing-Nachrichten verbreitet wird.
- Aktivieren Sie die Zwei-Faktor-Authentifizierung: Aktivieren Sie die Zwei-Faktor-Authentifizierung für Ihre wichtigen Online-Konten. Dies erschwert es Hackern, auf Ihre Konten zuzugreifen, selbst wenn sie Ihre Anmeldedaten erhalten haben.
- Halten Sie Ihr Betriebssystem und Ihre Apps auf dem neuesten Stand: Stellen Sie sicher, dass Ihr Betriebssystem und Ihre Apps auf dem neuesten Stand sind, um die neuesten Sicherheitsupdates zu erhalten.
- Seien Sie vorsichtig bei öffentlichen WLAN-Netzen: Vermeiden Sie es, sensible Daten über öffentliche WLAN-Netze einzugeben, da diese nicht sicher sein können.
Informieren Sie sich:
- Informieren Sie sich über die neuesten Smishing-Betrugsmaschen: Informieren Sie sich auf den Websites von Behörden und Verbraucherschutzzentralen über die neuesten Smishing-Betrugsmaschen.
- Teilen Sie Ihr Wissen mit anderen: Informieren Sie Ihre Familie und Freunde über die Gefahren von Smishing und wie sie sich schützen können.
Sowohl für Android als auch für iOS (iPhone und iPad) gibt es dazu einige Apps, die helfen können, Spam zu erkennen und direkt auszusortieren. Im App-Store findet man eine Reihe von kostenlosen und kostenpflichtigen Diensten, die Anrufe und SMS mit Blacklists abgleichen und vor Spam warnen. Das hilft, den Spam im eigenen Postfach zu reduzieren und kann die Arbeit deutlich erleichtern. Wer sich für so eine Lösung entscheiden möchte, sollte im App Store nach Blacklist suchen. Dann findet man eine ganze Reihe von passenden Angeboten.
Weitere Sicherheitshinweise zu anderen Versionen des Spam haben wir hier zusammengestellt: Ping Anrufe | SMS Spam | Voicemail Spam
TIPP: Man kann sich generell gegen Spam-Anrufe schützen und Betrugsversuche so direkt verhindern und natürlich kann man auch Maßnahmen gegen bestimmte Rufnummern ergreifen lassen. Wie das geht ist in diesem Artikel beschrieben: Schutz gegen Spam-Anrufe: Beschwerden, Blockieren und Black List. Wie man konkret Rufnummern blockieren, ist hier zusammengefasst: Rufnummer blockieren bei allen Systemen | Rufnummer blockieren
VIDEO Smishing Hintergründe erläutert
Wie kommen die Betrüger an die Rufnummern?
Das Erhalten von Smishing-SMS bedeutet nicht notwendigerweise, dass man einen Fehler gemacht hat. Diese Nachrichten sind auch kein Hinweis darauf, dass das eigene Smartphone gehackt oder kompromittiert wurde. Die Telefonnummern für die Spammer kommen oft aus Hacks und Datenlecks großer Plattformen. Dabei werden häufig ganze Kundendatensätze kopiert und im Darknet zum Kauf angeboten. Aufgrund der häufigen Notwendigkeit der Angabe der Telefonnummer für die Zwei-Faktor-Authentifizierung ist diese oft in solchen Leaks enthalten und wird dann für Spam und Smishing missbraucht.
Ob und über welche Plattform eventuell eigene Daten wurden, kann man hier nachprüfen:
Ich begleite die Entwicklungen im Bereich der Telekommunikation und des Mobilfunks bereits seit 2006 und schreibt regelmäßig zu den Theme Handytarife, Smartphones, Allnet Flat und zu den anderen Bereichen, die mit dem Mobilfunk zusammenhängen. Ziel ist es dabei die Verbraucher möglichst einfach und dennoch umfassend über die Produkte auf dem Markt zu informieren und vor allem die neuen Entwicklungen verständlich zu beschreiben. Bei Problemen oder Fragen – einfach die Kommentare nutzen oder micht direkt anschreiben. Mehr zu mir: Wer schreibt hier?
Mobilfunk-Newsletter: Einmal pro Woche die neusten Informationen rund um Handy, Smartphones und Deals!
Unser kostenloser Newsletter informiert Sie regelmäßig per E-Mail über Produktneuheiten und Sonderaktionen. Ihre hier eingegebenen Daten werden lediglich zur Personalisierung des Newsletters verwendet und nicht an Dritte weitergegeben. Sie können sich jederzeit aus dem Newsletter heraus abmelden. Durch Absenden der von Ihnen eingegebenen Daten willigen Sie in die Datenverarbeitung ein und bestätigen unsere Datenschutzerklärung.