Smish mich nicht: So funk­tioniert der SMS-Be­trug Smishing

Das Smartphone klingelt und die Anrufer-ID gibt ein mir vollkommen unbekanntes „Finanzierungsbüro“ an.

Die Telefonnummer ist aus dem Ausland und hat mir vor einigen Tagen bereits schlecht formulierte SMS gesendet, die ich getrost ignoriert hatte. Ich bin mir jetzt schon sicher, dass es sich um einen Betrugsversuch handelt und nehme aus beinahe morbidem Interesse an. Nicht sehr clever, ich weiß. Machen Sie mir das bitte nicht nach.

Eine von Rauschen durchsetzte Frauenstimme erinnert mich an einen Kredit, nach dem ich nie gefragt hatte. Ich lehne ab und lege auf. Es folgen in unregelmäßigen Abständen weitere SMS bezüglich meines vermeintlichen Kredits, den ich unter dubios aussehenden Links abrufen könne. Natürlich klicke ich nicht darauf. Ich frage mich allerdings: Wo haben die nur meine Nummer her?

Was ist Smishing? Eine Definition

Was mir hier widerfahren ist, war ein Smishing-Versuch. Unter dem ungewöhnlich klingenden Wort verbirgt sich die Abkürzung SMS, verbunden mit der Bezeichnung für eine weitere, etwas bekanntere Betrugsmasche: Phishing.

Das klassische Phishing kurz erklärt

Beim Phishing werden gefälschte E-Mails versendet, um die Empfänger dazu zu verleiten, auf einen Betrug hereinzufallen. Das kann vom Klicken auf einen virenverseuchten Link bis hin zur Abgabe persönlicher Daten auf regelrecht professionell gemachten Nachbauten seriöser Webseiten reichen. Das Ziel der Kriminellen: Das „Abfischen“ von Zugangsdaten, Finanzdaten und anderen sensiblen Informationen der arglosen Nutzer.

Smishing: Phishing per SMS

Smishing ist also ein verkapptes Kofferwort aus SMS und Phishing. Es wäre mit „Phishing per SMS“ am sinnvollsten ausgeschrieben. Der Unterschied zum herkömmlichen Phishing: Die Kriminellen sind in Besitz der Mobilfunknummer ihrer potenziellen Opfer und verlagern den Phishing-Versuch vom E-Mail-Postfach in den Kurznachrichtendienst.

Das Perfide an Smishing: Die persönliche Handynummer geben die meisten Menschen seltener heraus als die E-Mail-Adresse – wir „vertrauen“ einer SMS demzufolge häufiger als einer E-Mail. Schließlich wissen wir doch genau, welchen Diensten wir diese gegeben haben, nicht wahr?

Viele Benutzer sind sich der Gefahren bewusst, die mit dem Anklicken eines Links in einer E-Mail verbunden sind. Aber nur wenige sind sich darüber im Klaren, welche Gefahren bei einer SMS lauern.

So gehen die Betrüger beim Smishing vor

Die vom Angreifer – dem „Smisher“ – in der SMS verlangten Informationen können vielfältig sein:

• Anmeldeinformationen für (online-) Konten
• Private Informationen für Identitätsdiebstahl
• Finanzdaten

Smisher gehen regelrecht kreativ vor, um Benutzer zum Senden privater Informationen zu verleiten. Sie verwenden Informationen aus öffentlichen Online-Tools, um der Zielperson vorzugaukeln, die Nachricht stamme von einer vertrauenswürdigen Quelle.

Besonders beliebt: Name und (ungefährer) Wohnort für eine direkte Ansprache. In der SMS wird ein Link aufgeführt, der auf einen vom Angreifer kontrollierten Server verweist. Wer den Link anklickt und sich tatsächlich auf der nachgelagerten Seite anmeldet, der könnte unwissentlich eine Malware herunterladen oder durch die Weitergabe der Informationen Schaden anrichten.

Inhalte der Smishing-SMS: Typische Aufhänger und Maschen

Die häufigsten Inhalte der Smishing-SMS sind:

• Links zur Paketverfolgung, die auf Fake-Seiten führen.
• Gewinne aus vermeintlichen Verlosungen, die man unter Eingabe seiner Daten nur noch beanspruchen müsse.
• Die Behauptung, es werde polizeilich ermittelt und unter einer angegebenen Telefonnummer sollen sich die „Verdächtigen“ melden, um Aussagen zu machen.
• Das Versprechen auf Rabatte oder Sonderkonditionen bei bekannten Händlern wie beispielsweise Amazon, die unter dem Link abgerufen werden können.
• Pseudo-Reminder bezüglich vermeintlicher Kredite, Termine oder anderer Vorteile und Boni.

Social Engineering: Die Königsklasse im Phishing & Smishing

Malware und Fake-Seiten werden mitunter durch grundlegende Sicherheitsfilter des Postfachs oder des Betriebssystems von Smartphones gestoppt. Vor einem Anruf und der mündlichen Weitergabe von sensiblen Daten hilft allerdings kein Spam-Filter.

Ein Smisher, der bereits in Besitz einer Handynummer ist, kann sich – sollte der Betroffene ein so lohnenswertes Ziel sein – regelrecht verausgaben, um den Betrugsversuch noch glaubhafter zu machen.

Auftritt des Social Engineering – die Logik ist banal: Ich erhalte einen Anruf, bei dem sich der oder die Betrüger wahlweise als Bank, Versicherung, ein „Finanzierungsbüro“, Polizei oder Mitarbeiter von bekannten Firmen ausgeben.

Vorausgesetzt, die Masche wird nicht schon am Hörer durchschaut, erfragt der Smisher die Informationen, die er für seine kriminellen Aktivitäten benötigt direkt von seinem Opfer. Er reichert sein Wissen zielgenau an, um die folgenden Smishing SMS noch glaubhafter zu machen.

Anzeichen für Smishing: Im Zweifel besser zweifeln

Smishing SMS lassen sich mit ein wenig Aufmerksamkeit schnell erkennen. Hier sammeln wir die deutlichsten Warnsignale, an denen Sie sich orientieren können.

Smishing-Anzeichen #1: Eine gefährlich „unverfängliche“ Nummer

Angreifer nutzen gerne Automatismen, um vielen Menschen gleichzeitig Textnachrichten zu schicken. Die in der Anrufer-ID gezeigte Telefonnummer ist dabei häufig eine, die auf einen VoIP-Dienst, also Telefonie per Breitbandinternet statt klassichem Festnetztelefon verweist. Hier kann die Herkunft nicht oder nur erschwert überprüft werden.

Smishing-Anzeichen #2: Merkwürdige URLs und seltsam aussehende Links

Schließt die fragliche SMS mit einem Link ab, sollten Sie Vorsicht walten lassen. Behauptet die SMS beispielsweise, von einem Paketdienstleister zu sein, der Link ist jedoch eine kryptische Buchstaben- und Zahlenreihe, liegt ein Indikator für Smishing vor.

Einschränkung: Nicht jeder Shortlink ist gefährlich

Auch seriöse Services nutzen Dienste und Tools, um Links optisch zu verkürzen. Schließlich geht es in SMS auch um die maximale Zeichenzahl. Gerade Tracking-URLs von Paketzustellern sind per se individuell und oftmals lang. Daher ist nicht jeder Kurzlink ein Hinweis auf Smishing.

Smishing-Anzeichen #3: Massen-SMS mit plausiblen Szenarien

Smishing-Angreifer versenden viele SMS zugleich und spielen ein Spiel mit der Wahrscheinlichkeit. Schließlich erwartet irgendjemand immer ein Paket, befindet sich im Gespräch mit der Bank bezüglich eines Kredits oder nimmt an einem Gewinnspiel teil. Für den Smisher gilt: Die Menge macht’s.

Die Täter rechnen von vorneherein nur mit einem Bruchteil an „Rückläufern“ aus ihren versendeten SMS. Deshalb ziehen sie alle Register, um den Klick zu kriegen. Faustregel: Ist der Inhalt einer SMS zu schön um wahr zu sein, ist er genau das.

Smishing-Anzeichen #4: Drohungen, Versprechen, Schreibfehler

Deutliche Hinweise auf Smishing geben häufig schon die Formulierungen innerhalb der SMS:

• Schlecht ins Deutsche übersetzt wirkende Grußformeln
• Viel zu überschwängliche oder flapsige Sprache
• Drohungen und Zeitdruck
• Große Versprechen und Behauptungen über vermeintliche Gewinne
• Offensichtliche Grammatik- und Rechtschreibfehler

Wo haben die nur meine Nummer her?

Die Frage ist beinahe müßig zu beantworten: Smisher haben Telefonnummern (oder am besten gleich vollständige Datensätze) aus dem Internet. Gestohlene Adressen und Kontaktdaten werden im Darknet gehandelt. Der Datenkauf geht auch in vollkommen legal: Datenbörsen stellen legal erworbene Adressen und Telefonnummern – die beispielsweise bei Gewinnspielen oder Logins für zahllose schnell abrufbare Services erhoben werden – zum Verkauf.

Schutz vor Smishing und den Folgen

Nur der vorsichtige Umgang mit den persönlichen Daten schützt verlässlich vor Smishing, Phishing & Co. Sieht man sich den nervenden SMS oder Anrufen bereits ausgesetzt, hilft nur die fragliche Nummer sperren und dem Netzbetreiber melden.

• Speichern Sie keine Bankdaten auf dem Smartphone.
• Vermeiden Sie, Rufnummern zu antworten, die Sie nicht kennen oder eindeutig zuordnen können.
• Banken, Versicherungs- und Finanzdienstleister werden niemals die Herausgabe von Anmeldedaten, Kontodaten und Bankverbindungen über eine SMS verlangen.

Wer Opfer einer Smishing-Attacke wurde, der sollte Anzeige erstatten. Da die Täter oftmals im Ausland operieren und ihre Spuren effektiv verwischen, sind Ermittlungserfolge jedoch nicht garantiert. Wenn es dennoch gelingt, den oder die Täter zu verhaften, steht Ihnen die Rechtsschutzversicherung bei der Geltendmachung von Schadenersatzansprüchen zur Seite.

Der Autor: Johannes Traub

Johannes Traub arbeitet seit Juni 2019 bei der Württembergischen Versicherung und kümmert sich um alles, was sich Content nennen darf. Mit seiner Erfahrung in den Bereichen Gesundheitsmanagement, Marketing sowie im Journalismus sorgt er dafür, dass die Inhalte der Württembergischen so viel klare Kante zeigen wie ihr Slogan.

Ich bin sicher, meine „persönlichen“ Smisher hatten meine Nummer von einem semi-seriösen öffentlichen WLAN-Hotspot aus dem Urlaub. Ab jetzt gilt: Augen auf, rufst du Logins auf.