Beim Smishing handelt es sich um eine Betrugsmethode. Mithilfe von falschen SMS-Nachrichten durch gefälschte Internetseiten sollen die Opfer dazu gebracht werden, ihre persönlichen Daten an die Urheber der Fälschung zu senden.
Was ist Smishing? Eigenschaften, Bedeutung
Die Bezeichnung Smishing ist ein Kunstwort. Es setzt sich aus den Begriffen SMS und Phishing zusammen. So ergibt SMS + Phishing Smishing. Gemeint ist damit ein betrügerischer Versuch, gezielt SMS zu versenden, die irreführende Informationen enthalten, damit der Empfänger seine persönlichen Daten an Betrüger herausgibt.
Eine solche schädliche Textnachricht kann scheinbar von einer Bank kommen. Dabei sollen dem Opfer wichtige finanzielle oder persönliche Infos entlockt werden, wie zum Beispiel die PIN-Nummer oder die Kontonummer. Beim Phishing wollen Cyberkriminelle auf diese Weise quasi einen Schlüssel zum Bankkonto erlangen. Der Empfänger muss zu diesem Zweck einen beigefügten Anhang oder einen schädlichen Link öffnen, der durch eine E-Mail zugesendet wird. Beim Smishing werden anstelle von E-Mails Textnachrichten verwendet.
Ablauf des Smishing
Im Rahmen des Smishing werden von den Cyberkriminellen SMS mit gefälschten Absendern verschickt, die als vertrauenswürdig gelten. Diese können von einer Bank oder einem Telekommunikationsunternehmen stammen. Dabei wird ein spezielles Problem vorgegeben, das jedoch in Wirklichkeit fingiert ist. Zu den Möglichkeiten der Fälscher gehören:
- Telefonanbieter, die höhere Gebühren für spezielle Leistungen verlangen
- eine Bank, die sonderbare Aktivitäten auf dem Konto des Empfängers bemerkt haben will
- Rückzahlungen aus einem Bonusprogramm
- Dating-Services, von denen das Eröffnen eines Kontos bestätigt wird, dessen Einrichtung aber nie erfolgte
- der Vorwurf, dass bestimmte Zahlungen nicht ausgeführt wurden
- Rückzahlungen, die aus einem Bonusprogramm stammen
Für diese erfundenen Probleme liefern die Cyberkriminellen die Lösungen gleich mit.
Klicken auf einen mitgelieferten Link
Für diese Betrugsmasche bestehen zwei Optionen. In Variante 1 soll der Empfänger einen Download vornehmen. Dieser enthält jedoch eine Schadsoftware. Um an die sensiblen Daten zu gelangen, spioniert sie das Handy aus. Bei Variante 2 leitet der Link das Betrugsopfer auf eine Webseite weiter, in der es aufgefordert wird, die Daten selbst in eine Eingabemaske einzutragen.
Smishing: Anrufen einer bestimmten Telefonnummer
Eine weitere Möglichkeit ist, dass der Täter selbst oder eine Bandansage sich als Mitarbeiter eines Unternehmens ausgeben. Dabei fordern sie den Empfänger auf, spezielle Daten zu übermitteln, um sich zu verifizieren, damit sich das vermeintliche Problem lösen lässt.
Wie kann Smishing verhindert werden und wie ist es zu erkennen?
Als bester Schutz gegen Smishing gilt ein ausgeprägtes Misstrauen. Dazu ist es wichtig zu wissen, dass es im Internet nichts umsonst gibt. So wird mitunter mit den Kontaktdaten bezahlt oder damit, seine Zustimmung zu einer Werbung zu erteilen. In anderen Fällen wird der User zum Kauf von Produkten aufgefordert. Werden zum Beispiel angebliche Gewinngutscheine von Unternehmen angeboten, ist es ratsam, dies auf der offiziellen Internetseite des jeweiligen Anbieters nachzuprüfen.
Vorsicht ist zudem bei Sprachnachrichten oder Voice-Mails geboten. Als gute Gründe für Misstrauen gelten:
- Sprachnachrichten lassen sich nicht auf Webseiten abhören. Der einzige Link darf die Telefonnummer der Mailbox sein.
- die Nummer der Nachricht stammt zumeist von einem unbekannten Handy und stellt nicht die Nummer der Mailbox dar. Oft kommt sie nicht einmal vom gleichen Netz.
- die Links führen zu Seiten im Internet, die gar nichts mit dem eigenen Mobilfunkprovider zu tun haben.
- beim Deaktivieren der Mailbox ist es gar nicht möglich, Sprachnachrichten aufzuzeichnen, mit denen Benachrichtigungen erteilt werden.
Ein Problem ist, dass Textnachrichten einen besseren Ruf als sogenannte Spam-Mails haben, bei denen bereits ein hoher Gewöhnungsgrad vorherrscht. Außerdem findet das Handy mittlerweile im Alltag so häufig Verwendung, dass in bestimmten Situationen gar nicht mehr daran gedacht wird, auf schädliche Links zu achten. Zum Schutz vor Smishing ist auf der Infografik von Europol eine informative Übersicht zu finden. Diese entstand durch die Zusammenarbeit mit dem deutschen Bundeskriminalamt (BKA).
Smishing: Zusätzliche Schutzmaßnahmen
Außerdem ist es sinnvoll, zu bedenken, dass von seriösen Firmen niemals nach PINs, Passwörtern oder anderen wichtigen Daten gefragt wird. Selbst wenn es so aussieht, als würde es sich um eine legitime Nachricht handeln, sollte für einen Kontakt stets nur die offizielle Telefonnummer oder Internetseite verwendet werden. Niemals darf dagegen auf Links solcher Nachrichten geklickt werden. Auch eine angegebene Telefonnummer für einen Rückruf ist nicht zu verwenden.
Coupons, die sofort eingelöst werden sollen oder dringende Sicherheitswarnungen gelten als Alarmzeichen für einen möglichen Angriff. Grundsätzlich sollten keine Informationen über Bank und Kreditkarten auf dem Handy gespeichert werden. Ohne diese Informationen sind die Cyberkriminellen gar nicht in der Lage, die sensiblen Daten aufzuspüren. Dies gilt selbst dann, wenn schädliche Malware auf dem Handy installiert wird.
Fazit: Smishing ist eine Betrugsmethode, vor der Vorsicht geboten ist.
Am besten ist es, gar nicht erst auf das Smishing einzugehen, nichts zu unternehmen und auch nicht darauf zu antworten. Wird der Angriffsversuch ignoriert, entsteht durch die gefälschte SMS auch kein Schaden. Kommt es dennoch einmal zu einer Attacke, empfiehlt es sich, dies der Verbraucherzentrale mitzuteilen. Auf diese Weise können andere Nutzer vor der Betrugsmethode geschützt werden.