Cyberbetrug So erkennst du Phishing-SMS

Von Dirk Jacquemien

28.12.2021

Cyberkriminelle phishen inzwischen auch per SMS.
Cyberkriminelle phishen inzwischen auch per SMS.
Getty Images

Immer mehr Phishing-Versuche laufen per SMS statt E-Mail ab. Woher kommt diese plötzliche Flut und wie kann ich mich schützen?

Von Dirk Jacquemien

Betrug im Netz ist fast schon so alt wie dieses selbst. Zu den Klassikern gehört sicherlich das Phishing. Doch die meisten Phishing-Versuche per E-Mail landen heutzutage automatisch im Spam-Ordner, sie überhaupt erst vor die Augen von potenziellen Opfern zu bringen, ist für die Betrüger*innen schon eine hohe Hürde. Nicht verwunderlich also, dass Cyberkriminelle nach neuen Einfallstoren suchen.

Gefunden haben sie diese bei der guten, alten SMS. Eine SMS hat für die meisten Nutzer*innen einen höheren Stellenwert als ein E-Mail, die eigene Natelnummer gibt man ja schliesslich nicht jedem.

Den Erhalt einer Phishing-SMS (auch «Smishing» genannt) solltest du aber nicht persönlich nehmen. Bist du kein/e Multimillionär*in, Unternehmensführer*in oder Spitzenpolitiker*in, ist es eher unwahrscheinlich, dass du gezielt ins Visier genommen wurdest. Stattdessen nutzen die Cyberkriminellen meistens aus riesigen Datenlecks zusammengestellte Datenbanken.



So läuft das Smishing ab

Wenn du eine gewisse Zeit im Netz unterwegs warst, ist es fast unausweichlich, dass die eigenen persönlichen Informationen inklusive Telefonnummer Teil eines Datenlecks wurden und nun im Dark-Web verscherbelt werden. Der Versand der SMS erfolgt üblicherweise vollautomatisiert, erst wenn ein Opfer sich auf einen Dialog einlässt, übernehmen menschliche Betrüger*innen.

Die SMS enthält dann eine Nachricht, die wahr sein könnte. Die Post hat eine wichtige Sendung für Sie, beim Migros-Gewinnspiel haben Sie gross gewonnen oder die Kantonalbank will Ihnen neue TANs zuschicken, steht da dann etwa.

Die Wahrscheinlichkeit, dass man als Durchschnittsschweizer*in in den letzten Tagen mit diesen Unternehmen interagiert hat, ist relativ hoch und erhöht so die Plausibilität der Phishing-SMS. Auf die angezeigte Absendernummer darf man sich nicht verlassen. SMS ist eine fast 30 Jahre alte Technik, es ist relativ einfach, die Absendernummer zu fälschen.

Leider haben Sie nur Malware gewonnen.
Leider haben Sie nur Malware gewonnen.
sr

Bloss nicht dem Link folgen

Meistens ist in dem SMS dann noch ein Link enthalten, der weitere Informationen verspricht. Diesen aufzurufen, wäre der erste Fehler, den du machen könntest. Denn die Links sind häufig individualisiert. Ruft man ihn auf, wissen die Betrüger*innen zumindest schon einmal, welcher der Einträge in ihrer riesigen Datenbank noch mit einer funktionierenden Telefonnummer verbunden ist. Das ist dann eine Einladung für zukünftige Phishing-SMS.

Leider ist nicht wirklich Post gekommen.
Leider ist nicht wirklich Post gekommen.
tjb

Wurde aber ein Opfer dazu verleitet, den Link zu besuchen, gibt es üblicherweise zwei Betrugsmaschen. Zum einen wird versucht, Zugangsdaten abzugreifen. Das erfolgt dann in der Regel mit einer nachgemachten Website. Zum anderen wird versucht, Malware auf den Smartphones der Opfer zu deponieren – hier sind Android-Nutzer*innen anfälliger als iPhone-Besitzer*innen.

Das sollte man tun

Das beste Vorgehen beim Erhalt einer Phishing-SMS ist also, überhaupt nicht zu reagieren. Wenn du möchtest, kannst du den Vorfall beim Nationalen Zentrum für Cybersicherheit melden. Dieses könnte so die Häufung einer bestimmter Art von Phishing-SMS erkennen und die Bevölkerung entsprechend warnen. Natürlich kannst du auch die Organisation informieren, in deren Namen die Betrugs-SMS verschickt wurde.

Und selbst wenn du eher nicht glaubst, dass es sich um Phishing handelt, solltest du vorsichtig vorgehen. Bei einer SMS über eine vermeintliche Postsendung beispielsweise solltest du manuell die Seite Post.ch aufrufen und dort die angegebene Sendungsnummer eingeben.

Bei einer vermeintlichen Nachricht von der Bank solltest du ebenfalls selbst die Website derselbigen aufrufen, indem du manuell deren Adresse in den Browser eintippst. Im digitalen Postfach der Bank kannst du dann üblicherweise nachschauen, ob die Nachricht echt ist. Im Zweifelsfall kannst du die Bank immer noch anrufen — und hier natürlich die auf der offiziellen Website angezeigte Nummer wählen und nicht eine allfällig in der SMS angegebene.

Hinweis: Eine Version dieses Artikels erschien erstmals am 8. März 2021