„Haben Sie kürzlich bei unserem Online-Dating-Dienst ein kostenpflichtiges Konto eröffnet? Falls nicht, melden Sie sich bitte hier mit ihren Daten ab.“ Schnell auf den Link in der SMS-Nachricht geklickt – und schon sind die persönlichen Daten in den Händen von Betrügern. Smishing nennt sich das Vorgehen, das Verbraucherschützern zufolge inzwischen eine weit verbreitete Betrugsmasche ist.

Was genau bedeutet Smishing?

Smishing setzt sich zusammen aus den beiden Wörtern „SMS“ und „Phishing“ – also dem Versuch, Passwörter oder persönliche Daten abzugreifen. Hierzu werden automatisiert oder gezielt SMS mit falschen Informationen im Namen von vertrauenswürdigen Institutionen wie Banken, Telekommunikationsanbietern oder Paketdienstleistern versendet. Es wird ein Problem erfunden, welches zur Herausgabe persönlicher Daten animieren soll. „Die abgefischten Daten werden dann für Betrugszwecke genutzt“, sagt Matthias Bauer, Abteilungsleiter Bauen, Wohnen, Energie der Verbraucherzentrale Baden-Württemberg.

Das könnte Sie auch interessieren

Wie kommen die Betrüger an die persönlichen Daten?

Der Text in der SMS fordert einen der Polizeibehörde der Europäischen Union Europol zufolge meist dazu auf einen bestimmten Link anzuklicken oder eine mitgeschickte Telefonnummer anzurufen. Dort müssen einige persönliche Informationen hinterlassen werden, damit das vermeintliche Problem gelöst werden kann, ein Konto wahlweise „aktiviert“ oder „reaktiviert“ , „aktualisiert“ oder „geprüft“ werden kann. Eine dritte Variante der Betrüger, ist Verbraucherschützer Matthias Bauer zufolge ein mit verschickter Link, der einen zum Herunterladen einer bestimmten Datei auffordert. Diese ist dann mit Schadsoftware versehen und kann sensible Daten vom Handy ausspähen.

Vor welchen Maschen muss man sich derzeit in Acht nehmen?

„Sehr häufig war in den letzten Monaten die Paketdienst-Masche“, sagt Matthias Bauer von der Verbraucherzentrale Baden-Württemberg. Die SMS, die angeblich von Logistikunternehmen wie DHL oder Fedex kommen, kündigen ein Paket an. „Öffnet man den Link, um zu sehen, wo das Paket steckt, holt man sich Schadsoftware aufs Handy“, sagt Matthias Bauer.

Erst vergangenen Woche hat die Verbraucherzentrale Baden-Württemberg einen Fall abgeschlossen, bei dem ein Verbraucher auf die Paketdienst-SMS hereingefallen ist. „In der Folge wurden von seinem Handy massenhaft SMS ins Ausland versendet und er sollte 1000 Euro an seinen Mobilfunkprovider zahlen“, sagt Matthias Bauer. Durch die Hilfe der Verbraucherzentrale wurde der Fall gegen eine Zahlung von 100 Euro beigelegt.

Welche SMS sind aktuell noch verdächtig?

Ebenfalls aktuell im Umlauf sind der Verbraucherzentrale Saarland zufolge SMS-Nachrichten, die auf einen verpassten Anruf oder eine Voicemail-Nachricht hinweisen, die unter dem angegeben Link abgehört werden können. Dieser Link führt den Verbraucherschützern zufolge dann jedoch nicht auf die Mailbox, sondern zur Installation einer neuen App – einer Schadsoftware, mit Hilfe derer dann Daten vom Smartphone kopiert oder massenhaft SMS verschickt werden können.

Gibt es auch regelmäßig wiederkehrende Betrugsmaschen?

„Immer wieder ein Thema sind vermeintliche Nachrichten von der Bank, etwa dass das Konto gesperrt sei oder Daten verifiziert werden müssen, sagt Matthias Bauer von der Verbraucherzentrale Baden-Württemberg. Viele Banken weisen deshalb inzwischen auf ihren Homepages darauf hin, dass sie vertrauliche Informationen wie Bankdaten, Pins oder Passwörter grundsätzlich nicht per SMS abfragen. Als letzte bekannte Betrugsmasche fällt Matthias Bauer noch der Bereich Gewinnspiele ein. „Auf Nachrichten, dass man etwas gewonnen hat oder nach der Eingabe von persönlichen Daten etwas gewinnen kann, sollte man besser nicht reagieren.“

Woran erkennt man eine Phishing-SMS?

Stutzig werden sollte man den Verbraucherschützern zufolge sobald ganz dringend und innerhalb einer kurzen Frist gehandelt werden muss – gern in Verbindung mit einer Drohung, dass andernfalls das Paket wieder zurückgeschickt wird oder das Bankkonto gesperrt wird oder hohe Kosten anfallen. Ein weiterer Hinweis ist die Aufforderung persönliche Daten, PIN oder TAN einzugeben. Bei seriösen Unternehmen gehört es zu den geltenden Sicherheitsregeln, dass solche vertraulichen Daten eben nicht per SMS oder Email abgefragt werden.

Links, die zum Download von Dateien oder Apps auffordern, sind meist ebenfalls Teil von Phishing-SMS. Ein weiteres Alarmzeichen sind Nachrichten von Unternehmen oder Dienstleistern, mit denen man bisher noch nie etwas zu tun hatte – oder mit denen die Kommunikation bislang immer über andere Kanäle als die Textnachricht lief.

Das könnte Sie auch interessieren

Wie reagiert man, wenn man eine verdächtige SMS erhalten hat?

Das Wichtigste ist dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zufolge, den mitgeschickten Link nicht anzuklicken, damit eben keine Daten abgefischt oder Schadsoftware auf dem Handy installiert werden können. Wer sich nicht sicher ist, ob die Nachricht echt oder gefälscht ist, sollte beim Absender anrufen und nach der Richtigkeit der Nachricht fragen – aber nur über Kontaktdaten, die auf einer offiziellen Homepage stehen und nicht über solche, die in der SMS mitgeschickt wurden. Ist die Nachricht wirklich falsch, gehört sie umgehend vom Smartphone gelöscht. „Über das Betriebssystem sperrt man dann den Absender der Nachricht“, rät das BSI.

Und wenn man einen solchen Link dennoch geöffnet hat?

Nachrichten auf dem Smartphone werden gern flüchtig gelesen, Links oft angeklickt, bevor man sich genau überlegt hat, was man da eigentlich tut. Genau darauf setzen die Betrüger beim Smishing – und genau deshalb fallen so viele Verbraucher auf diese Betrugsmasche herein.

Wem das passiert ist, der sollte den Experten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zufolge sofort das Smartphone aus dem Mobilfunknetz nehmen und den Flugmodus aktivieren. So wird der Versand weiterer SMS sowie eine mögliche Kommunikation von Schadsoftware unterbunden. Dann sollte der Mobilfunkprovider über den Fall informiert werden. Dieser kann auch dabei behilflich sein, eine so genannte Drittanbietersperre einzurichten. Dadurch lassen sich versehentliche Kosten oder eventuelle Kosten durch Schadsoftware weitestgehend vermeiden.

Darüber hinaus rät das BSI bei der örtlichen Polizeidienststelle Strafanzeige zu erstatten und das Smartphone danach auf Werkseinstellungen zurückzusetzen – nur so können Schadprogramme wieder vollständig entfernt werden.

Kann man sein Smartphone vorbeugend gegen Phishing schützen?

„Der wichtigste Basisschutz ist ein aktuelles Betriebssystem“, sagt Matthias Bauer von der Verbraucherzentrale Baden-Württemberg. Denn über die Updates werden laufend Sicherheitslücken in der Software geschlossen. Damit das Gerät immer auf dem neusten Stand ist, aktiviert man am besten die automatische Update-Funktion.

Apps sollten dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zufolge grundsätzlich nur aus bekannten Stores heruntergeladen werden und nicht aus externen Quellen. „Bei Android kann man die Installation von Apps aus unbekannten Quellen deaktivieren“, so die Experten vom BSI. Ein Schutz gegen unerwünschte Kosten kann die so genannte Drittanbietersperre sein, die man sich vom Mobilfunkprovider einrichten lassen kann.

Kann man einen Smishing-Verdacht irgendwo melden?

Die Verbraucherzentralen pflegen einen so genannten Phishing-Radar. Betrügerische Emails oder SMS können an die E-Mail-Adresse http://phishing@verbraucherzentrale.nrw weitergeleitet werden. Tägliche Warnungen vor aktuellen Phishing-Maschen findet man auf Twitter (@vznrw_phishing) und in der Facebook-Gruppe Phishing-Radar.