Hände halten ein Smartphone, neben dem ein SMS-Verlauf in Textboxen illustriert ist

Smishing

Smishing ist eine Form des Phishings, bei der Cyberkriminelle Textnachrichten verwenden, um die Empfänger zur Preisgabe vertraulicher Informationen oder zum Herunterladen von Malware zu verleiten.

30. März 2023 · 11 Min
Zurück zum Glossar

Was ist Smishing?

Beim Smishing nutzen Cyberkriminelle Textnachrichten, um Zugang zu vertraulichen Informationen zu erhalten oder Geräte mit Schadsoftware zu infizieren. Der Name setzt sich aus den Wörtern „SMS“ und „Phishing“ zusammen. Auch wenn der Begriff an sich noch weniger bekannt ist, sind SMS-Angriffe ein größerer Teil unseres täglichen Lebens als viele vielleicht erwarten: EarthWeb zufolge wurden allein im April 2022 mehr als 2,6 Milliarden Smishing-Nachrichten weltweit verschickt.

Smishing betrifft längst nicht nur Einzelpersonen, sondern auch Unternehmen. Ein besonders beliebtes Ziel der Cyberkriminellen sind dabei unaufmerksame Mitarbeitende. Und erfolgreiche Angriffe haben oft weitreichende Folgen. Das zeigte beispielsweise der Angriff auf Uber im Jahr 2022. Hier führte ein Smishing-Angriff dazu, dass eine Vielzahl interner Systeme kompromittiert werden konnte. Aufgrund der wachsenden Bedrohung ist es daher wichtig zu wissen, was Smishing-Angriffe sind und wie sich Einzelpersonen und Unternehmen vor ihnen schützen können.

Benachrichtigung auf einem Handy-Bildschirm zeigt eine eingehende bösartige SMS

Emotionaler Druck: Die Hauptmerkmale von Smishing

Es gibt einige Merkmale, die Smishing-Angriffe besonders gefährlich machen. So tarnen sich Smisher beispielsweise oft als seriöse Unternehmen oder Organisationen, wie Banken, Online-Shops oder Behörden, um vertrauenswürdig zu erscheinen. Anschließend werden die Opfer durch manipulatives Social Engineering dazu verleitet, auf schädliche Links zu klicken oder sensible Informationen preiszugeben. Weitere typische Wege unser Verhalten zu beeinflussen sind:

Ein Hacker in einem schwarzen Hoodie vor einem Hintergrund mit Kreisen, die die 4 Manipulationsmethoden Druck, Ängste, Kontext und Hilfsbereitschaft darstellen
  • Ängste wecken: Oft senden Kriminelle Nachrichten, die angeblich ein Konto betreffen, das „sofort überprüft werden muss“. Das ruft Verlustangst hervor, wodurch es wahrscheinlicher ist, dass das Opfer unter Druck handelt. 
  • Zeitdruck ausüben: Mit zeitlich begrenzten Angeboten oder Rabatten üben Cyberkriminelle zusätzlichen Druck auf ihre Opfer aus. Denn, wenn alles schnell gehen muss, denken viele nicht richtig darüber nach, ob das Angebot vertrauenswürdig ist oder nicht. 
  • Hilfsbereitschaft vorgaukeln: Betrüger geben sich auch gerne als enge Verwandte oder Familienmitglieder aus, um ihre Opfer zur gewünschten Handlung zu verleiten. Durch den Vertrauensvorsprung erhoffen sie sich eine höhere Hilfsbereitschaft. 
  • Kontext individualisieren: Indem sie die Social-Media-Profile ihrer Opfer analysieren, spinnen Cyberkriminelle ein glaubhaftes Lügennetz zusammen. Auf diese Weise malen sie sich größere Erfolgschancen aus. 

Betrug per SMS: Die Entwicklung des Smishing

Da Smishing eine Art des Phishings ist, lohnt ein Blick auf die ersten Phishing-Attacken und ihren Ursprung, um auch die Geschichte des Smishings zu ergründen.

Der Begriff des „Phishing“ wurde um 1996 von Hackern geprägt, die AOL-Konten und -Passwörter gestohlen hatten. Der Begriff bezieht sich dabei auf die Verwendung von Ködern, wie etwa falschen E-Mails oder Websites, um im Meer der Internetnutzer nach vertraulichen Informationen zu „fischen”. Das Ersetzen des „f“ durch ein „ph“ ist eine Hommage an das „Phone Phreaking“, mit dem in den frühen 1970er Jahren Telefonsysteme gehackt wurden und das in der Szene als erster Hacking-Angriff gilt. 

Seitdem das Smartphone zum ständigen Begleiter der modernen Gesellschaft geworden ist, nutzen Kriminelle vermehrt Textnachrichten für ihre Machenschaften. Denn sie haben deren Effektivität erkannt: Auf eine Nachricht vom Lieferdienst oder der Bank handeln Smartphone-Nutzende unterwegs unachtsamer und spontaner als PC-User zu Hause. Das erhöht die Erfolgswahrscheinlichkeit der Cyberkriminellen. 

Da auch Mobilfunkanbieter Schwierigkeiten haben, wirksame Lösungen zu finden, um verdächtige Kurznachrichten von vornherein herauszufiltern, ist es wahrscheinlich, dass Smishing-Angriffe auch in den kommenden Jahren weiter zunehmen werden.

Was ist der Unterschied zwischen Smishing und Vishing?

Smishing und Vishing sind beides Techniken, die von Cyberkriminellen eingesetzt werden, um Zugang zu vertraulichen Daten zu erhalten oder Geräte mit Malware zu infizieren. Der größte Unterschied zwischen den beiden Varianten ist die Art der Übermittlung: Während beim Smishing SMS-Nachrichten verschickt werden, werden beim Vishing Sprachanrufe verwendet, um die Opfer zu täuschen.  

Smishing-Textnachrichten erwecken den Anschein, von einer seriösen Quelle zu stammen, wie etwa von einer Bank oder einer Behörde. In dem Text werden die Empfängerinnen und Empfänger dazu aufgefordert, auf einen Link zu klicken, der auf eine gefälschte Website führt, oder dazu, eine App herunterzuladen, die Malware – also etwa Viren oder Trojaner – enthält. 

Vishing ist durch den Telefonkontakt zum Opfer oft etwas raffinierter, obwohl auch diese Form des Betrugs mit einer Textnachricht beginnen kann, zum Beispiel, wenn die SMS eine Rufnummer enthält, die das Opfer anrufen soll. Die Gefahr bei Vishing-Angriffen: sie sind oft schon allein deswegen effektiver, weil die Menschen in der Regel unvorsichtig werden, wenn sie glauben, mit einer echten Person zu sprechen.

Zwei Handy-Bildschirme, einer mit einem eingehenden Vishing-Call und der andere mit einer Smishing-Attacke

So nehmen Cyberkriminelle ihre Opfer ins Visier

Auch wenn durch internetbasierte Messenger wie WhatsApp klassische Textnachrichten unbeliebter werden, ist die SMS für die Kommunikation zwischen Unternehmen und Kunden in ihrer Beliebtheit ungebrochen. Authentifikationsprozesse, offizielle Hinweise von der Post oder den Behörden: Da sie in SMS die Identität fast jeder seriösen Organisation vortäuschen können, ist die Zielgruppe der Betrüger sehr breit gefächert.  

Gerade Mitarbeitende sind ein beliebtes Einstiegstor für Cyberkriminelle, um an sensible Daten zu gelangen und dem arbeitgebenden Unternehmen zu schaden. Im Juli 2022 schickten Kriminelle Hunderte von Textnachrichten an Twilio-Mitarbeitende. Die Nachrichten enthielten Links zu falschen Anmeldeseiten, mit denen die Hacker die Multi-Faktor-Authentifizierung umgehen wollten. Einige Twilio-Mitarbeitende gaben ihre Anmeldedaten auf diesen Seiten ein, wodurch die Angreifenden Zugang zu internen Twilio-Verwaltungstools und -Anwendungen erhielten. 

Rufnummern zu finden, an die Fake-Nachrichten gesendet werden sollen, wird zudem immer einfacher. Denn neben dem Zugriff auf die Datenbanken gehackter Unternehmen nutzen Cyberkriminelle auch Listen, die etwa im Darknet verkauft werden. Erstellt werden diese Listen mithilfe sogenannter Crawler, die soziale Netzwerke und öffentliche Webseiten auslesen.  

Auch wenn Cyberkriminelle beim Smishing verschiedene Strategien für ihre Zwecke anwenden, ist die Vorgehensweise in der Regel ähnlich. Hier sind zwei typische Methoden, die Hacker nutzen, um über SMS zu betrügen:

Das Opfer gibt Daten weiter

  1. Der Betrüger sendet eine SMS an das Opfer und gibt vor, von einer seriösen Organisation zu kommen.
  2. Die Nachricht verleitet das Opfer, auf einen Link zu klicken oder eine Nummer anzurufen, um Informationen oder Kontodaten zu überprüfen.
  3. Das Opfer wird aufgefordert, persönliche (Finanz-)Daten wie Kontonummern, Passwörter, Sozialversicherungsnummern und Kreditkartennummern anzugeben.
  4. Der Betrüger speichert diese Daten und nutzt sie für weitere betrügerische Aktivitäten. 

Installation von Malware

  1. Der Betrüger sendet eine SMS an das Opfer und gibt vor, von einer seriösen Organisation zu kommen.
  2. Die Nachricht verleitet das Opfer dazu, auf einen Link zu klicken und eine App oder ein Software-Update herunterzuladen.
  3. Die App oder das Update enthält bösartige Software, die Malware auf dem Gerät des Opfers installiert.
  4. Die Schadsoftware kann Tastenanschläge verfolgen sowie persönliche (Finanz-)Daten ohne das Wissen oder die Zustimmung des Opfers sammeln.
  5. Der Betrüger speichert diese Daten und nutzt sie für weitere betrügerische Aktivitäten.

Bleiben Sie wachsam: Häufige Beispiele für Smishing

Cyberkriminelle nutzen verschiedene Arten des SMS-Betrugs und sind Meister der Manipulation. Um ihre Nachrichten zu verschleiern und an Hunderte von Usern gleichzeitig zu senden, nutzen Sie oft VoIP-Tools (Voice over Internet Protocol). Auf dem Display des Opfers sieht die Rufnummer dann so aus wie gewöhnlich.  

Viele Hacker haben neben diesen Tools effektive Taktiken für sich gefunden und perfektioniert. Lernen Sie also hier die gängigsten Beispiele für Smishing kennen, damit Sie ihnen nicht zu Opfer fallen:

Smishing bei Versanddienstleistungen

Beim Versand-Betrug geben sich die Angreifenden als örtliche Post, Amazon, FedEx oder andere Versandunternehmen aus. SMS dieser Kategorie beinhalten Links, über die die Empfängerinnen und Empfänger angeblich Pakete nachverfolgen oder Benutzereinstellungen anpassen sollen. Jedoch führen sie zu gefälschten Websites, auf denen die Opfer sensible Daten preisgeben oder schadhafte Software herunterladen.

Handy-Bildschirm, auf dem eine Smishing-Attacke zu sehen ist, die einen lokalen Versanddienstleister imitiert

Kundendienst-Smishing

Beim Kundendienst-Smishing greifen Kriminelle vertrauliche Kundendaten ab, indem sie sich in SMS als Kundendienst-Mitarbeitende ausgeben. Aufgrund ihrer großen Bekanntheit nutzen sie dafür gerne Technologie- und E-Commerce-Unternehmen wie Apple, Google oder Amazon. Oft warnen sie in ihren Nachrichten vor Problemen mit der Rechnungsstellung, dem Kontozugang oder ungewöhnlichen Aktivitäten.

Handy-Bildschirm, der eine Smishing-Attacke zeigt, die Apple's Kundenservice imitiert

Bank-Smishing

Viele Menschen nutzen mittlerweile Online-Banking oder andere Online-Finanzdienste. Deshalb tarnen Angreifende ihre Nachrichten gerne als Benachrichtigungen dieser Institutionen. Indem sie an die Verlustangst ihres Gegenübers appellieren oder die Neugier auf den Zugewinn einer großen Summe wecken, erhoffen sie sich einvernehmliches Handeln.

Handy-Bildschirm, der eine Smishing-Attacke zeigt, die eine Bank imitiert

COVID-Smishing

Cyberkriminelle sind skrupellos bei ihrer emotionalen Manipulation und nutzen als Aufhänger für ihre Angriffe gerne Ereignisse, die die Gesellschaft betreffen. Die Coronavirus-Pandemie ist eines dieser Ereignisse. Beim COVID-Smishing geben sich Angreifende als offizielle Quellen, wie etwa das Gesundheitsamt oder andere Behörden, aus.  

Im Jahr 2021, nur wenige Wochen nach Bekanntwerden der COVID-19 Omikron-Variante, wurden Einwohner Großbritanniens per SMS kontaktiert. Diese sollten über ein falsches Bestellformular ihre Daten für ein kostenloses Testkit preisgeben, darunter Namen, Adressen, Bankkonten und hochsensible Sicherheitsfragen. Auch wenn die Menschen heute weniger besorgt über die Pandemie sind, tauchen immer noch neue COVID-Betrügereien auf. Ein Beispiel dafür sind Nachrichten, in denen behauptet wird, das Opfer hätte sich möglicherweise angesteckt.

Handy-Bildschirm, der eine Smishing-Attacke zeigt, die behauptet, das Opfer wäre möglicherweise mit COVID-19 infiziert

MFA-Codes

Da SMS eine der am häufigsten verwendeten Methoden für die Multi-Faktor-Authentifizierung (MFA) ist, sind einige Smishing-Angriffe darauf ausgelegt, genau diese Codes zu stehlen. Dazu fordern die Angreifenden ihre Opfer auf, den per SMS empfangenen MFA-Code zu übermitteln, damit deren Identität verifiziert werden kann. Diesen Code nutzen die Kriminellen dann, um sich als User anzumelden und Zugang zu fremden Accounts zu erhalten.

Handy-Bildschirm, der eine Smishing-Attacke zeigt, die das Opfer zum Eingeben eines MFA-Codes drängt

So erkennen Sie Smishing-Angriffe

Um Betrugs-SMS zu erkennen, sollten Sie Ausschau nach Nachrichten halten, die persönliche Informationen fordern oder verdächtige Links enthalten. Überprüfen Sie bei ungewöhnlichen Nachrichten die Identität des Absenders, bevor Sie auf einen Link klicken oder persönliche Daten preisgeben. Hier sind einige Anzeichen, die typisch für eine Smishing-SMS sind:

  • Die Nachricht enthält einen Link, den Sie nicht erwartet haben. 
  • Die Nachricht enthält eine Download-Datei, die Sie nicht erwartet haben. 
  • Sie werden verzweifelt um Hilfe gebeten, meist um Geld. 
  • Ihnen wird zum Gewinn eines Wettbewerbs gratuliert, an dem Sie nicht teilgenommen haben. 
  • Die Nachricht enthält den Namen Ihrer Bank oder einer Marke, die Sie kennen. 
  • Sie werden aufgefordert, Ihre persönlichen Daten über einen Link oder eine Telefonnummer zu bestätigen. 

Sparen Sie sich die Folgen dieser Betrügereien, indem Sie früh die Anzeichen von Smishing-Angriffen erkennen und geeignete Maßnahmen ergreifen, um Ihre persönlichen Daten schützen.

So verhindern Sie, Opfer eines Smishing-Angriffs zu werden

Wachsam zu sein, proaktiv zu handeln und ein gesundes Misstrauen gegenüber ungewöhnlichen Nachrichten sind wirksame Wege, um Betrügern das Leben schwer zu machen. Hier sind weitere Möglichkeiten, um das Risiko eines Smishing-Angriffs zu reduzieren:

  • Reagieren Sie nicht. Neben dem Risiko, dass Malware auf Ihrem Gerät installiert wird, beweist dem Hacker allein die Reaktion auf eine Nachricht, dass ihre Rufnummer erreichbar ist. Auf diese Weise landen aktive Telefonnummern auf illegalen Listen, um sie im Darknet gewinnbringend zu verkaufen. 
  • Schauen Sie sich den Absender genau an. Rufen Sie im Zweifelsfall das jeweilige Unternehmen an und lassen Sie sich bestätigen, dass der Absender vertrauenswürdig ist. Rufen Sie niemals die Nummer an, die in der SMS angegeben ist, sondern suchen Sie die offizielle Nummer auf der Website des Unternehmens. 
  • Seien Sie skeptisch. Haben Sie bei einem unbekannten Preisausschreiben gewonnen? Bekommen Sie eine Benachrichtigung über eine Lieferung einer Bestellung, die Sie nicht aufgegeben haben? Lernen Sie, Wörter wie „sofort“ und „dringend“ als Alarmzeichen zu erkennen und klicken Sie nicht auf Links, wenn Sie vermuten, dass die Nachricht ein Betrug sein könnte. 
  • Schweigen ist Gold. Finanzinstitute und seriöse Händler werden Ihnen niemals eine SMS schicken, in der Sie nach Kontodaten oder einer PIN gefragt werden. Manchmal geben sich Betrüger sogar als Personen aus Ihrem näheren Umfeld aus – etwa als Familienmitglied, Freundin oder Kollege. Reagieren Sie daher erst, wenn Sie sicher sind, dass der Absender echt ist. 
  • Installieren Sie keine App über einen Link. Seriöse Unternehmen und Organisationen werden Sie niemals um Fernzugriff auf Ihr Gerät bitten, zum Beispiel, indem sie Sie auffordern, eine App zu installieren. Trauen Sie keiner Textnachricht, die Sie dazu auffordert, ein externes Programm auf Ihr Gerät zu laden. 
  • Schützen Sie Ihr Smartphone. Software für die Sicherheit Ihrer Geräte ist nicht nur für Ihren Laptop oder Ihr Tablet gedacht. Halten Sie das Betriebssystem Ihres Telefons auf dem neuesten Stand und überprüfen Sie die Sicherheitsfunktionen. Seien Sie vorsichtig und speichern Sie keine Bankdaten lokal auf Ihrem Smartphone. Denn was nicht gespeichert wurde, kann auch nicht gehackt werden. 
  • Klären Sie auf. Denken Sie daran, dass auch moderne Technologien nicht perfekt sind und dass fast jeder erfolgreiche Betrug auf menschlichem Verhalten beruht. Deshalb ist Awareness für Cybersicherheit so wichtig. 

Für Unternehmen sind E-Learnings und Awareness-Trainings nützliche Mittel, um Mitarbeitende zu schulen und für die Gefahren von Smishing-Angriffen zu sensibilisieren. Neben Phishing und Vishing sind Unternehmen gut beraten, auch über Smishing-Taktiken aufzuklären – sei es nur, um zu testen, welche Nutzenden besonders anfällig für diese Art von Angriffen sind.

Die Bedrohung durch Smishing nimmt zu: Wie können sich Unternehmen schützen?

Da die Anzahl der Smishing-Angriffe immer weiter zunimmt, müssen Unternehmen ihre Mitarbeitenden, Kunden und Daten proaktiv schützen. Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung und strenge Passwortrichtlinien können dazu beitragen, dass Unternehmen besser vor Smishing-Angriffen geschützt sind. Außerdem sollten Unternehmen ihre Systeme regelmäßig überprüfen, um sicherzustellen, dass neueste Sicherheitsstandards und -technologien verwendet werden. 

Technische Maßnahmen allein sind allerdings nicht genug, um Smishing-Angriffen vorzubeugen. Die erste und letzte Abwehrlinie bleiben die Mitarbeitenden. Regelmäßige Schulungen und Cyber-Security-Trainings sind die beste Möglichkeit, existenzielle Schäden zu verhindern. Nur mit diesen Maßnahmen können sich Unternehmen vor der wachsenden Bedrohung durch Smishing schützen. 

Mit seiner Awareness-Plattform bietet SoSafe motivierende Lernerfahrungen und realistische Angriffssimulationen, die Mitarbeitende dabei unterstützen, sich aktiv vor Online-Bedrohungen zu schützen – alles auf der Grundlage verhaltenswissenschaftlicher Erkenntnisse, damit das Lernen Spaß macht und effektiv ist. Vereinbaren Sie jetzt eine Produktdemo, um zu erfahren, wie Sie mithilfe verhaltensbasierter Erkenntnisse die Cyber Security Awareness in Ihrer Organisation erhöhen.

Bleiben Sie Cyberkriminellen immer einen Schritt voraus

Melden Sie sich für unseren Newsletter an, um die neuesten Beiträge zum Thema Informationssicherheit sowie News zu Events und Security-Ressourcen zu erhalten.
Immer up-to-date – immer sicher!

Newsletter visual

Wie sicher sind Sie vor Phishing-Angriffen? Testen Sie unsere Phishing-Simulation.

Jetzt Demo anfragen