Geschrieben von: Roland Herrmann
In Deutschland rollt aktuell eine Welle von SMS-Betrugsversuchen über die Smartphones der Bürger. Cyberkriminelle nutzen dabei immer ausgefeiltere Methoden, um an persönliche Daten und letztendlich an das Geld ihrer Opfer zu gelangen. Die sogenannte “Smishing”-Masche – eine Kombination aus SMS und Phishing – verursacht mittlerweile Schäden in Millionenhöhe. Verbraucherschutzorganisationen und Sicherheitsbehörden schlagen Alarm und warnen vor der zunehmenden Raffinesse der Betrüger.
Smishing ist nicht neu, aber nimmt aktuell immer mehr zu. Es gibt Merkmale, die betrügerische SMS entlarven.
- In Deutschland werden verstärkt Fälle von SMS-Betrug, auch als Smishing bekannt, gemeldet. Verbraucherzentralen und Polizei warnen wiederholt von immer neuen Maschen.
- Besonders verbreitet sind Anlagebetrug, Bußgeldbetrug und Online-Banking-Betrug. Die Drahtzieher befinden sich im Ausland und sind meist schwer zu fassen.
- Es gibt allerdings diverse deutliche Merkmale betrügerischer SMS, wenn man weiß, worauf man zu achten hat.
Aktuelle Smishing-Fälle alarmieren Behörden und Banken
Deutschland und Europa erleben derzeit eine regelrechte Flut betrügerischer SMS-Nachrichten. In Oberösterreich entstand allein in zwei Wochen ein Schaden von über 800.000 Euro durch eine massive Betrugswelle mit gefälschten Bank-SMS. Der durchschnittliche Schaden pro Fall liegt dabei zwischen 4.000 und 6.000 Euro, in Einzelfällen reicht er sogar in den fünfstelligen Bereich.
Besonders häufig treten aktuell folgende Betrugsszenarien auf:
- Trading-Portale und Finanzdienstleister stehen im Zentrum zahlreicher Angriffe. Die Bundesnetzagentur verzeichnet vermehrt Beschwerden über SMS, die im Namen von Trading-Plattformen für Finanzprodukte versendet werden. Diese geben vor, dass eine Auszahlung vom Konto beantragt oder ein VideoIdent-Verfahren eingeleitet worden sei.
- Gefälschte Bußgeldbescheide verunsichern Autofahrer bundesweit. Cyberkriminelle versenden massenhaft täuschend echte SMS mit angeblichen Strafzetteln und drohen mit Kfz-Abmeldung. Die Masche nutzt gezielt die Autorität staatlicher Stellen und die Angst vor rechtlichen Konsequenzen aus.
- Bankkunden werden ebenfalls ins Visier genommen. Betrüger erschleichen sich per SMS Online-Banking-Daten und räumen Konten in Minuten leer. Die Täter setzen dabei auf professionell gestaltete Phishing-Webseiten, die kaum von den Originalen zu unterscheiden sind.
So gehen die Betrüger vor
Smishing ist eine Kombination aus Phishing und SMS. Laut der Bundesnetzagentur ist es eine Form des Phishings, die speziell über SMS funktioniert. Das Grundprinzip bleibt dabei stets gleich: Die Kriminellen versenden massenhaft SMS-Nachrichten, die vermeintlich von vertrauenswürdigen Institutionen stammen.
Der typische Ablauf eines Smishing-Angriffs folgt einem klaren Muster. Zunächst erhalten potenzielle Opfer eine SMS mit einem dringenden Anliegen. Die Nachricht enthält fast immer einen Link, der angeblich zur Lösung des Problems führt. Psychologischer Druck wird durch Drohungen oder zeitliche Begrenzungen aufgebaut – etwa die Ankündigung einer Kontosperrung oder drohender rechtlicher Konsequenzen.
Täuschend echte Webseiten
Nach dem Klick auf den Link werden die Opfer auf gefälschte Webseiten weitergeleitet. Diese imitieren täuschend echt die Portale bekannter Dienstleister oder Behörden. Dort werden dann sensible Daten abgefragt – von Kreditkarteninformationen über Online-Banking-Zugänge bis hin zu persönlichen Informationen.
Bei einigen Varianten folgt sogar ein Anruf der Betrüger. Diese geben sich als Mitarbeiter der jeweiligen Institution aus und erschleichen weitere Freigaben. Das Ziel bleibt stets dasselbe: die Preisgabe von Passwörtern, der Fernzugriff auf die Geräte der Opfer oder die Durchführung unautorisierter Transaktionen.
Bei Android-Geräten birgt ein Klick auf den Link zusätzliche Gefahren. In einigen Fällen wird beim Anklicken eine schädliche APK-Datei zum Download angeboten. Wird diese Malware installiert, kann sie weitreichende Kontrolle über das Smartphone erlangen – von der Ausspähung von Banking-Daten bis hin zum Abfangen von SMS-Nachrichten, wodurch die Zwei-Faktor-Authentifizierung umgangen werden kann.
So erkennst du Smishing-Versuche
Die Identifikation betrügerischer SMS-Nachrichten wird durch die zunehmende Professionalität der Kriminellen erschwert. Dennoch existieren einige charakteristische Merkmale, die auf einen Betrugsversuch hindeuten können.
- Unerwartete Dringlichkeit stellt ein erstes Warnsignal dar. Legitime Institutionen setzen ihre Kunden selten unter zeitlichen Druck oder drohen mit sofortigen negativen Konsequenzen. SMS mit Formulierungen wie “sofort handeln” oder “innerhalb von 24 Stunden” sollten daher grundsätzlich mit Skepsis betrachtet werden.
- Links in SMS von unbekannten Absendern bilden ein weiteres Erkennungsmerkmal. Seriöse Banken, Behörden oder Dienstleister fordern ihre Kunden niemals über SMS auf, sensible Daten über einen Link einzugeben. Besondere Vorsicht ist geboten, wenn die Kurz-URLs keine eindeutige Zuordnung zur angeblichen Institution erkennen lassen.
- Grammatikalische Fehler oder ungewöhnliche Formulierungen können ebenfalls auf einen Betrugsversuch hindeuten. Obwohl professionelle Betrügerbanden mittlerweile häufig fehlerfreie Texte verwenden, lohnt sich ein genauer Blick auf Sprachstil und Rechtschreibung.
- Die geforderten Daten geben ebenfalls Aufschluss über die Seriosität einer Anfrage. Keine legitime Institution würde per SMS komplette Zugangsdaten, PINs, TANs oder Kreditkartendaten inklusive Prüfnummer abfragen. Jede derartige Anforderung ist ein klares Indiz für einen Betrugsversuch.
Maßnahmen für Betroffene: Was tun nach einem Smishing-Angriff?
Wer bereits Opfer eines Smishing-Angriffs geworden ist, sollte umgehend handeln, um den Schaden zu begrenzen. Eine schnelle Reaktion kann entscheidend sein, um finanzielle Verluste zu minimieren oder ganz zu verhindern.
- Die sofortige Kontaktaufnahme mit der Bank stellt den ersten wichtigen Schritt dar. Bei der Preisgabe von Banking-Daten sollten umgehend alle betroffenen Zugänge gesperrt und Passwörter geändert werden. Die Bank kann zudem unautorisierte Transaktionen möglicherweise noch stoppen, wenn sie frühzeitig informiert wird.
- Eine Anzeige bei der Polizei sollte in jedem Fall erstattet werden. Dies ist nicht nur für die Strafverfolgung wichtig, sondern dient auch als Dokumentation für mögliche Erstattungsansprüche gegenüber der Bank. Viele Banken verlangen einen polizeilichen Nachweis für die Bearbeitung von Betrugsschäden.
- Die Überprüfung des eigenen Geräts auf Schadsoftware ist ebenfalls unverzichtbar. Besonders Android-Nutzer, die möglicherweise schädliche APK-Dateien installiert haben, sollten ihr Gerät gründlich prüfen oder professionelle Hilfe in Anspruch nehmen. Bei Verdacht auf Malware empfiehlt sich oft ein Zurücksetzen auf Werkseinstellungen.
Grundsätzlich müssen Banken nicht autorisierte Zahlungen nach § 675u BGB erstatten. Allerdings gibt es eine wichtige Einschränkung: Handelte der Kunde grob fahrlässig, kann die Bank die Erstattung verweigern. Gerichte stufen die Weitergabe von PIN und TAN auf eine SMS-Aufforderung oft als grobe Fahrlässigkeit ein. Die Durchsetzung von Ansprüchen kann daher komplex werden.
Präventive Schutzmaßnahmen gegen trug per SMS
Die Prävention bildet den effektivsten Schutz gegen Smishing-Angriffe. Einige grundlegende Verhaltensregeln können das Risiko, Opfer von Betrügern zu werden, erheblich reduzieren.
- Die wichtigste Regel lautet: Niemals auf Links in unerwarteten oder unbekannten SMS klicken. Verdächtige Nachrichten sollten sofort gelöscht werden, ohne auf enthaltene Links zu tippen oder auf die Nachricht zu antworten. Jede Reaktion zeigt den Betrügern, dass die Handynummer aktiv genutzt wird.
- Die Installation zusätzlicher Sicherheitsmaßnahmen bietet weiteren Schutz. Viele Smartphones oder Sicherheits-Apps verfügen über Spam-Filter, die die Zahl betrügerischer SMS reduzieren können. Die Aktivierung dieser Funktionen ist ratsam. Android-Nutzer sollten zudem die Installation von Apps aus unbekannten Quellen deaktivieren.
- Direkte Kontaktaufnahme mit der betreffenden Institution über offizielle Wege stellt sicher, dass man mit den richtigen Ansprechpartnern kommuniziert. Bei Unsicherheit sollte die Institution über ihre offizielle Website oder eine bekannte Telefonnummer kontaktiert werden – niemals über die in der verdächtigen SMS angegebene Nummer.
- Regelmäßige Updates des Betriebssystems, der Apps und der Virenschutzsoftware schließen bekannte Sicherheitslücken und erhöhen den Schutz vor Angriffen. Diese grundlegende Sicherheitsmaßnahme wird oft vernachlässigt, ist aber unverzichtbar.
- Die Einrichtung einer Drittanbietersperre beim Mobilfunkanbieter kann zudem verhindern, dass über die Handyrechnung Zahlungen an Betrüger erfolgen. Diese Maßnahme ist besonders wichtig, wenn das Gerät auch von Kindern oder weniger technikaffinen Personen genutzt wird.
Wachsamkeit als bester Schutz
Die aktuelle Smishing-Welle in Deutschland zeigt, dass digitale Betrugsmaschen ein wachsendes Problem darstellen. Die finanziellen Schäden für Betroffene können erheblich sein und reichen oft in den vier- bis fünfstelligen Bereich. Die Täter setzen dabei auf eine Mischung aus psychologischem Druck, professioneller Täuschung und technischen Tricks.
Der technologische Fortschritt ermöglicht es den Kriminellen, ihre Methoden stetig zu verfeinern und immer überzeugendere Betrugsversuche zu starten. Experten rechnen daher mit einer weiteren Zunahme solcher Angriffe. Das oberste Gebot für Verbraucher lautet: Nicht unter Druck setzen lassen und kritisch bleiben.
Gesundes Misstrauen gegenüber unerwarteten Nachrichten, die Vermeidung von Links in SMS und die Nutzung offizieller Kommunikationswege bilden die Grundpfeiler der digitalen Selbstverteidigung. Die Kombination aus Aufmerksamkeit, Vorsicht und technischen Schutzmaßnahmen bietet den besten Schutz vor den finanziellen und persönlichen Folgen von Smishing-Angriffen.
