Responsive image

on air: 

Leslie Runde
---
---
smishing
SMS und Phishing = Smishing

Smishing – Wenn die Kriminellen per SMS „anklopfen“

Smishing-SMS mit neuer Voicemail

21. September 2021

  • Smishing ist eine Betrugsvariante des schon in der breiten Öffentlichkeit häufig bekannten Phishing. Die Opfer werden dabei per SMS angeschrieben.
  • Aktuell sind zwei Varianten im Umlauf, u.a. auch eine SMS mit dem Betreff „Neue Voicemail“.
  • Die Verbraucherzentralen warnen eindringlich davor, Links in unbekannten SMS anzuklicken.

Smishing – die Fortsetzung von Phishing

SMS und Phishing = Smishing: So erläutert das Bundesministerium für Sicherheit in der Informationstechnologie (BSI) die Wortschöpfung. Dahinter steckt ein Betrugsversuch per SMS. Kriminelle verschicken Kurznachrichten, in denen die Opfer aufgefordert werden, eine Telefonnummer anzurufen oder einen Link anzuklicken. Die Betrugsziele sind unterschiedlich: Entweder geht es den Kriminellen darum, die Opfer auf gefälschte Websites zu locken, um dort dann Abofallen zu platzieren, oder es werden Apps installiert, die Nutzerdaten ausspähen oder die massenweise SMS an unsere Kontakte versenden. Erstmals aufgetreten sind Smishing-Nachrichten im November 2020, eine erste, in der breiten Öffentlichkeit bekannt gewordene Smishing-Welle verzeichnete das BSI um Ostern diesen Jahres.

„Ihr Paket hat Verspätung. Jetzt Lieferung bestatigen: *Link*“

So oder ähnlich klingen die Smishing-Nachrichten, vor denen aktuell die Verbraucherzentralen warnen. Ähnlich wie um Ostern geht es auch in der aktuellen Smishing-Welle wieder um das Thema Paketnachverfolgung. Um die Glaubwürdigkeit zu erhöhen, werden teilweise Paketdienste explizit benannt, manche Smishing-Nachrichten sind sogar personalisiert. Die Textzeilen variieren zwar, gemein ist ihnen aber häufig eine fehlerhafte Schreibweise und vor allem die Aufforderung auf einen Link zu klicken. Eine zweite gerade aktuelle Masche arbeitet mit der Nachricht „Neue Voicemail“ oder „Sie haben einen Anruf verpasst“. Auch hier wird ein Link angeboten, um die vermeintliche Nachricht anzuhören. Die Verbraucherzentralen haben die unterschiedlichen Formulierungen der aktuellen Smishing-Angriffe gelistet. Hier eine Übersicht der verwendeten Texte der Paketdienst-SMS  und hier eine Übersicht für Voicemail-Angriffe.

„Links nicht anklicken!“ „Apps nicht runterladen!“

So lauten zwei klare Empfehlungen der Verbraucherschützer, um nicht in die Fallen der Smishing-Betrüger zu geraten. Dabei beziehen sich die eindeutigen Handlungshinweise auf den Linkversand in SMS mit unbekannter Herkunft. Entsprechende verdächtige SMS sollen wir im Zweifel einfach direkt löschen. Wenn wir ein Paket erwarten, hilft dann eher der klassische Anruf oder eine schlichte E-Mail-Nachfrage bei unserem Paketversender. Für die Voicemal-Smishing-Versuche empfehlen die Verbraucherzentralen:

„Achten Sie genau auf die Nummer des Absenders. Ihre Mailbox sendet Nachrichten immer von der gleichen Nummer. Welche das ist, erfahren Sie von Ihrem Mobilfunkanbieter.“

Die Katastrophe?

Leider geht es sekundenschnell – einmal kurz nicht aufgepasst und wir haben den Link doch angeklickt. Dann gilt es zunächst, Ruhe zu bewahren, das Smartphone in den Flugmodus zu setzen und Beweise zu sichern in Form von Screenshots. So können wir später den Angriff belegen und bei der Polizei Anzeige erstatten. Anschließend sollten wir das Smartphone im gesicherten Modus versuchen, neu zu starten, um dann nach kürzlich hochgeladenen Apps zu suchen. Sollte uns dabei eine unbekannte App auffallen, sollten wir diese löschen. Nicht schaden kann auch ein Virenscan. Im schlimmsten aller Fälle müssen wir uns Smartphone in den Auslieferungszustand zurücksetzen einhergehend möglicherweise mit unser aller Alptraum, dem Verlust unserer Daten. Dann hilft nur noch eine aktuelles BackUp unserer Daten z. B. aus der Cloud.

Der neueste Betrugs-Weg: Vishing

Der Name setzt sich zusammen aus „Voice“ und Phishing“. In diesem Fall versuchen Kriminelle die Opfer am Telefon dazu zu bringen, persönliche Daten und Informationen preis zu geben. Häufig recherchieren sie schon im Vorfeld über soziale Medien einige persönliche Fakten, um anschließend im Telefonat das Vertrauen zu gewinnen.

„Der Startschuss einer solchen Attacke ist unter anderem eine fälschlich erhaltene Kontobuchung oder die vermeintliche Sperrung des PCs“

So schreibt es das Online-Portal daily-net. Auf Basis dieser Buchung/PC-Sperrung werden die Opfer anschließend angerufen. Zur Klärung werden dann z. B. die Kontodaten oder andere persönliche Details erfragt. Sollten wir einen Verdacht bei einem entsprechenden Telefonat hegen, empfehlen Experten, sich die Telefonnummer geben zu lassen und selbst zurückzurufen. Allerdings ist diese Betrugsmasche bislang auch (noch) recht selten.  


Der wöchentliche Blick ins Web

Eine Person die eine Computertastertur mit Maus bedient


Das Internet schläft nicht - ständig gibt es neue Trends, neue Plattformen, neue Apps und täglich Veränderungen. Mit uns behaltet ihr den Überblick - denn wir präsentieren Ihnen hier jede Woche was es Neues gibt in der digitalen Welt.