Smishing – Phishing per Textnachricht auf dem Smartphone
Sichere Geräte
Per SMS, WhatsApp oder anderen Textnachrichtendiensten erhalten Nutzerinnen und Nutzer immer wieder Nachrichten, die zum Klicken eines Links auffordern. Es handelt sich dabei um das sogenannte «Smishing» – eine Wortschöpfung aus den Begriffen SMS (Kurznachrichten) und Phishing (Diebstahl von Zugangsdaten über gefälschte Nachrichten). Viele kennen Phishing-Angriffe über E-Mail, sind sich aber nicht bewusst, dass die gleiche Gefahr auch auf dem Smartphone lauert.
Smishing-Attacken zielen darauf ab, persönliche Daten zu stehlen und diese später für betrügerische Zwecke zu nutzen. Ähnlich wie beim Phishing funktioniert der Datenklau oftmals mit Hilfe von gefälschten Nachrichten. Der einzige Unterschied: Der Cyberangriff erfolgt nicht über E-Mail, sondern via SMS oder Messenger-Diensten wie WhatsApp. Das Fiese daran: Smishing-Angriffe sind erstaunlich gut durchdacht und können deshalb jeden treffen.
Viele Nutzer und Nutzerinnen kennen inzwischen Phishing und begutachten Ihren E-Mail-Eingang mit einem gesunden Misstrauen. Spam-Filter von E-Mail-Anbietern helfen zudem wirkungsvoll, Phishingversuche zu verhindern. Dieser automatisierte Schutzmechanismus fehlt grundsätzlich auf vielen Smartphones. Absender von SMS oder Textnachrichten gelten für die Empfänger oft als vertrauenswürdig und werden dementsprechend sorglos geöffnet.
Hinzu kommt, dass auf dem Handy alles ein bisschen kleiner dargestellt wird und schneller geht – man ist unterwegs, lässt sich häufig ablenken und reagiert viel eher auf eine Nachricht. Damit erfüllt man die Anforderungen der Smisher, die genau das provozieren, z.B:
- Die Preisgabe von persönlichen Informationen zu Online-Accounts (Identität, Apple-ID, Finanzdaten etc.)
- Das Klicken auf einen Link, der Malware auf das Gerät lädt.
- Der Abschluss eines Abonnements.
Wie Smisher vorgehen
Das Vorgehen ist dabei ähnlich wie beim Phishing via E-Mail: Oft wird Angst als Druckmittel verwendet. In den Nachrichten wird oftmals davor gewarnt, dass Zugänge gesperrt werden oder, dass das Konto der Betroffenen bereits gehackt wurde. In vielen Fällen handelt es sich aber auch um Anforderungen zur Rücksetzung des Passworts, um Nachrichten zur Authentifizierung von Konten, eine Aufforderung zur Aktualisierung Ihrer Nutzerdaten oder gar die Zustellung eines Postpaketes.
Eine verbreitete Smishing-Angriffsmethode verwendet Markennamen oder Namen bekannter Unternehmen mit Links, die angeblich auf die Website des Unternehmens führen. In der Regel teilt ein Angreifer dem Benutzer mit, dass er Geld gewonnen hat, oder bietet einen bösartigen Link an, der vorgibt, zur Verfolgung von Paketen zu dienen.
Die Nutzerinnen und Nutzer werden also zu einer schnellen Reaktion aufgefordert, ansonsten erwarten sie unangenehme Konsequenzen. Leider sind die Kurznachrichten zudem recht glaubwürdig.
«Die Nutzer werden zu einer schnellen Reaktion aufgefordert.»
Schützen Sie sich!
- Lassen Sie sich nicht unter Druck setzen und schauen Sie genau hin.
- Kontrollieren Sie den Absender und rufen Sie ihn gegebenenfalls an – aber nicht über die Telefonnummer, die in der Textnachricht erscheint, sondern über die offizielle Nummer.
- Öffnen Sie keine Dokumente, wenn Sie dem Absender nicht zu 100% vertrauen.
- Machen Sie die empfohlenen Updates auf Ihrem Smartphone.
- Für Android-Nutzer: Installieren Sie einen Virenschutz und eine Antispamsoftware.
- Haben Sie bereits geklickt oder Informationen eingegeben? Halten Sie sich an unsere Empfehlungen zur Ersten Hilfe bei einem Cyberunfall und melden Sie die Nachricht unbedingt dem Nationalen Zentrums für Cybersicherheit NCSC, kurz NCSC.
- Löschen Sie die Nachricht.
Weitere Informationen
Weitere Informationen und Beispiele zum Thema
Cybercrime PoliceZusätzliche Informationen und Tipps zu Smishing
Schweizerische KriminalpräventionMehr Information zu Cyberversicherungen
iBarry – Cyberversicherungen