Was ist Smishing (SMS-Phishing)?

Smishing ist eine immer beliebter werdende Form von Cyberkriminalität. Laut Proofpoint-Bericht „State of the Phish 2024“ waren 75 % der Unternehmen im Jahr 2023 von Smishing-Angriffen betroffen.¹

Zum Anstieg der Smishing-Vorfälle haben mehrere Faktoren beigetragen. Zum einen wissen die Hacker hinter diesen Angriffen – manchmal auch „Smisher“ genannt –, dass die Opfer eher auf Links in Textnachrichten als auf andere Links klicken. Gleichzeitig haben Fortschritte bei den Spamfiltern für andere Kommunikationsmethoden dafür gesorgt, dass andere Formen von Phishing wie E-Mails und Telefonanrufe nicht mehr so leicht ihr Ziel erreichen. Der Spam-Ordner ist schon seit langer Zeit ein fester Bestandteil jedes E-Mail-Postfachs, und auch Telefonanrufe von verdächtigen Nummern werden heute auf vielen Smartphones direkt als möglicher Spam gekennzeichnet. Derartige Warnungen werden zwar auf einigen Geräten – aber eben nicht auf allen – auch für SMS angezeigt, allerdings entgehen diesem Feature dennoch regelmäßig Smishing-Nachrichten. 

Die Zunahme von Bring Your Own Device (BYOD) und Remote-Arbeitsplätzen hat ebenfalls dazu geführt, dass immer mehr Menschen ihre Mobilgeräte bei der Arbeit einsetzen, was es Cyberkriminellen erleichtert, über die Mobiltelefone der Mitarbeiter auf Unternehmensnetzwerke zuzugreifen.

Smishing-Angriffe ähneln anderen Arten von Phishing-Angriffen. Auch hier versuchen Betrüger, Personen mit gefälschten Nachrichten und schädlichen Links dazu zu verleiten, ihre Mobiltelefone, Bankkonten oder personenbezogene Daten zu kompromittieren. Der einzige wesentliche Unterschied ist das Medium. Bei Smishing-Angriffen verwenden Betrüger SMS oder Messaging-Apps wie WhatsApp oder Telegram, um Cyberkriminalität zu begehen, anstatt E-Mails zu senden oder Anrufe zu tätigen.

Betrüger ziehen Smishing aus verschiedenen Gründen anderen Arten von Phishing-Angriffen vor. Untersuchungen zeigen, dass Menschen eher auf Links in Textnachrichten klicken. Klaviyo berichtet, dass die SMS-Klickraten zwischen 8,9 % und 14,5 % liegen.² Zum Vergleich: E-Mails haben laut Constant Contact eine durchschnittliche Klickrate von 2 %.³

Darüber hinaus können Betrüger die Herkunft von Smishing-Nachrichten verschleiern, indem sie z. B. Telefonnummern mit Wegwerfhandys fälschen oder Software verwenden, um Texte per E-Mail zu versenden.

Außerdem ist es auf Mobiltelefonen nicht so leicht, gefährliche Links zu erkennen. Auf einem Computer können Benutzer ihre Maus über einen Link bewegen, um zu sehen, wohin er führt. Auf Smartphones haben sie diese Option nicht. Menschen sind es auch gewohnt, von Banken und Marken per SMS kontaktiert zu werden und verkürzte URLs in Textnachrichten zu erhalten.

Im Jahr 2020 verfügte die Federal Communications Commission (FCC), dass Telekommunikationsunternehmen das STIR/SHAKEN-Protokoll einführen. STIR/SHAKEN authentifiziert Anrufe und ist der Grund dafür, dass einige Mobiltelefone jetzt „Verdacht auf Spam“ oder „Möglicher Spamanrufer“ anzeigen, wenn verdächtige Nummern anrufen.

Diese Regel erleichterte zwar die Erkennung von Betrugsanrufen, hatte aber nicht denselben Effekt auf Textnachrichten, was viele Betrüger dazu veranlasste, sich auf Smishing-Angriffe zu konzentrieren.

Wie andere Formen des Social Engineering basieren die meisten Arten von Smishing-Angriffen auf dem sogenannten „Pretexting“, bei dem falsche Behauptungen aufgestellt werden, um die Emotionen der Opfer zu manipulieren und sie dazu zu bringen, auf die Forderungen eines Betrügers einzugehen. Dabei werden Betrüger überaus kreativ und gerissen und schrecken auch vor nicht drastischen Lügen oder bedrohlichen Aussagen zurück. Die folgenden Beispiele erläutern häufig genutzte Taktiken, bilden aber nur einen Bruchteil der Vielfalt von Smishing-Angriffen dar.

Betrüger können sich als die Bank des Opfers ausgeben, um ein vermeintliches Problem mit dem Konto zu melden, oft durch eine gefälschte Benachrichtigung, die dem Format und Wortlaut einer echten Benachrichtigung ähnelt. Wenn das Opfer auf den Link klickt, wird es auf eine gefälschte Website oder App weitergeleitet, die vertrauliche Finanzinformationen wie PINs, Anmeldeinformationen, Passwörter und Bankkonto- oder Kreditkarteninformationen stiehlt.

Nach Angaben der Federal Trade Commission (FTC) ist das Vortäuschen einer Bankverbindung der häufigste SMS-Betrug und macht 10 % aller Smishing-Nachrichten aus^.4

Betrüger können sich als Polizeibeamte, Finanzbeamte oder andere Behördenvertreter ausgeben. In diesen Smishing-Texten wird oft behauptet, dass das Opfer eine Geldstrafe zahlen oder sofort handeln müsse, um eine staatliche Leistung zu erhalten.

So warnte das Federal Bureau of Investigation (FBI) im April 2024 vor einem Smishing-Betrug, der auf US-Fahrer abzielt^.5 Die Betrüger versenden Textnachrichten, die vorgeben, von Mauteinzugsunternehmen zu stammen, und behaupten, dass die Zielperson unbezahlte Mautgebühren schuldet. Die Nachrichten enthalten einen Link zu einer gefälschten Website, die das Geld und die Informationen der Opfer stiehlt.

Angreifer geben sich als Kundenbetreuer bei vertrauenswürdigen Marken und Einzelhändlern wie Amazon, Microsoft oder sogar dem Mobilfunkanbieter des Opfers aus. In der Regel wird dabei behauptet, dass ein Problem mit dem Konto des Opfers oder eine nicht verfügbare Belohnung oder Rückerstattung vorliegt. Normalerweise leiten diese SMS das Opfer auf eine gefälschte Website, die der echten Website täuschend ähnlich sieht, um dann deren Kreditkartennummern, Bankdaten oder Kontodetails zu stehlen.

Diese Smishing-Nachrichten stammen angeblich von Versandunternehmen wie DHL, Hermes oder der Deutschen Post. Darin wird dem Opfer mitgeteilt, dass es ein Problem bei der Zustellung eines Pakets gab, und es wird aufgefordert, eine „Paketgebühr“ zu zahlen oder sich bei seinem Konto anzumelden, um das Problem zu beheben. Dann nehmen die Betrüger das Geld oder die Kontoinformationen und machen sich davon. Auch werden Menschen aufgefordert, eine angebliche Tracking-App herunterzuladen, bei der es sich in Wahrheit um gefährliche Malware handelt.

Bei der Kompromittierung geschäftlicher Textnachrichten (ähnlich der Kompromittierung geschäftlicher E-Mails, nur eben per SMS) geben Hacker vor, ein Chef, Mitarbeiter, Kollege, Lieferant oder Anwalt zu sein, der Hilfe bei einer dringenden Aufgabe benötigt. Diese Betrugsmaschen verlangen häufig ein sofortiges Handeln und enden damit, dass das Opfer Geld an die Hacker sendet.

Betrüger senden eine Nachricht, die offenbar für eine andere Person als das Opfer bestimmt ist. Wenn das Opfer den Betrüger auf den „Fehler“ hinweist, beginnt dieser ein Gespräch mit dem Opfer.

Diese Betrügereien mit angeblich falschen Telefonnummern sind in der Regel auf lange Sicht angelegt. Der Betrüger versucht, die Freundschaft und das Vertrauen des Opfers durch wiederholten Kontakt über Monate oder sogar Jahre zu gewinnen. Der Betrüger könnte sogar vorgeben, romantische Gefühle für das Opfer zu entwickeln. Das Ziel ist es, das Geld des Opfers durch eine betrügerische Investitionsmöglichkeit, eine Kreditanfrage oder eine ähnliche Geschichte zu stehlen.

Bei diesem Betrug, der als Multi-Faktor-Authentifizierungs-Betrug (MFA-Betrug) bezeichnet wird, versucht ein Hacker, der bereits über den Benutzernamen und das Passwort des Opfers verfügt, den Verifizierungscode oder das Einmalpasswort zu erlangen, das für den Zugriff auf das Konto des Opfers erforderlich ist.

Dafür gibt sich ein Hacker beispielsweise als einer der Freunde des Opfers aus und behauptet, aus seinem Instagram- oder Facebook-Konto ausgesperrt worden zu sein. Daraufhin bittet er das Opfer, einen Code für ihn zu empfangen. Das Opfer erhält einen MFA-Code – der eigentlich für sein eigenes Konto bestimmt ist – und gibt ihn an den Hacker weiter, der daraufhin sein Konto übernimmt.

Einige Smishing-Betrugsmaschen bringen Opfer zum Herunterladen scheinbar legitimer Apps (z. B. Dateimanager, digitale Zahlungs-Apps oder sogar Antiviren-Apps), bei denen es sich in Wirklichkeit um Malware oder Ransomware handelt.

Phishing ist ein weit gefasster Begriff für Cyberangriffe, die die Opfer durch Social Engineering dazu bringen, Geld zu zahlen, vertrauliche Informationen preiszugeben oder Malware herunterzuladen. Smishing und Vishing sind nur zwei Arten von Phishing-Attacken, die Hacker bei ihren Opfer anwenden können.

Der Hauptunterschied zwischen den verschiedenen Arten von Phishing-Attacken besteht in dem Medium, mit dem die Angriffe durchgeführt werden. Bei Smishing-Angriffen zielen Hacker auf ihre Opfer ab, indem sie Textnachrichten oder SMS verwenden. Bei Vishing-Angriffen (kurz für „Voice Phishing“) nutzen Hacker Sprachkommunikation wie Telefonanrufe und Sprachnachrichten, um sich als legitime Organisationen auszugeben und die Opfer zu manipulieren.

Um Smishing-Betrügereien zu bekämpfen, hat die FCC eine neue Vorschrift erlassen, die von Mobilfunkanbietern verlangt, wahrscheinliche Spam-Nachrichten von verdächtigen Nummern zu blockieren, einschließlich unbenutzter oder ungültiger Telefonnummern.⁶

Kein Spamfilter ist jedoch perfekt und Cyberkriminelle arbeiten ständig daran, diese Maßnahmen zu umgehen. Einzelpersonen und Unternehmen können zusätzliche Maßnahmen ergreifen, um ihre Abwehrmaßnahmen gegen Smishing-Angriffe zu stärken, einschließlich:

Die Betriebssysteme Android und iOS verfügen über integrierte Schutzfunktionen und Optionen zum Blockieren nicht genehmigter Apps und zum Filtern verdächtiger Texte in einen Spamordner.

Auf organisatorischer Ebene können Unternehmen Unified Endpoint Management (UEM)-Lösungen und Tools zur Betrugserkennung nutzen, um mobile Sicherheitskontrollen einzurichten, Sicherheitsrichtlinien durchzusetzen und böswillige Aktivitäten abzufangen.

Unternehmen können mehr Betrugsfälle stoppen, indem sie ihre Mitarbeiter darin schulen, die Warnzeichen für Cyberangriffe und Smishing-Versuche zu erkennen, z. B. ungewöhnliche Telefonnummern, unbekannte Absender, unerwartete URLs und ein erhöhtes Gefühl der Dringlichkeit.

Viele Unternehmen nutzen Smishing-Simulationen, um Mitarbeitern dabei zu helfen, neue Fähigkeiten im Bereich der Cybersicherheit zu üben. Diese Simulationen können Sicherheitsteams auch dabei helfen, Schwachstellen in Computersystemen und Unternehmensrichtlinien aufzudecken, die das Unternehmen für Betrug anfällig machen.

Unternehmen können diese Schwachstellen beheben, indem sie Tools zur Bedrohungserkennung mit Richtlinien für den Umgang mit sensiblen Daten, die Autorisierung von Zahlungen und die Überprüfung von Anfragen kombinieren, bevor sie darauf reagieren.