Immer mehr Nutzer von privaten und geschäftlichen Smartphones erhalten SMS-Nachrichten, die zum Klicken eines Links auffordern. Es handelt sich dabei um das sogenannte „Smishing“ – eine Wortschöpfung aus den Begriffen SMS und Phishing.
Im Frühjahr 2021 gaben die Täter häufig vor, dass die Empfängerinnen und Empfänger der SMS bald ein Paket erhalten oder eine Sendung zurück an die Absenderin beziehungsweise den Absender gehen soll. In einigen der SMS-Texte ist sogar eine persönliche Anrede zu beobachten.
Smishing – SMS-Phishing
Phishing SMS mit gefährlichem Link (Bild: BSI).
Android-Nutzerinnen und -Nutzer bekommen über den Link in der SMS-Nachricht den Download einer App angeboten. Diese löst allerdings keines der vorgetäuschten Probleme, sondern späht lokale Adressdaten aus, verbreitet weitere schadhafte SMS-Nachrichten und führt Phishing-Angriffe durch. Dabei tarnen die Kriminellen die Schadsoftware z. B. als eine für die Paketverfolgung angeblich notwendige App von bekannten Logistikunternehmen wie FedEx oder DHL. Apple iOS-Anwenderinnen und -Anwender landen in der Regel auf Werbe- oder Phishing-Seiten.
Achtung: Neue Betrugsmethoden!
Seit Herbst 2021 greifen die Täter seltener auf gefälschte Paketbenachrichtigungen zurück. Stattdessen teilen sie den Empfängerinnen und Empfängern der SMS zum Beispiel mit, dass eine Sprachnachricht (engl. „Voicemail“) vorläge oder das Smartphone mit einem Schadprogramm infiziert sei. Hinter dem Link aus der Mitteilung befindet sich dann eine Anleitung zum Download der Sprachnachricht bzw. eines angeblichen Sicherheitsupdates. Erst wer diese Dateien herunterlädt, installiert die Schadsoftware der Betrüger.
Smishing lässt sich kaum stoppen
Daneben fallen Smishing-SMS auf, in denen den Empfängerinnen und Empfängern vorgetäuscht wird, dass ihre privaten Fotos geleakt wurden, weil sich eine Schadsoftware auf dem Handy befinden soll. Damit üben die Täter Druck aus und versuchen so, die Smartphone-Nutzerinnen und -Nutzer ebenfalls dazu zu bewegen, ein vermeintliches Sicherheitsupdate zu installieren. Auch in diesem Fall führt der Download zur Infektion des Systems.
Zwar haben die deutschen Provider Filtermaßnahmen ergriffen, um den Versand von Smishing-SMS zu unterbinden, jedoch können diese keinen vollständigen Schutz bieten, da die Täter ständig gegensteuern. So wird seit kurzem beobachtet, dass die Nachrichten manchmal absichtliche Buchstabendreher, Schreibfehler oder zufällige Zeichenketten enthalten, um die Spam-Filter der Mobilfunkbetreiber zu umgehen.