Vater, Mutter und Kind schauen aufs Handy.
Was tun, wenn man eine verdächtige Nachricht bekommt? Bildrechte: IMAGO/Westend61

Betrugsmasche Phishing per SMS - so schützen Sie sich

28. Oktober 2024, 17:17 Uhr

Achtung Betrugsversuch! Immer wieder versuchen Betrüger per SMS an Kontodaten und Passwörter zu kommen. Wie kann man Phishing erkennen und was kann man tun, wenn man darauf reingefallen ist?

Mal sollen mögliche Opfer ihr Konto verifizieren, mal durch den Klick auf einen Link ein Update für die Bankkarte auslösen. Phishing kommt in vielen Gewändern daher. Die Betrüger gehen durchaus gerissen vor, um ahnungslose Menschen hinters Licht zu führen.

Phishing erkennen

Doch die Masche folgt oft einem Muster: Nach einer persönlichen Anrede folgt die Aufforderung, auf einen Link zu klicken. Und dann ist es meist schon zu spät. Wer auf den Link klickt, installiert zum Beispiel eine App, die Daten vom Smartphone kopieren und weiterleiten kann.

Möglich ist auch, dass die App unbemerkt SMS über die Handynummer des Opfers verschickt oder anderen Schaden anrichtet. Meist lässt sich die App im Nachhinein nur schwer oder gar nicht deinstallieren. Oder man wird als nächstes dazu aufgefordert, Kontodaten einzugeben, die die Betrüger dann für Überweisungen nutzen.

Senior benutz Sprachsteuerung seines Smartphones
Die angebliche Sprachnachricht führt zu einer schädlichen App. Bildrechte: Colourbox.de

Besonders perfide: Text und Link in der Smishing-Nachricht können von Fall zu Fall unterschiedlich sein. Auch die Nummer des Absenders kann variieren. Und die Betrüger nutzen die Gutgläubigkeit der Handybesitzer: Denn es ist nicht ungewöhnlich, dass Mobilfunkanbieter eine SMS oder Banken Mails verschicken, um ihre Kunden zu informieren.

Allerdings kommen die immer von derselben Telefonnummer beziehungsweise Email-Adresse. Und: Die Banken weisen immer wieder daraufhin, dass sie ihre Kunden niemals dazu auffordern würden, persönliche Zugangsdaten und PINs per Mail oder das Telefon zu übermitteln.

Was ist Smishing?

Als "Smishing" bezeichnet man eine Form von "Phishing", bei der eine Textnachricht oder SMS verschickt wird. Wie beim Phishing auch ist das Ziel dieser Nachricht, sensible Daten von den Empfangenden zu sammeln. Das kann über eine Webseite, auf der man Passwörter und E-Mail-Adressen eingeben soll, passieren oder auch durch Installation einer App, die Daten ausliest und weitergibt. Es gibt auch Smishing-Anrufe, bei denen Betrüger versuchen, mit einer automatischen Bandansage Informationen vom Angerufenen zu bekommen.

Auf keinen Fall anklicken

Kunden sollten demnach auf keinen Fall auf den Link klicken. Solange man die SMS oder Email nur liest, passiert gar nichts. Nur mit der Handynummer können die Betrüger nämlich nichts anfangen. Außerdem sollte man nicht auf die Nachricht antworten und sie stattdessen löschen.

Die Nummer zu sperren ist möglich, schützt aber nicht unbedingt vor weiteren Betrugsversuchen, weil die SMS von verschiedenen Handynummern aus verschickt werden. Emails kommen ebenfalls oft von verschiedenen Email-Adressen. Einen Absender zu blockieren, hilft da nicht.

Generell schützt man sein Smartphone am besten, wenn man es regelmäßig updatet und Betriebssystem, Apps und den Virenschutz auf dem neuesten Stand hält. Die Drittanbietersperre, die man beim Mobilfunkanbieter einrichten kann, sorgt dafür, dass über die Handyrechnung keine Kosten abgerechnet werden können. Die kann auch nur für einzelne Kategorien gelten, zum Beispiel "Erotik" oder "Abos".

Ein Mann schreibt eine Nachricht auf einem Smartphone.
Wer unsicher ist, ob eine SMS oder Email Phishing ist, sollte lieber nicht auf den enthaltenen Link klicken. Bildrechte: imago images/Westend61

Wer unsicher ist, ob eine Mail von der Bank echt ist oder nicht, kann sich an den Kundenservice wenden oder sich über die Webseite der Bank - nicht per Klick auf den Link sondern über die Eingabe im Browser - einloggen und ins Bankpostfach schauen.

Aktuelle Phishing-Versuche

Die Verbraucherzentrale Nordrhein-Westfalen bietet einen Phishing-Radar an. Auf der Webseite werden häufige aktuelle Phishing-Versuche gemeldet und Verbraucher gewarnt. Wer unsicher ist, kann eine verdächtige Mail oder SMS auch an phishing@verbraucherzentrale.nrw weiterleiten. Die eingehenden Mails werden dann überprüft und ausgewertet.

...und wenn ich schon geklickt habe?

Wer auf so einen Link in der SMS klickt, sollte der Installation einer neuen App nicht zustimmen. Ist es auch dafür schon zu spät, sollte man als Erstes das Handy in den Flugmodus setzen, damit die Schadsoftware keine Daten über das Internet senden und empfangen kann.

Beweisfotos wie Screenshots helfen bei der Anzeige, die Betroffene ebenfalls erstatten sollten. Die Polizei sichert ggf. weitere Beweise, die sich noch auf dem Handy befinden. Außerdem sollte man seinen Mobilfunkanbieter informieren, falls es zu ungewöhnlichen Aktivitäten wie Massen-SMS kommt.

Die SMS wird am 3. Dezember 2017 25 Jahre alt. Mit dem Smartphone tippt eine Frau in einer gelben Bluse eine Textnachricht.
Wer auf den Link in einer Betrugs-SMS geklicht hat, sollte Beweise für den Betrug sichern. Bildrechte: Colourbox.de

Um die App wieder loszuwerden, kann man das Smartphone im abgesicherten Modus starten und nach zuletzt installierten Apps suchen. Das geht allerdings nicht mit allen Modellen. Im Zweifel hilft es nur, das Gerät auf die Werkseinstellungen zurückzusetzen oder ein Back-up von vor der Installation aufzuspielen. In jedem Fall sollte man alle Zugangsdaten, die im Handy gespeichert waren, ändern.

Es empfiehlt sich außerdem, die eigenen Konten im Blick zu behalten, falls Betrüger versuchen, Geld abzubuchen oder Zahlungen zu tätigen. Passiert das, sollte man sofort die Bank benachrichtigen. Ist durch die Betrugsmasche ein finanzieller Schaden entstanden, kann die Hausratversicherung helfen. Viele Verträge decken Schäden durch Phishing mit ab, wenn Betrüger zum Beispiel Einkäufe im Netz getätigt haben.

Spam-Nachrichten vorbeugen

Damit es gar nicht erst soweit kommt, sollte man mit seiner Handynummer und der Email-Adresse vorsichtig umgehen. Wer sie nur dann angibt, wenn es unbedingt erforderlich ist, kann das Risiko für gefährlichen Spam minimieren.

Vor unbekannten SMS schützt man sich mit der Einstellung, dass nur Nachrichten von eingespeicherten Kontakten zugestellt werden. Servicemails von Banken oder dem Mobilfunkanbieter kommen weiterhin an, wenn man sie als Kontakt einspeichert. Wer immer wieder von Spam betroffen ist, kann auch die Telefonnummer wechseln.

(Dieser Beitrag wurde erstmals am 17.07.2021 veröffentlicht.)

Quellen und weiterführende Links

BRISANT
Verbraucherzentrale
Bundesamt für Sicherheit in der Informationstechnik
wikipedia.de

Dieses Thema im Programm: Das Erste | BRISANT | 30. Mai 2023 | 17:15 Uhr

Weitere Themen