Cyberbetrug

So erkennen Sie Phishing-SMS

dj

8.3.2021

Cyberkriminelle phishen inzwischen auch per SMS.
Cyberkriminelle phishen inzwischen auch per SMS.
Getty Images

Immer mehr Phishing-Versuche laufen per SMS statt E-Mail ab. Woher kommt diese plötzliche Flut und wie kann ich mich schützen?

dj

8.3.2021

Betrug im Netz ist fast schon so alt wie dieses selbst. Zu den Klassikern gehört sicherlich das Phishing. Doch die meisten Phishing-Versuche per E-Mail landen heutzutage automatisch im Spam-Ordner, sie überhaupt erst vor die Augen von potenziellen Opfern zu bringen, ist für die Betrüger*innen schon eine hohe Hürde. Nicht verwunderlich also, dass Cyberkriminelle nach neuen Einfallstoren suchen.

Gefunden haben sie diese bei der guten, alten SMS. Eine SMS hat für die meisten Nutzer*innen einen höheren Stellenwert als ein E-Mail, die eigene Natelnummer gibt man ja schliesslich nicht jedem.

Den Erhalt einer Phishing-SMS (auch «Smishing» genannt) sollte man aber nicht persönlich nehmen. Ist man kein/e Multimillionär*in, Unternehmensführer*in oder Spitzenpolitiker*in, ist es eher unwahrscheinlich, dass man gezielt ins Visier genommen wurde. Stattdessen nutzen die Cyberkriminellen meistens aus riesigen Datenlecks zusammengestellte Datenbanken.

So läuft das Smishing ab

Wenn man eine gewisse Zeit im Netz unterwegs war, ist es fast unausweichlich, dass die eigenen persönlichen Informationen inklusive Telefonnummer Teil eines Datenlecks wurden und nun im Dark-Web verscherbelt werden. Der Versand der SMS erfolgt üblicherweise vollautomatisiert, erst wenn ein Opfer sich auf einen Dialog einlässt, übernehmen menschliche Betrüger*innen.

Die SMS enthält dann eine Nachricht, die wahr sein könnte. Die Post hat eine wichtige Sendung für Sie, beim Migros-Gewinnspiel haben Sie gross gewonnen oder die Kantonalbank will Ihnen neue TANs zuschicken, steht da dann etwa.

Die Wahrscheinlichkeit, dass man als Durchschnitts-Schweizer*in in den letzten Tagen mit diesen Unternehmen interagiert hat, ist relativ hoch und erhöht so die Plausibilität der Phishing-SMS. Auf die angezeigte Absendernummer darf man sich nicht verlassen. SMS ist eine fast 30 Jahre alte Technik, es ist relativ einfach, die Absendernummer zu fälschen.

Leider haben Sie nur Malware gewonnen.
Leider haben Sie nur Malware gewonnen.
sr

Bloss nicht dem Link folgen

Meistens ist in dem SMS dann noch ein Link enthalten, der weitere Informationen verspricht. Diesen aufzurufen, wäre der erste Fehler, den man machen könnte. Denn die Links sind häufig individualisiert. Ruft man ihn auf, wissen die Betrüger*innen zumindest schon einmal, welcher der Einträge in ihrer riesigen Datenbank noch mit einer funktionierenden Telefonnummer verbunden ist. Das ist dann eine Einladung für zukünftige Phishing-SMS.

Leider ist keine Post gekommen.
Leider ist nicht wirklich Post gekommen.
tjb

Wurde aber ein Opfer dazu verleitet, den Link zu besuchen, gibt es üblicherweise zwei Betrugsmaschen. Zum einen wird versucht, Zugangsdaten abzugreifen. Das erfolgt dann in der Regel mit einer nachgemachten Website. Zum anderen wird versucht, Malware auf den Smartphones der Opfer zu deponieren — hier sind Android-Nutzer*innen anfälliger als iPhone-Besitzer*innen.

Das sollte man tun

Das beste Vorgehen beim Erhalt einer Phishing-SMS ist also, überhaupt nicht zu reagieren. Wenn man möchte, kann man den Vorfall beim Nationalen Zentrum für Cybersicherheit melden. Dieses könnte so die Häufung einer bestimmter Art von Phishing-SMS erkennen und die Bevölkerung entsprechend warnen. Natürlich kann man auch die Organisation informieren, in deren Namen die Betrugs-SMS verschickt wurde.

Und selbst wenn man eher nicht glaubt, dass es sich um Phishing handelt, sollte man vorsichtig vorgehen. Bei einer SMS über eine vermeintliche Postsendung beispielsweise sollte man manuell die Seite Post.ch aufrufen, und dort die angegebene Sendungsnummer eingeben.

Bei einer vermeintlichen Nachricht von der Bank sollte man ebenfalls selbst die Website derselbigen aufrufen, indem man manuell deren Adresse in den Browser eintippt. Im digitalen Postfach der Bank kann man dann üblicherweise nachschauen, ob die Nachricht echt ist. Im Zweifelsfall kann man die Bank immer noch anrufen — und hier natürlich die auf der offiziellen Website angezeigte Nummer wählen und nicht eine allfällig in der SMS angegebene.