Smishing erkennen: Betrugs-SMS entlarven und richtig reagieren

Smishing erkennen: Betrugs-SMS entlarven und richtig reagieren

Du bekommst eine SMS, dass ein Paket festhängt, ein Zoll offen ist oder dein Konto gesperrt wird, und darunter ein Link. Das ist mit hoher Wahrscheinlichkeit Smishing, also Phishing per Kurznachricht. Das Wort setzt sich aus SMS und Phishing zusammen. Die Absender wollen, dass du auf den Link tippst, dort Daten eingibst oder eine App installierst. Die gute Nachricht: Diese Nachrichten folgen fast immer demselben Muster. Kennst du es, entlarvst du sie in Sekunden. Diese Anleitung zeigt dir die Erkennungsmerkmale, die häufigsten Maschen und was du tust, wenn du schon geklickt hast.

Talkis Tipp. Die eine Regel, die dich vor fast allem schützt: Tippe nie auf einen Link in einer unerwarteten SMS. Erwartest du wirklich ein Paket, öffne die Sendungsverfolgung selbst über die App oder die Webseite des Dienstleisters und gib die Sendungsnummer dort von Hand ein. Genau das raten BSI und Verbraucherzentrale. Ein echter Absender zwingt dich nie über einen SMS-Link zur Eile. — Talki, dein Berater

Das Wichtigste in Kürze

  • Nicht klicken, löschen. Hast du den Link noch nicht angetippt, rät das BSI: nicht öffnen und die Nachricht löschen.
  • Erkennungsmerkmale: unerwartete Nachricht, Zeitdruck, ein Link, der nicht zur echten Domain passt, sowie Schreibfehler, gerade bei Umlauten.
  • Häufigste Maschen: angebliche Paketprobleme, verpasste Sprachnachrichten, Konto- oder Bankwarnungen und offene Gebühren oder Zollkosten.
  • Gib nie Daten ein und installiere keine App, zu der dich eine SMS drängt.
  • Schon geklickt? Schalte das Handy in den Flugmodus, ändere betroffene Passwörter über ein anderes Gerät und informiere bei Zahlungsdaten sofort deine Bank.
  • Melden: verdächtige SMS an die Bundesnetzagentur (SMS-Spam), bei Schaden Anzeige bei der Polizei.

So erkennst du eine Betrugs-SMS

Smishing-Nachrichten wirken auf den ersten Blick echt, verraten sich aber an wiederkehrenden Merkmalen. Prüfe eine SMS an diesen Punkten:

  • Du erwartest die Nachricht nicht. Ein Paket, das du nie bestellt hast, ein Konto, das du nicht besitzt, ein Gewinn, an dem du nie teilgenommen hast. Unerwartet ist das erste Warnzeichen.
  • Zeitdruck und Drohung. Formulierungen wie „nur noch heute", „innerhalb von zwölf Stunden" oder „Ihr Konto wird gesperrt" sollen dich zum schnellen, unüberlegten Tippen bringen. Seriöse Absender setzen dich nicht per SMS unter Druck.
  • Der Link passt nicht zur Marke. Echte Dienstleister nutzen ihre eigene Domain. Steht in der Adresse etwas wie „dhl.de-paket-tracking.com", ist die eigentliche Domain nicht dhl.de, sondern der Teil direkt vor dem ersten einzelnen Schrägstrich. Verkürzte Links verschleiern das Ziel zusätzlich.
  • Schreibfehler und krude Zeichen. BSI und Verbraucherzentrale nennen Fehler gerade bei Umlauten wie ä, ö, ü sowie eingestreute Sonderzeichen als typisches Merkmal. Die dienen den Absendern auch dazu, Spam-Filter zu umgehen.
  • Eine unbekannte oder ausländische Nummer, deren Text sich aber an dich persönlich richtet.

Ein einzelnes Merkmal reicht zum Misstrauen. Kommen mehrere zusammen, ist die Sache klar.

Die häufigsten Maschen

Die Verbraucherzentrale beobachtet vor allem diese Varianten. Sie wechseln im Detail, das Grundmuster bleibt gleich:

  • Das Paket hängt fest. „Aufgrund unvollständiger Adressangaben kann Ihr Paket nicht zugestellt werden." Der Link führt auf eine nachgebaute Seite eines Paketdienstes, wo du Adresse, Daten oder eine kleine Gebühr eingeben sollst.
  • Die verpasste Sprachnachricht. Eine SMS meldet eine neue Voicemail und drängt dich, sie über einen Link abzuhören. Dahinter steckt keine Nachricht, sondern eine Fangseite oder eine schädliche App.
  • Konto- oder Bankwarnung. Angeblich wurde dein Konto gesperrt oder ein verdächtiger Login erkannt. Du sollst dich „zur Bestätigung" einloggen, in Wahrheit auf einer gefälschten Seite, die deine Zugangsdaten abgreift.
  • Offene Gebühr oder Zoll. Für ein Paket sei noch ein kleiner Betrag fällig. Die Summe ist bewusst niedrig, damit du sie ohne Nachdenken zahlst und dabei deine Kartendaten preisgibst.

Allen gemeinsam: Sie behaupten ein Problem, das nur ein Klick lösen soll. Genau dieser Klick ist die Falle.

Was du bei einer verdächtigen SMS tust

Solange du noch nichts angetippt hast, ist die Lage harmlos. Halte dich an die Reihenfolge von BSI und Verbraucherzentrale:

  • Nicht auf den Link tippen. Auch nicht „nur zum Anschauen".
  • Nicht antworten. Eine Antwort bestätigt den Absendern nur, dass deine Nummer aktiv ist.
  • Selbst nachsehen. Erwartest du ein Paket, öffne die offizielle App oder Webseite des Dienstleisters und gib die Sendungsnummer von Hand ein. Bei einer Bankwarnung rufst du deine Bank über die Nummer auf deiner Karte oder der offiziellen Seite an, nie über eine Nummer aus der SMS.
  • Löschen. Danach die Nachricht entfernen.

Vorbeugend hilft eine Drittanbietersperre bei deinem Mobilfunkanbieter, damit über deine Rechnung keine fremden Beträge laufen. Auf Android-Geräten lässt du die Installation von Apps aus unbekannten Quellen am besten deaktiviert.

Schon geklickt oder Daten eingegeben?

Kein Grund zur Panik, aber jetzt zählt schnelles, ruhiges Handeln. So gehst du vor:

  • Flugmodus an. Das BSI rät, das Gerät sofort aus dem Mobilfunknetz zu nehmen. Der Flugmodus unterbindet weiteren SMS-Versand über dein Handy und die Kommunikation möglicher Android-Schadsoftware mit anderen Geräten.
  • Nichts installiert lassen. Hast du auf Aufforderung eine App installiert, entferne sie wieder. Auf Android hilft dabei der abgesicherte Modus, in dem fremde Apps nicht mitlaufen.
  • Passwörter ändern. Hast du Zugangsdaten auf einer gefälschten Seite eingegeben, ändere sie umgehend über ein anderes, sauberes Gerät. Nutzt du dasselbe Passwort mehrfach, tausche es überall, wo es im Einsatz ist.
  • Bank informieren. Hast du Karten- oder Kontodaten preisgegeben, kontaktiere sofort deine Bank über die offizielle Nummer und lass Karte oder Zahlungen sperren.
  • Anbieter informieren und Anzeige erstatten. Melde den Vorfall deinem Mobilfunkanbieter und erstatte bei entstandenem Schaden Anzeige bei der Polizei.

Wenn du danach unsicher bist, ob auf dem Gerät noch etwas hängt, ist ein Zurücksetzen auf Werkseinstellungen der gründlichste Schnitt, danach spielst du deine Daten aus einem Backup zurück. Wie du das sauber machst, steht im Ratgeber Daten sicher löschen.

Wo du Smishing meldest

Melden hilft nicht nur dir, sondern lässt Rufnummern und Seiten schneller abschalten:

  • Bundesnetzagentur. Verdächtige SMS meldest du über das Beschwerdeformular der Bundesnetzagentur zum Rufnummernmissbrauch. Sie geht solchen Nummern nach.
  • Polizei. Ist ein Schaden entstanden oder wurden Daten abgegriffen, erstatte Anzeige, online über die Onlinewache deines Bundeslands oder auf der Dienststelle.
  • Aktuelle Warnungen sammelt der Phishing-Radar der Verbraucherzentrale, dort siehst du, welche Maschen gerade kursieren.

Warum ein aktuelles Gerät mitschützt

Smishing zielt auf den Menschen, nicht auf eine Sicherheitslücke im Handy, deshalb schützt kein Gerät allein davor. Aufmerksamkeit ist der beste Schutz. Trotzdem spielt dein Gerät eine Rolle: Klickst du versehentlich auf einen Link mit Schadcode, fängt ein aktuelles Betriebssystem viel eher ab als ein Modell, das keine Updates mehr bekommt. Für welchen Zeitraum die Hersteller Updates liefern, erklärt der Ratgeber Wie lange ein Smartphone Updates bekommt.

Bei uns bekommst du geprüfte Geräte, neu oder generalüberholt, die noch im Update-Zeitraum liegen. Ein generalüberholtes Smartphone durchläuft dabei die Prüfung im Haus. Stöbern kannst du im ganzen Smartphone-Sortiment. Ob dein Handy überhaupt ein zusätzliches Schutzprogramm braucht, klärt der Ratgeber Brauche ich einen Virenschutz fürs Smartphone.

Talkis Empfehlung

Merk dir einen einzigen Reflex, dann bist du gegen die meisten Betrugs-SMS gewappnet: Bei jeder unerwarteten Nachricht mit Link und Zeitdruck tippst du nicht, sondern prüfst selbst über die offizielle App oder Webseite. Kein Paketdienst und keine Bank verlangt Daten über einen SMS-Link. Richte zusätzlich die Drittanbietersperre ein, halte dein Betriebssystem aktuell und sichere die wichtigsten Konten mit Zwei-Faktor-Authentifizierung ab. Wie du den zweiten Faktor richtig aufsetzt, zeigt der Ratgeber Zwei-Faktor-Authentifizierung erklärt. Wenn du unsicher bist, ob dein Gerät noch Updates bekommt, frag mich.

Smartphones ansehen

Häufige Fragen

Was bedeutet Smishing genau? Smishing ist Phishing per SMS, das Wort setzt sich aus SMS und Phishing zusammen. Statt einer gefälschten E-Mail schicken die Absender eine Kurznachricht mit Link, um dich auf eine Fangseite zu locken, Daten abzugreifen oder eine schädliche App unterzuschieben.

Woran erkenne ich eine Betrugs-SMS am schnellsten? An drei Dingen zusammen: Du erwartest die Nachricht nicht, sie macht Zeitdruck, und der Link passt nicht zur echten Adresse der Marke. Kommen Schreibfehler, gerade bei Umlauten, oder krude Zeichen dazu, ist es fast sicher Smishing.

Ist es schon gefährlich, die SMS nur zu öffnen? Das reine Lesen ist ungefährlich. Gefährlich wird es erst, wenn du auf den Link tippst, dort Daten eingibst oder eine App installierst. Öffne den Link also nicht und lösche die Nachricht danach.

Ich habe auf den Link getippt. Was jetzt? Schalte das Handy in den Flugmodus. Hast du nur die Seite geöffnet, aber nichts eingegeben und nichts installiert, ist das Risiko gering. Hast du eine App installiert, entferne sie, im Zweifel über den abgesicherten Modus. Ändere danach über ein anderes Gerät die Passwörter betroffener Konten. Bei eingegebenen Kartendaten kontaktiere sofort deine Bank über die offizielle Nummer und lass Karte oder Zahlungen sperren.

Wo kann ich eine Betrugs-SMS melden? Verdächtige SMS meldest du über das Formular der Bundesnetzagentur zum Rufnummernmissbrauch. Ist ein Schaden entstanden, erstatte zusätzlich Anzeige bei der Polizei, online oder auf der Dienststelle.

Schützt ein Virenprogramm vor Smishing? Nur begrenzt. Smishing zielt auf dein Verhalten, nicht auf eine Lücke im Handy. Der wirksamste Schutz ist, keine Links aus unerwarteten SMS zu öffnen. Ein aktuelles Betriebssystem und Zwei-Faktor-Authentifizierung senken das Risiko zusätzlich.

Weiterlesen

Vorheriger Artikel Kamera-Handy: worauf es wirklich ankommt
z