BSI warnt vor Hacker-Strategie

Smishing: So schützen Sie sich vor Phishing-SMS

Immer mehr Fake-SMS tauchen auf den Smartphones auf. Aktuell sind es Paket-Benachrichtigungen, hinter denen sich eine neue Betrugsmasche verbirgt. Wie Sie sich schützen können, oder als Betroffener damit umgehen, erklären wir im folgenden Artikel.

© enjoys25 / stock.adobe.com

Neue Betrugsmasche: Über gefälschte Nachrichten werden Zugansdaten des Smartphone-Besitzers gestohlen

"Ihr Paket wird bald geliefert - zur Sendungsverfolgung klicken Sie auf diesen Link." Wer kennt solche Meldungen nicht? Kaum ist Online eine Bestellung gemacht, schon kommt vom Zustelldienst eine Benachrichtigung. Den bekannten Vorgang nutzen Hacker aus.

In Deutschland gibt es seit geraumer Zeit eine Welle an Textnachrichten, in denen schädliche Links zugesendet werden. Dies nennt man Smishing, eine Phishing-Masche über SMS. Verpackt ist das Ganze als Paket-Textnachricht, die zum Klicken eines Links auffordert. Dahinter steckt eine Schadsoftware namens FluBot, die besonders Android-Nutzer trifft. Die Malware kann auf wichtige Daten zugreifen, wie Kontakte oder Bankdaten, die auf dem Smartphone gespeichert sind.

Lesetipp: Android sicher machen: 10 Tipps, die Sie beachten sollten

Die von Cyberkriminellen gesteuerte Software wird als eine notwendige App von DHL oder FedEx getarnt, die für die Verfolgung der Sendung installiert werden muss. Wird diese installiert, kann die Schadsoftware auf zahlreiche Daten zugreifen. Bei Apple iOS-Nutzern öffnet sich nach Anklicken des Links eine Werbe- oder Phishing-Seite.

Warnzeichen für eine Phishing-SMS

  • In der SMS befinden sich Rechtschreibfehler/falsche Grammatik
  • Der Betroffene wird aufgefordert, persönliche Daten einzugeben
  • Nachricht über Sendungsverfolgung, obwohl kein Paket bestellt wurde
  • kryptische Links oder unseriöser Absender

So werden die Nachrichten zum Beispiel verschickt:

  • "Ihr paket wird heute zum Absender zurückgesendet. Letzte Moglichkeit es abzuholen." (Link)
  • "Hallo (Ihr Name), Der Kurier nahm das Paket ab. Track:" (Link)
  • "(Ihre Nummer) Sie haben ein ungelostes Problem mit Ihrem Paket:" (Link)

(Die Textnachrichten sind mit zahlreichen Fehlern gespickt.)

© Bundesamt für Sicherheit in der Informationstechnik

Beispiel Fake-SMS: So versuchen Hacker mit gefälschten Nachrichten zum Klicken auf den Link aufzufordern.

Datenklau per SMS kann teuer werden

Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) wollen sich die Hacker beim Smishing hauptsächlich den Zugang zu Bankkonten ergattern. Die Mobilrufnummern könnten sich die Cyberkriminellen teilweise über den erst kürzlich bekannt gewordenen Facebook-Datenklau ergattert haben, von dem über 500 Millionen Accounts betroffen waren. Seitdem warnt das BSI aufgrund der Smishing-Welle in Deutschland zu erhöhter Vorsicht.

Was tun, wenn eine gefälschte SMS ankommt?

Zuallererst gilt: Nicht den Link anklicken!

Wenn eine Smishing-Nachricht eintrifft und gelesen wird, passiert erst einmal nichts. Am Besten einfach löschen, wenn Sie eine verdächtige SMS erhalten. Sie kann als Beweis natürlich auch als Screenshot gespeichert werden. Zusätzlich sollten Sie prüfen, ob das Smartphone schon das neueste Sicherheitsupdate installiert hat.

Bei Android-Smartphones sollte die Installation von Apps aus unbekannten Quellen deaktiviert werden. Für iOS-Nutzer sind Programme ohnehin nur aus dem offiziellen App-Store installierbar. Somit wird die Schadsoftware zum größten Teil abgeblockt. Allerdings können Phishing-Seiten auch andere Malware enthalten, die zum Beispiel Sicherheitslücken im Browser ausnutzen und auf diesem Weg das Smartphone infizieren kann.

Zusätzlich können Sie als Maßnahme über Ihr Betriebssystem den Absender der SMS blockieren, um weitere Nachrichten auszuschließen.

Sicherheits-Tipps

Auch Smartphones können Ziele von Hackerangriffen und Malware werden. Dabei kann man schon mit einfachen Maßnahmen die mobile Sicherheit erhöhen.

Link angeklickt oder Daten eingegeben?

Hegen Sie den Verdacht für eine Smishing-Nachricht erst, wenn der Link schon angeklickt oder bereits Daten eingegeben wurde? Dann gibt es einige Möglichkeiten zur Schadensbegrenzung.

Das BSI rät in diesem Fall das Smartphone möglichst schnell nach dem Anklicken des Links in den Flugmodus zu setzen. Damit kann man zum Beispiel einen weiteren SMS-Versand von FluBot an andere Kontakte unterbinden.

Zudem sollten Sie den Mobilfunkanbieter über den Vorfall informieren. Falls Bankdaten angegeben wurden oder in Ihrem Smartphone gespeichert sind, sollten Sie umgehend auch Ihre Bank kontaktieren. In jedem Fall sollten Sie Ihre Abbuchungen auf dem Konto im Auge behalten.

Das Smartphone sollte möglichst schnell in die Werkseinstellung zurückgesetzt werden, um installierte und gespeicherte Daten zu löschen. Fotos, Videos und persönliche Dateien können vorab über ein externes Medium gespeichert werden.

Haben Sie die Nachrichten als Beweis gespeichert, kann der Vorfall außerdem bei der örtlichen Polizeidienststelle zur Strafanzeige gebracht werden.

Mehr dazu: Bundesamt für Sicherheit in der Informationstechnik

Malware entfernen

Unerwünschte Werbung, Trojaner und Viren: Malware macht sich längst auch auf dem Smartphone breit. So werden Sie die Schadprogramme wieder los.

Mehr zum Thema

Android-Tipps

So schützen Sie Ihr Android-Smartphone vor Angriffen und schotten Ihre Daten ab: Mit diesen zehn Tipps machen Sie Ihr Smartphone sicher.
Sicherheitswarnung

Erpressungssoftware gefährdet nicht nur den PC, sondern auch Smartphones. Aktuell versuchen Kriminelle den Zugriff über dubiose SMS-Nachrichten.
Viele Android-Topmodelle betroffen

Zwei Sicherheitslücken machen Smartphones mit Qualcomm-Prozessoren angreifbar. Betroffen sind unter anderem Modelle mit Snapdragon 835 und 845.
Galaxy S8, S9, Huawei P20 und mehr betroffen

Mindestens 18 Android-Smartphones sind über eine Zero-Day-Sicherheitslücke angreifbar. Der Exploit wird bereits aktiv genutzt. Ein Bugfix ist geplant.
Spionage auf Android-Smartphones möglich

Mehr als 400 Schwachstellen haben Forscher im Code von Qualcomm-Prozessoren entdeckt. Angreifer könnten zahlreiche Android-Smartphones ausspionieren.