Eine scheinbar harmlose SMS entpuppt sich beim „Smishing“ als brandgefährlich. Was Smartphone-Nutzerinnen und -Nutzer beachten können und was zu tun ist, wenn man den Betrügern doch auf den Leim gegangen ist.
Stuttgart - Wenn eine vermeintliche Mitteilung von Amazon, DHL und Co. auf dem Smartphone erscheint, werden viele Kundinnen und Kunden nicht gleich stutzig. Diesen Umstand machen sich Kriminelle immer wieder zunutze. Beim „Smishing“ (Zusammensetzung aus den Begriffen „SMS“ und „Phishing”) tarnen sie Mitteilungen geschickt, um so sensible Daten auszuspähen, schadhafte Software zu installieren oder an Zahlungen zu gelangen.
Seit Ende letzten Jahres erhalten Smartphone-Nutzerinnen und -Nutzer vermehrt SMS, die gefälschte Paketbenachrichtigungen enthalten, wie Oliver Buttler von der Verbraucherzentrale Baden-Württemberg sagt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in diesem Herbst in einer Mitteilung außerdem vor weiteren Betrugsmethoden. Dabei wird Handybesitzerinnen und -besitzern mittels einer SMS vorgetäuscht, dass sie eine Sprachnachricht erhalten hätten oder das Smartphone mit einem Schadprogramm infiziert sei.
Opfer sollen Schadsoftware herunterladen
„Hinter dem Link aus der Mitteilung befindet sich dann eine Anleitung zum Download der Sprachnachricht bzw. eines angeblichen Sicherheitsupdates. Erst wer diese Dateien herunterlädt, installiert die Schadsoftware der Betrüger“, so die Behörde. In einer anderen Masche wird den Opfern vermittelt, dass ihre privaten Fotos aufgrund einer Schadsoftware geleakt wurden. Damit soll sie dazu gebracht werden ein vermeintliches Sicherheitsupdate zu installieren.
Oliver Buttler hält die „Smishing“-Methode, bei der sich die Betrüger als Versanddienstleister ausgeben, am gängigsten. Denn die Hemmschwelle sei bei Amazon und Co. geringer – gerade wenn offene Sendungen ausständen. Nutzerinnen und Nutzer sollten aufmerksam werden, wenn der Kommunikationskanal mit dem jeweiligen Dienstleister wechselt. Der DHL-Status beispielsweise würde normalerweise per Mail mitgeteilt, „man sollte stutzig werden, wenn plötzlich eine SMS kommt“. Und auch die Anrede gibt einen konkreten Hinweis darauf, wie die SMS einzuordnen ist. Anbieter, bei denen Kontodaten hinterlegt sind, würden immer die direkte Ansprache wählen, so Buttler.
So reagieren Sie in „Smishing“-Fällen richtig
In diesen „Smishing“-Fällen hat das BSI eine klare Handlungsempfehlung: In keinem Fall den Link anklicken und am besten direkt nach Erhalt die SMS löschen. Apps sollten nur aus bekannten Quellen heruntergeladen werden. In den Android-Einstellungen können unbekannte Quellen für den Download von Apps ausgeschlossen werden. Über das Betriebssystem kann der Absender der Nachricht außerdem gesperrt werden. Ebenfalls wichtig: Das Gerät mit den jeweiligen Updates auf dem aktuellen Stand halten.
Wer doch auf einen Link einer Smishing-Nachricht geklickt oder eine App runtergeladen hat, muss schnell handeln. Buttler rät dazu, umgehend in den Flugmodus zu wechseln, wichtige Daten zu sichern und anschließend das Smartphone auf die Werkseinstellungen zurückzusetzen. Das BSI empfiehlt außerdem, das Bankkonto oder den Zahlungsdienstleister auf verdächtige Abbuchungen zu überprüfen, über den Mobilfunkanbieter eine Drittanbietersperre einrichten zu lassen sowie den Mobilfunkprovider über den Fall zu informieren.
Betroffene sollten Anzeige stellen
Zum Stellen einer Strafanzeige rät das Ministerium ebenfalls. „SMS-Pishing ist eine Betrugsstraftat und sollte grundsätzlich angezeigt werden“, bestätigt auch Polizeisprecher Allen Bühler. Dabei reiche es bereits solch eine SMS erhalten zu haben. „Schon alleine das Verschicken ist ein Betrugsversuch“, so Bühler. Die Aufklärungsquote ist in Fällen von „Smishing“ zwar gering, weil sich die Täter oft im Ausland befänden, für die Beamten seien die Anzeigen trotzdem wichtig – für Ermittlungsansätze und um Tatzusammenhänge erkennen zu können. Zu der Zahl der aktuell gemeldeten Fälle von SMS-Pishing kann die Polizei keine Auskunft geben.