Kennen Sie “Smishing”? Vielleicht noch nicht. Aber “Phishing” ist Ihnen sicher ein Begriff. Sie müssen nur einmal ihre E-Mails durchschauen, speziell den Spam-Ordner. Da finden sich “dringende” E-Mails, die Sie auffordern, sofort in Ihrem Online-Konto Ihres E-Mail-Anbieters, bei Ihrer Bank, oder der Kreditkartengesellschaft etc. sich einzuloggen, weil sonst irgendwas Schlimmes passiert, beispielsweise das eigene Konto gesperrt wird.
Das Abgreifen der Daten findet auf Webseiten statt, die teilweise den Original-Seiten täuschend ähnlich sehen, aber auf Servern der Betrüger laufen. Wer dort seine Daten eingibt, liefert Betrügern die Zugangsdaten, womit die dann auf dem eigenen Konto für Durcheinander oder Schaden sorgen können.
Die Smishing-Welle rollt
Vorsicht, wenn eine SMS zum Klicken eines obskuren Links auffordert. Das könnte Smishing sein.
Foto: Picture-Alliance /dpa
Smishing ist ähnlich wie Phishing, kommt aber per SMS, daher der Name. Wer ein Smartphones nutzt, bekommt eine SMS: Ein Paket komme an, müsse abgeholt oder vor dem Zurückschicken bewahrt werden. Über einen mitgeschickten Link soll es möglich sein, einen Termin für die Zustellung zu vereinbaren oder eine Paket-Sendung zu verfolgen. Derzeit sind besonders viele solcher Mitteilungen in Umlauf.
All diese Handy-Kurzmitteilungen haben oft eines gemeinsam: Diese Lieferungen sind nicht real. Es handelt es sich um eine Betrugsmasche, die gerade im Internet Hochkonjunktur hat. Die Behörden sind alarmiert.
Botnetze und gekaperte Handys verschicken SMS
Kriminelle verschicken diese SMS über sogenannte “Botnetze” (das sind gekaperte Handys oder Computer), weil sie Daten abgreifen möchten, um sich daran zu bereichern oder anderweitigen Schaden zu verursachen. Klickt man auf die mitgeschickten Links, landet man auf Fake-Webseiten. Deren Inhalt kann unterschiedlich sein, das hängt davon ab, ob man mit einem Android-Smartphone oder eine iOS-Apple-Gerät darauf klickt.
Apple-Nutzer sind weniger gefährdet
iOS-Apple-Nutzer werden “nur” auf Webseiten geleitet, wo vielleicht (nicht existierende) einsame Damen nach Freizeitkontakten suchen oder man habe angeblich im Gewinnspiel gewonnen, müsste dazu aber noch viele persönliche Daten eingeben. Der Grund: Bei Apple-Smartphones kann sich eine Schadsoftware nicht so einfach “einnisten”. Daher werden sie nur auf Werbe- oder Phishing-Seiten umgeleitet. Bei Android kann sich die Schadsoftware hingegen leichter im System verankern.
Android-Nutzer sollen eine gefährliche App downloaden
Bei Android geht es gerne um eine vermeintliche Sendungsverfolgung, wofür der Download einer App beispielsweise von “Fedex” oder “UPS” nötig wäre. Nur: Diese Apps sind nicht von diesen Dienstleistern! Wer sie installiert, wird unter Android noch gewarnt (Anwendung aus fremden Quellen installieren?) und wer dem zustimmt, holt sich gewaltigen Ärger ins Haus: Die Apps entpuppen sich als Schadsoftware und “entführen” das Handy.
Mit Installation dieser Apps wird eine “Prozesskette” in Gang gesetzt: Sämtliche Kontakte des Adressbuchs erhalten eine entsprechende SMS-Nachricht. Das ist ein “Schneeballsystem”, wie es ein Telekom-Sprecher erläutert. Die Täter hätten mittlerweile ihre Technik verfeinert. “So benutzt die Schadsoftware in der aktuellen Welle scheinbar die Vornamen der Kontakte, um die SMS zu personalisieren. Dadurch wirken die SMS noch vertrauenswürdiger.”
Und wenn die App installiert wurde?
Was tun, wenn man achtlos war und doch die Software runtergeladen und installiert hat? Ruhe Bewahren. Das Handy sofort in den Flugmodus versetzen und damit offline gehen. Dann über ein USB-Datenkabel wichtige Daten (Bilder, Videos, Dokumente, Texte) auf den PC sichern und danach das Handy auf Werkseinstellungen zurücksetzen. Dabei wird das Smartphone komplett geleert und muss dann komplett von vorne eingerichtet werden.
Das kann eine Zeit dauern, weil unendlich viele Updates vom Handybetriebssystem und den installierten Apps geladen werden müssen. Wer vorher eine Sicherung seiner Fotos und Kontakte bei Google eingeschaltet hatte, wer das Chat-Backup für WhatsApp aktiviert hat, bekommt diese Inhalte relativ einfach wieder.
Helfen Sicherheits-Apps?
Einige Netzbetreiber bieten (kostenpflichtige) Sicherheitsprodukte an, die das Herunterladen von Schadsoftware blockieren sollen – bei Vodafone nennt sich das “SecureNet Service”, die Telekom setzt auf eine Sicherheitslösung von Norton. Ob man diese Pakete wirklich braucht, ist unter Fachleuten umstritten. Wer unter Android die Funktion “Herunterladen aus fremden Quellen” auslässt (Werkseinstellung), erspart sich viel Ärger und wer die SMS mit seltsamen Links gleich wieder löscht, hat erst recht nichts zu befürchten. Wer eine App installieren möchte, sollte das nur aus dem offiziellen Google Play Store tun und vorher noch die Bewertungen studieren, ob die App wirklich das tut, was sie soll.
Eins können diese teuren Sicherheits-Apps nicht: Verhindern, dass man solche nervigen SMS-Nachrichten überhaupt zugeschickt bekommt.
Netzbetreiber sind sich des Problems bewusst
Was sagen die Netzbetreiber dazu? Die Zahl der Phishing-SMS nehme zu, bestätigt die Deutsche Telekom. Laut einer Anti-Betrugs-Arbeitsgruppe der Mobilfunkanbieter wurden deutschlandweit von Januar bis März bei allen Anbietern 200.000 solcher Fälle festgestellt. Vor einem Jahr war der Vergleichswert deutlich niedriger, weil das Phänomen massenhafter Botnetz-SMS laut Telekomsprecher erst Ende 2020 in Europa begann.
Genaue Netzbeobachtung
Die Fallzahlen kennen die Netzbetreiber etwa durch den Einsatz von Missbrauchserkennungssoftware, die ungewöhnliches Kundenverhalten meldet: Werden von einer Kundennummer in einem Monat plötzlich Tausende SMS-Nachrichten versendet, wird nachgefragt. Die Netzbetreiber schreiten dann ein und sperren Verbindungen zu den Links, die in den Botnetzen die Runde machen. Allein im April hat die Telekom bisher 55.000 solcher Verbindungsversuche unterdrückt und damit verhindert, dass Kunden sich versehentlich eine Schadsoftware runterladen.
Bei Vodafone ist ebenfalls von einer neuen “Phishing-Welle” die Rede.
Kostenrisiko ohne SMS-Flatrate
Schlimm dran ist, wer keine SMS-Flatrate hat. Dem können hohe SMS-Kosten durch den ungewollten Massen-Versand drohen. Auf verseuchten Handys könnte die gefährliche App im nächsten Schritt einen Trojaner nachladen, um Bankdaten zu stehlen.
BSI hat Lage im Blick
Auch beim Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) hat man das Thema im Blick. “Aktuell werden häufig SMS-Nachrichten über das Android-Schadprogramm “FluBot” verbreitet, das seit etwa November 2020 im Umlauf ist”, sagt ein Behördensprecher.
Staatsanwaltschaft besorgt
In Köln gibt es die Zentral- und Ansprechstelle Cybercrime (ZAC NRW) der dortigen Staatsanwaltschaft. Dort sieht man die Entwicklung mit Sorgenfalten. “Wir sprechen von einer Welle”, erklärt Staatsanwalt Christoph Hebbecker die Lage. Anzeigen gegen Unbekannt wurden erstattet, deutschlandweit haben diverse Polizeibehörden vor den Betrugs-SMS gewarnt – im thüringischen Gotha oder im saarländischen Saarbrücken, ferner warnte das Landeskriminalamt Rheinland-Pfalz.
Staatsanwalt Hebbecker stellt fest, dass sich Cyberkriminelle gerne aus Ausnahmesituationen Profit schlagen. Bei den Corona-Soforthilfen für Unternehmen hatten Firmen unwissentlich Anträge auf Fake-Webseiten gestellt. Deren Betreiber wiederum nutzten mitunter die Daten für Anträge auf den richtigen Behördenwebseiten und bekamen die staatliche Hilfe – die tatsächlichen Antragsteller hingegen schauten zunächst in die Röhre.
Die Ausnahmesituation beim “Smishing” nennt sich “Online-Boom in Coronazeiten”: Weil so viele Pakete bestellt werden, erscheint es Verbrauchern durchaus plausibel, angeblich eine Sendung zu bekommen. Entsprechend niedrig ist die Hemmschwelle, um auf die Links zu klicken. Die skurrilen Namen der Webseiten allerdings sollten die Verbraucher stutzig machen.
Eine Sicherheitslücke in WhatsApp erlaubt Angreifern fremde WhatsApp Konten zu stören oder zeitweise außer Betrieb zu setzen.