„Smishing“ – eine Wortschöpfung aus den Begriffen SMS und Phishing – ist eine seit einigen Monaten verbreitete neue Angriffsmethode, um Zugangsdaten der Opfer „abzufischen“. Im Frühjahr 2021 nahm die neue Masche langsam Fahrt auf. Nun, im Herbst 2021, haben die Kriminellen an der Formulierung der Nachrichten gearbeitet.

Während die Empfänger der SMS anfangs über eine Paketlieferung informiert wurden und über den mitgesendeten Link den Sendungsstatus abrufen können, informieren die SMS nun über empfangene Voicemails. Der mitgelieferte Link, Sie ahnen es sicher, geht nicht zu der Nachricht auf der Mailbox, sondern installiert Schadcode oder greift direkt Zugangsdaten ab. Abwandlungen der SMS täuschen auch bereits eine Infizierung mit Schadsoftware vor, die Empfänger werden aufgefordert ein Sicherheitsupdate zu installieren, dass hinter dem Link stecken soll. Wir möchten nicht spoilern, aber das Update gibt es dort nicht.

Die Kriminellen bleiben aber natürlich weiterhin kreativ. Es ist zu erwarten, dass die Nachrichtentexte auch in Zukunft weiter variieren. Das Ziel aber bleibt immer gleich: Diebstahl von Zugangsdaten.

Betroffen sind sowohl Android-Nutzer als auch iOS Nutzer. Die deutschen Netzbetreiber haben bereits Maßnahmen ergriffen, um die Smishing-SMS zu filtern, einen vollständigen Schutz gibt es aber nicht.

Sofort-Maßnahmen, wenn Sie eine verdächtige SMS erhalten:

1. Klicken Sie nicht auf enthaltene Links.
2. Laden Sie keine Dateien aus unbekannter Quelle herunter.
3. Löschen Sie die verdächtige SMS-Nachricht unverzüglich.

Das Bundesamt für Sicherheit in der Informationstechnik hat zudem detaillierte Handlungsempfehlungen ausgesprochen:

Was tue ich, wenn ich eine solche SMS-Nachricht erhalten habe?

All diese SMS-Nachrichten haben gemein, dass Sie einen Link enthalten. Dieser Link leitet direkt zu Schadsoftware oder zu Phishing-Seiten, auf denen Sie dann sensible Informationen preisgeben sollen. Sofern Sie noch NICHT auf den Link geklickt haben, rät das BSI:

• Klicken Sie nicht auf den Link und löschen Sie die Nachricht umgehend nach Erhalt. Sollte Ihnen der Absender oder die Absenderin bekannt sein, rufen Sie ihn oder sie zum Beispiel an und fragen Sie nach der Richtigkeit der SMS.
• Sperren Sie über Ihr Betriebssystem die Absenderin beziehungsweise den Absender der Nachricht.
• Laden Sie Apps nur aus den bekannten Stores herunter und nicht aus externen Quellen. Deaktivieren Sie unter Android die Installation von Apps aus unbekannten Quellen. Suchen Sie dafür in den Einstellungen nach „Apps aus unbekannten Quellen“ oder „Unbekannte Apps installieren“ und entfernen Sie dort den Haken.
• Egal ob Android oder iOS: Aktualisieren Sie Ihr Gerät! IOS liegt momentan in der Version 15.0.2 vor. Android erhält Sicherheitsupdates für die Systeme 8.1, 9, 10 und 11. Tipps für einen wirksamen Basisschutz finden Sie auf unseren weiteren Webseiten.
• Sie können bei Ihrem Mobilfunkanbieter die Drittanbietersperre aktivieren lassen. Dadurch lassen sich versehentliche Kosten oder eventuelle Kosten durch Schadsoftware weitestgehend vermeiden. Hinweise zur Umsetzung erhalten Sie über die Informationsangebote beziehungsweise Service-Portale ihres Mobilfunkproviders.

Was tue ich, wenn ich schon auf einen Link geklickt und/oder Daten preisgegeben habe?

Sollten Sie schon einen Link angeklickt oder sogar schon Software installiert haben, empfiehlt das BSI darüber hinaus:

• Nehmen Sie Ihr Gerät aus dem Mobilfunknetz, indem Sie den Flugmodus aktivieren. Damit unterbinden Sie weiteren SMS-Versand und eine eventuelle Kommunikation von Android-Schadsoftware mit anderen Geräten.
• Informieren Sie Ihren Mobilfunkprovider über Ihren Fall.
• Prüfen Sie beispielsweise Ihr Bankkonto oder Ihren Zahlungsdienstleister auf Abbuchungen, die Sie nicht beabsichtigt haben.
• Auch in diesem Fall ist es ratsam, eine Drittanbietersperre einrichten zu lassen. Hier hilft Ihr Mobilfunkanbieter weiter.
• Erstatten Sie Strafanzeige bei der örtlichen Polizeidienststelle. Nehmen Sie dazu Ihr Smartphone zur Beweissicherung mit.
• Setzen Sie Ihr Smartphone auf Werkseinstellungen zurück (nachdem Sie Anzeige erstattet haben). Sichern Sie vorher alle wichtigen Daten wie Fotos, Dokumente usw. lokal (zum Beispiel über eine USB-Verbindung). Mit dem Zurücksetzen auf die Werkseinstellungen gehen alle gespeicherten und installierten Daten verloren. Dieser Schritt ist allerdings notwendig, um die über die aktuellen SMS-Spam-Nachrichten verteilten Android-Schadprogramme vollständig zu entfernen.