Was ist Smishing? Betrug-SMS einfach erklärt (mit Beispielen)
Stellen Sie sich vor, Ihr Handy vibriert und Sie erhalten eine Kurznachricht Ihrer Bank: „Ungewöhnliche Kontobewegung festgestellt. Verifizieren Sie sich jetzt, sonst wird Ihr Zugang gesperrt.“ Das Problem: Egal, was der Absender behauptet – die SMS stammt nicht von Ihrer Bank.
Solche Fake-Textnachrichten – auch als „Smishing“ bekannt – zielen darauf ab, sensible Nutzerdaten abzugreifen oder Schadsoftware auf Ihrem Gerät zu installieren. In diesem Artikel erfahren Sie, was Smishing ist, wie die Betrugsmasche funktioniert und wie Sie sich schützen.
Was ist Smishing?
Smishing ist eine Betrugsmethode per Textnachricht. Dabei geben sich Kriminelle als bekannte Personen, Institutionen oder Unternehmen aus und versuchen, Sie zu einer schnellen Handlung zu drängen. Der Begriff setzt sich aus „SMS“ und „Phishing“ (wiederum ein Kunstwort aus „Password“ und „Fishing“) zusammen.
In den meisten Fällen sollen Sie einen Link anklicken, um persönliche Daten auf einer gefälschten Website einzugeben oder eine App herunterzuladen. Ziel ist es, sensible Informationen zu stehlen oder Schadsoftware auf Ihrem Gerät zu installieren.
Wie funktioniert Smishing?
Um sich als offizieller Kontakt auszugeben, verwenden Betrüger das sogenannte SMS-Spoofing. Beim Spoofing (vom englischen „to spoof“ für „vortäuschen“ oder „manipulieren“) wird der Absendername manipuliert, sodass auf dem Display statt einer unbekannten Nummer ein vertrauenswürdiger Name wie „BankInfo“ oder „DHL“ erscheint.
Typische Smishing-SMS enthalten eine kurze Warnung oder Information, kombiniert mit einem Link. Die Formulierungen sind bewusst so gewählt, dass sie Zeitdruck erzeugen und Sie dazu bringen, ohne langes Nachdenken auf den Link zu klicken.
Was genau passiert, hängt vom konkreten Angriff ab. In vielen Fällen führt der Link jedoch zu betrügerischen Webseiten oder startet den Download schädlicher Inhalte:
Datendiebstahl über Fake-Webseite
Sie landen auf einer täuschend echten Kopie der Website einer Bank oder eines Anbieters und sollen dort Login-Daten, Ihr Passwort oder eine Banking-PIN eingeben. Diese Informationen werden direkt an die Betrüger übertragen.Schädliche Apps
Alternativ werden Sie aufgefordert, eine angebliche „Sicherheits-App“ zu installieren. In Wirklichkeit handelt es sich um Malware, die z. B. Daten ausliest, Werbung einblendet oder sogar Überweisungen ermöglicht.
Smishing vs. E-Mail-Phishing vs. Vishing
Phishing ist der Oberbegriff für Betrugsversuche, bei denen Passwörter, PINs/TANs oder andere sensible Daten abgegriffen werden sollen. Der Unterschied zwischen den Varianten steckt bereits im Namen: Smishing erfolgt per SMS, E-Mail-Phishing über E-Mails und Vishing über Telefon oder Sprachnachrichten („Voice“).
Die Methoden unterscheiden sich vor allem in der Ansprache: Smishing arbeitet mit kurzen Nachrichten, die gezielt Zeitdruck erzeugen. E-Mail-Phishing setzt auf ausführlich gestaltete Fake-Mails und täuschend echte Websites. Beim Vishing versuchen Betrüger, über die Stimme Vertrauen aufzubauen oder gezielt Emotionen auszulösen, um ihr Opfer zu einer Handlung zu bewegen.
Smishing | E-Mail-Phishing | Vishing | |
|---|---|---|---|
Betrugsart | SMS | Telefon / Sprachnachricht | |
Wie es funktioniert | Betrüger nutzen SMS-Spoofing, um falsche Absendernamen anzuzeigen | Betrüger kopieren 1:1 das Design offizieller E-Mails | Betrüger nutzen Spoofing und geben sich als Bank- oder Support-Mitarbeiter aus |
Potenzielle Gefahr | Ein Link führt zu einer Fake-Website oder lädt Schadsoftware auf das Handy | Ein Link führt zu einer Fake-Website oder lädt Schadsoftware auf den Computer | Opfer soll Überweisung per TAN bestätigen, Zugangsdaten nennen oder Fremdzugriff auf den Rechner zulassen |
Beispiele von Smishing-Betrug
Es gibt verschiedene Arten von Smishing-Angriffen. Hier sind die häufigsten Maschen – und konkrete Beispiele, die Ihnen helfen, sie zu identifizieren:
Paketdienst-Smishing
Die bekannteste Smishing-Attacke ist die Fake-Paketdienst-SMS. Betrüger geben sich als DHL, Hermes, Deutsche Post, Amazon oder einen anderen Versanddienstleister aus und versenden falsche Sendungsbenachrichtigungen.
Hier sind ein paar Beispiele falscher Paketdienst-SMS*:
„Wir haben versucht, Ihr Paket zuzustellen, uberprufen Sie hier den Status: LINK“
„[Deutsche Post]: Sehr geehrter Kunde, Ihr Paket konnte am 24/12/2022 nicht zugestellt werden, da die Zollgebühren (0,99€) nicht bezahlt wurden. Weitere Informationen finden Sie hier: LINK“
„[DHL-Service] : Da Ihre Paketadresse falsch ist, können wir das Paket nicht normal zustellen. Bitte aktualisieren Sie Ihre Adresse umgehend. LINK“
„My Hermes : Für Ihr Paket CJA982176 fallen Zollgebühren an, Folgen Sie dem beigefügten Link, um die Situation zu regulieren : LINK“
*Beispiele von verbraucherzentrale.de
Bank- oder Zahlungsdienstleister-Smishing
Bei dieser Art des Smishing versenden Betrüger Nachrichten im Namen Ihrer Bank oder eines Zahlungsdienstleisters wie PayPal, Klarna etc. Sie werden aufgefordert, einen Link zu öffnen und sich zu „verifizieren“, Ihre Zugangsdaten einzugeben oder eine angebliche „Sicherheits-App“ herunterzuladen.
„Commerzbank: Laut unserem System gab es auf Ihrem Konto unregelmäßige Aktivitäten. Aus diesem Grund wurde Ihr photoTAN-Verfahren eingeschränkt. Wir bitetn Sie daher, Ihr Verfahren über den unten stehenden Link wiederherzustellen. https:// commerzbank-phototan8922 .web .app/ Ihre Commerzbank AG“
„DKB Ihre Karte wurde aufgrund seltsamer Aktivitaeten voruebergehend gesperrt. Bitte bestaetigen Sie Ihr Konto erneut: http:// dkb-de-service .de“
„Wichtige Mitteilung (VOLKSBANK) Lieber Kunde, Ihr VR-SecureGo läuft ab. Bestätigen Sie jetzt, um eine Blockierung zu vermeiden: vr-23-iban .online“
*Beispiele von verbraucherzentrale.de
Gewinnspiel-Smishing
Betrüger versenden falsche Gewinnbenachrichtigungen per SMS, obwohl Sie an keinem Gewinnspiel teilgenommen haben. Auch hier werden häufig bekannte Markennamen wie Lotto, Media Markt oder Amazon verwendet.
„Media Markt 500EUR! Unser Glückwunsch! Der Hauptgewinn der Endauslösung wartet auf SIE! Klicken und ansehen: LINK“*
„[LOTTO]Herzlichen Glückwunsch Sie haben gewonnen! Klicken Sie hier um Ihren Gewinn anzufordern: LINK“
*Beispiel von polizei-prävention.de
Inkasso-Smishing
Smishing-SMS von falschen Inkassounternehmen oder Anwaltskanzleien drohen mit Schufa-Einträgen, Gerichtsvollziehern oder Strafanzeigen und fordern Empfänger umgehend zur Zahlung auf. Der Link in diesen SMS führt zu gefälschten Zahlungsseiten oder Schadsoftware.
„Inkasso-Mitteilung: Es besteht eine offene Forderung. Bitte prüfen Sie Ihr Konto über unser Kundenportal: LINK“
„Letzte Mahnung: Zahlen Sie heute, sonst werden wir weitere Schritte einleiten. Kanzlei XY“
„Pfändungsgericht HH mit ihrer Akt.HBR-220 liegt ein Pfändungsbeschluss vor.Um diesen Beschluss aufzuheben nehmen Sie Kontakt mit Sachbearbeiter auf.040675xxxxx“
*Beispiele von verbraucherzentrale.de
Behörden-Smishing
Beim Behörden-Smishing geben sich die Betrüger als staatliche Stelle oder offizielle Behörde der Bundesregierung Deutschland aus und drängen den Empfänger zur Handlung.
„Pfändungsgericht HH mit ihrer Akt.HBR-220 liegt ein Pfändungsbeschluss vor.Um diesen Beschluss aufzuheben nehmen Sie Kontakt mit Sachbearbeiter auf.040675xxxxx“
„Wir haben einen Postruecklaeufer AZ:9579197968 erhalten. Bitte melden Sie sich dringend bei uns unter 0 21 33 / 24 63 - xxx. MfG coeo Inkasso“
Beispiele von verbraucherzentrale.de
Nebenjob-Smishing
Eine weitere, gängige Masche sind unseriöse Jobangebote per SMS, die häufig Jobs in Heimarbeit versprechen. Die Betrüger geben sich als Mitarbeitende von Jobplattformen wie Indeed oder Stepstone aus. Interessenten sollen weitere Informationen über einen Link oder über einen Messenger wie WhatsApp oder Telegram erfragen.
„Ich bin Marie von … Recruitment. Wir suchen Mitarbeiter/innen ab 20 Jahren, die einer Hotelbuchungsplattform helfen, Buchungen und Bewertungen zu optimieren. Wir bieten flexible Teilzeit- und Vollzeitjobs (60-90 Min. pro Tag, 5 Tage die Woche) mit einem Grundgehalt von 300 bis 800 Euro täglich. [...] Wenn Sie interessiert sind, können Sie sich mit unserem Arbeitgeber über WhatsApp+... in Verbindung setzen.“
*Beispiel von handyhase.de
Fake-Kontakt oder „Enkeltrick“-Smishing
Beim Enkeltrick-Smishing gibt sich der Betrüger als naher Angehöriger aus, der sich in einer angeblichen Notsituation befindet und Geld braucht.
In ähnlicher Form schreiben Betrüger beim Fake-Kontakt-Smishing tausende Empfänger an und versuchen, einen persönlichen Kontakt herzustellen.
Hier ist ein Beispiel, wie eine solche SMS aussehen kann:
Betrüger geben sich bei dieser Masche als Kinder, Enkel oder andere Verwandte aus.
„Hallo Mama/Papa/Oma. Das ist meine neue Nr. Bitte schreibt mir eine WhatsApp Nachricht! LG“
„Hallo, bist du....(Name)?“
Wie kann man sich gegen Smishing schützen?
Da Smishing-Angriffe oft Druck durch Dringlichkeit aufbauen (z. B. eine vermeintliche Paketbenachrichtigung oder eine drohende Kontosperrung), ist Besonnenheit der wichtigste Schutzfaktor. Es gilt: Bloß nicht in Panik geraten.
Hier sind ein paar allgemeine Tipps, die Ihnen helfen, typische Smishing-Versuche frühzeitig zu erkennen und sich wirksam davor zu schützen:
Woran man Fake-SMS erkennt
Die gute Nachricht: Viele Smishing-Nachrichten sind relativ leicht zu erkennen, wie Sie vielleicht schon an den oben genannten Beispielen gesehen haben. Das ist allerdings nicht immer der Fall – und durch den Einsatz von KI könnten Betrugsversuche künftig noch überzeugender wirken.
Grundsätzlich gibt es aber einige typische Merkmale, auf die Sie achten können:
Unbekannte Absender
Fake-Nachrichten kommen in der Regel von privaten Handynummern (deutschen oder ausländischen), nicht von offiziellen Firmennummern.Verkürzte, seltsame Links
Links wirken oft verdächtig, etwa durch URL-Shortener (z. B. „bit.ly“, „t.co“) oder kryptische Zeichenfolgen.Dringlichkeit und Druck
Betrüger erzeugen gezielt Zeitdruck („Ihr Konto wird in 24 Stunden gesperrt“), damit Sie nicht lange nachdenken.Rechtschreibfehler
Die SMS enthalten oft grammatikalische Fehler oder holprige Formulierungen.
Schutzmechanismen von Android und iOS
Sowohl Android als auch iOS verfügen über integrierte Warn- und Schutzmechanismen gegen Smishing und schädliche Websites.
Smishing-Schutz bei Android
Android bietet bereits auf Systemebene mehrere Schutzmechanismen, die verdächtige Nachrichten erkennen und potenzielle Risiken frühzeitig abfangen:
Spam-Schutz
Google Messages erkennt bekannte Betrugsmuster und verschiebt verdächtige SMS automatisch in den Spam-Ordner.Google Play Protect
Google scannt Apps auf Malware, die über infizierte Links in Smishing-Nachrichten heruntergeladen werden könnte.KI-gestützte Spam-Erkennung
Google implementiert Echtzeit-KI-Schutz, um betrügerische SMS und Anrufe zu identifizieren.Warnungen vor Phishing-Websites
Der Chrome-Browser warnt in der Regel, wenn Sie versuchen, bekannte betrügerische Seiten zu öffnen.Erweiterter Schutz gegen KI-Phishing
Neue Sicherheitsfunktionen im System zielen darauf ab, auch komplexe und KI-gestützte Betrugsversuche zu erkennen.
Smishing-Schutz bei iOS (Apple iPhone)
Auch iOS bietet integrierte Sicherheitsfunktionen, die Nutzer vor betrügerischen Nachrichten und gefährlichen Inhalten schützen:
„Walled Garden“-Ansatz
Apple kontrolliert den App Store und das Ökosystem streng, was die Installation von Schadsoftware über Smishing-Links erschwert.iMessage-Spam-Filterung
iOS kann unbekannte Absender filtern und Nachrichten, die typische Phishing-Muster aufweisen, als Spam markieren. Aktivieren Sie dazu in den Einstellungen unter „Nachrichten“ die Funktion „Unbekannte Absender filtern“.Safari-Sicherheit
Der Browser warnt vor bekannten betrügerischen Websites, wenn Sie einen Link aus einer SMS öffnen.
Neben den integrierten Schutzfunktionen können Sie natürlich auch zusätzliche Sicherheits-Apps einsetzen. Lösungen wie Malwarebytes können dabei helfen, Geräte proaktiv vor Malware, betrügerischen Websites und Smishing-Angriffen zu schützen.
Was tun, wenn ich bereits Opfer wurde?
Sie haben einen verdächtigen Link geöffnet oder sensible Daten eingegeben und vermuten einen Betrugsversuch? Dann sollten Sie schnell handeln. Hier sind die wichtigsten Sofortmaßnahmen:
Kontaktieren Sie sofort Ihre Bank
Rufen Sie den offiziellen Sperr-Notruf an – in Deutschland ist das 116 116. Lassen Sie betroffene Karten und Online-Banking sperren.Ändern Sie Ihre Passwörter
Ändern Sie sofort alle Passwörter, die Sie auf der gefälschten Website eingegeben haben – und alle Konten, bei denen Sie dasselbe Passwort verwenden. Dabei hilft ein guter Passwort-Manager.Prüfen Sie Ihr Gerät
Haben Sie eine App installiert oder auf einen Link geklickt? Lassen Sie Ihr Gerät von einer Antivirus-Software prüfen oder setzen Sie es im Zweifelsfall zurück.Erstatten Sie Anzeige
Erstatten Sie Strafanzeige bei der Polizei – auch online über die entsprechende Landesplattform möglich. Sichern Sie Screenshots als Beweise.
Fazit: Aufmerksamkeit ist der beste Schutz
Smishing ist gefährlich, weil Betrüger gezielt mit psychologischem Druck arbeiten: Die Fake-Nachrichten sind kurz, wirken dringend und fordern dazu auf, sofort zu handeln. Durch SMS-Spoofing sehen diese betrügerischen Nachrichten auf den ersten Blick oft seriös aus – bei genauerer Prüfung fallen jedoch häufig Unstimmigkeiten auf.
Auf dem Smartphone ist das Risiko zusätzlich höher als am PC: Viele lesen SMS nur nebenbei, tippen schneller auf Links und können Absendernamen, Nummern oder URLs auf dem kleinen Display schlechter prüfen. Wer die typischen Tricks kennt, keine Links aus unerwarteten Nachrichten öffnet und immer nur offizielle Kontaktwege (App, Website, Hotline) nutzt, kann das Risiko deutlich senken.
