„Hallo Nico, Ihr Paket wartet. Bestätigen Sie Ihre Angaben hier: …“ - Wer bei einer solchen SMS auf den Link klickt, ist oft schon in die Falle getappt. Das LKA warnt derzeit vor einer gefährlichen Betrugsmasche, dem so genannten „Smishing“.
Anfang des Jahres zählte das Landeskriminalamt Rheinland-Pfalz (LKA) nur vereinzelte Fälle. Inzwischen spricht LKA-Pressesprecher Bastian Kipping von mehreren Hundert Anzeigen am Tag, allein im Präsidium Mainz. Er schätzt, dass die Fallzahlen in die Hundertausende gehen.
Das bedeutet Smishing
Smishing ist eine Form des Betrugs: Phishing per SMS. Phishing ist ein Kunstwort aus dem englischen „Password Harvesting“ (Passwörter ernten) und „fishing“ (angeln oder fischen). Aber es werden keineswegs nur Passwörter gestohlen, sondern Daten und Informationen aller Art wie Bankdaten, Adressdaten oder Telefonnummern. Gewiefte Kriminelle können mit allen Daten etwas anfangen.
Es beginnt mit einer SMS aus einer vermeintlich vertrauten Quelle. Während der Pandemie bestellen viele Menschen Dinge im Internet, daher geben sich die Kriminellen meist als Paketdienste aus. Diese SMS enthält einen Link und die Aufforderung, diesem zu folgen. Tut man dies, landet man auf einer Webseite und wird aufgefordert, persönliche Daten wie Name, Anschrift oder auch Bankdaten einzugeben und zusätzlich eine App zu installieren. Hinter dieser App verbirgt sich jedoch eine Schadsoftware, die Passwörter ausspioniert oder sogar das komplette Telefon kontrolliert.
Die Hürde, auf diesen Betrug hereinzufallen, ist zum Glück für die Verbraucher und Verbraucherinnen recht hoch: einem Link folgen, ein Formular ausfüllen – und eine App installieren. Man hat mehrmals die Möglichkeit, den Betrug zu erkennen und den Vorgang abzubrechen. Zumal der Link meist mit der gleichen Endung "duckdns.org" versehen und relativ leicht zu erkennen ist. Oft stimmen nicht einmal Grammatik, Satzbau oder Rechtschreibung in der Mail.
Darum sind Smishing-Attacken immer wieder erfolgreich
Frühere E-Mails von nigerianischen Prinzen, die eine verlockende Investment-Idee haben, sind inzwischen so bekannt, dass sie bereits in Witzen auftauchen. Diese E-Mails schon seit Jahren nicht mehr großflächig in Umlauf. Eine Smishing-Attacke von heute ist im Prinzip das Gleiche, nur in anderem Gewand: Wie die E-Mails, setzen die Angreifer auf die schwächste Stelle in der IT-Sicherheit: den Menschen und seine Gutgläubigkeit und Abgelenktheit.
Statistiken von IT-Sicherheits-Seiten zeigen, dass Angriffe vermehrt freitagnachmittags vorkommen, also dann, wenn viele Büro-Angestellte eher müde und unaufmerksam sind. Dazu kommt, dass Kriminelle das Vertrauen in etablierte Firmen ausnutzen, wenn sie diese als Absender ihrer SMS benutzen. Diese beiden Faktoren werden noch verstärkt durch den dritten: Emotion.
In Zeiten der Pandemie bestellen viele Menschen im Internet, eine SMS von einem Paketdienst zu bekommen, scheint also zunächst nicht befremdlich. Meist freuen sich die Menschen auf ihre Bestellung, sind vielleicht sogar ungeduldig und möchten wissen, wo das Paket bleibt. Oder sie hoffen, dass der Versand auch wirklich reibungslos stattfindet. Und genau das nutzen Cyber-Verbrecher aus.
Die Smishing-SMS erzeugt oft Druck und Eile. Sie fordert auf, schnell zu handeln, schafft bedrohliche Szenarien wie „Das Paket wird zurückgeschickt“ oder „Die Überweisung ist nicht angekommen“, um das Urteilsvermögen der Opfer zu beeinflussen.
So kann man sich vor Smishing schützen
Zunächst auf keinen Fall den Link anklicken, nichts installieren, nichts eingeben!
Sollte man doch aus Versehen auf den Link geklickt haben, ist das erst einmal nicht so schlimm. Erst wenn man Daten eingeben hat oder die App installiert hat, wird es brenzlig. In jedem Fall sollte man:
- zuerst das Handy in den Flugmodus versetzen: So können keine Daten mehr zum oder vom Handy fließen.
- dann einen Screenshot von der SMS machen und den Angriff bei der Polizei anzeigen: Bereits das Versenden der SMS ist ein Betrugsversuch und damit eine Straftat.
- auf jeden Fall die SMS löschen und Passwörter zu Mail-Programmen oder Bankkonten ändern, aber auf einem anderen Gerät.
- Bei Android-Handys lässt es das Betriebssystem generell zu, dass Apps oder Webseiten Software installieren. Deswegen sollte in den Einstellungen das Herunterladen aus externen Quellen verboten werden.
Wurde schon Schadsoftware installiert, hilft nur der radikale Schritt: das Handy auf Werkeinstellung zurücksetzen. Dadurch wird die Schadsoftware gelöscht, sonstige private Daten aber auch.