Betrug über SMS: Falsche Banken, angebliche Pakete & Co.
Phishing findet nicht nur per E-Mail statt. Verwandte Formen wie Smishing und Vishing nutzen beispielsweise SMS und Telefon. Das Prinzip ist jedoch vergleichbar und im Visier der Betrüger stehen ebenfalls Ihre Daten und Ihr Geld.
Smishing
So wird die Variante des Phishing genannt, bei der SMS anstelle von E-Mails verwendet werden (SMS + Phishing = Smishing). Dabei kann es beispielsweise um ein Bankkonto gehen, das angeblich aktualisiert werden soll, um ein erfundenes Paket, das unterwegs ist, um eine vermeintliche Infektion mit einem Schadprogramm, um zweifelhafte Aktivitäten auf einem Social Media Account, um private Fotos, die sich angeblich im Netz befinden oder um Unklarheiten beim Mobilfunkvertrag.
Die Betrüger täuschen in der SMS vor, sie seien Mitarbeiter von bekannten Unternehmen und wollen erreichen, dass die Empfänger auf den enthaltenen Link klicken. Dahinter können sich Schadsoftware, Abofallen oder gefälschte Webseiten verbergen, die vertrauliche Daten abfragen.
In manchen Fällen werden in den SMS Telefonnummern mit der Bitte um Rückruf angegeben, die angeblich zu Unternehmen oder Behörden gehören. Falls die angeschriebenen Personen zurückrufen, wird versucht, ihnen im Gespräch persönliche Daten zu entlocken.
Eine weitere Art von Smishing sind Nachrichten über eine angebliche neue Voicemail. Beim Klicken auf den Link landen Sie jedoch nicht bei der Mailbox. Stattdessen laufen Sie Gefahr, Ihr Gerät mit Schadsoftware zu infizieren. Sie soll Kontaktdaten und andere in Ihrem Smartphone gespeicherte Informationen ausspionieren, die von den Betrügern dann missbräuchlich verwendet werden.
Falsche SMS von Banken & Co.
Als neuere Smishing-Masche sind SMS im Umlauf, die angebliche Schwierigkeiten oder Aktualisierungen beim Online-Banking, Steuerrückzahlungen und nicht bezahlte Rechnungen zum Thema haben.
Wie beim Phishing per E-Mail sollen die angeschriebenen Personen durch geschickte Täuschungen dazu gebracht werden, Bankverbindungen und Zugangsdaten zum Online-Banking preiszugeben. Über die Links in den SMS werden sie zu nachgemachten, betrügerischen Webseiten weitergeleitet, wo sie diese Daten eingeben sollen. Im Fall der angeblichen Rechnungen setzen die Betrüger zum Teil massive Drohungen ein, um zu erreichen, dass ihre Opfer auf den angegebenen Link klicken oder die genannte Telefonnummer anrufen - ebenfalls mit dem Ziel, sensible Daten zu erbeuten.
SMS-Flut durch Paketbenachrichtigung
Der Betrug mit falschen Paketbenachrichtigungen per SMS trat gehäuft zu Beginn der Corona-Pandemie auf und kommt seitdem immer wieder vor. Den SMS gemeinsam sind merkwürdig aussehende Links, die angeklickt werden sollen, um nähere Informationen zum Versandstatus, zur Zustellung oder zum Abholort zu erfahren.
Bereits das Anklicken von diesen Links kann zum Download von schädlichen Apps führen, die Kontaktdaten ausspähen und ermöglichen, dass die Geräte ferngesteuert werden können. Solche Programme werden als Bots bezeichnet. Per Fernsteuerung können an einem Tag hunderte von SMS an die Kontakte versendet werden oder auf dem eigenen Gerät eingehen. Darüber hinaus kann es vorkommen, dass das befallene Mobiltelefon in ein Botnetz integriert wird. Darunter werden Zusammenschlüsse von vielen ferngesteuerten Geräten zu einem Netzwerk verstanden. Botnetze werden beispielsweise eingesetzt, um Spam zu versenden, Webseiten und IT-Systeme lahmzulegen, Schadprogramme zu verbreiten oder vertrauliche Informationen zu stehlen.
Möglich ist außerdem, dass die erbeuteten Kontakte dazu benutzt werden, um in deren Namen um Hilfeleistungen wie Geld zu bitten, beispielsweise per E-Mail oder per SMS. Dabei nutzen die vermeintlichen Bekannten die bestehende persönliche Beziehung zum Opfer aus.
Abofallen
Bei einer Variante dieses Betrugs kann nach Anklicken des Links zur Sendungsverfolgung oder zu anderen Informationen zum Paket die Zahlung eines geringen Geldbetrages gefordert werden, damit die Zustellung bearbeitet werden kann. Auf einer weiteren Seite sollen persönliche Daten wie Anschrift und E-Mail-Adresse angegeben werden. In dem kleingedruckten Text zu den Nutzungs- oder Geschäftsbedingungen verbirgt sich jedoch ein Angebot für ein Abonnement. Das wird abgeschlossen, wenn der Bestellvorgang ausgeführt wird. Bei genauerem Hinsehen stellt sich heraus, dass diese Seite zu einem anderen Unternehmen gehört und nichts mehr mit dem angeblichen Paketdienst zu tun hat.
Bleiben Sie wachsam
- Löschen Sie zweifelhafte oder verdächtige SMS. Öffnen Sie keine Links und antworten Sie auch nicht auf diese Nachrichten.
- Überprüfen Sie, ob die angegebene Internetadresse mit der Ihrer Bank oder des genannten Unternehmens übereinstimmt und ob weitere Kontaktdaten wie Telefonnummern stimmen. Bei genauerem Hinsehen ist in den meisten Fällen zu erkennen, dass die Webadressen zwar den Namen der Bank, des Unternehmens oder Teile davon nutzen, sie aber dennoch von den Originalen abweichen.
- Wenden Sie sich zur Klärung von offenen Fragen selbst telefonisch an Ihre Bank oder an das Unternehmen mit den richtigen Kontaktdaten, die Sie beispielsweise der korrekten Webseite entnehmen können.
- Informieren Sie sich über den Stand der Zustellung von Paketen auf der Webseite des Paketdienstes anhand der Sendungsnummer, falls Sie tatsächlich ein Paket erwarten.
- Seien Sie sehr vorsichtig bei der Weitergabe Ihrer Daten. Prüfen Sie genau, wem Sie diese persönlichen Informationen anvertrauen und ob die Angaben notwendig sind.
- Lesen Sie stets das Kleingedruckte aufmerksam durch, bevor Sie ein Häkchen für Ihr Einverständnis setzen.
- Nutzen Sie die Ihnen bekannte Rufnummer, um Ihre Mailbox abzuhören. SMS über tatsächlich eingegangene Anrufe haben immer den gleichen, Ihnen bekannten Absender.
- Seien Sie ausgesprochen misstrauisch, wenn Sie aufgefordert werden, eine neue App zu installieren. Laden Sie Apps nur aus vertrauenswürdigen Quellen wie dem Play-Store oder dem App-Store herunter.
- Deaktivieren Sie in den Einstellungen Ihres Android-Smartphones die Funktion „Apps aus unbekannten Quellen installieren“. Das können Sie entweder für einzelne Apps einstellen oder ein generelles Verbot erteilen. Bei iPhones sind grundsätzlich nur Installationen von Apps aus dem App-Store möglich. Seien Sie dennoch vorsichtig und klicken Sie keine unbekannten Links an.
- Werden Sie wegen angeblich offener Rechnungen angeschrieben, klären Sie, ob Sie überhaupt etwas bestellt haben und ob Sie den Betrag überwiesen haben. Wenden Sie sich im Zweifel an das Unternehmen, um den Fall zu klären.
Im Ernstfall richtig handeln
Haben Sie auf den Link in der SMS geklickt, eine schädliche App heruntergeladen oder Bankdaten preisgegeben, gehen Sie folgendermaßen vor:
- Lassen Sie Ihr Smartphone durch einen Virenscanner checken. Schalten Sie den Flugmodus ein, um zu verhindern, dass weiterhin Daten versendet oder empfangen werden.
- Melden Sie Ihrem Mobilfunkanbieter den Fall und bitten Sie um eine Aufstellung der Kosten für möglicherweise versendete SMS. Falls noch nicht vorhanden, richten Sie eine Drittanbietersperre ein. Sie bietet einen Schutz vor Abofallen.
- Sichern Sie Beweise wie Screenshots von Nachrichten und Webseiten, Kostennachweise für SMS und eventuelle unberechtigte Abbuchungen von Ihrem Bankkonto und erstatten Sie Strafanzeige bei der Polizei.
- Legen Sie die Anzeige bei Ihrem Anbieter als Beleg vor, dass der Versand der SMS durch Schadsoftware erfolgte. Sollen Sie Kosten dafür trotzdem tragen, wenden Sie sich an die Bundesnetzagentur.
- Um die Schadsoftware zu entfernen, starten Sie Ihr Smartphone im abgesicherten Modus. Wie das geht, erfahren Sie beispielsweise beim Landeskriminalamt Niedersachsen. Lässt sich das Programm nicht entfernen, bleibt meistens noch, das Gerät in den Auslieferungszustand zurückzusetzen.
- Informieren Sie Ihre Bank über die Phishing-Attacke, lassen Sie Konten und Kreditkarten sperren und sich über das weitere Vorgehen beraten. Ändern Sie Zugangsdaten zum Online-Banking und zu anderen Nutzerkonten. Nutzen Sie dafür ein anderes, nicht infiziertes Gerät.
- Falls möglich, aktiveren Sie einen Spam-Filter, wenn die Zusendung von betrügerischen SMS überhandnimmt. Oder stellen Sie ein, dass Sie nur noch SMS von Rufnummern erhalten, die in Ihrem Adressbuch gespeichert sind.
Vishing
Der Begriff steht für Voice Phishing, also Phishing über die Stimme. Dabei geben sich die Abzocker als Mitarbeiter von Unternehmen, Behörden oder als Freunde von Verwandten aus. Legen Sie in solchen Fällen auf und rufen Sie die angegebenen Telefonnummern nicht zurück.
Ein Beispiel für einen solchen Betrug sind Anrufe von angeblichen IT-Mitarbeitern, die Softwareprobleme per Fernwartung lösen wollen, um sich Zugang zum Rechner zu verschaffen. Auch der bekannte und verbreitete Enkeltrick sowie die telefonische Kontaktaufnahme durch falsche Polizeibeamte oder Mitarbeiter der Verbraucherzentrale gehören in diese Kategorie.
Mehr Informationen und Tipps zum Umgang mit Betrug per Telefon finden Sie in diesem Beitrag.