Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Social Engineering Glossar

Smishing (SMS Phishing)

Phishing-Angriffe über SMS oder Messenger-Dienste. Smishing-Nachrichten enthalten gefälschte Links zu Phishing-Seiten oder fordern direkt zur Preisgabe sensibler Daten auf - oft unter dem Vorwand von Paketbenachrichtigungen, Bankalerts oder Behördenmitteilungen.

Smishing (SMS + Phishing) ist nach Vishing die am schnellsten wachsende Form des Social Engineerings. Während E-Mail-Phishing durch Spam-Filter zunehmend abgefangen wird, landen SMS-Nachrichten ohne Filterung direkt beim Empfänger - mit einer Öffnungsrate von über 95%.

Warum Smishing so effektiv ist

E-Mail-Phishing hat eine durchschnittliche Klickrate von 3-5 %. Spam-Filter fangen viele Angriffe ab, Nutzer sind durch jahrelange Sensibilisierung skeptischer geworden, und der Desktop-Kontext lässt mehr Zeit zum Nachdenken.

Smishing dagegen erreicht Klickraten von 8-10 %. Es gibt kaum SMS-Spam-Filter (außer einige Carrier-Filter), Nutzer sind gegenüber SMS-Betrug deutlich weniger sensibilisiert, und der mobile Kontext - unterwegs, unter Zeitdruck - begünstigt impulsives Handeln. Kurze URLs lassen sich auf einem Mobilgerät kaum prüfen.

Die echte Gefahr: Mobiles Banking kombiniert mit Smishing ermöglicht direkten Kontozugriff in einem einzigen Angriffsschritt.

Häufige Smishing-Szenarien

1. Paketbenachrichtigung (beliebteste Methode)

Eine typische Nachricht lautet: “Ihr DHL-Paket (Nr. 4823847) konnte nicht zugestellt werden. Bitte Adresse bestätigen: [Link]”

Diese Methode funktioniert, weil fast jeder auf ein Paket wartet, DHL, Amazon und UPS sehr oft für solche Angriffe missbraucht werden und ein zeitlicher Druck suggeriert wird (“Abholung morgen abgelaufen”). Auf der Phishing-Seite wird entweder eine “Bestätigungsgebühr” von €1,95 mit anschließendem Kreditkartendatendiebstahl verlangt, ein Adressformular für PII-Harvesting präsentiert, oder eine Malware-APK als vermeintliche “DHL-App” angeboten.

2. Bankalert

Muster: “Sparkasse: Ungewöhnliche Transaktion erkannt! Konto gesperrt. Entsperren: [Link]”

Diese Angriffe nutzen Dringlichkeit (“Konto gesperrt”), bekannte Marken (Sparkasse, ING, Commerzbank) und professionelles Layout der Phishing-Seite. Oft wird ein OTP-Relay eingesetzt: Der Angreifer loggt sich gleichzeitig in die echte Bank ein und leitet den SMS-TAN in Echtzeit weiter.

3. Behörde / Finanzamt

Muster: “Ihre Steuererstattung von €847 wartet! IBAN jetzt eintragen: [Link]”

Achtung: Deutsche Finanzämter kontaktieren niemals per SMS und fordern niemals IBAN-Angaben über einen Link an.

4. Zwei-Faktor-Manipulation

Muster: “Apple: Ihr Konto wurde gesperrt. Bestätigen Sie Ihre Identität: [Link]”

Ziel ist der Zugriff auf Apple-ID und iCloud - für gestohlene Fotos und Daten oder Geräte-Ransomware.

5. CEO-Fraud via SMS

Muster: “[Chef-Name]: Hallo, kannst du gerade eine dringende Überweisung machen? Bin in einem Meeting und mein PC ist gesperrt.”

Diese Variante ist besonders gefährlich in Finance-Teams und klassischer Employee Fraud.

Technische Seite: Wie Smishing-Kampagnen aufgebaut werden

Nummern-Beschaffung

Angreifer nutzen verschiedene Wege, um an Zielnummern zu gelangen: SMS-Gateway APIs (z.B. Twilio missbräuchlich genutzt), Prepaid-SIM-Karten in großen Mengen anonym erworben, SMS-Spoofing via SS7-Schwachstellen (selten, teuer), oder gefälschte alphanumerische Absender-IDs wie “DHL”.

Wichtig: Alphanumerische Absender-IDs können gefälscht werden. “DHL” in der SMS bedeutet nicht, dass die Nachricht von DHL stammt.

Smishing-Links werden verschleiert über URL-Shortener (bit.ly, t.co), Typosquatting (dh1.de statt dhl.de), Subdomain-Manipulation (dhl.fake-domain.de) oder HTTPS-Zertifikate, die vertrauenswürdig wirken.

Wichtig: HTTPS bedeutet nicht sicher. Jeder kann ein kostenloses Let’s Encrypt-Zertifikat erhalten.

Phishing-Kits

Im Darknet sind fertig konfigurierte Pakete erhältlich: “DHL-Kit”, “Sparkasse-Kit” mit exaktem Aussehen der echten Seite, Echtzeit-Relay für MFA-Tokens (Evilginx, Modlishka) und vollautomatischer Verarbeitung. Der Preis für ein fertiges Kit liegt bei €100-500.

Verteilung

Massen-Versand erfolgt an gestohlene oder geleakte Nummernlisten. Zielgerichtete Angriffe nutzen OSINT um spezifische Personen anzugreifen.

Echtzeit-OTP-Relay (Fortgeschrittene Technik)

Der vollautomatische Smishing-Angriff mit MFA-Bypass läuft in neun Schritten ab:

  1. Opfer erhält SMS: “Sparkasse: Login-Versuch erkannt. Bestätigen: [Link]”
  2. Opfer klickt auf den Link und öffnet die Phishing-Seite im identischen Sparkasse-Design
  3. Opfer gibt Benutzername und Passwort ein
  4. Angreifer-Server leitet die Daten sofort an die echte Sparkasse weiter
  5. Sparkasse sendet eine echte SMS-TAN an das Opfer
  6. Die Phishing-Seite fordert zur TAN-Eingabe auf
  7. Opfer gibt die TAN ein
  8. Angreifer nutzt die TAN innerhalb von 30 Sekunden
  9. Transaktion abgeschlossen - Konto geleert

Das Zeitfenster für das Relay beträgt 30-60 Sekunden, der gesamte Prozess läuft vollautomatisch ohne menschliche Intervention.

Schutzmaßnahmen

Für Mitarbeiter (Security Awareness)

Drei Fragen, die man sich vor jeder SMS-Reaktion stellen sollte:

  • Habe ich diese SMS erwartet?
  • Klicke ich auf Links in SMS-Nachrichten? (Antwort: Nein!)
  • Werde ich nach Passwort, TAN oder Kartendaten gefragt? Dann handelt es sich um Betrug.

Verifizieren durch unabhängigen Kanal:

  • DHL-Sendungsverfolgung: Paketnummer direkt auf dhl.de eingeben, nie dem Link folgen
  • Bank: Nummer auf der Rückseite der Karte anrufen
  • Finanzamt: Steuernummer und Bescheid direkt prüfen

Grundregel: Echte Banken, DHL und Behörden fragen niemals per SMS nach Passwörtern, PINs, TANs, Kreditkartendaten oder IBANs zur “Erstattung”.

Für Unternehmen

  • FIDO2/Passkeys statt SMS-TAN für Banking einsetzen - SMS-TAN ist per Design phishable
  • MDM: Gefährliche App-Installationen blockieren (APK-Sideloading auf iOS/Android)
  • Smishing in Phishing-Simulationen einbeziehen mit eigenen Kennzahlen getrennt von E-Mail-Phishing und mobilem Security-Awareness-Training
  • Mobile Threat Defense (MTD): Lösungen wie Lookout oder Microsoft Defender for Endpoint (mobile) erkennen verdächtige URLs in SMS

Für Banken und Dienstleister

  • SMS-Spoofing-Schutz: Nur registrierte Sender-IDs erlauben
  • SMS-TAN abschaffen zugunsten von FIDO2-Authenticatoren
  • Out-of-Band-Verifikation für große Transaktionen einführen

Rechtliche Lage in Deutschland

Strafbarkeit für Angreifer

  • § 263 StGB: Betrug (bis 5 Jahre Freiheitsstrafe)
  • § 263a StGB: Computerbetrug
  • § 202a StGB: Ausspähen von Daten
  • § 303a StGB: Datenveränderung
  • Bei organisierter Bande: § 263 Abs. 5 - bis 10 Jahre

Als Opfer

  • Sofort: Karte sperren (116 116), Bank informieren
  • Strafanzeige: Bei der Polizei (online möglich)
  • Verbraucherzentrale: smishing-check.de für aktuelle Kampagnen
  • Rückbuchung: Bei Kreditkarte oft möglich (Chargeback); bei EC-Karte oder Überweisung schwieriger - sofort die Bank informieren

Smishing in Zahlen (2025)

Laut BSI-Zahlen und aktuellen Branchenberichten:

  • Smishing-Angriffe in Deutschland: +340% seit 2022
  • Durchschnittlicher Schaden pro Opfer: €1.200-4.500
  • Trefferquote mobiler Phishing-Links: 4× höher als auf Desktop
  • 67% der Opfer wussten nicht, dass Absender-IDs gefälscht sein können

Beliebteste Smishing-Themen 2025

  1. Paketbenachrichtigung (DHL, Amazon, UPS)
  2. Banking-Alerts (Sparkasse, ING, Commerzbank)
  3. Apple-ID / Google-Account gesperrt
  4. Steuererstattungen (Fake-Finanzamt)
  5. Corona-Nachwirkungen (Fake-Erstattungen)

AWARE7 Leistungen zum Thema

Phishing-Simulation Security Awareness Training

Ausführlicher Wiki-Artikel

Phishing und Social Engineering: Angriffsmethoden, Psychologie und Schutzmaßnahmen

16 min Lesezeit

Security Awareness Training: Wie die Human Firewall wirklich funktioniert

13 min Lesezeit

Social Engineering: Psychologische Manipulationstaktiken in der IT-Sicherheit

11 min Lesezeit

Verwandte Begriffe

MFA (Multi-Faktor-Authentifizierung) Phishing Pretexting Social Engineering - Die Psychologie des Angriffs Vishing (Voice Phishing)
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung