Betrugsmasche Phishing per SMS - so schützen Sie sich

Mal sollen mögliche Opfer ihr Konto verifizieren, mal durch den Klick auf einen Link ein Update für die Bankkarte auslösen. Phishing kommt in vielen Gewändern daher. Die Betrüger gehen durchaus gerissen vor, um ahnungslose Menschen hinters Licht zu führen.

Doch die Masche folgt oft einem Muster: Nach einer persönlichen Anrede folgt die Aufforderung, auf einen Link zu klicken. Und dann ist es meist schon zu spät. Wer auf den Link klickt, installiert zum Beispiel eine App, die Daten vom Smartphone kopieren und weiterleiten kann. Möglich ist auch, dass die App unbemerkt SMS über die Handynummer des Opfers verschickt oder anderen Schaden anrichtet. Meist lässt sich die App im Nachhinein nur schwer oder gar nicht deinstallieren. Oder man wird als nächstes dazu aufgefordert, Kontodaten einzugeben, die die Betrüger dann für Überweisungen nutzen.

Die angebliche Sprachnachricht führt zu einer schädlichen App. Bildrechte: Colourbox.de

Besonders perfide: Text und Link in der Smishing-Nachricht können von Fall zu Fall unterschiedlich sein. Auch die Nummer des Absenders kann variieren. Und die Betrüger nutzen die Gutgläubigkeit der Handybesitzer: Denn es ist nicht ungewöhnlich, dass Mobilfunkanbieter eine SMS oder Banken Mails verschicken, um ihre Kunden zu informieren. Allerdings kommen die immer von derselben Telefonnummer beziehungsweise Email-Adresse. Und: Die Banken weisen immer wieder daraufhin, dass sie ihre Kunden niemals dazu auffordern würden, persönliche Zugangsdaten und PINs per Mail oder das Telefon zu übermitteln.

Kunden sollten demnach auf keinen Fall auf den Link klicken. Solange man die SMS oder Email nur liest, passiert gar nichts. Nur mit der Handynummer können die Betrüger nämlich nichts anfangen. Außerdem sollte man nicht auf die Nachricht antworten und sie stattdessen löschen. Die Nummer zu sperren ist möglich, schützt aber nicht unbedingt vor weiteren Betrugsversuchen, weil die SMS von verschiedenen Handynummern aus verschickt werden. Emails kommen ebenfalls oft von verschiedenen Email-Adressen. Einen Absender zu blockieren, hilft da nicht.

Generell schützt man sein Smartphone am besten, wenn man es regelmäßig updatet und Betriebssystem, Apps und den Virenschutz auf dem neuesten Stand hält. Die Drittanbietersperre, die man beim Mobilfunkanbieter einrichten kann, sorgt dafür, dass über die Handyrechnung keine Kosten abgerechnet werden können. Die kann auch nur für einzelne Kategorien gelten, zum Beispiel "Erotik" oder "Abos".

Wer unsicher ist, ob eine SMS oder Email Phishing ist, sollte lieber nicht auf den enthaltenen Link klicken. Bildrechte: imago images/Westend61

Wer unsicher ist, ob eine Mail von der Bank echt ist oder nicht, kann sich an den Kundenservice wenden oder sich über die Webseite der Bank - nicht per Klick auf den Link sondern über die Eingabe im Browser - einloggen und ins Bankpostfach schauen.

Die Verbraucherzentrale Nordrhein-Westfalen bietet einen Phishing-Radar an. Auf der Webseite werden häufige aktuelle Phishing-Versuche gemeldet und Verbraucher gewarnt. Wer unsicher ist, kann eine verdächtige Mail oder SMS auch an phishing@verbraucherzentrale.nrw weiterleiten. Die eingehenden Mails werden dann überprüft und ausgewertet.

Um Fake-SMS zu vermeiden, kann man einstellen, dass nur Nachrichten von eingespeicherten Kontakten zugestellt werden. Bildrechte: picture alliance / dpa

Wer auf so einen Link in der SMS klickt, sollte der Installation einer neuen App nicht zustimmen. Ist es auch dafür schon zu spät, sollte man als Erstes das Handy in den Flugmodus setzen, damit die Schadsoftware keine Daten über das Internet senden und empfangen kann.

Beweisfotos wie Screenshots helfen bei der Anzeige, die Betroffene ebenfalls erstatten sollten. Die Polizei sichert ggf. weitere Beweise, die sich noch auf dem Handy befinden. Außerdem sollte man seinen Mobilfunkanbieter informieren, falls es zu ungewöhnlichen Aktivitäten wie Massen-SMS kommt.

Wer auf den Link in einer Betrugs-SMS geklicht hat, sollte Beweise für den Betrug sichern. Bildrechte: Colourbox.de

Um die App wieder loszuwerden, kann man das Smartphone im abgesicherten Modus starten und nach zuletzt installierten Apps suchen. Das geht allerdings nicht mit allen Modellen. Im Zweifel hilft es nur, das Gerät auf die Werkseinstellungen zurückzusetzen oder ein Back-up von vor der Installation aufzuspielen. In jedem Fall sollte man alle Zugangsdaten, die im Handy gespeichert waren, ändern.

Es empfiehlt sich außerdem, die eigenen Konten im Blick zu behalten, falls Betrüger versuchen, Geld abzubuchen oder Zahlungen zu tätigen. Passiert das, sollte man sofort die Bank benachrichtigen. Ist durch die Betrugsmasche ein finanzieller Schaden entstanden, kann die Hausratversicherung helfen. Viele Verträge decken Schäden durch Phishing mit ab, wenn Betrüger zum Beispiel Einkäufe im Netz getätigt haben.

Damit es gar nicht erst soweit kommt, sollte man mit seiner Handynummer und der Email-Adresse vorsichtig umgehen. Wer sie nur dann angibt, wenn es unbedingt erforderlich ist, kann das Risiko für gefährlichen Spam minimieren. Vor unbekannten SMS schützt man sich mit der Einstellung, dass nur Nachrichten von eingespeicherten Kontakten zugestellt werden. Servicemails von Banken oder dem Mobilfunkanbieter kommen weiterhin an, wenn man sie als Kontakt einspeichert. Wer immer wieder von Spam betroffen ist, kann auch die Telefonnummer wechseln.