Smishing-Welle bedroht Millionen Smartphone-Nutzer

Die Bundesnetzagentur warnt diese Woche vor einer massiven Smishing-Kampagne. Kriminelle versenden betrügerische SMS, um Kunden von Banken und FinTechs zum Preisgeben sensibler Daten zu bewegen. Mit professionell gefälschten Warnungen und KI-gestützten Texten gelang bereits Betrügern Schäden in Millionenhöhe.

Psychologischer Druck durch fingierte Bankwarnungen

Die Betrugsmaschen setzen auf maximale Dringlichkeit. Opfer erhalten SMS, die angeblich von ihrer Bank stammen – oft mit Meldungen von unautorisierten Auszahlungen oder neuen Sicherheitsverfahren. Der psychologische Trick funktioniert: Die Empfänger sollen sofort handeln, ohne nachzudenken.

Besonders perfide: Die Täter manipulieren die Absenderkennung so, dass die betrügerischen SMS im gleichen Nachrichtenverlauf wie echte Bankbenachrichtigungen erscheinen. Das Vertrauen in die eigene Bank wird damit systematisch missbraucht.

Billige Gateways und gestohlene Infrastruktur

Die technische Grundlage der Angriffe: SMS-Gateways. Mit diesen Diensten versenden Kriminelle tausende Phishing-Nachrichten gleichzeitig – kostengünstig und nahezu anonym. Das ermöglicht massenhaft und mit minimalen Kosten.

Noch perfider ist die Nutzung kompromittierter Infrastruktur. Betrüger brechen in unzureichend gesicherte Router ein und missbrauchen diese als Versandquellen. Diese dezentrale Methode macht es für Behörden extrem schwierig, die Täter zu fassen. Oft agieren diese international als Phishing-as-a-Service-Anbieter – sie vermieten die kriminelle Infrastruktur einfach an andere Betrüger weiter.

Die beliebtesten Angriffsmuster

Gefälschte Sicherheitswarnungen: Accounts gesperrt, verdächtige Aktivitäten – klassische Angst-Szenarien.

Falsche Paketbenachrichtigungen: Zollgebühren zahlen, Lieferadresse aktualisieren – wirkt alltäglich und harmlos.

Der „Mama/Papa“-Trick: Betrüger geben sich als Kind in Notlage aus, bitten später über Messenger um Geldüberweisung.

Die Links in den SMS führen auf täuschend echte Phishing-Websites. Wer dort sein Passwort eingibt, verliert direkten Zugriff auf sein Geld.

Schäden im dreistelligen Millionen-Bereich

Die Zahlen sind alarmierend. Das österreichische Landeskriminalamt meldete Mitte Januar, dass zwei Wochen SMS-Betrügereien rund 800.000 Euro Schaden verursachten. In Deutschland verzeichnen Verbraucherzentralen und Polizeibehörden massive Steigerungen.

Die Bundesnetzagentur schaltet täglich missbräuchliche Nummern ab – 6.200 im vergangenen Jahr allein. Doch das System hinkt dem Problem hinterher: Betrüger registrieren täglich neue Nummern und Domains. Ein Kampf gegen Windmühlen.

KI macht Phishing schwerer erkennbar

Früher verrieten Rechtschreibfehler gefälschte Nachrichten. Das ist vorbei. Mit Künstlicher Intelligenz erstellen Täter heute fehlerfreie, personalisierte Texte, die kaum noch von echten Nachrichten zu unterscheiden sind. Die Professionalisierung schreitet rasant voran.

Auch der Signal-Messenger – eigentlich als sicher bekannt – wurde Anfang Februar zum Ziel staatlich gestützter Phishing-Kampagnen gegen Politiker und Journalisten. Die Angriffswege über Textnachrichten und Messenger werden zum Standardwerkzeug krimineller und staatlicher Akteure.

So schützen Sie sich wirklich

Banken fordern niemals per SMS zu Passwörtern auf. Niemals. Auch nicht zur Durchführung von Sicherheitsverfahren. Das ist die goldene Regel.

Übrigens: Wer sein Smartphone vor Smishing, gefälschten Bank-SMS und schädlichen Links schützen möchte, findet praktische Hilfe in einem kostenlosen Ratgeber. Das Gratis-Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android – mit leicht verständlichen Schritt-für-Schritt-Anleitungen für WhatsApp, Online-Banking und sichere PayPal-Nutzung. Jetzt kostenloses Sicherheitspaket für Android herunterladen

Das sollten Sie tun:
– Klicken Sie nicht auf Links in unerwarteten SMS
– Geben Sie niemals Daten auf Websites ein, die Sie über SMS-Links erreicht haben
– Kontaktieren Sie Banken über deren offizielle Website oder Telefonnummer – nicht über Links in Nachrichten
– Melden Sie verdächtige SMS der Bundesnetzagentur und Ihrem Provider
– Löschen Sie die Nachricht danach sofort

Die Hauptverantwortung liegt derzeit beim Nutzer selbst. Solange standardisierte Sicherheitsverfahren wie RCS (mit obligatorischer Absender-Verifizierung) nicht flächendeckend eingeführt sind, bleibt Smishing eine lukrative Einnahmequelle für Betrüger.