Smishing - Social Engineering
2025-08-13

Überblick

Smishing (SMS Phishing) ist eine Social-Engineering-Technik, bei der Angreifer SMS- oder Messenger-Nachrichten versenden,
um Empfänger zur Preisgabe vertraulicher Informationen oder zum Aufrufen schädlicher Webseiten zu bewegen.
Häufig wird dabei auf angebliche Lieferprobleme, ausstehende Gebühren oder sicherheitsrelevante Kontovorfälle verwiesen,
um Dringlichkeit zu erzeugen.

Typischer Ablauf

Der Angreifer versendet eine Kurznachricht, die von einem Paketdienst, einer Bank oder einem Online-Dienst zu stammen scheint.
Die Nachricht enthält meist einen verkürzten Link (z. B. bit.ly/...) oder eine unbekannte Domain,
die auf eine gefälschte Login- oder Zahlungsseite führt.

Beispiel:

„Ihr Paket kann nicht zugestellt werden. Bitte zahlen Sie die ausstehenden 3,99 € Zollgebühr unter folgendem Link: bit.ly/xyz“

Nach Eingabe der Zahlungs- oder Kontodaten werden diese direkt an den Angreifer übermittelt.

Risiken und Auswirkungen

Ein erfolgreicher Smishing-Angriff kann folgende Konsequenzen haben:

  • Diebstahl von Bank- oder Kreditkartendaten
  • Kompromittierung von Online-Konten
  • Installation von Schadsoftware auf mobilen Endgeräten
  • Finanzielle Verluste und Identitätsdiebstahl
  • Weitergabe persönlicher Daten an Dritte

Präventionsmaßnahmen

  1. Links prüfen – Keine unbekannten oder verkürzten URLs öffnen, insbesondere aus unaufgeforderten Nachrichten.
  2. Authentizität verifizieren – Offizielle Service-Apps oder bekannte Hotlines nutzen, um Nachrichten zu bestätigen.
  3. Technische Schutzmaßnahmen – Mobile Sicherheitslösungen mit SMS-Filter und Link-Analyse einsetzen.
  4. Sensibilisierung – Mitarbeitende und Privatnutzer regelmäßig über aktuelle Smishing-Maschen informieren.
  5. Keine Daten preisgeben – Keine persönlichen oder finanziellen Informationen per SMS/Messenger eingeben.

Standards und Best Practices

  • ISO/IEC 27001 – Annex A.12 & A.13: Communications Security
  • NIST SP 800-53 – Awareness and Training (AT), System and Communications Protection (SC)
  • BSI IT-Grundschutz – Baustein CON.1 „E-Mail- und Messaging-Nutzung“

Fazit

Smishing nutzt die hohe Glaubwürdigkeit und Unmittelbarkeit von SMS- und Messenger-Diensten,
um Empfänger zu schnellen, unüberlegten Handlungen zu verleiten.
Ein wirksamer Schutz erfordert die Kombination aus technischer Absicherung,
klaren Prozessen zur Verifizierung von Nachrichten und kontinuierlicher Sensibilisierung.