Smishing

Smishing ist eine Form des Social Engineerings, bei der Betrüger versuchen, über Textnachrichten an persönliche Informationen oder vertrauliche Daten zu gelangen. Der Begriff setzt sich aus „SMS“ und „Phishing“ zusammen. Hierbei versuchen die Angreifer, das Vertrauen des Empfängers zu gewinnen, indem sie sich als vertrauenswürdige Quelle ausgeben, zum Beispiel als Bank, Online-Dienstleister oder Behörde.

Die folgenden Beispiele für Smishing können auch in abgewandelter Form sowie im DATEV-Kontext auftreten:

• Bank-Betrug: Ein häufiges Beispiel für Smishing ist eine gefälschte SMS von einer angeblichen Bank, in der behauptet wird, dass Ihr Konto gesperrt wurde und Sie sofort handeln müssen. Die Nachricht enthält oft einen Link, der auf eine gefälschte Webseite führt, die der echten Bankseite täuschend ähnlich sieht. Dort werden Sie aufgefordert, sensible Informationen wie Ihre Kontonummer, PIN oder Passwörter einzugeben.
• Paketlieferung: Ein weiteres gängiges Szenario ist eine gefälschte SMS eines Paketdiensts, welche darauf hinweist, dass ein Problem mit Ihrer Lieferung vorliegt. Die Nachricht fordert Sie dazu auf, einen Link anzuklicken, um den Status Ihres Pakets zu überprüfen oder zusätzliche Gebühren zu zahlen. In Wirklichkeit führt der Link jedoch zu einer betrügerischen Webseite, die darauf abzielt, Ihre persönlichen Daten abzugreifen oder Schadsoftware auf Ihrem Gerät zu installieren. Smishing-Angriffe suggerieren außerdem meist Dringlichkeit, um Empfänger dazu zu verleiten, schnell zu handeln, bevor sie die Echtheit der Nachricht hinterfragen.

Absender, Betreff, Content – diese drei Komponenten sind entscheidend, um Smishing-Angriffe frühzeitig zu erkennen und abzuwehren. Die ABC-Regel bietet eine strukturierte Methode, um SMS-Nachrichten auf mögliche Bedrohungen hin zu überprüfen.

• Absender prüfen: Fragen Sie sich, ob Sie eine SMS dieser Person oder dieses Unternehmens erwarten. Wenn die SMS unerwartet ist, seien Sie besonders vorsichtig. Seriöse Unternehmen verwenden in der Regel keine kürzeren oder generischen Textnachrichten für wichtige Mitteilungen. Im Zweifel kontaktieren Sie das Unternehmen über offizielle Kanäle, um die Echtheit zu überprüfen.
• Betreff prüfen: Ist der Inhalt der Nachricht relevant und erwartet? Unerwartete Nachrichten wie „Dringende Kontoüberprüfung erforderlich“ oder „Ihr Paket konnte nicht zugestellt werden“ könnten verdächtig sein. Angreifer verwenden oft Dringlichkeit oder Bedrohungen, um zu schnellem Handeln zu verleiten. Seien Sie skeptisch bei Nachrichten, die sofortige Maßnahmen verlangen.
• Content prüfen: Achten Sie auf ungewöhnliche Formulierungen, Rechtschreib- oder Grammatikfehler. Seriöse Unternehmen kommunizieren in korrekter und professioneller Sprache. Klicken Sie nicht auf eventuelle Links in Textnachrichten, sondern loggen Sie sich bei Bedarf händisch über die offiziellen Kanäle ein.

Sind Sie von einem Smishing-Angriff im DATEV-Kontext betroffen?
Dann können Sie dies an folgende E-Mail-Adresse melden: abuse@datev.de

Dadurch haben wir die Möglichkeit, den Vorfall in Abstimmung mit Ihnen im Bereich Betrugsversuche im DATEV-Kontext zu dokumentieren – selbstverständlich anonym und vertraulich. Sie helfen uns damit, zeitnah weitere Kunden und Mitglieder zu warnen.

Wie Sie sich im Falle eines IT-Sicherheitsvorfalls verhalten sollten, finden Sie unter Hilfe für den Ernstfall.