Die Verbraucherzentrale warnt vor einer neuen Welle professioneller SMS-Phishing-Angriffe. Kriminelle nutzen billige SMS-Gateways, um massenhaft gefälschte Nachrichten zu versenden und an sensible Daten zu gelangen.
Die perfekte Infrastruktur für Betrüger
Im Zentrum stehen anonyme SMS-Gateways. Diese Dienste erlauben es, über das Internet zehntausende Nachrichten zu verschicken – für einen Bruchteil eines Cents pro SMS. Kriminelle fälschen dabei die Absenderkennung. So wirken die Nachrichten, als kämen sie von der Bank, einem Paketdienst oder einer Behörde.
Da Kriminelle immer raffiniertere Methoden nutzen, um über das Smartphone an sensible Bankdaten zu gelangen, ist ein proaktiver Schutz unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie PayPal, Online-Banking und WhatsApp mit einfachen Schritten effektiv absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Der Zugang zu diesen Diensten wird teils offen in Untergrundforen gehandelt. Für die Täter ist es ein Geschäft mit minimalem Risiko und Aufwand.
Neue Maschen: EU-Vorgaben als Vorwand
Aktuell kursieren gefälschte SMS der „easybank“. Darin werden Kunden unter Berufung auf EU-Vorgaben (PSD2) zu einem angeblichen Sicherheitscheck aufgefordert. Wer nicht bis zum 28. Februar reagiert, dem droht laut Nachricht die Sperrung des Online-Zugangs.
Bereits Anfang Februar schlug die Bundesnetzagentur Alarm. Damals zielten Angriffe auf Kunden von FinTechs und Trading-Plattformen ab. Die Betrüger täuschten unautorisierte Auszahlungen oder VideoIdent-Verfahren vor. KI hilft ihnen dabei, fehlerfreie und überzeugende Texte zu generieren.
Selbst die Zwei-Faktor-Absicherung fällt
Die Angriffe werden immer raffinierter. Neuartige Phishing-Kits ermöglichen Echtzeit-Attacken, die sogar die Multi-Faktor-Authentifizierung (MFA) aushebeln. So funktioniert es: Das Opfer erhält eine SMS und klickt auf den Link. Gleichzeitig ruft ein angeblicher Support-Mitarbeiter an.
Ein falscher Klick auf eine SMS kann ausreichen, um Betrügern Tür und Tor zu Ihren persönlichen Daten zu öffnen. Erfahren Sie in diesem gratis Sicherheitspaket, welche häufig unterschätzten Sicherheitslücken Sie sofort schließen sollten, um Ihr Smartphone spürbar sicherer zu machen. Kostenlosen Sicherheits-Ratgeber herunterladen
Während des Telefonats lotst der Täter das Opfer durch die Anmeldung auf der gefälschten Seite. Alle eingegebenen Daten – Passwort und Einmalcode – werden live an die Betrüger übermittelt. Bestätigt das Opfer die Sicherheitsabfrage, ist selbst die MFA geknackt.
Ein Milliardengeschäft mit hohem Schaden
Die finanziellen Schäden sind immens. Allein in Oberösterreich summierte sich der Schaden durch Smishing innerhalb von zwei Wochen im Januar auf rund 800.000 Euro. Der Durchschnittsschaden pro Fall liegt laut Experten zwischen 4.000 und 6.000 Euro.
Für die Opfer wird es oft doppelt bitter: Gerichte können die Weitergabe von Daten nach einer SMS-Aufforderung als grobe Fahrlässigkeit werten. Das erschwert die Erstattung durch die Bank.
Was Verbraucher jetzt tun können
Das Wettrüsten geht weiter. Während Provider ihre Filter verbessern, entwickeln Kriminelle neue Umgehungen. KI und Deepfakes werden die Lage weiter verschärfen.
Die wichtigste Regel lautet daher: Niemals auf Links in unerwarteten SMS klicken. Seriöse Unternehmen fordern niemals Passwörter oder TANs per SMS an. Im Zweifelsfall sollten Nutzer direkt über die offizielle App oder Website Kontakt aufnehmen. Verdächtige Nachrichten können bei der Bundesnetzagentur und den Verbraucherzentralen gemeldet werden.
