Was ist Smishing und wie vermeide ich es?

Was ist Smishing?

Smishing ist Phishing per SMS: Es handelt sich um einen Social-Engineering-Betrug, bei dem Ihnen jemand eine Nachricht schickt und dabei vorgibt, eine vertrauenswürdige Person zu sein, z. B. Ihre Bank oder eine nahestehende Person, um Sie dazu zu bringen, personenbezogene Daten preiszugeben, Geld an Betrüger zu senden oder auf gefährliche Links zu klicken.

Es gibt viele Smishing-Betrügereien, und sie können kostspielig sein. Im Jahr 2024 verloren Amerikaner durch Smishing-Betrug fast eine halbe Milliarde Dollar. Und im ersten Halbjahr 2025 hat sich die Zahl der Smishing-Meldungen im Vergleich zum gleichen Zeitraum 2024 mehr als verdoppelt. Daher ist es für Ihre finanzielle Sicherheit unerlässlich, sich über diese Bedrohungen zu informieren.

So funktioniert Smishing

Beim Smishing werden Zielpersonen dazu verleitet, auf gefährliche Links in SMS-Nachrichten zu klicken. Das eigentliche Ziel ist es, Sie dazu zu bringen, personenbezogene Daten wie Ihre Anmeldedaten preiszugeben oder Geld direkt an einen Betrüger zu senden.

Um Ihnen Smishing-Nachrichten zu senden, braucht ein Betrüger lediglich Ihre Telefonnummer. Und die ist oft leicht zu bekommen: Ihre Telefonnummer könnte auf Ihren Social-Media-Seiten, auf Datenbroker-Websites stehen oder bei einer Datenpanne aufgetaucht sein.

Hat ein Betrüger Ihre Nummer, verfasst er eine Nachricht, die Sie dazu bringen soll, unüberlegt zu handeln. Dabei können emotionale Taktiken wie Angst und Dringlichkeit zum Einsatz kommen. Sie könnten Ihnen zum Beispiel sagen, dass Ihr Instagram-Konto dauerhaft gesperrt wird, wenn Sie nicht sofort handeln. Oder sie teilen Ihnen mit, dass ein großer Betrag von Ihrem Bankkonto abgebucht wurde.

Wenn Sie auf einen Link in einer Smishing-Nachricht klicken, werden Sie möglicherweise auf eine gefälschte Anmeldeseite oder ein Zahlungsportal weitergeleitet, das Ihre Zugangsdaten oder Kreditkarteninformationen abgreift. Oder es könnte ein Malware-Download ausgelöst werden, der Spyware auf Ihrem Gerät installiert, Ihre personenbezogenen Daten stiehlt und an den Angreifer sendet. Alternativ kann ein Smishing-Betrüger eine nahestehende Person imitieren und Sie auffordern, Geld über Cash App oder Venmo zu senden.

Betrüger können ihre Absender-ID fälschen, um den Anschein zu erwecken, die Nachricht käme aus einer vertrauenswürdigen Quelle. Dies nennt man Phone-Spoofing; so kann eine SMS aussehen, als käme sie von Ihrer Mutter oder Ihrem bevorzugten Streaming-Dienst.

Arten von Smishing-Betrug

Häufige Smishing-Scams umfassen gefälschte Banknachrichten, Kontobestätigungsschwindel, Gewinnbenachrichtigungen, Lieferbetrügereien, gefälschte Mautgebühren und Finanzbehörden-Betrug.

Vortäuschen einer Finanzinstitution

Betrüger geben sich als Banken, Kreditkartenunternehmen, Inkassobüros und andere aus, um Sie zur Handlung zu verleiten. Sie könnten eine verdächtige Transaktion auf Ihrer Karte melden oder damit drohen, Ihr Konto zu sperren, wenn Sie nicht sofort handeln.

In einem jüngsten Fall in Australien gaben sich Betrüger als Commonwealth Bank, ein großes Finanzinstitut mit Millionen von Kunden, aus. Die Zielpersonen erhielten SMS-Nachrichten mit der Mitteilung, dass ihre Bonuspunkte bald ablaufen würden. Um die Punkte einzulösen, wurden die Opfer aufgefordert, auf einen schädlichen Link zu klicken.

Drohungen mit Kontobestätigung und Dienstkündigung

Die meisten Menschen sind Kontobestätigungsnachrichten gewohnt, sodass es nicht ungewöhnlich erscheint, eine von einem Social-Media-Konto, einem Streaming-Dienst oder einer anderen vertrauenswürdigen Stelle zu erhalten. Betrüger nutzen Ihre Neigung aus, automatisch auf Links in solchen Nachrichten zu klicken.

Darüber hinaus versenden Cyberkriminelle häufig Nachrichten zur Kündigung von Diensten oder Abonnements – darunter möglicherweise unverzichtbare Tools für die tägliche Arbeit oder das Finanzmanagement. Oder es handelt sich um Warnungen, die scheinbar von Unterhaltungs-Apps stammen.

Im Jahr 2025 warnte Netflix seine 90 Millionen Abonnenten in den USA und Kanada vor Smishing-Nachrichten, die eine Kündigung des Dienstes ankündigten. Die Betrugs-SMS drohten den Benutzern, ihre Konten würden geschlossen, wenn sie ihre Zahlungsdaten nicht aktualisierten.

Gewinn-, Lotterie- und Prämien-Betrug

Statt auf Angst zu setzen, nutzen diese Smishing-Scams die Hoffnung als Hebel, um Opfer dazu zu verleiten, für eine Prämie zu klicken. Betrüger versprechen alles von Starbucks-Geschenkkarten bis hin zu lebensverändernden Lotteriegewinnen. In der Nachricht werden die Opfer nach personenbezogenen Daten gefragt oder zur Zahlung einer Bearbeitungsgebühr oder Versandkosten aufgefordert, um einen Preis zu beanspruchen. Wenn der Empfänger zustimmt, nehmen die Betrüger das Geld und verschwinden.

Liefer- und Versandbenachrichtigungen per SMS

Rund 75 % der Amerikaner erhalten mindestens ein Paket pro Woche per Post. Daher sind die meisten Menschen es gewohnt, Versand- und Lieferbenachrichtigungen per SMS zu erhalten.

Für Betrüger ist es leicht, betrügerische Nachrichten unter die seriösen zu mischen. Sie imitieren den US-Postdienst und private Kurierdienste wie FedEx und UPS. Nachrichten informieren Sie häufig über fehlgeschlagene Zustellversuche und fordern Sie auf, auf einen Link zu klicken, um Ihre personenbezogenen Daten zu aktualisieren oder ein neues Lieferdatum zu wählen. Oder sie behaupten, Sie müssten eine ausstehende Gebühr bezahlen, um das Paket zu erhalten.

Gefälschte Mautgebühren

Wenn Sie eine SMS über unbezahlte Mautgebühren oder Mautflucht erhalten, ist das höchstwahrscheinlich ein Betrug. Die meisten Mautstraßen kontaktieren Sie nicht per SMS in Zahlungsangelegenheiten. Diese betrügerischen Nachrichten enthalten in der Regel einen Link zu einer gefälschten Zahlungsseite. Wenn Sie eine solche Nachricht erhalten und denken, sie könnte seriös sein, loggen Sie sich über die offizielle Website in Ihr Konto ein oder rufen Sie das Kontaktcenter an, um dies zu bestätigen – klicken Sie niemals auf einen Link in der SMS.

Betrug durch Behörden und Steuerbehörden

Eine Nachricht von einer Behörde kann stressig sein, und Betrüger wissen, dass Sie diese Nachrichten wahrscheinlich sorgfältig lesen werden.

Manche Nachrichten enthalten Drohungen mit Geldstrafen oder Prüfungen und fordern Sie auf, eine Zahlung zu leisten, um weitere Maßnahmen zu vermeiden. Andere informieren Sie über nicht beanspruchte Steuervorteile, die Sie durch Klicken auf einen Link und Angabe Ihrer Sozialversicherungsnummer (SSN) oder Ihrer Bankdaten einlösen können.

IRS-Steuerbetrug nimmt in der Regel zu Beginn des Jahres zu, wenn die Amerikaner mit der Steuererklärung beginnen. Im Jahr 2025 stiegen diese Betrugsnachrichten um 77 % im Januar an.

Tech-Support- und Kontowiederherstellungs-Betrug

Tech-Support-Smishing-Nachrichten imitieren bekannte Technologieunternehmen wie Apple, Microsoft und PayPal.

Sie können behaupten, dass Ihr Gerät einen Virus hat oder Ihr Konto aus Sicherheitsgründen gesperrt ist. Tech-Support-Scams fordern Sie häufig zu Folgendem auf: "Sofort den Support zu kontaktieren" oder "Jetzt klicken, um Ihr Konto wiederherzustellen".

Betrug durch Imitierung von Unternehmen oder Kollegen

Manchmal imitieren Betrüger einen Mitarbeiter oder Manager des Unternehmens, für das Sie arbeiten, und fordern Informationen oder eine Zahlung an.

Diese Smishing-Angriffe können sehr schädlich sein, wenn sie Hackern Zugriff auf Unternehmensgeräte verschaffen. Infolgedessen könnten Kriminelle auf große Mengen an Unternehmens- und Kundendaten zugreifen.

In einem Fall gab sich ein Betrüger als CEO eines Unternehmens aus. Er schickte einem Mitarbeiter SMS-Nachrichten und bat darum, das Gespräch auf eine verschlüsselte Plattform zu verlagern. Anschließend wurde das Opfer aufgefordert, große Geldüberweisungen auf das Konto des "CEOs" vorzunehmen.

Falsch verbunden oder Vertrauensaufbau-Betrug

Manche Betrüger versuchen, Ihr Vertrauen zu gewinnen, indem sie im Laufe der Zeit eine Freundschaft mit Ihnen aufbauen. Diese Betrugsversuche nutzen vertrauensvolle oder einsame Menschen aus.

Sie beginnen oft mit einer SMS von einer unbekannten Nummer. Wenn Sie antworten, entschuldigt sich der Betrüger und gibt zu, die SMS an die falsche Person geschickt zu haben. Dennoch chattet er weiter mit Ihnen und versucht, eine Freundschaft anzubahnen.

Diese virtuelle Freundschaft (oder Scheinromanze) kann Monate dauern, während der Betrüger schrittweise Daten sammelt und Ihre vertraulichen Informationen oder Ihr Geld abschöpft.

"Hallo Mama"-Smishing-Betrug

Beim "Hallo Mama"-Betrug schicken Kriminelle SMS-Nachrichten und geben vor, ein Kind mit einem neuen oder kaputten Mobiltelefon zu sein. Sie gehen schnell dazu über, um dringende finanzielle Hilfe zu bitten, und behaupten oft, dass sie gerade nicht telefonieren können.

Diese Betrugsmaschen funktionieren, indem sie den Instinkt eines Elternteils ausnutzen, schnell zu reagieren. Der emotionale Druck lässt die Bitte glaubwürdig erscheinen und verleitet die Opfer dazu, Geld zu senden, bevor sie überprüfen, ob die Nachricht echt ist.

Kostenlose Downloads schädlicher Apps

Jeder mag es, etwas kostenlos zu bekommen. Betrüger bieten häufig kostenlose App-Downloads per SMS an und verlangen nichts im Gegenzug. In manchen Fällen ist die App echt. Aber die Opfer wissen nicht, dass sie gleichzeitig Malware herunterladen.

In anderen Fällen ist die App selbst schädlich. Zum Beispiel könnte eine gefälschte Datenschutz-App Sie auffordern, personenbezogene Daten einzugeben, damit sie das Internet nach Ihren Informationen "durchsuchen" kann. Stattdessen nutzen die Betrüger Ihre Daten, um Ihre Identität zu stehlen. Sie können diesen Betrugsmaschen entgehen, indem Sie Apps nur aus offiziellen Quellen wie dem App Store und dem Google Play Store herunterladen.

KI-gestützte und automatisierte Smishing-Scams

KI macht es Betrügern leichter, Betrug in großem Maßstab zu begehen. KI kann in kürzester Zeit Tausende von Smishing-Nachrichten schreiben und versenden. Sie kann sogar ganze Kampagnen mit minimalem menschlichen Eingriff steuern.

Manche KI-Chatbots können realistische, langfristige Konversationen per SMS mit Menschen führen. Sie verwenden fehlerfreie Grammatik und Rechtschreibung und können ihren Ton anpassen, um Marken, Behörden und Banken zu imitieren.

Das macht KI-Smishing-Scams sehr schwer zu erkennen. Es ist jedoch nicht unmöglich, sich zu schützen. Einfache Grundregeln wie niemals personenbezogene Daten per SMS weiterzugeben oder auf verdächtige Links zu klicken, können Ihnen helfen, sicher zu bleiben. KI-Betrugsdetektoren können auch dabei helfen, KI-Smishing zu erkennen, sodass Sie gar nicht erst damit in Berührung kommen.

Weitere neue Smishing-Betrugsmaschen

Smishing-Betrug entwickelt sich ständig weiter. Betrüger suchen immer nach neuen Wegen, um Menschen dazu zu bringen, auf ihre SMS zu antworten und auf Links zu klicken. Einige neuartige Betrugsmaschen drehen sich um Kryptowährungs-Anlageberatung oder gefälschte Spendenanfragen.

Opportunistische Smishing-Betrugsversuche können sich auf aktuelle Ereignisse beziehen, wie Regierungsstillstände, Massenentlassungen oder Änderungen bei staatlichen Leistungen.

Da Smishing-Betrug zunimmt, sollten Sie bei jeder SMS, die nach personenbezogenen Daten fragt oder Sie auffordert, auf einen Link zu klicken, vorsichtig sein. Es ist immer am besten, auf Nummer sicher zu gehen und nicht zu interagieren. Wenn Sie jemals Zweifel haben, kontaktieren Sie den Absender über einen anderen Kanal.

Smishing vs. Phishing vs. Vishing

Smishing, Phishing und Vishing sind alles Formen von Social-Engineering-Angriffen, bei denen ein Betrüger jemanden imitiert, um Opfer zu manipulieren. Der Unterschied liegt in der Art und Weise, wie der Betrüger kommuniziert. So unterscheiden sich die drei Angriffsarten:

• Phishing: Phishing bezog sich ursprünglich auf E-Mail-Betrug. Heute wird der Begriff auch als übergreifende Kategorie verwendet, die viele Identitätsbetrugsversuche umfasst, darunter Smishing, Vishing, Pharming, Whaling und Spear-Phishing.

• Smishing: Smishing (SMS + Phishing) ist eine Angriffsform, bei der ein Betrüger gefälschte SMS-Nachrichten versendet und dabei jemanden imitiert, dem Sie vertrauen, z. B. eine Behörde oder ein Familienmitglied.

• Vishing: Vishing (Voice + Phishing) ist eine Betrugsform, bei der Telefonanrufe oder Sprachnachrichten eingesetzt werden. Betrüger imitieren die Stimme einer vertrauenswürdigen Person oder geben vor, jemand anderes zu sein, z. B. ein Kundendienstmitarbeiter oder ein Kollege aus einem anderen Büro.

So erkennen und verhindern Sie Smishing-Angriffe

Es gibt mehrere Möglichkeiten, sich vor Smishing-Angriffen zu schützen. Einige Tools warnen Sie vor diesen Angriffen oder blockieren sie, bevor sie Ihr Mobiltelefon erreichen. Für diejenigen, die durch die Maschen schlüpfen, hilft es, zu wissen, wie man sie erkennt.

Nutzen Sie die folgenden Tipps, um Smishing-Angriffe zu erkennen und sich davor zu schützen.

Verdächtige Nachrichten erkennen

Wer verdächtige Nachrichten sicher erkennt, ist besser gegen Betrug gewappnet, der Sicherheitsfilter umgeht. Hier sind einige typische Warnsignale für Smishing-Nachrichten:

• Nachrichten von unbekannten Absendern

• Nachrichten mit Links

• Nachrichten, die dringende oder bedrohliche Formulierungen verwenden

• Jede Anforderung personenbezogener Daten

• Jede Zahlungsaufforderung

• Jede Aufforderung, etwas herunterzuladen

• Angebote, die zu schön sind, um wahr zu sein

• Unerwartete Gewinne, Prämien oder Rückerstattungen

• Schlechte Grammatik und Rechtschreibung oder unnatürliche Formulierungen (obwohl Betrüger auch KI einsetzen können, um ihre Nachrichten zu verbessern)

Wenn Sie eine verdächtige Nachricht von einem bekannten Absender erhalten, könnte es sich um eine gefälschte SMS handeln. Angreifer können die Absender-ID fälschen, sodass es so aussieht, als käme sie von einer Nummer oder einem Unternehmen, das Sie kennen.

Überprüfen Sie, ob es sich um eine gefälschte SMS handelt, indem Sie den Absender über ein anderes Medium wie soziale Medien oder E-Mail kontaktieren oder die Telefonnummer auf der offiziellen Website nachschlagen und dort anrufen.

Nutzen Sie die integrierten Sicherheitsfunktionen Ihres Smartphones

Ihr Mobiltelefon verfügt über integrierte Sicherheitsfunktionen, die Ihnen helfen, sich vor Spam-SMS zu schützen. Möglicherweise müssen Sie diese jedoch erst aktivieren.

Auf dem iPhone können Sie Ihr Gerät so einstellen, dass Nachrichten von unbekannten Absendern gefiltert werden. Diese Nachrichten werden in einem separaten Posteingang abgelegt, wo Sie sie genauer prüfen können.

Öffnen Sie dazu Einstellungen in der Nachrichten-App und aktivieren Sie den Schalter Unbekannte Absender filtern.

Android-Geräte verfügen nicht über diese Funktion, aber Sie können in den Einstellungen Ihrer Nachrichten-App den Betrugsschutz aktivieren, um Ihren SMS-Posteingang zu schützen. Oder verwenden Sie eine spezielle App, die unbekannte Nummern und Spam filtert, wie SpamHound.

Wenn Sie eine gefälschte SMS erhalten, sollten Sie diese melden. Auf den meisten Mobiltelefonen können Sie die Nachricht oder den Absender gedrückt halten, um ein Popup-Menü aufzurufen und die Nachricht als Spam zu melden. Damit wird verhindert, dass dieselbe Nummer Sie erneut erreichen kann.

Um die Sicherheitsfunktionen Ihres Geräts zu nutzen, ist es wichtig, Ihr Mobiltelefon regelmäßig zu aktualisieren – richten Sie automatische Updates ein, damit Sie es nicht vergessen. Updates enthalten Sicherheits-Patches, die dazu beitragen können, die neuesten Betrugsmaschen zu verhindern und Sicherheitslücken zu schließen.

Zusätzliche Sicherheit durch Multi-Faktor-Authentifizierung

Multi-Faktor-Authentifizierung (MFA) oder Zwei-Faktor-Authentifizierung (2FA) kann zum Schutz Ihrer Konten beitragen, wenn Sie Opfer eines Smishing-Angriffs werden.

MFA ist eine Sicherheitsmaßnahme, bei der Sie zwei Formen der Authentifizierung angeben müssen, um sich in ein Konto einzuloggen (z. B. Ihr Passwort plus ein Code, der an Ihr Mobiltelefon gesendet wird).

Wenn Sie versehentlich vertrauliche Informationen an einen Betrüger weitergeben, z. B. Anmeldedaten, können Hacker dennoch nicht auf Ihre Konten zugreifen, da sie nur eine Form der Authentifizierung besitzen. Laut Microsoft kann die Aktivierung von MFA 99,9 % der Angriffe auf Konten verhindern.

Verwenden Sie Anti-Phishing- und Sicherheits-Apps

Das Herunterladen von Sicherheits-Apps wie Anti-Phishing- und Antivirus-Software kann Ihrem Mobiltelefon eine zusätzliche Schutzschicht über die integrierten Funktionen hinaus bieten.

Einige Apps können schädliche Nachrichten scannen, filtern und blockieren, bevor sie in Ihrem Posteingang ankommen. Andere können Betrugshinweise zu verdächtigen Nachrichten hinzufügen und Sie dazu veranlassen, zweimal nachzudenken, bevor Sie diese öffnen.

Sicherheits-Tools können Ihnen auch helfen, wenn Sie unbeabsichtigt mit Smishing-Betrug in Berührung kommen. Der Zugriff auf schädliche Websites kann blockiert werden, und Downloads mit Malware können gescannt und unter Quarantäne gestellt werden, bevor sie Schaden anrichten können.

Schützen Sie sich mit Avast vor Smishing

Smishing-Angriffe sind weit verbreitet, und neue Technologien machen Betrugs-SMS immer schwerer erkennbar. Smishing kann Ihre personenbezogenen Daten, Ihre Geräte und Ihre Finanzen gefährden. Avast Free Antivirus bietet Malware-Schutz und den KI-gestützten Avast Assistenten – laden Sie einfach eine verdächtige Nachricht hoch, und es analysiert, ob es sich um einen Betrug handelt oder nicht.

Häufig gestellte Fragen (FAQs)

Wie kann ich eine Smishing-SMS erkennen?

Smishing-SMS versuchen fast immer, Sie unter Druck zu setzen, auf einen Link zu klicken oder mit personenbezogenen Daten zu antworten. Sie verwenden häufig dringende, bedrohliche und emotional aufgeladene Sprache. Weitere typische Warnsignale für Smishing-Nachrichten sind Angebote, die zu schön sind, um wahr zu sein, Rechtschreib- und Grammatikfehler, unerwartete Benachrichtigungen und Gratisangebote.

Was sollte ich tun, wenn ich Opfer eines Smishing-Angriffs werde?

Wenn Sie Opfer von Smishing werden, sollten Sie als Erstes den Kontakt zum Absender abbrechen und ihn blockieren. Wenn Sie etwas heruntergeladen oder auf einen Link geklickt haben, trennen Sie sofort die Internetverbindung und führen Sie einen Antivirus-Scan durch. Ändern Sie anschließend Ihre Passwörter für alle Konten, die möglicherweise geleakt wurden. Wenn Ihre Finanzkonten gefährdet sind, rufen Sie Ihre Bank an, um sie zu schützen.

Gibt es Tools, die Smishing verhindern können?

Ja, auf Ihrem Mobiltelefon sind Tools integriert und es gibt Apps von Drittanbietern, die Smishing verhindern können. Sie können die Nachrichtenfilterung oder den Betrugsschutz über das Einstellungsmenü von Messaging-Apps aktivieren. Der KI-gestützte Avast Assistent kann Ihnen auch dabei helfen, Betrugs-SMS zu erkennen, wenn Sie sich jemals unsicher sind.