Smishing – wie Sie SMS-Betrug erkennen und was Sie nach einem Klick tun

Sie bekommen eine SMS: „Ihr Paket wartet auf Zollgebühr – hier klicken.“ Oder „Ungewöhnliche Aktivität auf Ihrem Konto. Bestätigen Sie sich.“ Die Nachricht sieht echt aus, der Absender scheint bekannt. Das ist Smishing – Phishing per SMS – und es ist heute eine der häufigsten und erfolgreichsten Betrugsmaschen. Die Nachrichten sind dank KI nicht mehr holprig, sondern lesen sich wie die echte Korrespondenz Ihrer Bank oder des Paketboten. Hier lesen Sie, woran Sie Smishing trotzdem erkennen – und was zu tun ist, wenn Sie geklickt haben.

Wie eine Smishing-SMS aussieht

Smishing-Nachrichten sind so verändert, dass sie heute kaum noch wie die klassischen „Sie haben gewonnen“-SMS wirken. Die gängigen Muster:

Paket-Benachrichtigung: „Ihr Paket konnte nicht zugestellt werden. Zolldetails nachreichen: [Link]“. Absender vermeintlich DHL, Hermes, DPD, Post. Der Link führt auf eine täuschend echte Webseite, die persönliche Daten und Bezahlinformationen abfragt.

Angebliche Bank-SMS: „Ungewöhnliche Aktivität auf Ihrem Konto. Bestätigen Sie Ihre Identität: [Link]“. Sparkasse, Volksbank, ING, DKB – jeder große Name wird imitiert. Die Seite sieht aus wie das Online-Banking, fragt aber Nutzernamen, Passwort und TAN ab.

Steuer- oder Behörden-SMS: „Sie haben eine Steuerrückerstattung von 429 €. Daten bestätigen: [Link]“. Angeblich vom Finanzamt oder ELSTER. Auch hier: IBAN, Geburtsdatum, oft auch Ausweisdaten werden abgefangen.

Voicemail-/Anruf-SMS: „Sie haben eine neue Sprachnachricht. Abhören: [Link]“. Der Link lädt Schadsoftware oder führt auf eine Phishing-Seite.

Neugier-SMS von „bekannten“ Nummern: „Mama, ich hab ein neues Handy. Sende mir schnell Geld über [...]“. Klassiker, seit ChatGPT noch häufiger und überzeugender formuliert.

Pakete, die Sie wirklich erwarten: Wer gerade etwas bestellt hat, bekommt genau dann eine gefaketete Paket-SMS – Angreifer nutzen Massen-Versand, in Erwartungszeit landet einiges.

Warum das Löschen allein nicht mehr reicht

Früher konnte man eine verdächtige SMS einfach löschen. Heute ist die Lage anders:

Klick reicht häufig aus. Moderne Phishing-Seiten schätzen auf Basis von Browser- und Geräteinfos sofort ab, welches Smartphone Sie haben – und liefern passende Malware aus. Eine kurze Ansicht kann bei ungepatchten Systemen bereits reichen.

Autofill-Fallen. Moderne Phishing-Seiten sind so gebaut, dass Android und iOS Kennwörter und Kreditkartendaten automatisch vorschlagen. Ein Klick und „Autofüllen erlauben“ – und die Daten sind weg.

KI-generierte Texte. Die Zeiten holpriger Übersetzungen sind vorbei. Eine Smishing-SMS liest sich heute wie eine echte DHL- oder Sparkassen-Nachricht – weil sie von einem Sprachmodell generiert wurde.

Absender lässt sich fälschen. Die Absenderanzeige („DHL“, „Sparkasse“, „Telekom“) ist bei SMS täuschend einfach zu manipulieren. Wer nur auf den Absendernamen schaut, fällt rein.

iMessage- und RCS-Nachrichten. Neuerdings kommen Phishing-Versuche auch als iMessage (Apple) oder RCS (Google) – mit Markenlogos, eingebauten Knöpfen, fast wie legitime Benachrichtigungen.

Zwei-Faktor-Abschnorren. Besonders gefährlich: Nach dem Eintippen der Zugangsdaten auf der Phishing-Seite wird in Echtzeit an die echte Bank ein Login versucht. Die Bank schickt einen TAN-Code – und die Phishing-Seite fragt den gleich mit ab.

Die vollständige Checkliste

1. Nie auf Links in SMS klicken – auch nicht „nur zum Gucken“. Keine Ausnahme.

2. Absendernummer prüfen. Kryptische Nummern, Auslandsvorwahlen (+44, +1, +234) oder lange Zahlenfolgen sind verdächtig. Aber auch deutsche Mobilnummern können echte Smishing sein.

3. Angebliche Absender separat kontaktieren. DHL-SMS? App öffnen oder dhl.de direkt eingeben. Bank-SMS? App öffnen. Nie über den Link in der SMS.

4. Keine Apps installieren, die in SMS angeboten werden – auch nicht, wenn der Link auf die „offizielle“ Store-Seite führt. Der Link kann zu einer identisch aussehenden Fake-App führen.

5. Wenn Sie trotzdem geklickt haben: Ruhig bleiben, aber handeln. WLAN und mobile Daten ausschalten (verhindert Nach-Downloads), Handy-Neustart im abgesicherten Modus (Android) oder Neustart (iPhone), dann: keine Apps öffnen, keine Passwörter eingeben.

6. Wenn Sie Daten eingegeben haben: Sofort das entsprechende Passwort ändern – über einen anderen PC, nicht über das Smartphone. Bank anrufen, Konto beobachten. Kreditkarte sperren lassen, wenn Nummer eingegeben wurde. Identitätsdiebstahl prüfen, wenn Ausweisdaten betroffen sind.

7. SMS melden und löschen: Bei verdächtigen SMS „Als Spam melden“ nutzen (Android und iOS unterstützen das). Anschließend löschen.

8. Nummer blockieren – aber wissen: Smishing-Täter wechseln Nummern dauernd. Die nächste SMS kommt von einem anderen Absender.

Wann Sie das selbst schaffen – und wann nicht

Eine verdächtige SMS löschen, nicht klicken – das schafft jeder. Wer misstrauisch ist und Ruhe bewahrt, hat 99 Prozent der Gefahr schon gebannt.

Schwieriger wird es, wenn Sie doch geklickt haben und nicht wissen, ob etwas passiert ist. Hat die Seite Ihre Zugangsdaten geladen, ohne dass Sie etwas eingegeben haben? Wurde Malware installiert? Moderne Angriffe hinterlassen wenig Spuren, sondern laufen still im Hintergrund – und erst Wochen später merkt man, dass etwas fehlt.

Besonders heikel: Wenn Sie Bank- oder Zahlungsdaten eingegeben haben. Jede Minute zählt. Kontensperre, neue Zugangsdaten, TAN-Verfahren zurücksetzen – das sind alles Maßnahmen, die Sie unter Zeitdruck sauber durchführen müssen. Ein falscher Schritt, und Sie sperren sich selbst aus. Mit dem richtigen Vorgehen in der Folge – Passwörter umfassend wechseln, Zwei-Faktor einführen – lässt sich der Schaden minimieren.

So beugen Sie vor

Erstens: Ein Passwort-Manager schützt zuverlässig vor Smishing. Er füllt Passwörter nur auf der echten Domain aus – nicht auf Fake-Seiten. Wenn das Autofüllen nicht geht, ist die Domain falsch.

Zweitens: Zwei-Faktor-Authentifizierung für alle wichtigen Konten einschalten – idealerweise mit einer Authenticator-App, nicht per SMS. SMS-TAN ist durch Smishing angreifbar.

Drittens: Banking-Apps statt Browser-Login. Apps können nicht so leicht gefälscht werden wie Webseiten.

Viertens: Wichtig – Betroffenen erklären, dass echte Banken und Paketdienste niemals per SMS-Link nach Daten fragen. Gerade ältere Angehörige und Mitarbeitende sensibilisieren.

Häufig gestellte Fragen

Was ist der Unterschied zwischen Phishing und Smishing?

Phishing läuft über E-Mail, Smishing über SMS. Das Prinzip ist dasselbe: gefälschte Nachrichten mit Links, die zu Phishing-Seiten oder Malware führen. Smishing wirkt oft glaubwürdiger, weil man SMS weniger kritisch liest.

Ich habe auf einen Link geklickt, aber nichts eingegeben. Bin ich in Gefahr?

Meistens nein, besonders wenn Ihr Handy aktuell ist. Aber 100 Prozent sicher ist das nie. Scannen Sie Ihr Gerät mit einer aktuellen Sicherheitsapp und beobachten Sie Zugriffe und ungewöhnliches Verhalten.

Kann ich eine Smishing-SMS melden?

Ja. Leiten Sie die SMS an 7726 weiter (das ist der SPAM-Kurzcode der deutschen Mobilfunkanbieter). Zusätzlich können Sie die Verbraucherzentrale informieren. Die meisten SMS-Apps haben inzwischen einen „Spam melden“-Button.