Betrugs SMS erkennen: welche Sie ignorieren sollten

Eine SMS wirkt vertrauter als eine E-Mail – kürzer, persönlicher, näher am Alltag. Genau das nutzen Kriminelle aus. Wer Betrugs SMS erkennen will, hat es heute oft mit täuschend echten Nachrichten zu tun: Betrug per Kurznachricht, im Fachjargon Smishing genannt (von SMS und Phishing), ist in den letzten Jahren zur häufigsten Betrugsform per Telefon geworden. Eine kurze Nachricht, ein Link, ein gut platzierter Anlass – und schon hat jemand Daten oder Geld verloren.

Die gute Nachricht: Es gibt nicht viele Varianten. Wer fünf typische Maschen kennt, erkennt den Großteil aller Betrugs-SMS sofort. Und die wenigen Erkennungsmerkmale, die wirklich zählen, sind in jeder Variante dieselben.

Warum SMS besonders riskant ist

Drei Gründe machen SMS zum bevorzugten Kanal für Betrüger.

Wenig Platz für Misstrauen. Eine SMS ist kurz. Wer eine knappe Nachricht liest, hat weniger Gelegenheit, Stilbrüche, falsche Anrede oder seltsame Formulierungen zu bemerken als in einer ausführlichen E-Mail. Was kurz ist, wirkt sachlich.

Vertrauen ins Medium. Viele Menschen halten SMS für sicherer als E-Mail. Tatsächlich ist sie es nicht – jeder kann eine SMS mit beliebiger Absender-Bezeichnung verschicken, auch mit dem Wort „DHL”, „PayPal” oder dem Namen einer großen Bank im Absender-Feld.

Direkter Draht zum Smartphone. Eine SMS landet sofort auf dem Display, oft mit Tonsignal. Sie unterbricht. Eine E-Mail kann man später lesen, eine SMS schreit nach Reaktion.

Diese drei Eigenschaften machen jede einzelne Betrugs-SMS gefährlicher als die entsprechende E-Mail – aber auch leichter erkennbar, sobald man die Muster kennt.

Die fünf häufigsten Betrugs-SMS

1. Die Paket-SMS

Die häufigste Variante. „Ihr Paket konnte nicht zugestellt werden, bitte bestätigen Sie hier Ihre Adresse” – und ein Link. Manchmal mit Logo-Hinweis im Absender, manchmal als angebliche Zollnachricht: „Eine kleine Gebühr ist fällig.” Der Link führt auf eine Seite, die genau wie die echte Sendungsverfolgung aussieht und nach Adresse, Kreditkarte oder Anmeldedaten fragt.

Erkennungsmerkmale: Sie haben gar nichts bestellt. Oder: Sie haben etwas bestellt, aber kennen den genannten Paketdienst gar nicht. Die Sendungsnummer fehlt, ist erfunden, oder lässt sich auf der echten Webseite des Anbieters nicht finden. Es wird eine Gebühr verlangt – echte Paketdienste verlangen für die Zustellung im Inland keine SMS-Gebühr.

2. Die Bank-SMS

„Verdächtige Buchung auf Ihrem Konto. Bitte bestätigen Sie unter folgendem Link.” Oder: „Ihr Konto wurde gesperrt, hier können Sie es entsperren.” Manchmal mit angeblichem TAN-Verfahren, das auf einer gefälschten Seite eingegeben werden soll.

Erkennungsmerkmale: Echte Banken verschicken solche Aufforderungen nicht per SMS. Wenn ein Anbieter eine Sperrung mitteilt, dann meist über die Banking-App oder per Brief. Der Link führt nicht zur echten Webseite der Bank – die Adresse hat einen unbekannten Domainnamen, etwa bank-sicherheit-info.com statt der echten Bankadresse. Ein zweiter klarer Hinweis: Wenn nach PIN, TAN oder Kontodaten gefragt wird – das tut keine Bank.

3. Die Behörden-SMS

„Vom Finanzamt: Ihre Steuererstattung ist fällig, bitte hier Bankverbindung bestätigen.” Oder: „Inkasso-Mahnung: Sofort 89 Euro zahlen, sonst Pfändung.” Auch angebliche Polizei- oder Zoll-Nachrichten kommen vor. Die Drohkulisse ist verschieden, der Mechanismus immer derselbe: Druck plus Link.

Erkennungsmerkmale: Behörden kommunizieren in den meisten Ländern nicht per SMS mit Bürgern. Wo sie es ausnahmsweise tun, fragen sie keine Bank- oder Karten-Daten ab. Echte Mahnungen kommen per Brief, nicht per Kurznachricht. Echte Steuererstattungen werden nicht per SMS angekündigt.

4. Die Voicemail- oder Sprachnachrichten-SMS

„Sie haben eine neue Sprachnachricht. Hier abhören.” Oder: „Eine Voicemail wartet, bitte folgen Sie diesem Link.” Der Link führt zu einer Seite, die eine angebliche Player-Oberfläche zeigt und nach Anmeldedaten oder einer App-Installation fragt.

Erkennungsmerkmale: Echte Voicemails kommen direkt im Anrufbeantworter des Smartphones, nicht als SMS-Link. Wenn eine SMS Sie auf eine Webseite oder zu einer App-Installation schickt, um eine Sprachnachricht abzuhören, ist sie immer gefälscht.

5. Die „Falsche Nummer”-SMS

„Hallo Mama, das ist meine neue Nummer.” Diese Variante kennen Sie vielleicht von WhatsApp – sie kommt aber auch klassisch per SMS. Oder als angeblicher Liebes- oder Freundschaftskontakt: „Hallo, lange nichts gehört, ich bin’s, Anna.” Ohne Nachname, ohne Kontext, mit einer Bitte um Antwort, um in Kontakt zu kommen.

Erkennungsmerkmale: Sie kennen die Nummer nicht, und der Absender weiß nicht, wer Sie sind. Es kommt keine Begrüßung mit Ihrem Namen. Der angebliche Verwandte schreibt nicht in einem Tonfall, den Sie wiedererkennen würden. Die Bitte um Geld kommt nach kurzer Aufwärmphase. Mehr dazu im Artikel WhatsApp Betrug erkennen – die Mechanik ist identisch.

Die drei Erkennungsregeln

Egal welche Masche – jede Betrugs-SMS lässt sich mit drei Prüfungen entlarven. Sie ersetzen alle Detail-Tipps zu einzelnen Maschen.

Regel eins: Habe ich das erwartet? Eine echte Paketbenachrichtigung kommt, wenn Sie etwas bestellt haben. Eine echte Bank-Nachricht hat einen plausiblen Anlass. Eine echte Behörden-Nachricht passt zu einem laufenden Verfahren. Eine SMS, die aus dem Nichts kommt, ist mit hoher Wahrscheinlichkeit Betrug – auch wenn der Absender überzeugend aussieht.

Regel zwei: Wohin führt der Link? Auf dem Smartphone den Link einen Moment gedrückt halten, bis ein Vorschau-Fenster erscheint. Schauen Sie dort nicht auf den Anfang der Adresse, sondern auf den Teil direkt vor dem ersten einzelnen Schrägstrich. Bei https://dhl.paket-info-tracking.com/abc123 ist das nicht DHL, sondern paket-info-tracking.com – ein wildfremder Anbieter, der sich „dhl” nur als Vorsilbe geschnappt hat. Wer das einmal verstanden hat, durchschaut die meisten Links sofort.

Regel drei: Wird eine schnelle Aktion verlangt? „Innerhalb von 24 Stunden”, „Sonst wird Ihr Konto gesperrt”, „Letzte Mahnung”. Echte Banken, Paketdienste und Behörden setzen Sie nicht per SMS unter Stundenfrist. Druck ist das verlässlichste Erkennungsmerkmal von Betrug überhaupt.

Wenn nur eine dieser drei Prüfungen ein ungutes Gefühl ergibt, gilt: nicht klicken, nichts eingeben, nichts beantworten.

Was Sie tun sollten – und was nicht

Was Sie tun sollten: Verdächtige SMS löschen. Das genügt fast immer. Wenn Sie unsicher sind, ob eine Nachricht echt war, kontaktieren Sie den angeblichen Absender selbst – nicht über die SMS, sondern über die offizielle Webseite, die offizielle Hotline auf Ihrer Bankkarte, die echte App auf Ihrem Smartphone. Ein Anruf bei der echten Bank klärt jede Bank-SMS in zwei Minuten.

Was Sie nicht tun sollten: Auf den Link in der SMS klicken, „nur um zu schauen”. Eine vermeintlich harmlose Webseite kann im Hintergrund Schadsoftware installieren oder zumindest bestätigen, dass Ihre Nummer aktiv ist – und damit künftig öfter angeschrieben wird. Auch nicht: auf die SMS antworten, um sich zu beschweren. Das gibt dem Absender ebenfalls die Bestätigung, dass die Nummer benutzt wird.

SMS nicht an „STOP”-Nummern weiterleiten oder „STOP” zurücksenden, wie es bei Werbe-SMS funktioniert. Bei Betrugs-SMS bringt das nichts und kann je nach Absender sogar bestätigen, dass die Nummer aktiv ist.

Was Sie tun, wenn Sie schon geklickt haben

Wenn Sie auf einen Link in einer Betrugs-SMS geklickt und Daten eingegeben haben, zählt jetzt Tempo.

Ändern Sie sofort die Passwörter aller Konten, deren Daten Sie auf der gefälschten Seite eingegeben haben. Loggen Sie sich nicht über den Link ein, sondern über die offizielle Webseite oder App.

Bei Bank- oder Karten-Daten: rufen Sie sofort die Sperr-Hotline an. In Deutschland erreichen Sie unter 116 116 rund um die Uhr die zentrale Sperrnummer für Bankkarten. In Österreich gilt 0800 204 8800, in der Schweiz nutzen Sie die Sperrnummer Ihrer Bank (steht auf der Karte oder auf der Bank-Website).

Schalten Sie Zwei-Faktor-Authentifizierung ein, falls noch nicht geschehen. Dann braucht der Angreifer zusätzlich Ihren zweiten Faktor – meist einen Code aus einer App – und kommt mit dem geklauten Passwort allein nicht weiter.

Wenn Sie eine App aus der SMS heraus installiert haben: Sofort wieder deinstallieren. Wenn das Smartphone sich danach merkwürdig verhält – plötzliche Akku-Probleme, unbekannte Pop-ups, hohe Datenverbräuche –, lohnt ein Werks-Reset. Ein Smartphone-Händler oder ein technisch versiertes Familienmitglied kann dabei helfen.

Erstatten Sie Anzeige, vor allem wenn Geld geflossen ist. Ohne Anzeige wird die Tat nicht verfolgt. Ausführliche Notfall-Schritte im Artikel Konto gehackt – was jetzt zu tun ist.

Was tun mit den vielen Betrugs-SMS

Eine vollständige Befreiung von Betrugs-SMS ist heute kaum noch möglich. Telefonnummern werden gesammelt und gehandelt, und sobald Ihre einmal in einer Liste ist, kommen Nachrichten unregelmäßig herein.

Was hilft: Konsequent löschen, nicht antworten, keine Links anklicken. Mit der Zeit nehmen die SMS oft wieder ab, weil Listen-Anbieter inaktive Nummern aussortieren. Wenn die Belastung zu groß wird, können moderne Smartphones Nummern blockieren. Bei iPhone und Android lässt sich auf einer SMS lange drücken und die Option Absender melden und blockieren wählen. Das hilft nicht gegen die nächste neue Absender-Nummer, aber gegen Wiederholungen aus derselben Quelle.

Eine einfache Grundregel

Wenn Sie sich nichts merken wollen außer einer einzigen Sache, dann das hier: Eine SMS, die einen Link enthält und Sie zu schnellem Handeln drängt, ist mit sehr hoher Wahrscheinlichkeit Betrug. Auch dann, wenn der angebliche Absender vertrauenswürdig klingt. Auch dann, wenn das Logo passt. Auch dann, wenn Sie kürzlich tatsächlich etwas bestellt haben. Im Zweifel: löschen. Wenn die Nachricht echt war, meldet sich der echte Absender auf einem anderen Weg noch einmal.

Häufige Fragen

Wie kommen die Betrüger an meine Telefonnummer? Telefonnummern stammen aus früheren Datenpannen, aus Kontaktdaten alter Online-Bestellungen, aus öffentlichen Verzeichnissen oder werden einfach durchprobiert. Eine Nummer, die einmal in solchen Listen ist, lässt sich praktisch nicht mehr daraus entfernen. Das ist normal und kein Hinweis darauf, dass Sie etwas falsch gemacht hätten.

Was ist, wenn ich aus Versehen auf den Link geklickt habe, aber nichts eingegeben? Das Risiko ist deutlich geringer, aber nicht null. Manche Links versuchen, im Hintergrund Schadsoftware zu installieren oder bestätigen dem Absender, dass die Nummer aktiv ist. Wenn Sie nichts eingegeben haben und das Smartphone sich normal verhält, ist meist nichts geschehen. Beobachten Sie es ein paar Tage und installieren Sie System-Updates, sobald sie verfügbar sind.

Kann ich Betrugs-SMS melden? In vielen Ländern bieten Mobilfunkanbieter eine Meldestelle an – die genaue Nummer steht auf der Webseite des jeweiligen Anbieters. Auch Verbraucherorganisationen nehmen Meldungen entgegen. Pflicht ist es nicht; ohne Meldung passiert Ihnen nichts.

Sind Senioren besonders gefährdet? Bestimmte Maschen – etwa angebliche Behörden-Nachrichten oder die „Mama, ich bin’s”-SMS – zielen verstärkt auf ältere Menschen, weil dort eher Vertrauen in Autoritäten und seltener das schnelle Hinterfragen erwartet wird. Erkennbar sind sie aber nach denselben Mustern wie alle anderen Betrugs-SMS. Die drei Erkennungsregeln oben gelten unabhängig vom Alter.

Sind iPhone und Android gleich gefährdet? Ja. Die SMS selbst ist auf beiden Systemen gleich. Unterschiede gibt es nur darin, wie aggressiv der jeweilige App-Store fremde Apps blockiert – iPhone-Nutzer sind hier etwas besser geschützt, weil Apps nur aus dem App-Store kommen können. Wer auf einen Link klickt und Daten auf einer gefälschten Webseite eingibt, ist auf beiden Systemen gleich verletzlich.