Bundesamt für Sicherheit in der Informationstechnik warnt vor SMS-Phishing

13. April 2021

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt momentan vor dem sogenannten „Smishing“ (Phishing per SMS). Dabei erhalten die Betroffenen eine SMS mit einem Link, den sie anklicken sollen. Aktuell geben sich die Absender der SMS vor allem als Logistikunternehmen aus, die dem Betroffenen ein Paket zustellen möchten. Dazu sei es notwendig, dem Link zu folgen und eine Paketverfolgungsapp herunterzuladen. Beispiele für den Wortlaut der SMS veröffentlichte z.B. das Landeskriminalamt Niedersachsen. Das Klicken auf den Link führt bei Android-Nutzern dazu, dass die Schadsoftware FluBot heruntergeladen wird. Bei Nutzern von iOS findet kein Download statt, stattdessen landen Sie auf einer Phishing-Seite.

Ziel dieser Smishing-Angriffe und dem daraus resultierenden Download von FluBot ist das Ausspähen der Daten der Betroffenen. Bei FluBot handelt es sich laut der Sicherheitssoftware-Firma ESET um einen Banking-Trojaner, der erstmals Ende 2020 auftrat. Wird er installiert, kann er u.a. SMS schreiben und lesen, Anrufe durchführen und die Kontaktliste einsehen. Dabei fängt FluBot SMS mit Einmalpasswörtern ab, die bei der Zwei-Faktor-Authentifizierung benötigt werden und verbreitet sich per SMS an die Kontaktliste des Betroffenen weiter. Sicherheitsexperte Lukas Stefanko von ESET veröffentlichte hierzu ein Twitter-Video, auf dem der Ablauf erkennbar ist.

Das BSI empfiehlt also dringend, solche SMS zu ignorieren und den Absender zu sperren. Eine Installation von Schadsoftware ist nur bei Folgen des Links möglich. Für Betroffene, die den Link bereits angeklickt haben, gibt es ebenfalls Hilfestellung. So sollen sie schnellstmöglich den Flugmodus ihres Gerätes einstellen, ihren Mobilfunkprovider informieren, sowie Strafanzeige erstatten. Hierfür sollte das Smartphone zu Beweiszwecken vorgelegt werden. Auch Kontobewegungen sollten überprüft werden. Danach wird empfohlen, das Gerät auf seine Werkseinstellungen zurück zu setzen.

Für den grundsätzlichen Umgang mit Smishing-Angriffen hat ESET Hinweise veröffentlicht. So wird empfohlen, sein Smartphone-Betriebssystem stets auf dem neusten Stand zu halten, nur Apps aus offiziellen App-Stores zu downloaden und ein Anti-Viren-Programm zu installieren.

Ein Zusammenhang der Smishing-Vorkommnisse mit dem jüngsten Datenschutzleck bei Facebook kann zurzeit nicht nachgewiesen werden.