Phishing wandert seit Jahren vom Mailclient aufs Smartphone. Smishing (SMS-Phishing) erreicht das Opfer im Vorbeigehen, Vishing (Voice-Phishing) erzeugt Sekunden-Druck im Live-Telefonat — beides Kanäle, in denen die Erkennungs-Disziplin schwer aufrechtzuerhalten ist. Dieser Artikel zeigt die aktuell verbreiteten Maschen, die typischen Druckmuster und welche Reflexe im Alltag verlässlich schützen.
Warum Mobile-Phishing so erfolgreich ist
Drei strukturelle Gründe, warum SMS- und Telefon-Maschen heute oft besser funktionieren als klassisches Mail-Phishing:
- Erwartung von Knappheit. SMS bekommen wir selten — was kommt, fühlt sich relevant an. Bank-SMS, Paket-Benachrichtigungen, 2FA-Codes sind genau das Format, in dem auch Phishing landet.
- Kein Hover, keine URL-Inspektion. Im Mailclient (auch mobil) kann man Links lang drücken und die Ziel-URL sehen. In SMS-Apps ist die URL meist gekürzt (
bit.ly/...,dhl.de.qua-tk.com/...); die Vorschau zeigt nicht immer die volle Domain. - Telefon ist „warm". Ein Anruf ruft soziale Reflexe auf — Höflichkeit, Hilfsbereitschaft, Respekt vor angeblicher Autorität. E-Mail kann man wegklicken; ein Anrufer am Apparat verlangt eine Reaktion.
Dazu kommt: Mobile-Endgeräte werden im Vorbeigehen genutzt — auf dem Weg zur Arbeit, beim Kochen, im Bett. Konzentration ist niedrig, kognitive Heuristiken übernehmen — Social-Engineering-Hebel wirken besonders gut.
Smishing: die aktuellen Maschen
Die häufigsten SMS-Phishing-Texte in Deutschland (2024/25) waren:
| Masche | Typischer Text | Hintergrund |
|---|---|---|
| Paket-Smishing | „DHL: Ihr Paket konnte nicht zugestellt werden. Bitte verifizieren: [Link]" | Sehr hohe Klickrate, weil viele tatsächlich Pakete erwarten |
| Bank-Smishing | „Sparkasse: Verdächtige Transaktion. Sofort prüfen: [Link]" | Druck + Geld-Bezug |
| Steuer-/Behörden | „Bundeszentralamt für Steuern: Sie haben Anspruch auf Erstattung [Link]" | Fluktuation je nach Steuer-Saison |
| Vorgesetzten-Smishing | „Hallo, ich bin gerade in einem Termin. Können Sie mir kurz helfen?" | Vorstufe zum CEO-Fraud-Anruf |
| 2FA-Resend-Trick | „Code: 482917. Wenn Sie das nicht waren, melden Sie sich an: [Link]" | Kombination Smishing + Login-Bezug |
| Voicemail-/Konto-Sperrung | „Ihr Mobilfunk-Konto wurde gesperrt, klicken Sie hier" | Provider-Identität wird missbraucht |
| WhatsApp-Eltern-/Tochter-Masche | „Hi Mama/Papa, mein Handy ist kaputt. Neue Nummer. Kannst du mir kurz Geld schicken?" | Wird oft per SMS oder WhatsApp gestartet |
Die Paket-Smishing-Welle ist seit 2021 stabil das verbreitetste Format. Sie ist erfolgreich, weil sie auf eine echte Erwartung trifft (Bestellungen werden geliefert) und niedrige Konsequenzen suggeriert („nur kurz verifizieren").
Wie du Smishing erkennst
Die wichtigsten Signale — alle in 5–10 Sekunden prüfbar:
- Absender-Nummer prüfen. Bei echten Paket-Diensten und Banken kommt die SMS oft von einer Kurzwahl oder gekennzeichneten Absender-Kennung (z. B. „DHL", „Sparkasse"). Eine zehnstellige Mobilnummer als Absender ist verdächtig.
- Domain-Anomalie.
dhl-tracking-info.tk,sparkasse-online-banking.eu,meine-bank.help— alles, was nicht exakt die offizielle Hauptdomain ist, ist Phishing. Beim Long-Press auf den Link siehst du die volle URL. - Niemand erwartet ein Paket? Wenn du gerade nichts bestellt hast — vergessenes Geschenk? Wenn nein: Smishing.
- Bank-/Behörden-Mitteilung per SMS mit Link. Banken kommunizieren in Deutschland fast nie über SMS mit Sicherheits-Anweisungen — sie nutzen das Online-Banking-Postfach oder schicken Papier-Post. Eine Bank-SMS, die zum Login-Link auffordert, ist mit sehr hoher Wahrscheinlichkeit Phishing.
- Provider-Sperrungs-SMS. Auch hier: keine Selbst-Sperrung per Klick. Echte Mobilfunk-Anbieter erlauben Konto-Verwaltung im Kunden-Portal oder telefonisch über die offiziell hinterlegte Hotline.
Reflex bei jeder verdächtigen SMS: nicht klicken. Statt dessen: die App des angeblichen Anbieters öffnen (DHL-App, Banking-App), dort nach dem Vorgang suchen. Wenn er existiert, siehst du ihn da. Wenn nicht — Phishing bestätigt.
Vishing: die wichtigsten Telefon-Maschen
Beim Vishing kommt Druck und Echtzeit dazu — der Anrufer hat die Initiative, das Opfer muss reagieren.
Falscher Microsoft-Support Ein Anrufer mit deutlichem englischem Akzent (oft aus Callcentern in Südasien) erklärt, dass dein PC einen „Virus gemeldet hat" und er das beheben kann. Endgültiges Ziel: Fernwartungs-Software installieren lassen (TeamViewer, AnyDesk) und Zahlungsdaten abgreifen oder Banking-Transaktionen tätigen. Microsoft macht niemals unerbetene Support-Anrufe.
Falsche Polizei / Falsche Staatsanwaltschaft „Hier spricht Hauptkommissar X, gegen Sie laufen Ermittlungen, bitte transferieren Sie sofort Ihre Ersparnisse auf das ‚sichere‘ Konto." Anzeige-Nummer ist meistens gespooft, um eine echte Behörden-Nummer (110, lokale Wache) anzuzeigen. Polizei in Deutschland fragt niemals telefonisch nach Vermögen oder fordert Überweisungen.
Enkeltrick / Schockanruf „Mama / Oma — ich hatte einen Unfall, ich brauche dringend Geld." Stimme weint oder klingt gestresst. Häufig telefonisch, in den letzten Jahren auch per WhatsApp-Voice-Nachricht. Mit Voice-Klon-Technik 2024 stark professionalisiert — die Stimme klingt echt.
Falscher Bank-Mitarbeiter „Hier ist Ihre Bank, wir haben verdächtige Transaktionen. Bitte bestätigen Sie diese, indem Sie mir Ihre TAN durchgeben." Banken fragen niemals nach TANs am Telefon — TANs sind explizit zur Authentifizierung deiner Aktionen da, nicht zur Bestätigung von Aktionen anderer.
Smarthome-Tech-Scam „Ihr Internet-Router hat verdächtige Verbindungen aus Russland, wir müssen das überprüfen." Ziel: Fernwartung, Crypto- oder Identity-Diebstahl. Echte Provider rufen niemals unaufgefordert mit solchen Themen an.
Voice-Klon-CEO-Anruf Im Unternehmens-Kontext (siehe spear-phishing-und-cxo-fraud): Anruf vom angeblichen Vorgesetzten, mit gekloner Stimme, dringender Zahlungs-Anweisung. Eskalation des klassischen CEO-Fraud um die Voice-Ebene.
Drei Reflexe für jeden verdächtigen Anruf
Wenn ein Anruf seltsam wirkt — egal ob „Bank", „Behörde", „Familie", „IT-Support":
1. Auflegen. Das ist nicht unhöflich. Es ist eine Schutzmaßnahme. Selbst wenn der Anruf echt war: du kannst zurückrufen. Bei Druck-Anrufen sind die ersten zwei Minuten die gefährlichsten — ein Auflegen unterbricht die Manipulations-Schleife.
2. Selbst zurückrufen — auf einer offiziellen Nummer. Nicht die Nummer, die der Anrufer genannt hat. Nicht die Display-Nummer (kann gespooft sein). Sondern:
- Bank: Nummer auf der Rückseite der Karte, oder im Online-Banking unter „Kontakt".
- Polizei: 110 (immer kostenlos in Deutschland).
- Behörde: offizielle Webseite, dort die Hotline-Nummer.
- Familie: auf die dir bekannte Nummer der Person zurückrufen (nicht auf die in der SMS angegebene „neue Nummer").
Wenn der Anruf echt war, ist der Sachverhalt unter dieser Nummer auch besprechbar. Wenn er nicht echt war, hast du gerade einen Schaden verhindert.
3. Bei Eltern und Verwandten Code-Wörter vereinbaren. Eine simple Maßnahme gegen den Enkeltrick: ein gemeinsam vereinbartes Code-Wort (das nicht im Internet steht — nicht der Lieblingshund, nicht der Geburtsort). Bei jedem Notruf-Telefonat wird es genannt; ohne korrektes Code-Wort gilt der Anruf nicht. Klingt theatralisch, schützt im Familienkreis sehr effektiv.
Was du im verdächtigen Anruf NICHT tun solltest
- Keine Codes vorlesen. SMS-2FA-Codes, Online-Banking-TANs, Microsoft-Verifikations-Codes — am Telefon niemals. Egal, wer am anderen Ende behauptet zu sein.
- Keine Fernwartungs-Software installieren. TeamViewer, AnyDesk, Chrome Remote Desktop, „QuickAssist" — kein seriöser Anbieter verlangt das in einem Erstkontakt-Anruf.
- Keine Daten verifizieren. Wenn jemand sagt „bitte bestätigen Sie kurz Ihren Geburtstag und Ihre Anschrift" — die kennt er, wenn der Anruf echt war. Wenn er sie sich von dir holen muss, ist der Anruf verdächtig.
- Keinen Druck akzeptieren. „Sie müssen jetzt sofort", „sonst eskaliert das", „Sie haben nur noch wenige Minuten" — genau das macht keine Bank, keine Behörde, kein echter Support. Druck ist das Phishing-Signal.
- Keine ungewöhnlichen Überweisungen. Behörden, Polizei und Banken bitten niemals um Überweisungen während eines Anrufs. Wenn von „sicherem Konto" oder „Verwahrungs-Account" die Rede ist, legst du auf.
- Keine Vorschuss-Zahlungen. „Sie haben gewonnen, müssen aber erst die Bearbeitungs-Gebühr überweisen" — klassisches Vorkasse-Betrugsmodell. Echte Gewinne werden ohne Gegenleistung ausgezahlt.
- Nicht ins Gespräch lassen, wenn unsicher. Manche Maschen funktionieren über lange Gespräche — der Anrufer baut Beziehung auf, das macht das Auflegen psychologisch schwer. Wenn du den Verdacht hast, ist es legitim zu sagen: „Ich rufe Sie zurück" — und es nicht zu tun.
Wenn du schon geantwortet hast
Wenn du in einer Phishing-Maschen-Geschichte schon Daten preisgegeben oder eine Aktion ausgeführt hast, gilt:
Sofort (innerhalb der ersten Stunde):
- Bei Bank-/Konto-Daten: Bank anrufen (Karten-Sperrnummer 116 116 — funktioniert für die meisten deutschen Banken), Karte/Konto sperren lassen.
- Bei Überweisung: Sofort die Bank anrufen und den Auftrag stoppen oder zurückrufen. In den ersten Stunden ist das oft noch möglich (Auftragsrückruf nach SEPA-Regeln).
- Bei Passwort-/Code-Preisgabe: Passwort sofort ändern, alle aktiven Sessions abmelden, 2FA aktivieren oder zurücksetzen.
- Bei Fernwartungs-Software: PC vom Netz trennen, Fernwartungs-Software deinstallieren, Passwörter ändern, Konten neu absichern.
Innerhalb desselben Tags:
- Anzeige bei der Polizei — auch wenn der Schaden gering scheint. Statistik hilft, künftige Maschen abzuwehren; bei größerem Schaden ist sie Voraussetzung für Versicherungs-Ansprüche.
- Bei BSI / Verbraucherzentrale melden — siehe phishing-meldungen-und-reports.
- Familien und Freunde warnen, falls die Masche die WhatsApp-/SMS-Kontakte trifft.
In der Folgewoche:
- HIBP-Check auf neue Datenlecks.
- Bank- und Karten-Buchungen genau beobachten.
- Kreditbüro-Abfrage (SCHUFA) bei größerem Identitäts-Verdacht.
Genaueres im Artikel phishing-meldungen-und-reports.
FAQ
Warum landen Phishing-SMS überhaupt bei mir?
Telefonnummern sind in Datenlecks oft mit verkauft. Außerdem nutzen Smishing-Operationen massive Nummern-Bereiche und probieren durch — wer im richtigen Vorwahl-Bereich ist, bekommt die SMS, ob die Nummer aktiv ist oder nicht. Eine spezielle Vermeidung ist kaum möglich; sinnvoll ist, die SMS zu ignorieren und ggf. zu blockieren.
Bringt Nummer-Blockieren etwas?
Wenig. Smishing-Anbieter nutzen ständig neue Nummern, oft sogar im Sekundentakt rotierend. Die SMS-App-eigene Spam-Erkennung (in iOS und Android verbessert) filtert mehr als manuelle Blockaden. Wer in iOS "Unbekannte filtern" aktiviert, sieht den größten Teil von Smishing in einem separaten Tab und kann ihn ignorieren.
Echte 2FA-Codes — wann darf ich sie weitergeben?
Nie. Ein 2FA-Code, der dir per SMS, TOTP-App oder Push kommt, ist ausschließlich dafür da, deine Anmeldung zu bestätigen — niemals die Anmeldung oder Aktion einer dritten Person. Auch nicht, wenn ein „Bank-Mitarbeiter" am Telefon das verlangt. Auch nicht, wenn jemand „dich nur testet". Auch nicht, wenn die Sache dringend wirkt.
Sind Anrufe von gefakter Telefonnummer rechtlich erlaubt?
Call-ID-Spoofing (Anzeigen einer fremden Nummer) ist in Deutschland in den meisten Fällen unzulässig (TKG §148, §169), wird aber von Tätern aus dem Ausland routinemäßig genutzt. Die Bundesnetzagentur kann Nummern sperren — aber meist erst, nachdem Beschwerden eingegangen sind. Bei verdächtigen Anrufen: bei der Bundesnetzagentur melden über das offizielle Formular.
WhatsApp-Familien-Masche: woran erkennen?
Klassisch: „Hi Mama, mein Handy ist kaputt, ich melde mich von einer neuen Nummer." Indikator: gefolgt von einer Geld-Bitte (oft per PayPal Friends&Family oder Sofortüberweisung). Reflex: auf der dir bekannten Nummer der Person zurückrufen oder im Familien-Chat fragen. Wenn das nicht möglich ist: nicht überweisen.
Voice-Klone — wie erkenne ich sie?
Heute kaum noch zuverlässig am Klang. Was hilft: typische Spr-Muster (Code-Wörter, vereinbarte Fragen), Pausen einbauen (Voice-Klon-Tools haben oft kurze Audio-Reaktionszeit), eine Frage stellen, deren Antwort nicht im Netz steht. Bei großen Beträgen: Rückruf-Disziplin (siehe oben) ist die einzige zuverlässige Schutzmaßnahme.
Warum ist Vishing so erfolgreich bei älteren Menschen?
Strukturelle Gründe: höhere Hilfsbereitschaft gegenüber Autoritäten, weniger Übung mit Internet-Maschen, höhere Empfänglichkeit für emotionalen Druck (Enkeltrick). Wichtiger als „nicht reinfallen": Gespräche mit Eltern und Großeltern über die häufigen Maschen, Code-Wörter in der Familie, vorab-Klarstellung („wir werden dich nie um Überweisungen am Telefon bitten").
Weiterführende Ressourcen
Externe Quellen
- BSI – Telefonbetrug und Schockanrufe
- Verbraucherzentrale – Schockanrufe und Enkeltrick
- Bundesnetzagentur – Rufnummernmissbrauch melden
- Polizei – Beratung gegen Trickbetrug
- Anti-Phishing Working Group – Trends Reports (inkl. Smishing)
- BfV – Cyberbrief zu Voice-Klon und Deepfakes
- FTC – Tech Support Scams (USA, übertragbar)