So erkennen Sie einen SMS-Betrug

Fizkes / Shutterstock

Die durchschnittliche Person ist heutzutage geschickt genug, um einen E-Mail-Betrug zu erkennen, weshalb sich Betrüger Textnachrichten zugewandt haben. Smishing (Phishing per SMS) nimmt zu, aber so können Sie vermeiden, dass Sie ihm zum Opfer fallen.

Was ist ein SMS-Betrug?

Die Taktik eines SMS-Betrugs ist praktisch identisch mit der eines Standard-E-Mail-Phishing-Betrugs. «Phishing» ist, wenn sich jemand wie ein Vertreter eines legitimen Unternehmens oder einer Institution verhält, um persönliche Informationen wie Kreditkartendaten, Bankkontodaten oder Sozialversicherungsnummer zu stehlen.

Es beginnt normalerweise mit einer E-Mail, die legitim erscheint. Im Text der E-Mail befindet sich ein Link zu einer „offiziellen“ Website, die Sie dazu verleiten soll, Ihre Anmeldeinformationen, persönlichen Daten oder Ihr Geld preiszugeben. Die Website ist normalerweise nicht vom tatsächlichen Unternehmen zu unterscheiden, einschließlich des Brandings.

«Smishing» (ein Portmanteau aus SMS und Phishing) funktioniert fast identisch. Der Betrüger sendet eine Textnachricht mit einem Link zu potenziellen Opfern. Normalerweise werden Sie in der Nachricht aufgefordert, Ihre Kontodaten zu überprüfen, eine Zahlung vorzunehmen oder einen Preis zu beanspruchen.

Scheint echt! Was denken Sie@scotiabankMann, ich kann es nicht glauben #Smishing macht einen Gewinn. pic.twitter.com/PKbugf5ZGh

– Alex Kovach (@kojach) 7. Februar 2020

Das Erstellen einer Phishing-E-Mail, die nicht sofort Verdacht erregt, erfordert einige Fähigkeiten. Der Betrüger muss auf Branding und Ton achten und sicherstellen, dass die E-Mail fehlerfrei ist. Er muss auch hoffen, dass ein Spam-Filter die E-Mail nicht abfängt.

Da SMS eine so grundlegende Form der Kommunikation ist, sind betrügerische Nachrichten viel schwerer zu erkennen. Textnachrichten sind kurz, was wenig Raum für offensichtliche Rechtschreib- oder Grammatikfehler lässt. Aufgrund der Beschränkung auf 160 Zeichen sind URL-Kürzungen in Textnachrichten häufig.

Diese Gelegenheit ist von Betrügern nicht unbemerkt geblieben. Das massenweise Senden von Textnachrichten über eine Weboberfläche ist kostengünstig und einfach. Zwar gibt es Hinweise darauf, dass Mobilfunkanbieter Spam-Filtertechniken verwenden, die denen von E-Mail-Anbietern ähneln, doch viele Smishing-Versuche gehen durch das Netz.

Es gibt auch viele andere Betrügereien, die per SMS verbreitet werden. Social Engineering, bei dem ein Betrüger Sie direkt benachrichtigt und versucht, Ihr Vertrauen zu gewinnen, ist ebenfalls ein Problem. Diese Art von Betrüger verwendet häufig Telefonanrufe und E-Mails zusätzlich zu SMS-Nachrichten, um legitimer zu erscheinen.

Hier sind sechs Dinge zu beachten, wenn Sie das nächste Mal eine unerwünschte Textnachricht erhalten, in der Sie aufgefordert werden, auf einen Link zu klicken.

Nummer eins: Ist die Nachricht für Sie relevant?

Betrüger werden alles versuchen, um Sie dazu zu bringen, auf ihren Link zu klicken. Zum Beispiel könnten sie sagen, dass Sie etwas gewonnen haben. Aber haben Sie an einem Wettbewerb teilgenommen? Möglicherweise werden Sie benachrichtigt, dass Sie ein Paket abholen müssen, aber erwarten Sie etwas?

Manchmal ist es eine Geschenkkarte für ein Geschäft, in dem Sie nicht einkaufen. In anderen Fällen handelt es sich um eine endgültige Benachrichtigung für eine Rechnung, die Sie noch nie zuvor erhalten haben. Ich habe Nachrichten über „Preise“ von Fluggesellschaften erhalten, mit denen ich noch nie geflogen bin – und wie oft vergeben Fluggesellschaften überhaupt Preise?

Denken Sie immer an die goldene Regel: Wenn es zu schön scheint, um wahr zu sein, ist es es wahrscheinlich.

Nummer zwei: Tippen Sie in verdächtigen Nachrichten nicht auf Links

Die meisten SMS-Betrügereien enthalten einen Link, und normalerweise stimmt die URL nicht mit dem Firmennamen überein. Selbst wenn dies der Fall ist, können Sie nicht wissen, ob es sicher ist oder nicht. Einige dieser Betrügereien dienen dazu, Malware zu verbreiten, und manchmal alles, was ein Tippen (oder Klicken) auf einen Link erfordert.

Vermeiden Sie aus Sicherheitsgründen das Tippen auf Links in unerwünschten Textnachrichten. Im August 2019 waren Personen, die iPhones besitzen, Malware ausgesetzt, indem sie einfach eine URL in Safari besuchten Zero-Day-Exploit. Dies war zwar der erste (und zum jetzigen Zeitpunkt einzige) Exploit dieser Art, aber es ist eine Erinnerung daran, dass Sie einem zufälligen Link niemals vertrauen sollten.

Wenn Sie zufällig auf einen Link tippen, werden Sie möglicherweise (häufig mehrmals) auf eine andere Website umgeleitet. Wenn Sie in der Adressleiste Ihres Browsers schnell hintereinander von einer Website zur anderen weitergeleitet werden, ist dies ein gutes Zeichen dafür, dass Sie von einem Betrug betroffen sind.

Nummer drei: Verlieben Sie sich nicht in eine überzeugende Website

Angenommen, Sie tippen versehentlich auf einen Link, ohne darüber nachzudenken, und Sie sehen eine sehr offiziell aussehende Website. Einige Betrüger sind geschickt darin, Websites zu erstellen, die mit den Unternehmen identisch zu sein scheinen, die sie zu imitieren versuchen. Fallen Sie nicht darauf herein!

Ein Blick in die Adressleiste sollte jeden Verdacht bestätigen. Schauen Sie sich das folgende Beispiel aus dem Betrug der Australia Post an. Die URL in der hervorgehobenen Adressleiste stimmt nicht mit der der offiziellen Website der Australia Post überein, was bedeutet, dass es sich um einen Betrug handelt. Einige Betrüger bemühen sich jedoch sehr, dass ihre URLs auch überzeugend aussehen.

Es ist überraschend einfach, eine Kopie einer Website zu erstellen, indem Sie die Seite einfach herunterladen und an eine andere Stelle hochladen. Manchmal funktioniert die gesamte Website wie gewohnt, einschließlich der Links «Über uns» und anderer nicht verwandter Inhalte.

Nummer vier: Achten Sie auf die Grammatik

Ein großer Prozentsatz der Smishing-Versuche stammt aus Ländern, in denen Englisch nicht die offizielle (oder erste) Sprache ist. Infolgedessen machen viele Betrüger Rechtschreib- oder Grammatikfehler, die für einen Muttersprachler relativ leicht zu erkennen sein sollten.

Dies kann so einfach sein wie ein falsches Wort, eine falsche Großschreibung oder ein Satz, der einfach „aus“ zu sein scheint. Überprüfen Sie den Double-Space-Fehler in der folgenden Meldung. Sie sehen auch eine falsche Groß- und Kleinschreibung, fehlende Interpunktion und eine URL, die in der Mitte des Satzes falsch eingefügt wurde.

Natürlich kommen nicht alle Betrüger aus nicht englischsprachigen Ländern. Viele haben ein solides Sprachverständnis und verstehen, wie man den Köder echt aussehen lässt.

Anekdotischerweise enthielt die überwiegende Mehrheit der Smishing-Versuche, die ich erhalten habe, offensichtliche Grammatik- oder Rechtschreibfehler.

Nummer fünf: Vertraue keiner personalisierten Nachricht

In vielen Beispielen in diesem Artikel haben die Betrüger es geschafft, meinen Namen richtig zu machen. Diese Art der Personalisierung könnte einige glauben lassen, dass die Botschaft echt ist. Möglicherweise erhalten Sie eine ähnliche Nachricht, in der Sie versuchen, sich als Ihre Bank, Ihr ISP oder Ihr Mobilfunkanbieter auszugeben.

Leider ist die Wahrscheinlichkeit hoch, dass einige Ihrer persönlichen Daten online durchgesickert sind. Datenverletzungen sind häufig und ermöglichen es Betrügern, Informationen zusammenzufügen, die sie legitimer erscheinen lassen.

Beispielsweise kennen sie möglicherweise Ihre Adresse, das von Ihnen verwendete Smartphone oder Ihre Social-Media-Handles.

Nummer Sechs: Verdächtig, dass es echt ist? Wenden Sie sich direkt an das Unternehmen

Einer der häufigsten Schmierversuche der letzten Zeit ist der Porto-Betrug. Die Nachricht scheint von einem Postdienst zu stammen, der Sie darüber informiert, dass Sie zusätzliche Versandkosten für ein Paket bezahlen oder Ihre Adresse überprüfen müssen. Auf der Zielseite wird angegeben, dass das Paket an den Absender zurückgesandt wird, wenn Sie nicht bezahlen, um ein Gefühl der Dringlichkeit zu erzeugen.

Mein Partner hat den Smishing-Versuch unten letzte Woche erhalten. Trotz der offiziell aussehenden Sendungsverfolgungsnummer und einer Kopie der Website der Australia Post versuchen die Postbearbeiter nicht, überfällige Versandkosten per SMS zu erfassen. Sie werden Ihr Paket auch nicht innerhalb weniger Tage nach Erhalt zurücksenden. Aufgrund dieser Inkonsistenzen wurde der Betrug aufgedeckt.

Eine schnelle Suche führte mich zu einer Seite auf die AusPost-Website Beschreibung des Betrugs. Wir haben auch zuvor den FedEx-Paketversand-Betrug untersucht. Wenn Sie eine ähnliche SMS erhalten, durchsuchen Sie das Internet nach «USPS (oder dem entsprechenden Zustelldienst) SMS-Betrug».

Social-Engineering-Angriffe können viel schwieriger zu erkennen sein – insbesondere, wenn Sie bereits glauben, dass die Person, mit der Sie sprechen, die Person ist, von der sie sagt, dass sie sie ist. Eine einfache Möglichkeit, einen solchen Betrug zu erkennen, besteht darin, dass die andere Partei um Zahlung oder Spenden in Geschenkkarten bittet, wie dies kürzlich der Fall war Louisville, Ky.

Es ist allgemein bekannt, dass Unternehmen Sie niemals per E-Mail, SMS oder Anruf anrufen und um Zahlung bitten. Wenn Sie den Verdacht haben, dass eine überfällige Rechnung oder Portogebühr nicht legitim ist, wenden Sie sich direkt an das Unternehmen, bevor Sie Informationen weitergeben. Wenn jemand um Spenden bittet, stellen Sie sicher, dass Sie direkt über die offizielle Website, an einer Verkaufsstelle oder in einer Sammelbox und nicht per Text an die Organisation spenden.

Sei vorsichtig da draußen

Seien Sie skeptisch gegenüber Textnachrichten, die Sie nicht von Freunden oder Bekannten erhalten. Wenn Sie diese Grundlagen berücksichtigen, werden Sie nicht dazu verleitet, Bargeld oder Ihre persönlichen Daten preiszugeben.

Um Ihren Schutz noch weiter zu verbessern, können Sie auch Ihr Android-Gerät sichern oder einige grundlegende Sicherheitstipps für das iPhone befolgen.