IT-Security

Betrugs-SMS und Phishing 2.0: die neuen Maschen erkennen

Von Nico Birrer18.7.20265 Min. Lesezeit

Die SMS kam vom eigenen Handynetz — und war trotzdem gefälscht

Eine Buchhalterin bei einem Malergeschäft im Klettgau bekommt an einem Dienstagmittag eine SMS. Absender: der Name ihres Mobilfunkanbieters, eingereiht direkt unter den echten Nachrichten der letzten Wochen. Text: Ihre Rechnung sei offen, sonst werde der Anschluss gesperrt, hier zahlen. Sie klickt, gibt die Kreditkartendaten ein. Zwei Tage später bucht jemand in Rumänien 1'800 Franken ab.

Das Tückische daran: Die SMS landete im selben Gesprächsverlauf wie die echten Meldungen des Anbieters. Kein Zahlenwirrwarr als Absender, kein offensichtlicher Blödsinn. Genau das ist neu.

Was ein SMS-Blaster ist und warum er die Filter aushebelt

Seit dem Sommer 2025 sind in der Schweiz sogenannte SMS-Blaster im Umlauf. Das sind Geräte, die eine Mobilfunkantenne vortäuschen. Die Täter fahren mit so einem Kasten im Auto oder im Rucksack durch die Stadt. Jedes Handy in der Nähe verbindet sich automatisch mit der vermeintlichen Antenne, weil sie das stärkste Signal sendet. Und dann bekommt jedes dieser Handys direkt die Betrugs-SMS aufgespielt.

Der Punkt, an dem es unangenehm wird: Diese Nachricht läuft nie über das Netz von Swisscom, Sunrise oder Salt. Sie kommt direkt vom Blaster aufs Gerät. Damit greifen sämtliche Spam-Filter der Anbieter ins Leere. Die filtern nämlich das, was durch ihr Netz läuft. Was am Netz vorbei direkt aufs Telefon kommt, sehen sie gar nicht.

Und die Täter können jeden beliebigen Absendernamen einsetzen. «Swisscom», «PostFinance», «AGOV», «Zoll» — was gerade Vertrauen schafft. Weil das Telefon Nachrichten mit gleichem Absendernamen zusammenfasst, rutscht die Fälschung in den echten Verlauf. Das Bundesamt für Cybersicherheit meldet für die letzten Monate rund 17 Prozent mehr Phishing-Meldungen, ein guter Teil davon läuft heute über SMS statt über E-Mail.

Warum das gerade Firmen trifft

Im privaten Umfeld ärgert so eine SMS. Im Geschäft kostet sie. Ihre Mitarbeitenden haben Firmenkarten, Zugänge zu Bankportalen, Logins ins Microsoft-365-Konto. Eine gefälschte SMS, die zur «Bestätigung Ihres Kontos» auffordert, zielt genau darauf.

Ein zweites Problem kommt dazu. Viele KMU nutzen SMS für die Zwei-Faktor-Anmeldung. Kommt der Bestätigungscode per SMS, gewöhnen sich die Leute daran, auf solche Nachrichten zu reagieren. Eine gefälschte SMS, die nach genau diesem Code fragt, wirkt dann plausibel. Wer den Code weitergibt, öffnet dem Täter das Konto, obwohl die Zwei-Faktor-Anmeldung eigentlich schützen sollte.

Woran Sie eine Betrugs-SMS erkennen

Der alte Reflex, den Absender zu prüfen, hilft hier nicht mehr. Der Absendername ist gefälscht und sieht echt aus. Sie müssen auf anderes achten.

Fast jede dieser SMS erzeugt Druck. Eine Frist, eine Sperrung, eine Strafe. «Ihr Konto wird in 24 Stunden gesperrt.» Seriöse Firmen und Behörden arbeiten nicht so. Die Post schreibt Ihnen keine SMS mit einem Zahlungslink, der Zoll auch nicht, Ihre Bank schon gar nicht.

Der zweite Hinweis ist der Link. Fahren Sie mit dem Finger lange auf den Link, ohne zu tippen, dann zeigt das Handy die volle Adresse. Steht da irgendetwas, das nicht sauber die offizielle Domain ist — «postfinance-kunde.info» statt «postfinance.ch» —, dann ist es Betrug. Im Zweifel gilt eine einfache Regel: Loggen Sie sich nie über einen Link aus einer SMS ein. Tippen Sie die Adresse selbst in den Browser, oder öffnen Sie die App direkt.

Und dann gibt es noch das Bauchgefühl. Eine Nachricht, die Sie nicht erwartet haben und die sofort etwas von Ihnen will, ist verdächtig. Auch wenn sie aussieht wie tausend echte davor.

Was Ihre Mitarbeitenden tun sollen

Zwei Dinge zählen hier, und keines davon ist Technik. Das erste: nie unter Druck handeln. Eine Sekunde innehalten reicht oft. Das zweite: im Zweifel fragen. Lieber einmal zu viel bei der IT oder beim Chef nachfragen, als einmal zu wenig.

Legen Sie eine klare Regel fest, die jeder kennt. Zum Beispiel: Keine Zahlung, kein Login, keine Codeweitergabe aufgrund einer SMS — Punkt. Wer eine verdächtige Nachricht bekommt, meldet sie kurz intern und löscht sie dann. So merken auch die anderen, dass gerade eine Welle läuft.

Wer schon geklickt und Daten eingegeben hat, darf das nicht verschweigen. Karte sperren, Passwort ändern, IT informieren — und zwar sofort. Je schneller das läuft, desto kleiner der Schaden. Peinlich ist nicht der Klick. Peinlich ist das Schweigen bis zur Abbuchung.

Ein technischer Punkt lohnt sich trotzdem: Wo immer möglich, weg von der SMS als zweitem Faktor. Eine Authenticator-App auf dem Handy oder ein physischer Sicherheitsschlüssel lässt sich nicht per gefälschter SMS abgreifen. Das ist kein grosser Aufwand und schliesst genau die Lücke, auf die es die Täter abgesehen haben.

Die Masche verstehen, nicht einzelne SMS auswendig lernen

Die Betrüger ändern Absender, Text und Aufhänger ständig. Heute die Post, morgen der Zoll, übermorgen ein Paketdienst. Wer versucht, jede einzelne Variante zu erkennen, verliert. Was bleibt, ist das Muster dahinter: unerwartete Nachricht, Druck, Link, Aufforderung zu Login oder Zahlung. Wer dieses Muster im Kopf hat, erkennt auch die nächste Masche, die es noch gar nicht gibt.

Checkliste: Betrugs-SMS im Betrieb

  • Grundregel im Team verankern: keine Zahlung, kein Login, keine Codeweitergabe wegen einer SMS
  • Absendername sagt nichts — er ist fälschbar. Auf Druck, Frist und Link achten
  • Links aus SMS nie antippen. Adresse selbst eingeben oder App direkt öffnen
  • Bei der Zwei-Faktor-Anmeldung von SMS auf eine Authenticator-App oder einen Sicherheitsschlüssel wechseln
  • Verdächtige SMS kurz intern melden, damit das Team von der laufenden Welle weiss
  • Wer geklickt hat: sofort Karte sperren, Passwort ändern, IT informieren — ohne Scham
  • Einmal im Jahr im Team kurz durchspielen, wie so eine SMS aussieht und wer im Ernstfall was tut

Brauchen Sie Unterstützung?

Wir schauen uns Ihre Situation unverbindlich an und sagen Ihnen ehrlich, was sich lohnt.

Kontakt aufnehmen

Solche Tipps direkt ins Postfach?

Praxisnahes IT-Wissen für KMU — kein Spam, jederzeit abmeldbar.

Newsletter

Bleiben Sie informiert über die neuesten IT-Trends und unsere Services