Smishing-Welle: Millionen-Betrug durch falsche Behörden

Cyberkriminelle erschleichen sich weltweit Millionenbeträge mit gefälschten Behörden-Anrufen. Allein in Malaysia verlor eine Rentnerin 275.000 Dollar – während Indiens Oberstes Gericht erstmals persönlich eingreift.

Die Masche ist perfide: Betrüger geben sich als Polizisten, Bundesbeamte oder Richter aus und nehmen ihre Opfer in “digitale Geiselhaft”. Per Videoanruf präsentieren sie gefälschte Haftbefehle und Aktenzeichen, setzen ihre Opfer unter psychischen Druck und fordern Zahlungen zur “Einstellung des Verfahrens”. Was nach plumper Abzocke klingt, entpuppt sich als hochprofessionelle, grenzüberschreitende Kriminalität – mit verheerenden Folgen.

Heute Morgen ergriff Indiens Oberstes Gericht eine ungewöhnliche Maßnahme: Die Richter untersagten unteren Gerichten die Freilassung mutmaßlicher Betrüger, die einen 72-jährigen Anwalt um umgerechnet 350.000 Euro erleichtert hatten. Das Gericht sprach von einem “außergewöhnlichen Phänomen”, das einen “außergewöhnlichen Eingriff” rechtfertige.

Der Begriff “digitale Verhaftung” beschreibt eine rasant wachsende Betrugsform. Die Täter arbeiten häufig aus sogenannten Scam-Compounds im Ausland – regelrechten Betrugsfabriken mit industriellem Anspruch. Dass Indiens höchstes Gericht persönlich interveniert, zeigt die Dimension des Problems.

Smishing- und SMS-Betrug nutzt Schwachstellen auf Ihrem Smartphone – besonders, wenn persönliche Daten aus gestohlener Post oder Messengern in falsche Hände geraten. Unser Gratis-Sicherheitspaket erklärt die fünf wichtigsten Schutzmaßnahmen für Android: sichere App-Auswahl, automatische Updates, SMS-Filter, restriktive App-Berechtigungen und regelmäßige Backups. Mit leicht verständlichen Schritt-für-Schritt-Anleitungen schützen Sie WhatsApp, Online-Banking und Zahlungs-Apps ohne teure Zusatz-Software. Plus: Checklisten für den Notfall und Beispiele gängiger Smishing-Nachrichten helfen Ihnen, Betrüger schneller zu erkennen. Jetzt kostenloses Android-Schutzpaket herunterladen

14 Überweisungen in vier Monaten

Die menschliche Tragödie hinter den Zahlen wird in einem Fall aus Kuching, Malaysia, besonders deutlich. Eine 72-jährige Rentnerin überwies innerhalb von vier Monaten 1,3 Millionen Ringgit (etwa 275.000 Euro) an Betrüger – in 14 separaten Transaktionen.

Der Betrug begann Ende Juli mit einem Anruf angeblicher Mitarbeiter der malaysischen Kommunikationsbehörde MCMC. Die Betrüger behaupteten, die Telefonnummer der Frau sei in kriminelle Aktivitäten verwickelt. Dann übernahm ein falscher Polizeibeamter das Gespräch und drängte die verängstigte Seniorin zu den Überweisungen – angeblich Teil des “Ermittlungsverfahrens”.

Laut Kuching’s Polizeichef ist dieser Fall kein Einzelfall: Zwischen Januar und Mitte November wurden 92 ähnliche Ermittlungsverfahren eröffnet. Die Gesamtschäden belaufen sich auf fast 1,3 Millionen Euro.

Wenn Briefträger zu Zielen werden

In den USA zeigt sich eine beunruhigende Verbindung zwischen physischer und digitaler Kriminalität. Banking-Sicherheitsexperten warnen vor einem 200-prozentigen Anstieg bei Überfällen auf Postboten. Die Täter haben es dabei nicht nur auf Schecks abgesehen, sondern auf sogenannte “Arrow Keys” – Generalschlüssel, die ganze Nachbarschaften von Briefkästen öffnen.

Die gestohlene Post liefert eine Goldgrube an persönlichen Daten, die für hochgradig personalisierte Smishing-Kampagnen genutzt werden. Smishing – eine Wortschöpfung aus SMS und Phishing – bombardiert Opfer mit gefälschten Textnachrichten, die sich als Mautbehörden, Paketdienste oder Banken ausgeben.

Die Masche: Eine vermeintlich harmlose Mautgebühr von 2,50 Euro oder eine angebliche Paketbenachrichtigung. Wer auf den Link klickt, landet auf täuschend echten Fake-Websites, die Kreditkartendaten und Passwörter abgreifen. Sicherheitsexperten schätzen, dass etwa 65 Prozent aller Sicherheitsvorfälle im Jahr 2024 auf menschliches Versagen durch Phishing und Smishing zurückgehen.

Phishing-as-a-Service: Betrug aus dem Baukasten

Diese Einzelfälle sind Symptome eines organisierten Kriminalitätssystems. “Phishing-as-a-Service” (PhaaS) lautet das Geschäftsmodell: Plattformen bieten Kriminellen schlüsselfertige Betrugswerkzeuge an – vom gefälschten Bankportal bis zur automatisierten SMS-Versandinfrastruktur.

Google legte am 12. November eine solche Operation namens “Lighthouse” mit einer Klage lahm. Die mit der “Smishing Triad” verknüpfte Plattform stellte über 600 gefälschte Website-Templates bereit, die mehr als 400 Institutionen imitierten – von Banken bis zu Paketdiensten.

Das Ausmaß ist erschreckend: über eine Million Opfer in 120 Ländern, Millionen gestohlener Kreditkartennummern. Bereits am 16. November meldeten Sicherheitsforscher erste Erfolge – die Täter posteten verzweifelte Nachrichten über blockierte Server.

Was Verbraucher jetzt tun sollten

Der Kampf gegen Smishing und Identitätsbetrug wird auf mehreren Ebenen geführt. Die US-Postaufsicht startete am 13. November die Kampagne “Cut Out Crime”, um Verbraucher vor paketbezogenen Betrügereien in der Weihnachtszeit zu warnen. Das Bundesamt für Cybersicherheit (CISA) aktualisiert seinen Katalog bekannter Sicherheitslücken nahezu täglich – zuletzt am 14. November.

Für Verbraucher gilt:
– Niemals auf Links in unerwarteten SMS oder E-Mails klicken
– Bei verdächtigen Anrufen auflegen und die Organisation über offizielle Kanäle kontaktieren
– Behörden fordern niemals per Telefon oder SMS Sofortzahlungen
– Gesunden Menschenverstand walten lassen: Warum sollte die Polizei Geld verlangen?

Die Taktiken der Betrüger werden immer raffinierter. Nur eine Kombination aus technischer Abwehr, wachsamen Behörden und vor allem skeptischen, informierten Bürgern kann diese Betrugswelle eindämmen. Denn eines ist sicher: Die Kriminellen rüsten weiter auf.

PS: Smishing-Attacken werden immer personalisierter — oft reichen abgegriffene Daten aus Paketbenachrichtigungen, um täuschend echte Nachrichten zu erstellen. Unser Gratis-Schutzpaket zeigt die 5 wichtigsten Maßnahmen, inklusive Praxis-Checkliste, Schritt-für-Schritt-Anleitungen und konkreten Erkennungsmerkmalen für betrügerische SMS. Sie erfahren, wie Sie Links prüfen, App-Rechte einschränken und automatische Backups einrichten — alles ohne teure Zusatz-Apps und in wenigen Minuten umsetzbar. Gratis-Schutzpaket jetzt sichern