Phishing SMS erhalten?
So reagieren Sie richtig.
Betrüger versenden täglich Millionen gefälschter SMS — angeblich von DHL, dem Zoll, Ihrer Bank oder Amazon. Diese Methode heißt Smishing (SMS + Phishing). Ziel ist es, Sie auf gefälschte Websites zu locken und dort Kreditkartendaten, Passwörter oder TANs abzugreifen.
Allein 2024 gingen bei der Bundesnetzagentur über 11.000 Beschwerden zu betrügerischen Paket-SMS ein.
Erst die Grundmuster verstehen?
Wenn Sie nicht nur SMS, sondern auch E-Mail-, QR-Code- und Anruf-Betrug systematisch einordnen wollen, starten Sie mit unserer zentralen Seite Phishing erkennen.
Zum Phishing-Hub →Sofortmaßnahmen: Was Sie jetzt tun sollten
Sie haben eine verdächtige SMS erhalten? Dann gehen Sie diese drei Schritte durch — in dieser Reihenfolge:
1. Nicht auf den Link klicken
Links in Smishing-SMS führen zu täuschend echten Fake-Websites. Diese sehen aus wie DHL, Sparkasse oder Amazon — sind aber nur dafür gebaut, Ihre Daten abzugreifen. Auch ein „Nur-mal-kurz-Gucken" kann gefährlich sein: Manche Seiten laden automatisch Schadsoftware.
2. Keine Daten eingeben
Banken, der Zoll und echte Paketdienste fragen niemals per SMS nach Passwörtern, TANs, Kreditkartennummern oder Adressbestätigungen über einen Link. Das gilt ausnahmslos.
3. Nummer blockieren & SMS melden
Machen Sie einen Screenshot der Nachricht (wichtig für eine spätere Anzeige). Blockieren Sie dann die Nummer und löschen Sie die SMS. Melden Sie den Absender bei der Bundesnetzagentur.
Aktuelle Smishing-Beispiele (2026)
Die Texte wechseln ständig, aber die Muster bleiben gleich. Hier die aktuell häufigsten Varianten:
🚚 Paket / DHL / Zoll
"Ihr Paket konnte nicht zugestellt werden. Bitte zahlen Sie die Zollgebühren von 1,99 € unter: bit.ly/zoll-de-24"
Warum gefährlich: Der echte Zoll verschickt niemals SMS mit Zahlungslinks. Echte DHL-Benachrichtigungen verlinken immer auf dhl.de — nicht auf Kurzlinks.
🏦 Bank / Sparkasse / ING
"Sicherheitswarnung: Ihr Konto wurde vorübergehend eingeschränkt. Verifizieren Sie sich sofort: https://s-parkasse-login.com/verify"
Warum gefährlich: Bankdomains enden auf sparkasse.de, ing.de etc. — nicht auf sparkasse-login.com. Banken fordern nie per SMS zur Verifizierung auf.
📦 Amazon / Marketplace
"Ihre Amazon-Bestellung konnte nicht verarbeitet werden. Aktualisieren Sie Ihre Zahlungsdaten: amz-konto.de/update"
Warum gefährlich: Amazon kommuniziert über die App oder E-Mail — niemals über SMS mit Links zu fremden Domains.
👨👩👦 Enkeltrick / „Mama, neue Nummer"
"Hallo Mama, mein Handy ist kaputt. Das hier ist meine neue Nummer. Kannst du mir bitte schnell helfen?"
Warum gefährlich: Die Betrüger bitten kurz darauf um eine Sofortüberweisung. Rufen Sie immer auf der alten, bekannten Nummer zurück.
📱 Voicemail / Mailbox
"Sie haben eine neue Sprachnachricht. Hören Sie sie hier an: voicemail-de.link/msg4823"
Warum gefährlich: Der Link installiert auf Android-Geräten oft die Schadsoftware FluBot, die Ihre Kontakte ausliest und automatisch weitere Betrugs-SMS verschickt.
Weitere aktuelle Beispiele für Bank-, PayPal- und Microsoft-Phishing finden Sie auf unserer Seite mit kuratierten Phishing-Beispielen.
Was passiert, wenn Sie auf den Link geklickt haben?
Allein das Öffnen einer SMS ist in der Regel ungefährlich. Kritisch wird es in zwei Fällen:
Fall 1: Link geklickt, aber keine Daten eingegeben
- Schließen Sie die Seite sofort und löschen Sie den Browserverlauf.
- Prüfen Sie Ihr Gerät auf neu installierte Apps (vor allem auf Android).
- Führen Sie einen Virenscan durch (z. B. mit Malwarebytes oder dem vorinstallierten Google Play Protect).
- Beobachten Sie in den nächsten Tagen Ihr Banking auf ungewöhnliche Buchungen.
Fall 2: Daten eingegeben oder Freigabe bestätigt
Hier müssen Sie sofort handeln:
- Karte sperren lassen: Rufen Sie den Sperr-Notruf 116 116 an (kostenlos, 24/7). Dieser sperrt Kreditkarten, Debitkarten und Online-Banking-Zugänge.
- Bank kontaktieren: Melden Sie den Vorfall Ihrer Hausbank. Fragen Sie explizit nach einem Chargeback, falls bereits Geld abgebucht wurde.
- Passwörter ändern: Zuerst das E-Mail-Konto (es ist der Schlüssel zu allen anderen Konten), dann Banking, dann Shopping-Accounts.
- Screenshots sichern: Die SMS, die Fake-Website (falls noch offen) und alle ungewöhnlichen Buchungen.
- Anzeige erstatten: Über die Online-Wache Ihres Bundeslandes — dauert nur 10–15 Minuten.
Wenn bereits Geld abgebucht wurde, finden Sie die konkreten Rückholwege in unserer Geld-zurückholen-Anleitung und dem Musterbrief für den Bankwiderspruch.
Smishing vs. Phishing vs. Quishing — was ist der Unterschied?
Alle drei Methoden verfolgen das gleiche Ziel (Datendiebstahl), nutzen aber unterschiedliche Kanäle:
| Methode | Kanal | Typischer Absender | Erkennung |
|---|---|---|---|
| Smishing | SMS / iMessage / RCS | DHL, Zoll, Bank, Amazon | Kurzlinks, Dringlichkeit, Zahlungsaufforderung |
| Phishing | Bank, PayPal, Microsoft | Gefälschte Absenderadresse, HTML-Design | |
| Quishing | QR-Code (Papier, Plakat, Brief) | DHL-Karte, Ladesäule, Strafzettel | QR-Code führt zu fremder Domain |
| Vishing | Telefonanruf | Microsoft, Europol, Polizei | Anrufer fordert Fernzugriff oder Zahlung |
Warum ist Smishing besonders gefährlich?
SMS haben gegenüber E-Mails zwei entscheidende Nachteile für Verbraucher:
- Höheres Vertrauen: Laut einer Gartner-Studie werden 98 % aller SMS gelesen (vs. ~20 % bei E-Mails). SMS werden mit persönlichen Kontakten assoziiert — das senkt die Wachsamkeit.
- Weniger Schutz: E-Mail-Programme haben Spam-Filter, HTML-Vorschau und Absender-Prüfungen. SMS bieten kaum technischen Schutz, besonders auf älteren Android-Geräten.
- Absender-Spoofing: Betrüger können den Absendernamen fälschen. Auf Ihrem Handy erscheint dann „DHL" oder „Sparkasse" als Absender — obwohl die SMS von einer anonymen Nummer stammt.
- Schadsoftware: Auf Android-Geräten kann ein Klick auf einen Smishing-Link automatisch Malware wie FluBot oder TeaBot installieren. Diese lesen Kontakte aus und verschicken selbstständig weitere Betrugs-SMS.
So schützen Sie sich vor Smishing
Technische Maßnahmen
- Betriebssystem aktuell halten: Sicherheitsupdates schließen bekannte Schwachstellen. Aktivieren Sie automatische Updates.
- Spam-Filter aktivieren: Auf Android: Google Messages → Einstellungen → Spamschutz. Auf iPhone: Einstellungen → Nachrichten → „Unbekannte Absender filtern".
- Drittanbietersperre einrichten: Rufen Sie Ihren Mobilfunkanbieter an und lassen Sie eine Drittanbietersperre setzen. Das verhindert, dass durch Schadsoftware kostenpflichtige Premium-SMS versendet werden.
- Keine Apps aus unbekannten Quellen: Auf Android: Einstellungen → Sicherheit → „Unbekannte Quellen" deaktivieren.
Verhaltensregeln
- Klicken Sie nie auf Links in SMS — auch nicht „nur zum Gucken".
- Prüfen Sie bei angeblichen Paket-SMS: Erwarten Sie überhaupt eine Lieferung? Nutzen Sie die offizielle DHL-App oder Webseite (dhl.de) zur Sendungsverfolgung.
- Geben Sie bei angeblichen Bank-Meldungen die URL Ihrer Bank manuell im Browser ein — nie über den SMS-Link.
- Seien Sie misstrauisch bei Dringlichkeit: „Sofort", „innerhalb von 24 Stunden", „letzte Mahnung" sind typische Druckmittel.
- Leiten Sie verdächtige SMS an 7726 (SPAM) weiter — diese Kurzwahl wird von allen deutschen Mobilfunkanbietern unterstützt.
Smishing auf dem Vormarsch: Warum es 2026 schlimmer wird
Drei Faktoren machen Smishing zunehmend gefährlicher:
- KI-generierte Texte: Betrüger nutzen ChatGPT und Co., um grammatisch perfekte, personalisierte Nachrichten zu erstellen. Die typischen Erkennungsmerkmale (Rechtschreibfehler, holprige Sprache) fallen weg.
- Verlagerung auf Messenger: Weil SMS-Filter besser werden, weichen Täter auf iMessage (iPhone) und RCS (Android) aus. Diese Nachrichten wirken noch vertrauenswürdiger und können sogar Logos anzeigen.
- Quishing-Kombination: Betrüger werfen gefälschte DHL-Benachrichtigungskarten mit QR-Codes in Briefkästen. DHL warnt: Das Unternehmen fragt nie Daten über QR-Codes auf Karten ab.
Wo melden? Wichtige Anlaufstellen
- Bundesnetzagentur: Online-Beschwerdeformular für SMS-Missbrauch
- Polizei Online-Wache: Onlinewache.de — Anzeige erstatten ohne Wartezeit
- Verbraucherzentrale Phishing-Radar: Aktuelle Warnungen melden
- Mobilfunkanbieter: SMS an 7726 (SPAM) weiterleiten