Zurück zum Blog
Bedrohungsanalyse·11 Min. Lesezeit

Phishing-SMS 2026: Anatomie von drei realen Kampagnen

USPS-Paketzustellbetrug, gefälschte Mautgebühren und Rückerstattungsbestätigungen per SMS verursachen bei mobilen Nutzern inzwischen mehr Zugangsdatendiebstahl als E-Mail-Phishing. Wir zeigen, wie drei Kampagnen tatsächlich funktionieren – den Köder, die Infrastruktur, warum sie immer wieder erfolgreich sind und was sie auffliegen lässt.

Von Casper's Cloak Security Team

Kurz zusammengefasst: SMS-Phishing – auch „Smishing" genannt – hat E-Mail-Phishing als primären Kanal für Zugangsdatendiebstahl bei mobilen Nutzern ungefähr 2024 überholt und hat sich 2025–2026 weiter beschleunigt. Die Gründe dafür sind strukturell: Smartphones haben kein Safe-Browsing-Äquivalent für SMS, URL-Vorschauen fehlen weitgehend, Link-Kürzer wirken legitim, und Menschen tippen auf dem Handy mit deutlich weniger Skepsis als beim Klicken im Desktop-Browser. Drei Kampagnen dominieren das Volumen derzeit. Hier erfährst du genau, wie jede davon funktioniert.

Kampagne 1 – USPS-Pakete als „nicht zustellbar" getarnt

Aktiv seit 2023. Volumen laut FTC/USPS-Berichten: ca. 5 Millionen US-Empfänger pro Monat auf dem Höhepunkt. Dem FBI und Sicherheitsforschern (Resecurity, Trend Micro) zufolge ist die chinesischsprachige „Smishing Triad"-Gruppe für die Kampagne verantwortlich.

Der Köder

Eine SMS trifft ein – typischerweise morgens oder früh am Nachmittag –, die behauptet, das Paket des Empfängers habe eine „unvollständige Adresse" und werde zurückgeschickt, sofern die Daten nicht innerhalb von 24 Stunden bestätigt werden. Die SMS enthält einen Link, der aussieht wie USPS (Varianten wie usps-track[.]top, uspstracking-info[.]com, us-postss[.]cn), aber auf Wegwerf-Domains registriert ist, die erst Stunden oder Tage alt sind. Die meisten Menschen erwarten ein Paket – von Amazon, einem Online-Shop oder einem Freund –, und das Timing wirkt.

Was passiert beim Klicken

Eine pixelgenaue USPS-Klonseite bittet um die Adresse (zur „Zustellung"), eskaliert dann zu einer „Zustellgebühr" von 1,99–3,50 Dollar, für die Kreditkartendaten benötigt werden. Das Karteneingabeformular ist das eigentliche Ziel: vollständige Kartennummer, CVV, Ablaufdatum, Rechnungsadresse, Handynummer zur „Bestätigung der Lieferung per SMS". Die Karte wird dann innerhalb von Stunden genutzt oder verkauft. Die gesammelten Informationen – vollständiger Name, Adresse, Telefon, letzte vier Stellen der Karte – dienen auch als Grundlage für Folgeangriffe (gefälschte Bankanrufe, Kontoübernahmeversuche).

Warum es funktioniert

  • Die meisten Menschen haben zu jedem Zeitpunkt ein Paket unterwegs – die Wahrscheinlichkeit, dass der Empfänger die Prämisse glaubt, ist hoch.
  • USPS versendet normalerweise keine SMS – aber die meisten Nutzer wissen das nicht, und die Marke ist allgemein bekannt.
  • Die „kleine Gebühr" (1,99 Dollar) erscheint zu gering, um sich zu wehren; man zahlt und macht weiter.
  • Die Domains rotieren alle paar Tage, sodass rein auf Blocklisten basierende Schutzmaßnahmen hinter der Kampagne zurückbleiben.

Was sie auffliegen lässt

Das Domain-Muster ist sehr vorhersehbar: USPS-Varianten mit Bindestrich, .top / .cn / .info TLDs, registriert über chinesischsprachige Registrare, hinter Cloudflare oder AS-rotierenden Proxies gehostet, Zertifikate von Let's Encrypt oder ZeroSSL innerhalb der letzten 48 Stunden ausgestellt. Ein ML-Klassifikator, der auf diese Merkmale trainiert wird, erkennt neue Domains bereits beim ersten Aufruf – lange bevor sie in PhishTank oder den großen kommerziellen Blocklisten erscheinen. Der Klassifikator ist der eigentliche Kern der netzwerkbasierten Bedrohungserkennung.

Kampagne 2 – Smishing wegen ausstehender Maut (E-ZPass, SunPass, FasTrak)

Nahm 2024 deutlich zu, als die Bundesstaaten auf rein elektronische Mauterhebung umstiegen. Das FBI IC3 veröffentlichte im April 2024 eine öffentliche Warnung. Betrifft nun alle 50 Bundesstaaten (und kanadische Nutzer) mit bundesstaatsspezifischen Markenvarianten.

Der Köder

„[Landesbehörde oder Mautbetreiber]: Sie haben einen ausstehenden Mautbetrag von 4,27 Dollar. Bitte zahlen Sie vor [Datum], um Säumnisgebühren zu vermeiden. Hier bezahlen: ezpass-payments[.]com." Der Dollar-Betrag ist gering. Der Markenname entspricht dem jeweiligen Bundesstaat („E-ZPass" im Nordosten, „FasTrak" in Kalifornien, „SunPass" in Florida, „TxTag" in Texas, „I-Pass" in Illinois). Der Link sieht auf den ersten Blick wie die echte Maut-Website aus. Empfänger in Bundesstaaten mit ausschließlich elektronischer Mauterfassung – inzwischen der Großteil des Landes – haben plausiblerweise kürzlich eine Mautstraße genutzt.

Was passiert beim Klicken

Ein Klon des Zahlungsportals der jeweiligen staatlichen Mautbehörde, angepasst je nach Bundesstaat. Das Formular fragt nach vollständigem Namen, Adresse, Telefon, Kennzeichen (zur „Abfrage des Verstoßes"), um dann zu einem Zahlungsbildschirm weiterzuleiten, auf dem Kreditkartendaten für den geringen Betrag eingegeben werden sollen. Wie bei USPS sind die Kartendaten das Ziel, aber diese Kampagne erfasst auch Kennzeichendaten – nützlich für Folgeangriffe (gefälschte DMV-Kontakte, Fahrzeugzulassungsbetrug, Vorbereitung von Versicherungsbetrug).

Warum es funktioniert

  • Mautbetreiber nehmen tatsächlich manchmal per SMS oder Post Kontakt auf – die Prämisse ist plausibel.
  • Die meisten Nutzer wissen nicht genau, was sie an Mautgebühren schulden, und gehen davon aus, dass kleine Beträge echt sind.
  • Die Androhung von „Säumnisgebühren" oder „DMV-Sperren" drängt zur Zahlung ohne Überprüfung.
  • Die bundesstaatsspezifische Markenimitation bedeutet, dass die Bewohner jeder Region ihren vertrauten Markennamen sehen.

Was sie auffliegen lässt

Mautbetrugs-Domains folgen einem engen Muster: Markenname + payments/pay/billing im Hostnamen, .com / .net / .top TLDs, ca. 24–72 Stunden Registrierungsalter, Zertifikate von denselben wenigen kostenlosen CAs, gängige ASN-Cluster (Cloudflare, Namecheap, Hosting-Anbieter, die für laxe Richtlinien bei Missbrauch bekannt sind). Selbst bei Rotation erkennt ein ML-Klassifikator, der nach Registrierungsalter und Ähnlichkeit zwischen Hostname und Marke bewertet, die gesamte Kampagnenfamilie – einschließlich Domains, die auf deinem Gerät zum ersten Mal beobachtet werden.

Kampagne 3 – Rückerstattungsbestätigungen per SMS (Apple, Amazon, Netflix, Walmart)

Aktiv im Zeitraum 2024–2026, mit saisonalen Volumenpitzen zur Steuererstattungszeit (Feb.–Apr. in den USA) sowie rund um Black Friday und Cyber Monday.

Der Köder

„Apple ID: Eine Buchung in Höhe von 239,99 Dollar für [iCloud Storage / Apple Music Jahresabo / usw.] wurde heute genehmigt. Falls du diese Transaktion nicht autorisiert hast, brich sie hier ab: [Link]." Manchmal Amazon („Eine Buchung in Höhe von 499,94 Dollar für [Produkt]…"). Die Prämisse ist eine Abbuchung, die der Empfänger nicht vorgenommen hat – die Bedrohung ist finanziell. Neugier und Alarm treiben den Klick. Einige Varianten funktionieren umgekehrt: „Deine Rückerstattung in Höhe von 237,45 Dollar ist bereit. Bestätige dein Bankkonto, um sie zu erhalten." Gleicher Trick, umgekehrte Formulierung.

Was passiert beim Klicken

Ein nahezu perfekter Klon der Konto-Anmeldeseite der jeweiligen Marke. Die hier abgegriffenen Zugangsdaten sind gefährlicher als die Kreditkartendaten aus Kampagne 1 und 2: Eine Apple-ID oder ein Amazon-Login öffnet die Tür zur Kontoübernahme – vollständiger Kaufverlauf, gespeicherte Zahlungsmethoden, Guthabenguthaben, App-Store-Käufe, die Möglichkeit, sensible E-Mails zu lesen, und Zugang zu anderen Diensten, die dieselbe E-Mail-Adresse für SSO-Wiederherstellung verwenden. Viele Varianten eskalieren weiter: Nach dem Abgriff der Zugangsdaten führt ein gefälschter Support-Chat oder Rückruf „von Apple" das Opfer dazu, SMS-2FA-Codes laut vorzulesen, wodurch der Zweitfaktor ausgehebelt wird.

Warum es funktioniert

  • Echte Abrechnungs-SMS von Apple/Amazon existieren, sodass die Prämisse plausibel ist.
  • Der Dollar-Betrag ist gezielt hoch genug, um Alarm auszulösen, aber nicht unrealistisch groß.
  • Kontoübernahmen sind für den Angreifer wertvoller als ein einzelner Kreditkartentreffer – ein erfolgreicher Zugangsdatendiebstahl nährt wochenlangen Folgbetrug.
  • Personen, die auf der Zugangsdatenseite aktiv werden, konvertieren nachweislich – Rückerstattungsbetrügereien konzentrieren die Folgeenergie dorthin, einschließlich der Eskalation per Support-Anruf.

Was sie auffliegen lässt

Rückerstattungsbetrugs-Domains sehen typischerweise so aus wie apple-billing-verify[.]top, amazon-refund-claim[.]net, netflix-payment-update[.]com – kurzlebig, markenimitierend, registriert über bekannte missbrauchsfreundliche Registrare. Das Klassifikatorsignal ist im Wesentlichen dasselbe wie bei den anderen Kampagnen: Ähnlichkeit zwischen Hostname und Marke (Levenshtein-Distanz-Scoring gegenüber „apple.com", „amazon.com", „netflix.com"), Registrierungsalter, Zertifikatanbieter, Hosting-Infrastruktur. Erkennt die Kampagne bei der ersten Beobachtung, unabhängig davon, welche spezifische Markenvariante gerade im Einsatz ist.

Gemeinsame Muster bei allen drei Kampagnen

Alle drei Kampagnen teilen strukturelle Merkmale, die sie als Klasse erkennbar machen:

  • Kürzlich registrierte Domains – meist weniger als eine Woche alt, oft weniger als 24 Stunden.
  • Hostname-Imitation einer bekannten Marke – messbar über String-Distanz-Scoring gegenüber einer Liste bekannter Marken.
  • Kostenlose Zertifikate von Let's Encrypt oder ZeroSSL – legitime Seiten verwenden diese ebenfalls, aber die Kombination aus „neue Domain + kostenloses Zertifikat + markenimitierender Hostname" ist hochgradig prädiktiv.
  • Hosting bei einer kleinen Gruppe missbrauchstoleranter Anbieter – Cloudflare-gesichert, mit Ursprungsservern in Jurisdiktionen, die für langsame Abschaltprozesse bekannt sind.
  • Seitentemplates, die bekannten Phishing-Kits entsprechen – domänenspezifische UI-Assets werden kampagnenübergreifend wiederverwendet.
  • URL-Struktur – lange Pfade mit zufällig wirkenden Tokens, häufige Nutzung von Query-String-Weiterleitungen.

Was sie nicht auffliegen lässt

  • iOS Safe Browsing läuft nur in Safari. Der Phishing-Link, den man in der Nachrichten-App antippt, öffnet sich in einer Web-View, die nicht denselben Schutz erhält.
  • Carrier-seitige SMS-Filterung blockiert ein gewisses Volumen, rotiert aber selten – Kampagnen passen die Absendernummer an, und der Filter bleibt dauerhaft in Rückstand.
  • „Einfach keine verdächtigen Links anklicken" – guter Rat, der bei der kleinen Minderheit von SMS scheitert, bei der der Nutzer gerade ein Paket, eine Rückerstattung oder eine Mautrechnung erwartet. Volumen ist die Strategie.
  • Reine Blocklisten (PhishTank, OpenPhish usw.) – diese sind reaktiv. Bis eine Domain gemeldet und hinzugefügt wurde, ist sie bereits seit Stunden bis Tagen aktiv; Kampagnenbetreiber rotieren, bevor die Listen aufholen.

Was sie tatsächlich auffliegen lässt

Netzwerkbasierte Bedrohungserkennung, die zum Zeitpunkt der DNS-Auflösung einen ML-Klassifikator auf die Zieldomain anwendet. Der Klassifikator benötigt nicht, dass die spezifische URL bereits irgendwo gemeldet wurde – er bewertet anhand der oben genannten strukturellen Merkmale (Registrierungsalter, Markenähnlichkeit, Zertifikatanbieter, Hosting-ASN, URL-Form) und verweigert die Auflösung von Domains oberhalb des Risikoschwellenwerts. Das ist die gesamte Architektur von Caspers Bedrohungsschutzschicht (hier im Detail erklärt), und es ist das Einzige, was die Lücke bei diesen drei Kampagnen substanziell schließt.

Ein subtilerer Vorteil: Caspers Klassifikator meldet Falschpositive (ein Nutzer hat eine Blockierung als falsch markiert) zurück ins Retraining. Die drei oben genannten Kampagnen sind inzwischen gut klassifiziert, aber die dahinterstehenden Betreiber rotieren weiterhin ihre Taktiken – neue TLDs, neue Registrare, neue Hosting-Muster. Ein kontinuierlich lernendes Modell passt sich schneller an als jede statische Blockliste.

Fazit

Smishing gewinnt gerade, weil SMS der Kanal ist, dem mobile Nutzer am wenigsten misstrauen, die im Betriebssystem eingebauten Schutzmaßnahmen nur einen Browser abdecken und die dominierenden Kampagnen Domains schneller rotieren als reaktive Blocklisten aktualisieren. Der Hebel liegt auf DNS-Ebene – jeder angeklickte Link führt vor dem Öffnen im Browser eine DNS-Anfrage durch, und genau diese Anfrage ist der sauberste Ort zum Eingreifen. Falls du nichts anderes aus diesem Beitrag mitnimmst: Tippe niemals auf einen Zahlungslink aus einer SMS. Öffne die App selbst. Die paar Sekunden, die dich das kostet, sind die gesamte Verteidigung.

Geprüft vom Casper's Cloak Security Team · Zuletzt aktualisiert

Phishing-Links erkennen, bevor du darauf tippst

Casper's Cloak betreibt genau die Art von netzwerkbasierter Bedrohungserkennungsschicht, die oben beschrieben wird – für jede App auf deinem iPhone, Mac und Android. Neu aufgetauchte Phishing-Domains werden vom ML-Layer schnell markiert.