Eine SMS, ein Tipp auf den Link – und schon rauschen Apple-Pay-Buchungen durch, als hätten Sie eine Firmenfeier im Apple Store veranstaltet. Willkommen bei Smishing, der perfiden Mischung aus „SMS“ und „Phishing“, die 2025 so professionell orchestriert wird, dass selbst abgebrühte IT-Profis ins Schleudern geraten.
1 | Was ist neu 2025?
- SMS-Blaster statt Einzeltäter – Kriminelle mieten mobile Funkgeräte, die in Sekunden Tausende Nachrichten verschicken; die britische Polizei hat gerade erst eine solche „Textkanone“ beschlagnahmt.
- Mobile Wallet im Visier – Wer seine Karten in Apple Pay oder Google Wallet hinterlegt, ist kein bisschen sicherer, wie jüngste Urteile des LG Heilbronn (13. 02. 2025) und des LG Karlsruhe (24. 09. 2024) zeigen: Beide Gerichte verurteilten Banken zur vollständigen Erstattung nach Smishing-Angriffen über Apple Pay.
2 | So läuft der Angriff ab – Kurzfassung
- Trigger-SMS: „Ihr Paket wartet“ / „Ihre Karte ist gesperrt“ / „Sicherheitsupdate jetzt installieren“.
- Falscher Link: Klick öffnet eine täuschend echte Login-Seite oder installiert still ein Schad-Profil.
- Datenabgriff: Zugangsdaten, TAN oder gleich die virtuelle Karte wandern in fremde Hände.
- Kasse klingelt: Einkäufe via Apple Pay, Klarna One-Click oder SEPA-Lastschrift räumen das Konto leer.
3 | Häufige Fragen – meine kurzen Antworten
| Frage | Sofort-Antwort |
|---|---|
| „Ich habe geklickt – was jetzt?“ | Flugmodus, Passwörter ändern, Bank anrufen, Polizei & IT-Forensik einschalten. |
| „Bank zahlt nicht, verweist auf grobe Fahrlässigkeit – zulässig?“ | Nicht zwingend. § 675u BGB verpflichtet zur Erstattung nicht autorisierter Zahlungen. Ob grobe Fahrlässigkeit vorliegt, hängt von Täuschungsgrad und Bank-Sicherheitskonzept ab – Gerichte prüfen immer detaillierter. |
4 | Rechtslage 2025 – Ihr Hebel gegen die Bank
- Autorisierung (§ 675j BGB): Fehlte Ihre wirksame Zustimmung, muss die Bank zahlen.
- Grobe Fahrlässigkeit: Die Beweislast liegt beim Institut. Je glaubhafter der Fake-Absender und je üblicher der Paket- oder Banking-Hinweis, desto schwerer wird dieser Nachweis.
- Urteilstrend: Immer mehr Landgerichte sehen Banken in der Pflicht, wenn ihre TAN-Verfahren oder Wallet-Freigaben leicht auszuhebeln waren – Apple Pay inklusive.
5 | Mein 5-Punkte-Plan für Betroffene
- Beweise sichern – Screenshots der SMS, URL, Kontoauszüge.
- Bank schriftlich in Verzug setzen – Rückerstattung nach § 675u fordern, Frist setzen.
- Anzeige erstatten – Cybercrime-Dienststelle nennen; Banken verlangen oft das Aktenzeichen.
- Kommunikation delegieren – Lassen Sie mich die Korrespondenz führen; jedes unbedachte Wort kann später als „Schuldeingeständnis“ ausgelegt werden.
- Fristen im Blick – Rückforderungsansprüche verjähren regelmäßig nach 13 Monaten (§ 676b BGB); bei stillschweigender Genehmigung sogar früher.
6 | Fazit
Smishing ist kein „peinlicher Klickfehler“, sondern organisierte Kriminalität mit industrieller Infrastruktur. Wer prompt reagiert und rechtlich nachsetzt, hat gute Karten, sein Geld zurückzubekommen – selbst bei Apple Pay-Buchungen. Verzögern kostet doppelt: erst an die Täter, dann an die Bank.
Sie sind betroffen? Ich übernehme die Verhandlungen, setze Ansprüche durch und halte die Gegenseite juristisch in Schach – bundesweit, effizient, mit klarer Kante. Melden Sie sich.
Merksatz: Ein SMS-Link ist kein harmloser Fingerwisch – er kann ein Blankoscheck sein.
