This was a simulated phishing attack. Das war ein simulierter Phishing-Angriff.
You just acted on a suspicious text message. Nothing was stolen this time — but in a real "smishing" attack, that single tap can hand over a credit card, a Microsoft password, or remote access to your phone. Sie haben gerade auf eine verdächtige SMS reagiert. Diesmal wurde nichts gestohlen — bei einem echten „Smishing“-Angriff kann ein einziger Tipp eine Kreditkarte, ein Microsoft-Passwort oder Fernzugriff auf Ihr Handy preisgeben.
What would have happened in a real attack Was bei einem echten Angriff passiert wäre
SMS phishing — "smishing" — works for the same reason email phishing does, only worse. Text messages feel personal, urgent, and short, which makes it hard to spot the manipulation. They arrive on your phone where the URL bar is tiny, where you're often distracted, and where the email-scanning tools your work laptop has don't exist.
Common lures: an undelivered DHL / Swiss Post / DPD package needing a small "redelivery fee"; a fake tax-office payment notice; a bank fraud alert asking you to "confirm" a transaction; a fake message from "your boss" asking you to buy gift cards. New variants from 2025 also pretend to be Microsoft 365 sign-in notifications, hoping you'll re-enter your work password.
And smishing increasingly hops across channels: a text leads to a WhatsApp chat, which leads to a video call, which leads to a CEO-fraud-style request for payment.
SMS-Phishing — „Smishing“ — funktioniert aus denselben Gründen wie E-Mail-Phishing, nur schlimmer. SMS wirken persönlich, dringlich und kurz, sodass Manipulation schwer zu erkennen ist. Sie kommen auf Ihrem Handy an, wo die URL-Leiste winzig ist, Sie oft abgelenkt sind und keine E-Mail-Scanner wie auf dem Arbeitsgerät vorhanden sind.
Beliebte Köder: ein nicht zustellbares DHL- / Schweizerische-Post- / DPD-Paket mit kleiner „Nachsendegebühr“; ein gefälschter Steuerbescheid; eine angebliche Betrugswarnung der Bank, die Sie zur „Bestätigung“ einer Transaktion bittet; eine angebliche Nachricht „vom Chef“ mit der Bitte, Gutscheine zu kaufen. Seit 2025 gibt es zunehmend Varianten, die sich als Microsoft-365-Anmeldebenachrichtigung ausgeben und auf die erneute Eingabe Ihres Arbeitspassworts abzielen.
Smishing wechselt zunehmend den Kanal: Die SMS führt in einen WhatsApp-Chat, dann in einen Videoanruf, dann zu einer CEO-Betrugs-ähnlichen Zahlungsaufforderung.
Red flags you could have spotted Warnsignale, die Sie hätten erkennen können
- Sender is a long phone number, foreign number, or random email-like address. Real banks and couriers use short alphanumeric sender IDs. Absender ist eine lange Nummer, eine Auslandsnummer oder eine wirre E-Mail-ähnliche Adresse. Echte Banken und Kurierdienste nutzen kurze alphanumerische Absender-IDs.
-
Link domain doesn't match the brand. A "DHL" message linking to
track-dhl-ch.top— not the realdhl.com. Link-Domain passt nicht zur Marke. Eine angebliche „DHL“-SMS verlinkt auftrack-dhl-ch.top— nicht auf das echtedhl.com. - A tiny payment to "release" something. Couriers don't ask you to pay 2 CHF via SMS to get your parcel. Kleine Gebühr für die „Freigabe“. Kurierdienste verlangen keine 2 CHF per SMS, damit Sie Ihr Paket bekommen.
- Urgency and threat. "Final notice", "your delivery will be returned", "your account will be blocked in 1 hour". Dringlichkeit und Drohung. „Letzte Mahnung“, „Ihre Lieferung wird zurückgesandt“, „Ihr Konto wird in einer Stunde gesperrt“.
- Unexpected "boss" message from an unknown number. "Hi, this is my new number, can you do me a quick favour?" — a classic social-engineering opening. Unerwartete „Chef“-Nachricht von unbekannter Nummer. „Hi, das ist meine neue Nummer, kannst du mir kurz einen Gefallen tun?“ — ein klassischer Einstieg ins Social Engineering.
Next time, do this instead So machen Sie es beim nächsten Mal
- Don't tap links in texts about packages, payments, or accounts. Open the courier's, bank's, or service's official app instead. Tippen Sie keine Links in SMS zu Paketen, Zahlungen oder Konten an. Öffnen Sie stattdessen die offizielle App des Kurierdiensts, der Bank oder des Dienstes.
- Verify "new number" messages out-of-band. If "your boss" or a family member texts from a new number asking for anything, call the number you already had saved. „Neue Nummer“-Nachrichten über einen anderen Kanal prüfen. Wenn „der Chef“ oder ein Familienmitglied von einer neuen Nummer schreibt, rufen Sie die gespeicherte alte Nummer an.
- Never re-enter your Microsoft 365 password on a phone link. If a message says you need to re-authenticate, open the Authenticator app yourself — don't follow a link. Geben Sie Ihr Microsoft-365-Passwort nie über einen Handy-Link erneut ein. Wenn eine Nachricht eine Re-Authentifizierung verlangt, öffnen Sie die Authenticator-App direkt — nicht über den Link.
- Report and delete. On iPhone, use "Report Junk". On Android, "Report spam". In Switzerland, forward to 7726 to alert your carrier. Melden und löschen. Auf dem iPhone „Junk melden“, auf Android „Spam melden“. In der Schweiz an 7726 weiterleiten, um Ihren Anbieter zu informieren.
- If it's about a work account — tell IT. Smishing of work credentials counts as a security incident, even from your personal phone. Wenn es um ein Arbeitskonto geht — IT informieren. Smishing auf Arbeitszugänge ist ein Sicherheitsvorfall, auch wenn es Ihr privates Handy betrifft.
Report suspicious messages Verdächtige Nachrichten melden
Even text-message attacks targeting personal devices can affect work accounts. When in doubt, tell IT.
- Take a screenshot of the message and the sender number.
- Send it to security@zevvy.org.
- If you tapped a link and entered credentials, contact IT immediately: it@zevvy.org.
Auch SMS-Angriffe auf private Geräte können Arbeitskonten betreffen. Im Zweifel die IT informieren.
- Machen Sie einen Screenshot der Nachricht und der Absendernummer.
- Senden Sie ihn an security@zevvy.org.
- Wenn Sie einen Link getippt und Zugangsdaten eingegeben haben, kontaktieren Sie sofort die IT: it@zevvy.org.