6. Oktober 2024, 10:13 Uhr | Lesezeit: 6 Minuten
Paketankündigungen sind hilfreich und verbreiten in der Regel freudige Erwartung. Doch immer wieder versuchen Betrüger, sich das zunutze zu machen. TECHBOOK erklärt die Maschen, vor denen sogar das LKA warnt!
Betrüger versuchen immer wieder mit perfiden Tricks an sensible Daten zu kommen. Eine von ihnen nervt bereits seit Monaten – die vermeintliche Ankündigung eines Paketes, über die Empfänger per SMS informiert werden. Bereits im Februar 2021 hat das Landeskriminalamt (LKA) in Mainz vor diesen SMS gewarnt. Doch noch immer sind die Benachrichtigungen im Umlauf und nehmen wellenartig an Häufigkeit zu. Mit den Paketbenachrichtigungen per SMS versuchen Kriminelle, Schadsoftware auf die Smartphones ihrer Opfer zu installieren.
Betrug per Paket-SMS
Klicken die Empfänger der SMS einen vermeintlichen Bestätigungslink mit der Endung „duckdns.org“ an, wird im Hintergrund eine Schadsoftware heruntergeladen und auf dem Handy installiert. „Diese Schadsoftware leitet unbemerkt sensible Daten weiter, spioniert die Kontaktliste der Geschädigten aus und versendet anschließend eigenständig SMS mit der Schadsoftware an verschiedene Rufnummern, die zusätzliche Kosten verursachen können“, heißt es vom LKA. In einem Fall sei einer Frau aus Mainz durch die gefälschte SMS-Paketankündigung ein Schaden in dreistelliger Höhe entstanden, so die Beamten.
Eine andere SMS suggeriert, dass ein Paket aufgrund unvollständiger Angaben nicht zugestellt werden könne. Um die Empfänger unter Druck zu setzen, steht in der Nachricht meist noch etwas wie „Bitte bestätigen Sie Ihre Adresse innerhalb von 12 Stunden.“ Gerade, wenn man tatsächlich auf ein Paket wartet, ist die Masche gefährlich. Man sollte keinesfalls den Aufforderungen nachkommen, egal ob es nun um das Klicken auf einen Link oder eine Bestätigung per Nachricht geht. Am besten meldet man die Nachrichten direkt als Spam.
Nicht nur die Polizei warnt
Auch das neuseeländische Computer-Notfallteam CERT NZ warnt vor einer Masche, mit der Hacker sogenannte Spyware auf Smartphones installieren wollen. Die Ausspäh-Malware versteckt sich wieder in Paket-SMS. Folgen Empfänger dem Link in der SMS, kommt eine Aufforderung, eine App zur Paketverfolgung herunterzuladen. In einigen Fällen erscheint beim Öffnen des Links auch eine Warnung, dass das Smartphone mit „FluBot“-Malware infiziert sei – und eine Aufforderung, ein Sicherheitsupdate dagegen zu installieren. In der Warnung ist auch eine Anleitung enthalten, die Installation aus unbekannten Quellen in den Einstellungen zu gestattet, um das Sicherheitsupdate aufzuspielen. Das sollten Nutzer jedoch auf keinen Fall tun, da sie genau damit die Spyware auf ihrem Gerät installieren.
FluBot ist Spyware, die für Android-Smartphones spezialisiert ist. Die Schadsoftware kann Login-Daten und Passwörter etwa aus Banking-Apps stehlen. Die Spyware nutzt dafür eine Android-Funktion namens „Screen Overlay“, die es App erlaubt, ein eigenes Fenster über einer anderen App zu öffnen. FluBot kann so ein echt wirkendes Abbild einer tatsächlichen Banking-App erzeugen und damit die Nutzer täuschen, ihre Daten einzugeben. FluBot wird jedoch erst gefährlich, wenn man tatsächlich etwas installiert oder Zugriffsberechtigungen erteilt hat. iPhone-Nutzer sind zudem nicht von der Spyware betroffen, da iOS nicht die Installation von Apps aus unbekannten Quellen erlaubt.
Maschen dieser Art sind nicht neu. Immer wieder werden Fälle bekannt, bei denen Kriminelle die vermeintliche Paketankündigung per SMS und Mail dazu nutzen, um an sensible Daten zu kommen. Oft heißt es in den Nachrichten, dass angeblich ein Paket unterwegs zum Empfänger sei oder von diesem noch nicht abgeholt wurde. Derartige Nachrichten verwenden dabei missbräuchlich die Namen von Paketdienstleistern wie DHL, UPS und anderen. Teils handelt es sich auch um Dienstleister aus anderen Ländern oder frei erfundene Firmen.
Auch interessant: Das sind die fiesen Tricks der Phishing-Betrüger
Gefälschte Paket-SMS und -Mails erkennen
Die gefälschten Paketankündigungen kommen per SMS und per E-Mail. Erkennen lassen sie sich etwa an Betreffzeilen wie „Ihr Paket wurde nicht korrekt zugestellt“. Oder es handelt sich einfach nur um fiktive Versandbestätigungen. Der Polizei sind zudem Varianten bekannt, in denen Empfänger von Sendungen angeblich Porto nachzahlen müssen, damit das Paket zugestellt wird. Wer dann neugierig auf den Link in der SMS tippt, kommt auf eine gefälschte Paket-Tracking-Seite. Auf dieser sind Empfänger aufgefordert, zunächst eine frei erfundene Sendungsnummer einzugeben, die auch in der Kurznachricht stand. Zudem sollen sie ein Online-Formular mit persönlichen Daten befüllen – der eigentliche Phishing-Angriff.
Generell sollten Nutzer daher nie auf Links in E-Mails oder SMS klicken, deren Absender sie nicht genau kennen. Zum einen, weil man so den Download von Schadsoftware auslösen kann. Zum anderen, weil die Links sonst zu Seiten führen, auf denen Betrüger persönliche Daten sowie Zahlungsdaten abfischen, oder die massiv mit Werbung überzogen sind.
Die Polizei warnt auch davor, „Unsubscribe“- Links in solchen gefälschten Paketankündigungen anzuklicken. Damit bestätigt man quasi bloß den Erhalt der Nachricht – und kann in Zukunft mit noch mehr Phishing-Spam rechnen.
Opfer von falschen Paket-SMS sollten hohe Rechnungen nicht zahlen
In manchen Fällen kommt die Warnung, nicht auf die Links in den Paket-SMS zu klicken, vielleicht schon zu spät. Im schlimmsten Fall hat man sich somit bereits schädliche Software auf dem Smartphone eingefangen. Mit ihr können die Betrüger wiederum Daten ausspähen oder massenhaft SMS verschicken. Ohne SMS-Flatrate kann das schnell ein teurer Spaß werden. Im Streitfall mit dem eigenen Telefonanbieter rät die Verbraucherzentrale Nordrhein-Westfalen (vznrw) zur Ruhe – und zur Gegenwehr.
Sofern nicht schon geschehen, sollten Betroffene, die auf die Paket-SMS hereingefallen sind, Strafanzeige bei der Polizei melden. Das ist später wichtig, um ein eigenes Verschulden auszuschließen. Zudem gilt: Bezahlen Sie keinesfalls sofort die geforderte Rechnung des Mobilfunkanbieters. Besteht der Anbieter auf Zahlung der unbemerkt versandten SMS, fragen Sie gezielt nach, welche Schutzmechanismen eingesetzt werden, um solch untypisches Verhalten eines einzelnen Telefonanschlusses zu unterbinden. Die Verbraucherschützer raten außerdem, eine Kopie der Strafanzeige mitzuschicken und darzulegen, dass ein Schadprogramm verantwortlich war.
Opfer der Paket-SMS-Masche können auch prüfen, ob nicht eventuell ihre Hausratsversicherung solche Fälle abdeckt. Die Verbraucherschützer weisen darauf hin, dass manche Verträge solche und andere Fälle missbräuchlicher Onlineaktivitäten abdecken.
Zu guter Letzt sollten Sie so etwas wie Vergleiche vermeiden. Denn manch ein Unternehmen bietet nämlich einen Kostendeckel an. Soll heißen: Betroffene zahlen 100 Euro und der Fall ist erledigt. Hiervor warnt die vznrw allerdings. Aus ihrer Sicht wird Mobilfunkkunden hier im Gegenzug per Verpflichtungserklärung sämtliche Verantwortung für künftige Fälle aufgedrückt. Die Juristen der vznrw raten daher zum Streichen solcher Klauseln. Im Zweifelsfall lohnt eine Rechtsberatung.
FluBot-Trojaner „Jemand hat Ihre Fotos hochgeladen“ – Vorsicht vor neuer SMS-Betrugsmasche
Achtung Gemeiner DHL-Betrug zur Weihnachtszeit! Darauf sollten Sie jetzt achten
Betrug im Namen von DHL, Netflix und Co. Wie man Betrugs-SMS erkennen kann
Quelle
Mit Material von dpa