Direkt zum Inhalt wechseln
logo Mobiler Lifestyle, Streaming und Smart Finance
Achtung, Betrug!

Bekommen Sie auch diese seltsamen Paketbenachrichtigungen per SMS?

Frau schaut unglücklich aufs Smartphone
Betrüger versuchen derzeit vermehr, an persönliche Nutzerdaten zu kommen Foto: Getty Images
TECHBOOK Logo
TECHBOOK Redaktion

06.12.2021, 11:40 Uhr | Lesezeit: 5 Minuten

Paketankündigungen sind hilfreich und verbreiten in der Regel Freude. Doch aktuell sollten Sie besonders vorsichtig sein. Betrüger verschicken nämlich gefälschte SMS mit Schadsoftware! Sogar das LKA warnt.

Artikel teilen

Betrüger versuchen immer wieder mit perfiden Tricks an sensible Daten zu kommen. Eine von ihnen nervt bereits seit Monaten – die vermeintliche Ankündigung eines Paketes, über die Nutzer per SMS informiert werden. Bereits im Februar 2021 hat das Landeskriminalamt (LKA) in Mainz vor diesen SMS gewarnt. Doch noch immer sind die Benachrichtigungen im Umlauf und nehmen kurz vor Weihnachten sogar noch an Häufigkeit zu. Mit den Paketbenachrichtigungen per SMS versuchen Kriminelle, Schadsoftware auf die Smartphones ihrer Opfer zu installieren.

Klicken die Empfänger der SMS einen vermeintlichen Bestätigungslink mit der Endung „duckdns.org“ an, wird im Hintergrund eine Schadsoftware heruntergeladen und auf dem Handy installiert. „Diese Schadsoftware leitet unbemerkt sensible Daten weiter, spioniert die Kontaktliste der Geschädigten aus und versendet anschließend eigenständig SMS mit der Schadsoftware an verschiedene Rufnummern, die zusätzliche Kosten verursachen können“, heißt es vom LKA. In einem Fall sei einer Frau aus Mainz durch die gefälschte SMS-Paketankündigung ein Schaden in dreistelliger Höhe entstanden, so die Beamten.

Foto: TECHBOOK

Nicht nur die Polizei warnt

Auch das neuseeländische Computer-Notfallteam CERT NZ hat im Oktober eine neue Masche aufgedeckt, mit der Hacker sogenannte Spyware auf Smartphones installieren wollen. Die Ausspäh-Malware versteckt sich wieder in Paket-SMS. Folgen Empfänger dem Link in der SMS, kommt eine Aufforderung eine App zur Paketverfolgung herunterzuladen. In einigen Fällen erscheint beim Öffnen des Links auch eine Warnung, dass das Smartphone mit „FluBot“-Malware infiziert sei – und eine Aufforderung, ein Sicherheitsupdate dagegen zu installieren. In der Warnung ist auch ein Anleitung enthalten, die Installation aus unbekannten Quellen in den Einstellungen zu gestattet, um das Sicherheitsupdate aufzuspielen. Das sollten Nutzer jedoch auf keinen Fall tun, da sie genau damit die Spyware auf ihrem Gerät installieren.

FluBot ist Spyware, die für Android-Smartphones spezialisiert ist. Die Schadsoftware kann Login-Daten und Passwörter etwa aus Banking-Apps stehlen. Die Spyware nutzt dafür eine Android-Funktion namens „Screen Overlay“, die es App erlaubt, ein eigenes Fenster über einer anderen App zu öffnen. FluBot kann so ein echt wirkendes Abbild einer tatsächlichen Banking-App erzeugen und damit die Nutzer täuschen, ihre Daten einzugeben. FluBot wird jedoch erst gefährlich, wenn man tatsächlich etwas installiert oder Zugriffsberechtigungen erteilt hat. iPhone-Nutzer sind zudem nicht von der Spyware betroffen, da iOS nicht die Installation von Apps aus unbekannten Quellen erlaubt.

Maschen dieser Art sind nicht neu. Immer wieder werden Fälle bekannt, bei denen Kriminelle die vermeintliche Paketankündigung per SMS und Mail dazu nutzen, um an sensible Daten zu kommen. Oft heißt es in den Nachrichten, dass angeblich ein Paket unterwegs zum Empfänger sei oder von diesem noch nicht abgeholt wurde. Derartige Nachrichten verwenden dabei missbräuchlich die Namen von Paketdienstleistern wie DHL, UPS und anderen. Teils handelt es sich auch um Dienstleister aus anderen Ländern oder frei erfundene Firmen.

Auch interessant: Das sind die fiesen Tricks der Phishing-Betrüger

Gefälschte Paket-SMS und -Mail erkennen

Die gefälschten Paketankündigungen kommen per SMS und per E-Mail. Erkennen lassen sie sich etwa an Betreffzeilen wie „Ihr Paket wurde nicht korrekt zugestellt“. Oder es handelt sich einfach nur um fiktive Versandbestätigungen. Der Polizei sind zudem Varianten bekannt, in denen Empfänger von Sendungen angeblich Porto nachzahlen müssen, damit das Paket zugestellt wird. Wer dann neugierig auf den Link in der SMS tippt, kommt auf eine gefälschte Paket-Tracking-Seite. Auf dieser sind Empfänger aufgefordert, zunächst eine frei erfundene Sendungsnummer einzugeben, die auch in der Kurznachricht stand. Zudem sollen sie ein Online-Formular mit persönlichen Daten befüllen – der eigentliche Phishing-Angriff.

Generell sollten Nutzer daher nie auf Links in E-Mails oder SMS klicken, deren Absender sie nicht genau kennen. Zum einen, weil man so den Download von Schadsoftware auslösen kann. Zum anderen, weil die Links sonst zu Seiten führen, auf denen Betrüger persönliche Daten sowie Zahlungsdaten abfischen, oder die massiv mit Werbung überzogen sind.

Die Polizei warnt auch davor, „Unsubscribe“- Links in solchen gefälschten Paketankündigungen anzuklicken. Damit bestätigt man quasi bloß den Erhalt der Nachricht – und kann in Zukunft mit noch mehr Phishing-Spam rechnen.

Opfer von falschen Paket-SMS sollten hohe Rechnungen nicht zahlen

In manchen Fällen kommt die Warnung, nicht auf die Links in den Paket-SMS zu klicken, vielleicht schon zu spät. Im schlimmsten Fall hat man sich somit bereits schädliche Software auf dem Smartphone eingefangen. Mit ihr können die Betrüger wiederum Daten ausspähen oder massenhaft SMS verschicken. Ohne SMS-Flatrate kann das schnell ein teurer Spaß werden. Im Streitfall mit dem eigenen Telefonanbieter rät die Verbraucherzentrale Nordrhein-Westfalen (vznrw) zur Ruhe – und zur Gegenwehr.

Sofern nicht schon geschehen, sollten Betroffene, die auf die Paket-SMS hereingefallen sind, Strafanzeige bei der Polizei melden. Das ist später wichtig, um ein eigenes Verschulden auszuschließen. Zudem gilt: Bezahlen Sie keinesfalls sofort die geforderte Rechnung des Mobilfunkanbieters. Besteht der Anbieter auf Zahlung der unbemerkt versandten SMS, fragen Sie gezielt nach, welche Schutzmechanismen eingesetzt werden, um solch untypisches Verhalten eines einzelnen Telefonanschlusses zu unterbinden. Die Verbraucherschützer raten außerdem, eine Kopie der Strafanzeige mitzuschicken und darzulegen, dass ein Schadprogramm verantwortlich war.

Opfer der Paket-SMS-Masche können auch prüfen, ob nicht eventuell ihre Hausratsversicherung solche Fälle abdeckt. Die Verbraucherschützer weisen darauf hin, dass manche Verträge solche und andere Fälle missbräuchlicher Onlineaktivitäten abdecken.

Zu guter Letzt sollten Sie so etwas wie Vergleiche vermeiden. Denn manch ein Unternehmen bietet nämlich einen Kostendeckel an. Soll heißen: Betroffene zahlen 100 Euro und der Fall ist erledigt. Hiervor warnt die vznrw allerdings. Aus ihrer Sicht wird Mobilfunkkunden hier im Gegenzug per Verpflichtungserklärung sämtliche Verantwortung für künftige Fälle aufgedrückt. Die Juristen der vznrw raten daher zum Streichen solcher Klauseln. Im Zweifelsfall lohnt eine Rechtsberatung.

Mehr zum Thema

Quelle

Mit Material von dpa

Themen: Betrug
Deine Datensicherheit bei der Nutzung der Teilen-Funktion
Um diesen Artikel oder andere Inhalte über Soziale-Netzwerke zu teilen, brauchen wir deine Zustimmung für
Sie haben erfolgreich Ihre Einwilligung in die Nutzung dieser Webseite mit Tracking und Cookies widerrufen. Sie können sich jetzt erneut zwischen dem Pur-Abo und der Nutzung mit personalisierter Werbung, Cookies und Tracking entscheiden.