Smishing: Warnung vor Abzock-Welle mit Paket-SMS

Seit Anfang des Monats laufen wohl wieder Phishing- und Betrugs-Kampagnen, die über fingierte SMS-Benachrichtigungen von angeblichen Paketdiensten Nutzer in Abofallen locken oder mit Malware infizieren wollen. Nach CERT-Bund und Polizei warnen auch die Verbraucherzentralen vor dieser Welle. Da das Thema von verschiedenen Blog-Lesern und -Leserinnen an mich herangetragen wurde (danke für die Hinweise), greife ich es nochmals auf. Ergänzung: Gerade noch brandfrisch was rein bekommen – „Sparkassen-SMS“ zum Ablauf einer pushTAN mit Trojaner.


Anzeige

CERT-Bund-Warnung

So ganz neu ist es nicht, denn einen Ansatz hatte ich bereits Anfang April 2021 im Blog-Beitrag CERT-Bund-Warnung vor der FluBot Malware Android App (April 2021) aufgegriffen. Dort ging es konkret um SMS-Nachrichten, angeblich von FedEx, die den FluBot-Trojaner über einen mitgeschickten Link verteilten.

FluBot Malware Android App

BSI warnt vor Smishing

Dann gab es zum 9. April 2021 die Warnung des BSI vor einer sogenannten Smishing-Welle. Smishing ist eine Wortschöpfung aus den Begriffen SMS (Kurznachrichten) und Phishing (Diebstahl von Zugangsdaten über gefälschte Nachrichten oder E-Mails). Seit Ostern treffen auf Smartphones und Handys massenhaft SMS-Nachrichten ein, die zum Klicken eines Links auffordern.

Smishing: Betrugs-SMS mit Link(Quelle: BSI)

Die Absender der Kurznachrichten geben etwa vor, dass die Empfänger/innen der SMS bald ein Paket erhalten oder eine Sendung zurück an die Absenderin beziehungsweise den Absender gehen soll (siehe oben). Neu ist, dass seit den Ostertagen in manchen Fällen sogar eine persönliche Anrede zu beobachten ist. Die zahlreichen Datenlecks der vergangenen Monate, bei denen Profildaten von Online-Konten oder von Sozial Media-Plattformen wie Facebook, LinkedIn etc. mit Namen und Telefonnummern erbeutet wurden, geben den Cyber-Kriminellen genügend Datenfutter an die Hand, um personalisierte Smishing-Angriffe zu fahren.

Auch bei der BSI-Warnung wird die Verbreitung des Android Schadprogramms MoqHao über solche SMS mit einem zusätzlichen ein Link angesprochen. Hinter dem Link verbirgt sich in den meisten aktuell beobachteten SMS-Nachrichten das Android-Schadprogramm FluBot. Dieses ist ein Banking-Trojaner, der seit etwa November 2020 im Umlauf ist.

Warnung der Verbraucherzentrale NRW

Die Verbraucherzentrale Nordrhein-Westfalen hat die aktuelle Welle von gefälschten Paketdienst-SMS-Benachrichtigungen ebenfalls zum Anlass für eine breite Warnung genommen. Die Verbraucherschützer warnen vor SMS von angeblichen Paketdiensten, in denen Empfänger auf einen Link tippen sollen. Beispiele solcher Nachrichten (inkl. Schreibfehlern) sind:

  • Ihr paket wird heute zum Absender zuruckgesendet. Letzte Moglichkeit es abzuholen *Link*
  • Paket [009232513] wurde im Verteilerzentrum angehalten. Verfolgen Sie Ihre Sendung hier: *Link*
  • Hallo , Ihr Paket steht noch aus. Bestatigen Sie Ihre Angaben hier: *Link* Deutsche Post
  • Hallo , Der Kurier nahm das Paket ab. Track: *Link*
  • Liebe/r , Ihre Bestellung ist verschickt! Lieferung nachverfolgen: *Link*
  • Vielen Dank! Ihr Termin ist bestaetigt. Aktueller Status der Sendung: *Link*
  • Die von Ihnen gekaufte Ware wurde versendet. Bitte uberprufen Sie die Details. *Link*
  • Ihre Sendung geht soeben in Zustellung, verfolgen Sie Ihre Sendung unter *Link*

Auch hier wird wieder die persönliche Anrede wie „Hallo Stefan D2“ oder „Hallo Paulas Mutter“ hervorgehoben, was darauf hindeutet, dass die Hintermänner über Datenlecks an Telefonnummern und Namen herangekommen sind. Es besteht auch der Verdacht, dass Schadsoftware auf befallenden Geräten die Telefonbucheinträge nach Kontaktdaten durchforstet und diese Daten übermittelt hat. So kommen auch Mobilfunknutzer in den Fokus, die keine Online-Konten besaßen und deren Geräte nicht infiziert wurden. Der von mir hier im Blog thematisierte Fall der infizierten Gigaset-Smartphones mit missbrauchtem WhatsApp-Konto ist ein solches Beispiel (siehe z.B. Gigaset-Malwarebefall und das WhatsApp/SIM-Problem).


Anzeige

Wer auf so etwas hereinfällt und einen Link antippt, kann in Folge schädliche Apps installieren, oder den Versand von Massen-SMS anstoßen, wie das LKA Niedersachsen hier dokumentiert. Manche Nutzer rauschen auch in Abofallen. Zur Abofalle hatte ich vor längerer Zeit was im Beitrag Verbraucherschutz warnt vor Abofalle per Fake-DHL-Info geschrieben. Die Methode ist immer gleich und funktioniert über Jahre. Eine andere Abofalle für ahnungslose Nutzer erklärt checked4you, das Online-Jugendmagazin der Verbraucherzentrale NRW. Die Ratschläge der Verbraucherschützer:

  • Seien Sie vorsichtig, wenn Sie aktuell eine SMS von einem angeblichen Paketdienst erhalten.
  • Haben Sie den Link in der Nachricht angetippt, erlauben Sie keine Installation einer neuen App!

Im Artikel hier finden sich noch folgende Empfehlungen:

  • Sie können in den Einstellungen vieler Nachrichten-Apps festlegen, dass nur SMS von solchen Nummern empfangen werden, die Sie in den Kontakten gespeichert haben. Dadurch müssen Sie aber Rufnummern für Service-Angebote wie Terminerinnerungen oder Banking-Infos in Ihrem Handy speichern, um solche Nachrichten weiterhin zu gekommen.
  • Manche Smartphones oder Sicherheits-Apps bieten Spam-Filter. Sie können helfen, die Zahl solcher SMS zu verringern.
  • Datensparsamkeit: Geben Sie Ihre Handynummer nur an, wenn es zwingend nötig ist.
  • Wenn nichts mehr hilft, sollten Sie über den Wechsel Ihrer Rufnummer nachdenken.

Gerade der letzte Punkt war von mir z.B. im Artikel Gigaset-Malwarebefall und das WhatsApp/SIM-Problem angedacht worden. Oder mit anderen Worten: Auch das Thema SMS ist diesbezüglich ziemlich verbrannt, oder wie seht ihr das so?

PushTAN-Ablaufs-SMS der Bank

Ergänzung: Gerade noch brandfrisch über Facebook von Tobi T. was rein bekommen (danke dafür). Es werden SMS, angeblich von der Sparkasse (oder einer anderen Bank) verteilt, in der der Ablauf einer pushTAN vorgegaukelt wird:

Sparkassen Phishing-SMS

Der „Erneuerungslink“ führt dann zu einem Download einer App, die einen Trojaner enthält. Hier die Ergebnisse einer Prüfung auf VirusTotal.

VirusTotal-Auswertung

Da steht mittlerweise die Büchse der Pandora offen, denn die Banken bieten immer noch das unsichere mTAN an und die Nutzerschaft greift nicht nur zu. Ohne einem Individuum nahe treten zu wollen, nicht alle Nutzer sind in der Lage, diesen Angriff zu erkennen. Ein Teufelskreis.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

20 Antworten zu Smishing: Warnung vor Abzock-Welle mit Paket-SMS

  1. Horst Agatha sagt:

    Habe auch in den letzten 14 Tage zwei mal so eine SMS auf dem Smartphone gehabt und natürlich gleich gelöscht wie ich auch sämtliche Mails lösche die in die Richtung gehen.
    Heute morgen auch wieder eine Mail von der „Sparkasse“ wo auf ein neues System umgestellt werden soll und man sich dort „Registrieren“ soll. Immer alles gleich löschen
    dann kann auch nix passieren aber lästig ist das schon. Da mein Smartphone von der Firma für sämtliche App installationen gesperrt ist vom Administrator dürfte zwar nicht viel passieren aber probieren würde ich es trotzdem nicht:-) Gruß Horst

  2. Foegi sagt:

    Solche SMS sind diese Woche bei ein paar Bekannten von mir in Österreich angekommen, jeweils angeblich von DHL. Was die Empfänger gemeinsam haben, ihre Handy Nummer steht im Telefonbuch…

    • nook sagt:

      Plus:
      Online shopping: Sind Sie damit einverstanden dass wir Ihre Daten an den jeweiligen Versandienstleister zur Sendungsverfolgung weitergeben … Bingo.

      • Steter Tropfen sagt:

        Unlogisch. Die SMS kommt ja eben nicht von einem Versanddienstleister, sondern von einem Betrüger, der sich als solche ausgibt. Logo-Grafiken kopieren kann jeder.

  3. nook sagt:

    „Hallo Paulas Mutter“ , das sieht mir nach dem typischen privaten Eintrag in den Smartphone Kontakten aus. Und die werden ja freiwillig für social media apps geteilt.

    Die gehackten Datenbanken kommen dazu, wie oft soll ich dann meine Rufnummer ändern? Nach häufigen Wechseln steigt die Chance eine bereits verbrannte Nummer zu bekommen ;-)

    Trauma für mich nebenbei, als ich einen alten Bekannten traf. Boah, eyh, gib mal deine Rufnummer, OK.
    Bis: Wo wohnst du jetzt, Geburtstag hattest du doch am und dann noch der Schnappschuss für den Kontakt.
    Gib her, Rufnummer gelöscht, ich melde mich!

    Will gar nicht dran denken auf wieviel Phones und in welcher Form Daten die über die Tel.Nr. hinausgehen „ohne“ mein Wissen liegen und abgegriffen werden. Die eigene Vorsicht ist damit ausgehebelt!

    Spam Filter von Google in meinem Motorola. Teufel zu Belzebub ;-)

    Eine Zweitsim im alten unsmarten Handy auf Lautlos hilft für manche Gelegenheiten. z.B. die Netzclub sim kostet nach wie vor nichts.

    Wer der Meinung ist er müsse alles (banking, surfen, etc.) auf dem Smartphone unterwegs machen, mit dem hab ich kein Mitleid. Immer drauf auf die Links, vielleicht hilft es wenn es mal ordentlich weh tut!

    • aoikitsune sagt:

      Das hat mit Smartphone nichts zu tun. Auf dem Computer reicht genauso ein Klick auf den falschen Link.

      Das Problem ist die Kompetenz und fehlende Sensibilisierung für Gefahren aus dem Netz. Keiner will sich vernünftig mit der Technik und den positiven und negativen Seiten daran auseinandersetzen. Natürlich muss man nicht gleich zum Crack mutieren, aber mehr Grundkenntnisse wäre echt wünschenswert.

      • Günter Born sagt:

        In meinem E-Mail-System funktionieren die Spam-Filter der Provider meist (manchmal gut, manchmal schlecht). Ich selbst bekomme fast nie SMS – aber ich werde das Gefühl nicht los, dass bei SMS- und Messenger-Apps da alles ungefiltert drauf gekippt wird – notfalls probieren Bots zufällig generierte Telefonnummern einfach durch.

        Aber vermutlich habe ich das Problem nur noch nicht richtig verstanden – und die Wissenden korrigieren mich – ernst gemeint.

        PS: Ich warte gerade auf die SMS für einen COVID-19-Impftermin – nicht auszudenken, wenn ich über den Link „bestätigen Sie den Termin“ in einer solchen Nachricht statt eines Spike-Proteins zum Bilden von Antikörpern ein Virus appliziert bekäme ;-). Ist ein Fall aus dem realen Leben – und ich weiß, dass man auf eine SMS-Benachrichtigung einer Impfbrücke nur mit JA antworten kann … zeigt aber die Abgründe auf. Da ist noch Luft nach oben, für jeglichen Missbrauch. Und ich warte auf das erste Leck, wo genau diese Telefonnummern für die Impfterminbenachrichtigung entwendet wurden – ist ja Ländersache, die Anbieter auszuwählen.

        • nook sagt:

          Die pure SMS agiert meiner Meinung nach nicht. Ist ja immer ein Link der vom user aktiviert wird, was Dir für den Impftermin natürlich nicht hilft. Mein Termin kam per Mail, pure text, noch nicht mal html. Und das in Bayern, Wunder!

          MMS könnte aber agieren. Ist automatischen Laden aktiv? Ich habe den kompletten MMS Kram deaktiviert, bevor jemand mal auf den Trichter kommt …

  4. Micha sagt:

    Habe seit dem 15.04.2021 mittlerweile auch 5 solcher SMS Nachrichten auf mein Nokia 6030 bekommen. Da ist eine alte T-Mobile D Karte drin. Ich melde die von zeit zu zeit auf der Seite der Bundesnetzagentur als unerwünschten SMS Spam. Da ich keine Messenger Dienste nutze muss die Telefonnummer Irgendwie anders leckgeschlagen sein.

    https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Faelle/SMSSpam/start.html

  5. Ralf S. sagt:

    Folgender Fall wurde mir gestern von einem Bekannten erzählt:
    Eine Bekannte von ihm verschickte angeblich eine Nachricht an einen anderen Bekannten (!) über WhatsApp und es kam postwendend eine Nachricht zurück, dass sie in einem Gewinnspiel 500 € gewonnen hätte… Diese Tatsache alleine ist ja schon sehr krude und irgendwie sollten doch da schon bei jedem die Alarmglocken anfangen zu läuten – vor allem, wenn man (so wie sie auch) an gar keinem Gewinnspiel teilgenommen hatte… In der Nachricht war ein Link in den Google Play-Store eingefügt, der einem dann zum Installieren einer App aufforderte. Spätestens ab da wird es dann doch wirklich brandgefährlich und jeder sollte wissen, was er ab jetzt tut! Die Bekannte hat wohl die App auch wirklich installiert und kurz darauf erschien einen Aufforderung, dass sie ihre Bankdaten eingegeben sollte, damit ihr „Gewinn“ schnellstmöglich überwiesen werden könne… Gut, zu ihrer Ehrenrettung muss man jetzt sagen, dass sie dann dies zumindest doch nicht mehr getan hat. Aber ganz ehrlich, auch IT-mäßig Unbedarfte, müssten doch bei solchen, wirklich von Anfang an fast unglaublichen Vorgängen, wesentlich schneller stutzig werden!!?? Aber das passt irgendwie auch wieder zu der Meldung von gestern, dass immer mehr mitteilungsfreudige soziale Medien-User „voller Freude“ nach erfolgreicher Corona-Impfung ihren Impfpass mit den Impfdaten abfotografieren und ihn z. B. über Facebook mit der Welt teilen… Und sich dann wundern, wenn ihre Impfdaten für diverse Fälschungen und sonstigem Schwindel missbraucht werden. Bei solchen Meldungen werde ich immer wieder an Einsteins Zitat mit dem „grenzenlosem Universum und der grenzenlosen Dummheit der Menschen“ erinnert… Er hatte wohl wirklich absolut Recht damit! Nur für die, die dieses Zitat nicht kennen sollten: https://gutezitate.com/zitat/110632

  6. Sam sagt:

    Weitere Beispiele für Texte in solchen SMS-Nachrichten, die ich kürzlich selbst erhalten habe:

    1.) Wir haben eine Sendung für Sie..

    2.) Gute Nachrichten von musterhaus.net! Ihre Anfrage wurde versandt und an unsere Baupartner übermittelt. Beste Grüße, P. Moretto – Geschäftsführer

    Da meine Telefon-SIM noch in einem alten Nokia-Handy steckt, stellten diese für mich keine Gefahr da. Ich habe beide Absender trotzdem der Bundesnetzagentur gemeldet. Das geht hier…

    https://www.bundesnetzagentur.de/_tools/RumitelStart/Form02SMS/node.html;jsessionid=0E8CBD59BE24E5EC21BEA24889456D2A

  7. JG sagt:

    Bei mir finde ich es seltsam. Ich habe auf meinem Handy und auf meinem Umts-Stick auch solche SMS bekommen. Ich bin aber nicht bei Facebook, Linkedin & Co. Die Nummer von der Sim-Karte aus dem Umts-Stick habe ich sogar niemanden gegeben. Noch nie einmal damit Telefoniert. Die Sim-Karte aus dem Handy habe ich seit Ende der 90ern.

    SMS kosten doch Geld oder gibt es wieder so einen Dienst der Massenhaft SMS versendet und kostenlos ist?

    UMTS-Stick SMS
    Name:
    Nummer: +4915201 GELÖSCHT
    Inhalt:
    Hallo ,
    Ihr Paket steht noch aus. Bestatigen Sie Ihre Angaben hier:
    https://www.jacksonvilletaxaccountants.com/track/GELÖSCHT

    SMS (Handy)
    https://www.bilder-upload.eu/bild-f2b354-1619206816.jpg.htmlSmishing-Nachricht

    • Micha sagt:

      Bei meinem O2 Free 15 Vertrag ist eine SMS Flat inklusive. SMS versenden kostet somit nichts.

      • JG sagt:

        @Micha
        Das wusste ich nicht. Mit Software von meinem UMTS Stick „Mobile Partner“ kann ich eine SMS gleich an das ganze Telefonbuch verschicken. Nur Schwer vorstellbar das der Versand von tausenden SMS schnell geht.

        • Micha sagt:

          Eine SMS an mehrere Leute senden geht auch schon mit meinem alten Nokia 6030 ohne Probleme.

          Mitteil. verfassen —> Kurzmitteilung —> Optionen —> Sendeoptionen —> Mehrere Empfäng.

          Anschließend öffnet sich das Adressbuch „Namen“
          Da dann entsprechende „Einträge“ anwählen und Senden Taste drücken.

  8. User007 sagt:

    Hi…

    Die erste ominöse Paket-SMS erreichte mich bereits am 17. März (und wurde gleich von meiner Filter-App Calls Blacklist eingesammelt!). Müßte so im Zeitrahmen mit den geleakten fb-Nutzerkontakten/-telefonnummern liegen.
    Geht so bis heute mit Unterbrechungen regelmäßig mit veränderten Meldungen weiter – übrigens auch im Anredetext mit meinem korrekten Vor- und Nachnamen(!!!).
    Im Grunde ist die Nummer wohl „verbrannt“. Da es allerdings schon eine mit recht einzigartigem Charakter ist und ich sie schon knapp 25 Jahre habe, werde ich das wohl ertragen.
    Das hat man davon, dass (heutzutage sogar in noch ausgeweiteterem Maße) alles Mögliche an Datenangaben allein in Registrierungprozessen abgefordert wird – und da kann man ja auch noch so bewußt und vorsichtig mit seinen Daten umgehen, wie man will…

    Dafür hab‘ ich solcherlei noch nie per E-Mail bekommen…komisch… 🤔

    • Zocker sagt:

      „Im Grunde ist die Nummer wohl „verbrannt“. Da es allerdings schon eine mit recht einzigartigem Charakter ist und ich sie schon knapp 25 Jahre habe, werde ich das wohl ertragen.“

      Ich würde sie definitiv auch erst einmal behalten, ggf. gibt sich das nach einer gewissen Zeit wieder. Ein Rufnummernwechsel ist schließlich auch mit entsprechend Arbeit verbunden.
      Für gewisse Dinge würde ich eine Zweitnummer empfehlen und dazu ein altes Zweittelefon nehmen, das die meiste Zeit ausgeschaltet ist. Dann läuft so etwas ins Leere.

Schreibe einen Kommentar zu JG Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.