t-online - Nachrichten für Deutschland
t-online - Nachrichten für Deutschland
Such IconE-Mail IconMenü Icon



HomeDigitalSicherheit

Bis zu 700 Euro Schaden: So teuer können die falschen Paket-SMS werden


Bis zu 700 Euro Schaden
So teuer können die falschen Paket-SMS werden

Eine gefährliche Phishing-Welle wogt noch immer durch Deutschland. Dabei kommen die mit einem Link versehenen Lockbotschaften aber nicht per Mail, sondern per SMS. Wie Betroffene damit umgehen sollten.

Aktualisiert am 30.11.2021|Lesedauer: 5 Min.
Von dpa, t-online, str, jnm
News folgen

"Ihr Paket wurde verschickt. Bitte überprüfen und akzeptieren Sie es." Diese leicht holprige, mit einem Link versehene SMS kursiert schon seit Januar dieses Jahres und verbreitet mitunter eine gefährliche Android-Schadsoftware namens FluBot. Verschiedene Polizeibehörden der Bundesländer warnen schon seit Monaten eindringlich vor den Spam-Nachrichten. Im Frühjahr hatte sich auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) eingeschaltet – und sprach von SMS-Phishing, oder kurz "Smishing". Betroffen seien insbesondere Android-Nutzer.

Falsche Paket-SMS im Namen der Deutschen Post: Wer aktuell solche oder ähnliche SMS bekommt, löscht sie besser sofort und klickt keinesfalls auf Links.Vergrößern des Bildes
Falsche Paket-SMS im Namen der Deutschen Post: Wer aktuell solche oder ähnliche SMS bekommt, löscht sie besser sofort und klickt keinesfalls auf Links. (Quelle: Till Simon Nagel/dpa-tmn)

Mittlerweile existieren von der SMS etliche Varianten, wie zum Beispiel "Das Geschenk, das Sie gekauft haben, wurde per Express verschickt bitte überprüfen Sie http://....duckdns.org" oder "Ihr Paket wurde geliefert. Bitte Überprüfen und rechtzeitig akzeptieren. http://....duckdns.org. Statt dem duckdns.org-Link wird in manchen Varianten auch ein Link der Anbieter "shortrl.at" oder "tinyurl.com" genutzt.

Woher haben die Täter die Telefonnummern?

"Neben Fake-Nachrichten von Fedex erhalten Anwender nun auch ähnliche Benachrichtigungen u.a. von DHL und anderen Dienstleistern" warnte der Experte für Android-Malware Lukas Stefanko von der IT-Sicherheitsfirma Eset schon im Frühsommer.

Die Masche ist vermutlich auch deshalb so erfolgreich, weil der Onlinehandel in der Corona-Krise boomt und viele Nutzer tatsächlich eine Lieferung erwarten. Gerade jetzt, mitten im Weihnachtsgeschäft, nimmt die Gefahr noch einmal zu.

Möglich wird das alles auch durch das Datenleck bei Facebook, durch das Millionen Handynummern erneut in Umlauf gebracht wurden. Auch die Betrüger hinter der aktuellen Spam-Welle könnten sich hier bedient haben. "Der Einsatz solcher gestohlener Datensätze ist nicht unüblich und beschleunigt die Verbreitung der Schad-App enorm", bestätigt Stefanko. Dieser Artikel erklärt, wie Sie herausfinden können, ob Sie ebenfalls betroffen sind.

Ist der Empfang der SMS gefährlich?

Nein. Wer die Phishing-Nachricht erhalten und ignoriert hat, muss sich keine Sorgen machen, dass sich die Schadsoftware bereits auf dem Handy eingenistet hat.

Der Trojaner wird nicht unmittelbar installiert, sobald man auf den Link klickt. Stattdessen landen Nutzer zunächst auf einer Phishing-Seite, wo sie den Download selbst anstoßen müssen. Die Schadsoftware ist zum Beispiel als Paket-App getarnt.

In einem Twitter-Video zeigt Stefanko, dass die vollständige Installation der Schadsoftware mehrere Schritte umfasst. Nutzer müssen der App einige Zugriffsberechtigungen erteilen und dazu ihre Smartphone-Einstellungen anpassen.

Empfohlener externer Inhalt
X
X

Wir benötigen Ihre Einwilligung, um den von unserer Redaktion eingebundenen X-Inhalt anzuzeigen. Sie können diesen (und damit auch alle weiteren X-Inhalte auf t-online.de) mit einem Klick anzeigen lassen und auch wieder deaktivieren.

Auf iPhones funktioniert der Download nicht – das Betriebssystem iOS verhindert die Installation von Apps aus fremden Quellen. Es besteht jedoch die Gefahr, dass auch iPhone-Nutzer über die falschen Paket-SMS auf dubiose Webseiten gelockt werden, wo sie ihre Zugangsdaten verraten oder in Abo-Fallen tappen können. Wer so eine Kurznachricht bekommt, löscht sie also am besten oder ignoriert sie.

Welchen Schaden verursacht der Trojaner?

Der Android-Trojaner ist laut dem BSI seit etwa November 2020 im Umlauf und hat es insbesondere auf Daten abgesehen, die bei Banking- oder Trading-Apps eingegeben werden. Außerdem will die Schadsoftware Kontaktdaten aus dem Adressbuch abgreifen, um weitere SMS zu verschicken.

Das führt dazu, dass sich die Paket-SMS mit dem gefährlichen Link wie in einem Schneeballsystem verbreitet. Dieser SMS-Versand kann extrem teuer werden: Die Verbraucherzentrale Hamburg berichtete Mitte November, dass einige Verbraucher so Rechnungsbeträge über bis zu 700 Euro erhalten hätten.

In Spanien soll es bereits Festnahmen im Zusammenhang mit der Spam-Kampagne gegeben haben. Die Gefahr ist dadurch jedoch längst noch nicht gebannt, glaubt Stefanko: "FluBot scheint in Untergrundforen als Malware-as-Service angeboten zu werden", sagt der Malware-Experte. "Die Täter scheinen die Infrastruktur des Banking-Trojaners lediglich gemietet zu haben."

Was tun, wenn man die Fake-App installiert hat?

Android-Nutzer, die schon eine SMS erhalten und auf den Link geklickt haben, sollten hellhörig werden. Besonders wenn sie massenhaft versendete SMS in ihrem Nachrichtenverlauf oder – verbunden mit hohen aufgelaufenen Kosten – auf ihrer Mobilfunkrechnung entdecken.

Denn dann ist die Wahrscheinlichkeit groß, dass man mit Tippen auf den SMS-Link die Installation eines Trojaners ausgelöst hat, der nun munter teure SMS verschickt – etwa an Sonder- und Premiumnummern oder in außereuropäische Länder.

Nun ist Handeln angesagt: Betroffene schalten ihr Smartphone am besten sofort in den Flugmodus, informieren ihren Mobilfunkprovider und lassen diesen eine sogenannte Drittanbietersperre einrichten. Das rät das Landeskriminalamt (LKA) Niedersachsen.

Falls noch nicht feststeht, ob Kosten entstanden sind, gilt es, das als nächstes zu prüfen. Ist etwa im Online-Kundenbereich keine Übersicht über den laufenden Monat oder über die vergangenen Monate möglich, kann man beim Provider einen Kostennachweis anfragen.

Anzeige erstatten und Beweise sichern

Als nächstes rät das LKA, Anzeige bei der örtlichen Polizeidienststelle zu erstatten. Dazu nimmt man zum einen das Smartphone mit. Zum anderen aber auch Screenshots beziehungsweise Fotos vom Display und – falls vorhanden – Kostennachweise.

Erst danach sollte der Trojaner vom Gerät entfernt werden. Dazu startet man das Smartphone im abgesicherten Modus. Wie das funktioniert, unterscheidet sich von Gerät zu Gerät. Die richtige Tastenkombination findet sich meist auf der Support-Webseite des Herstellers.

Spurensuche im abgesicherten Modus

Im abgesicherten Modus sucht man jene Apps, die zuletzt und nicht bewusst selbst installiert wurden. Diese Apps entfernt man und startet das Smartphone neu. Im schlimmsten Fall hilft aber nur das Zurücksetzen in den Auslieferungszustand.

Bevor dies geschieht, nicht vergessen, die Daten auf dem Gerät in einem Onlinespeicher (Cloud) oder auf einer Speicherkarte zu sichern. Dann geht man in den Einstellungen zum Punkt "Zurücksetzen" und wählt dann den Punkt, der "Auslieferungszustand (Alle Daten löschen)" oder ähnlich heißt.

Achtung: Bumerangeffekt bedenken

Wer anschließend seine Daten wieder aus einer Cloud-Sicherung aufs Gerät aufspielen möchte, sollte unbedingt darauf achten, dass keine Apps darunter sind. Sonst habe man den Trojaner gleich wieder auf dem Smartphone, warnen die Experten. Fehlende Apps lädt man stattdessen einzeln über Googles Play Store herunter.

Loading...
Loading...

Um solchen Angriffen vorzubeugen, sollte man in den Einstellungen unter "Sicherheit/Installationen von unbekannten Quellen" alle Schiebeschalter deaktivieren. Android-Banner, die vor Apps aus unbekannten Quellen warnen, nimmt man besser ernst.

Und was ist mit der Rechnung?

Wichtig: Frühzeitig mit dem Provider Kontakt aufnehmen und bei der Polizei Beweissicherung und Anzeige erledigen. Dann müssen Verbraucherinnen und Verbraucher den Teil der Handyrechnung, den der Trojaner verursacht hat, nicht bezahlen. Davor schützt sie das Telekommunikationsgesetz (TKG).

Denn im TKG (Paragraf 45i Absatz 4) heißt es: "Soweit der Teilnehmer nachweist, dass ihm die Inanspruchnahme von Leistungen des Anbieters nicht zugerechnet werden kann, hat der Anbieter keinen Anspruch auf Entgelt gegen den Teilnehmer. Der Anspruch entfällt auch, soweit Tatsachen die Annahme rechtfertigen, dass Dritte durch unbefugte Veränderungen an öffentlichen Telekommunikationsnetzen das in Rechnung gestellte Verbindungsentgelt beeinflusst haben."

So schützen Sie sich vor Spam-SMS

Einige Smartphones verfügen bereits über einen eingebauten Spam-Filter für SMS. Nutzer können den Spamschutz in den Einstellungen der Nachrichten-App aktivieren oder deaktivieren. Auf iPhones gibt es auch die Möglichkeit, Nachrichten von unbekannten Nummer zu blockieren.

Verwendete Quellen
  • Eigene Recherche
  • Nachrichtenagentur dpa
  • Pressemitteilung des BSI: "Smishing" - Achtung vor SMS-Phishing

Quellen anzeigenSymbolbild nach unten

Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...

ShoppingAnzeigen

Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...



Telekom