Polizei warnt vor SMS zur Paketverfolgung

22.05.2021

Die SMS stammen angeblich von DHL und sollen über ein ankommendes Paket informieren.

Dieser Artikel ist älter als ein Jahr!

Aktuell gibt es wieder eine Welle mit betrügerischen SMS in Österreich. Auch die Polizei Wien warnt davor.

Details enthält die Warnung allerdings nicht und auch der zitierte Text mit „Ihr Paket kommt bald, hier klicken“ steht nicht in jeder betrügerischen SMS der aktuellen Welle.

Das steckt hinter den SMS

Die Betrugsmasche läuft schon seit 15. März 2021 in Deutschland (die futurezone berichtete). Die SMS geben vor von Paketdienstleistern zu sein. In Deutschland waren das hauptsächlich DHL und FedEx. Wie Mimikama berichtet, wird bei der aktuellen Welle in Österreich derzeit nur DHL als vermeintlicher Absender angegeben. Es ist davon auszugehen, dass auch hierzulande bald Nachrichten verschickt werden, die vorgeben, von FedEx oder anderen Paketdiensten zu sein.

Die gefälschten SMS haben unterschiedliche Rufnummern als Absender. Screenshots im Netz zeigen sie etwa mit der Vorwahl von Magenta +43676, futurezone-Leser berichten aber auch von entsprechenden Nachrichten mit der Vorwahl von A1 +43664 und Drei +43660. Die SMS enthalten verschiedene Texte. Ein paar sind Variationen von „Ihr Paket kommt an, verfolgen Sie es hier“. Dann gibt es noch Versionen mit vielen Rechtschreibfehlern, wie: „Ihr Paket wurde verschict. Bitte uberprufen und akleptieren Sie es.“ und „Ihr HOHL-Auftrag wird morgen vrs. 13:00-15:00 Uhr ausgenuhrt. Sendung live verfolgek auf…“

Die offensichtlichen Fehler wurden vermutlich eingebaut, um die Spam- und Scam-Filter zu überlisten. Anscheinend funktioniert es, da eben viele Österreicher*innen derzeit solche SMS enthalten.

Die SMS fordern auf, eine Website zu besuchen, um das Paket zu verfolgen oder die „Zustellung zu akzeptieren“. Die Website ist im Stil von DHL gehalten und fordert auf, eine Tracking-App zu installieren. Das sollte man keinesfalls machen. Die angebliche Tracking-App ist ein Banking-Trojaner.

Trojaner greift Passwörter ab

Bei dem Trojaner handelt es sich oft um FluBot oder eine Variante davon. Dieser ist darauf spezialisiert, auf Android-Smartphones die 2-Faktor-Authentifizierung auszuhebeln. Dazu liest er aus SMS und Benachrichtigungen Einmal-Passwörter aus, wie sie etwa beim Einloggen ins Internet-Banking und zur Bestätigung von Überweisungen verwendet werden.

Der Trojaner kann außerdem Bildschirminhalte abgreifen und die Benutzeroberflächen von verbreiteten Banking- und Krypto-Börsen-Apps imitieren. Öffnet man diese echten Apps und gibt das Passwort ein, gibt man es in Wirklichkeit in eine Eingabemaske des Trojaners ein. Der übermittelt dann die Zugangsdaten an die Cyberkriminellen, die damit das Konto leeren.

Außerdem liest er die Kontaktliste des Smartphones aus. So erhalten die Cyberkriminellen neue Telefonnummern, an die sie die betrügerischen SMS schicken können.