Vorsicht vor neuer SMS-Falle: „Fehlende Hausnummer auf dem Paket“

Seit Kurzem bekommen User*innen in Österreich verdächtige SMS. Diese werden per SMS-Kurzcode verschickt. Anstatt einer Nummer, wird als Absender nur „Info“ angezeigt. Im Volltext lautet die Nachricht:

„Die Zustellung Ihres Pakets wurde aufgrund einer fehlenden Hausnummer auf dem Paket ausgesetzt. Bitte aktualisieren Sie:“ Danach steht ein Link, der mit dem URL-Shortener cutt.ly erstellt wurde.

Tückisch, aber mit verräterischen Details

Diese Nachricht ist tückisch. Grammatik und Rechtschreibung ist so weit korrekt, bis auf „Bitte aktualisieren Sie:“. Ein Unternehmen im deutschsprachigen Raum hätte wohl dazugeschrieben, was aktualisiert gehört.

Tücke Nummer 2 ist, dass sich User*innen mittlerweile an SMS-Kurzcodes gewöhnt haben. Diese werden meist von Unternehmen zu Informations- oder Marketingzwecken genutzt, um Kund*innen zu informieren. Auch Codes für 2-Faktor-Verifizierung werden so verschickt.

Einige Unternehmen sind relativ schlecht darin, den Absender gut zu wählen, weshalb „Info“ als Absender nicht unrealistisch ist. SMS-Kurzcodes zum Thema Roaming werden etwa vom Mobilfunker Magenta mit dem Absender „Welcome“ verschickt, anstatt „Magenta“. UPS und Arlo nutzen beide „InfoSMS“ als Absender.

Der Absender „Info“ lässt also offen, ob das vermeintliche Paket von Amazon, der Post, DHL, DPD oder einem anderen Zusteller sein könnte. Auch im Text wird kein konkreter Zusteller genannt. Das schafft 1) Neugier, was es denn nun für ein Paket ist und 2) Betroffenheit, weil die Chance relativ hoch ist, dass man auf irgendein Paket wartet.

➤ Mehr lesen: Wie Telefonbetrug in Österreich verhindert werden soll

URL-Shortener sind immer verdächtig

Wer ein bisschen überlegt, fällt aber nicht auf diesen Psychotrick herein. Eine SMS eines Zustellers würde zumindest im Text den Namen des Zustellers enthalten. Außerdem würde der Zusteller keinen URL-Shortener verwenden, es sei denn er hat einen eigenen URL-Shortener, wie etwa Amazon (amzn.to).

Hier dient der URL-Shortener also dazu, um den wahren Link zu verbergen. Im Falle der betrügerischen SMS, die der futurezone vorliegt, führt der Link zu post-atr.icu. Die URL wurde erst heute, am 6. Oktober 2023 registriert, bei einem Registrar aus Singapur. Die Phishing-Kampagne läuft also mit hoher Wahrscheinlichkeit hochautomatisiert ab. Für jede Welle wird durch einen Bot eine neue URL registriert. Das erschwert es Providern und Registraren die User*innen zu schützen, weil so vermutlich mehrere Dutzend URLs täglich blockiert werden müssen.

Die URL aus diesem Beispiel ist zusätzlich gesichert. Wird sie in Containern oder VPNs aufgerufen, leitet sie zum russischen Portal Yandex weiter. Man kann davon ausgehen, dass, wenn sie im regulären Browser am Handy geöffnet werden, sich eine Phishing-Website oder Abofallen-Website öffnet. In einigen Fällen wird auch versucht mit der Drive-by-Download-Methode Schadsoftware auf dem Smartphone zu installieren.

➤ Mehr lesen: Was tun, wenn ich auf eine Phishing-Mail hereingefallen bin?

Gut lesen, nichts anklicken

Wie immer bei solchen und ähnlichen SMS und E-Mails gilt: Genau durchlesen, analysieren und keine Links anklicken. Habt ihr wirklich Angst um eure Pakete, geht auf die Website des jeweiligen Zustellers und gebt dort die Trackingnummer ein.

Habt ihr so eine betrügerische SMS bekommen, könnt ihr diese auf vielen Smartphones auch melden. Etwa bei Samsung-Smartphones tippt man dazu rechts oben das 3-Punkte-Menü an, dann auf „Details“ und „Blockieren und als Spam melden“.