Vorsicht vor Mails von DPD: Neues Phishing setzt auf alte Tricks

Eine neue Woche, eine neue Phishing-Masche. Wieder ist es DPD, das als Köder für potenzielle Opfer herhalten muss.

Als Absender wird DPD-AT angezeigt, als Betreff „Ref.ID:“ gefolgt von einer 8-stelligen Nummer. Im Fall des Phishing-Mails, das der futurezone vorliegt, ist es „#89788388“ und der tatsächliche Absender ist nicht DPD Österreich, sondern „smtpfox-fvry9@dtlm.biz“.

In dem Mail ist zu lesen: „Liebe Paketempfänger, Wir möchten Sie darüber informieren, dass wir Ihre Versandinformationen für Paket #15504530078031 erhalten haben und morgen im DPD-Lager in Wien für den nationalen Versand zugestellt werden. Ihr Paket wird in unserem Lager aufbewahrt, bis Sie Ihre Daten haben. Bitte beachten Sie, dass Sie nur 3 Tage kostenlosen Speicher erhalten und dann für jeden Speichertag 3,98 € zusätzlich berechnet werden.“

URL führt zu australischen Schützenverein

Im Mail ist die Referenznummer verlinkt sowie ein Button mit „Lieferbestätigung“. Beides geht zu der Domain eines australischen Schützenvereins. Allerdings hängt der URL ein weiterer Pfad an, der zu einer länderspezifischen Subseite führt – zumindest suggeriert das „at3“ im Pfad.

Die australischen Schütz*innen dürften wohl nichts damit zu tun haben – die Cyberkriminellen nutzen Schwächen in der Konfiguration des Webspace und injizieren ihren Schadcode bzw. die Phishing-Inhalte. So versuchen die Cyberkriminellen ihr Spuren zu verwischen und zu verhindern, dass die URL zur Phishing-Website von Providern und Antiviren-Programmen blockiert wird.

Viele Hinweise auf Fake

Wie so oft sind auch bei diesem Mail Indikatoren vorhanden, dass es eine Falle ist. Diese kann man bereits erkennen, ohne die URL oder die tatsächliche E-Mail-Adresse des Absenders anzeigen zu lassen. So stimmt die Grammatik des ersten Satzes nicht. Vor dem Button mit „Lieferbestätigung“ steht „Ihr Paket wird in unserem Lager aufbewahrt, bis Sie Ihre Daten haben“. Abgesehen davon, dass der Text wenig Sinn ergibt, würde ein Lieferunternehmen nicht ein Paket aufbewahren, bis man irgendwas bestätigt – und schon gar nicht, wenn man kein Paket erwartet.

Der Schlusssatz vereint wieder die klassischen Merkmale von Phishing: „Bitte beachten Sie, dass Sie nur 3 Tage kostenlosen Speicher erhalten und dann für jeden Speichertag 3,98 € zusätzlich berechnet werden.“ Hier hat wohl das Übersetzungsprogramm versagt und aus Lager „Speicher“ gemacht. Außerdem verlangen DPD und die anderen großen Versanddienstleister keine „Lagergebühr“. Dies soll User*innen ein Gefühl von Dringlichkeit vermitteln. Die Cyberkriminellen hoffen, dass sie dann auf den Link klicken, weil sie Angst davor haben, Geld zahlen zu müssen.

Anstatt der üblichen DPD-Formatierung, endet das Mail lediglich mit „Mit freundlichen Grüßen, DPD-AT“, ohne jegliche Kontaktdaten oder Hinweise auf die offizielle Website. Wer vorher noch nicht Verdacht geschöpft hat, sollte das spätestens hier.

Darauf solltet ihr achten

Wie immer gilt: Mails, die euch auffordern, eine bestimmte Website zu besuchen, sind prinzipiell verdächtig. Schlechte Grammatik und Rechtschreibung und die Drohung Geld zahlen zu müssen, falls man nicht rechtzeitig reagiert, sind weitere Indizen. Schließlich ist die Formatierung, die überhaupt nicht nach dem Unternehmen aussieht, das die Mail angeblich verschickt hat, der finale Hinweis.

Wer auf Nummer sicher gehen will, kann die vermeintliche Paketnummer im Mail kopieren, die Website von DPD besuchen (googeln oder direkt im Browser eingeben, keinen Link im Mail anklicken) und dort im Tracking eingeben. Auf die Links im Mail solltet keinesfalls klicken. Es ist möglich, dass sie nicht nur zu Phishing-Websites führen, sondern dort auch Schadecode enthalten ist, der versucht eure Geräte zu infizieren (Drive-by-Downloads)