Eine für uns neue Masche erreichte uns aus dem Analyse-Bereich des LKA. Bisher sind es nur wenige Fälle, die angezeigt wurden. Ein Täter gibt sich am Telefon als angeblicher DHL-Mitarbeiter aus. Es wird die Zustellung eines Paketes behauptet. Dafür würde der Zusteller jedoch noch einen Code benötigen, der dem Empfänger per SMS zugestellt werden wird.
Codes, die per SMS als Sicherheitsüberprüfung zugestellt werden (z.B. für die Zwei-Faktor-Authentifizierung), sollten immer genau betrachtet werden. Wer die Codes nicht persönlich und direkt angefordert hat (z.B. als Bestätigung für eine Anmeldung), sollte vorsichtig sein! Solche Codes dürfen auf keinen Fall an unbekannte Dritte weitergegeben werden!
Leider sind in Niedersachsen (Stand 14.02.24) bereits drei Personen auf diese Masche hereingefallen, die im Anschluss auch Anzeige erstattet haben. Ggf. gibt es weitere Geschädigte, die noch keine Anzeige erstattet haben.
Die Geschädigten erhielten einen Anruf über eine Mobilfunknummer. Die Person am Telefon gibt sich als DHL-Bote/Paket-Bote aus. Angeblich würde sich ein Paket in Zustellung für den Angerufenen befinden. Dieses könne aber aus Sicherheitsgründen oder wegen falscher Adresse erst korrekt nach Nennung eines Codes zugestellt werden. Die Code-Zustellung würde per SMS erfolgen.
Im direkten Anschluss wird tatsächlich eine SMS mit einem Code zugestellt. Der Angerufene nennt den Code und hofft nun auf die Zustellung.
Vereinzelt wurde die angerufene Person erneut kontaktiert (u.a. auch per WhatsApp mit anderer Mobilnummer) und um die Übermittlung eines neuen Codes gebeten.
Eine Paketzustellung erfolgt natürlich nicht.
Was haben die Täter nun gemacht?
Der zugestellte Code war für eine Sicherheitsbestätigung des Accounts (z.B. O2-Mobilfunk-Account, Mail-Account). Der oder die Täter haben nach Nennung des Codes Zugriff auf den fremden Account bekommen. Mittels dieser Bestätigung wurde in einem Beispiel eine neue eSIM bestellt. Dies ist eine virtuelle SIM-Karte die z.B. ein einem aktuellen Smartphone als SIM-Karte hinterlegt werden kann. Mittels der neuen „Karte“ kann nun das Telefon (Mobilnummer) so genutzt werden, wie es der echte Inhaber zuvor gemacht hat. Es können SMS empfangen, versendet oder Telefonate geführt werden. Ggf. hinterlegte Accounts können, wenn z.B. eine Zwei-Faktor-Authentifizierung eingerichtet ist, übernommen werden. Auch das Online-Banking könnte betroffen sein. Der echte Inhaber wurde aber in unserem Fall von seiner üblichen Kommunikation über das Mobilfunknetz ausgeschlossen. Die originale SIM im Gerät wurde durch die eSIM ersetzt. Dies fällt ggf. nicht sofort auf, wenn das Smartphone im heimischen WLAN genutzt wird und aktuell keine Telefonie erfolgt.
Hier warnt O2 selbst innerhalb der SMS vor der Weitergabe solcher Codes! Solche SMS sollten unbedingt durchgelesen und beachtet werden. Zudem wird zur Kontaktaufnahme mit dem Kundenservice aufgefordert. Hier wird als Absender O2 angezeigt. O2 ist kein Absender für Codes anderer Anbieter (z.B. DHL).
Spätestens bei dieser Mail sollten die Empfänger sicherheitshalber den originalen Support (hier O2) kontaktieren.
In einem anderen Fall wurde mit dieser Code-Übermittlung der Mail-Account des Opfers erfolgreich übernommen. Die Täter konnten offensichtlich im Account feststellen, dass der Inhaber in Kryptowerte investiert hat. Diese konnten die Täter dann auch erfolgreich woandershin transferieren.
Wie kommen die Täter an meine Daten?
Die Datenquelle, die die Täter nutzen, ist derzeit unbekannt. Es gibt aber viele Sicherheitslücken aus der Vergangenheit, bei der u.a. auch Namen, Anschriften, Mailadressen, Mobilfunknummern, Passwörter usw. in Täterhände gefallen sind, die in Folge dann für solche Kontaktaufnahmen verwendet werden können. Wer seinen eigenen Account (mittels Mailadresse) prüfen möchte, kann die hier genannten Dienste nutzen.
Was muss ich machen, wenn ich Geschädigter bin?
Man kann so etwas fast schon als Totalschaden bezeichnen. Besonders wenn Mail- und/oder Mobilfunkaccount in Täterhanden sind, sind viele missbräuchliche Szenarien im Anschluss möglich, da in der Regel zahlreiche, sensible Accounts mit diesen Daten verbunden sind. Selbst vergessene Passwörter können ggf. so wieder hergestellt werden.
Auf jeden Fall sollten man die betroffenen Dienste unverzüglich kontaktieren und den Vorfall melden.
Zugangsdaten sollten entsprechend geändert werden. Dies gilt auch für Zugangsdaten bei anderen Accounts, die ggf. in der Zwischenzeit übernommen wurden, aber noch nicht aufgefallen sind. Beachten Sie auch, dass ggf. in Accounts Weiterleitungen oder alternative Geräte hinterlegt sein könnten, die definitiv nicht zu Ihnen gehören. Ggf. werden für besondere Apps/Programme (z.B. externe Mailprogramme) eigene Passwörter vergeben.
Dokumentieren Sie Ihr Vorgehen, um alles korrekt abzuarbeiten.
Erstatten Sie im Anschluss in Ruhe und unter Vorlage relevanter Unterlagen (Screenshots, Mailverkehr, Kontoauszüge…) Anzeige bei Ihrer örtlichen Polizei.