RATGEBER INTERNETKRIMINALITÄT

Generic selectors
Exact matches only
Search in title
Search in content

SMS mit Paketbenachrichtigungslink verursacht massenhafte SMS

Hinweis: Der Artikel vom 22.01.2021 wird derzeit ständig mit neuen Erkenntnissen aktualisiert (Letzter Stand 26.04.2021).

Heute erreichten uns von verschiedenen Polizeidienststellen Hinweise auf eine neue/ungewöhnliche Masche.
Mehrere Smartphone-Nutzer bekamen eine SMS mit einem Link. Der Inhalt der Nachricht war:

„Ihr Paket wurde verschickt. Bitte überprüfen und akzeptieren Sie es. http://v…..jxgt.duckdns.org

 

 

(Link durch uns gekürzt, siehe auch nachfolgende Bilder)

 

Personen, die auf den Link geklickt haben, berichten, dass eine Software nachgeladen wurde und kurz danach über den Tag verteilt mehrere hunderte SMS von verschiedenen Rufnummern zugestellt wurden, die alle die gleiche Nachricht enthielten. Ggf. wurden anderere Links gezeigt, die jedoch bisher alle auf duckdns.org endeten.

Diese Nachricht stammt von keinem echten Transportdienstleister. Die Täter nutzen scheinbar derzeit die Corona-Pandemie aus, in der viel online bestellt wird. So ist es sehr wahrscheinlich, auf Personen zu treffen, die einer solchen SMS glauben, da Sie selbst Pakete erwarten.

Ermittlungen haben ergeben, dass es sich bei dem Anhang um Schadsoftware (z.B. „MoqHao“) handelt, die u.a. SMS und MMS senden/empfangen kann, sowie eine Fernsteuerung und Ausspähung des Smartphones zulässt. Auch die Teilnahme an einem Botnetz ist durch die Infektion möglich. Botnetze sind ein Zusammenschluss verschiedener „Computer“ (PC, Smartphone, Smarte Geräte…) die durch die Schadsoftware als Gesamtnetzwerk missbräuchlich von Tätern benutzt und gesteuert werden können (z.B. für Spamversand, Angriffe auf IT-Strukturen usw.). Auch eine Übernahme des Google-Accounts sei, so das BKA, möglich. Damit könne dann ggf. auch die Zwei-Faktor-Authentifizierung überwunden werden. Die Schadsoftware hat es auf Android-Geräte abgesehen. Diese kann nicht auf Apple installiert werden. Dennoch sollten Apple-Nutzer auch vorsichtig sein (siehe weiter unten).

Bereits im Dezember habe es einen ähnlichen Fall gegeben: https://zac-niedersachsen.de/artikel/54 

Aktuelle Erkenntnisse zeigen, dass sich die Schadsoftware als als Chrome-Browser ausgibt und sogar das bekannte App-Symbol darstellt. Nach der Installation werden wie sonst üblich die Rechte der Nutzung auf dem Smartphone über den Benutzer eingeholt (z.B. Zugriff auf Adressbuch). Untersuchungen zeigten aber, dass hier die Schadsoftware diese Rechte und noch weitere tiefgreifende Rechte (z.B. SMS Versand) selber einräumt. (Quelle BKA)

Zudem wird über den Link in der SMS die Möglichkeit zur Software weiterverbreitet.

Ein erstes Beispiel zeigte uns ständig die gleiche Vorwahl 0174 und dann weitere Rufnummern, die mit 28….., 29….., 30….. forgeführt wurden. Inzwischen sind nahezu alle Anbieter betroffen.

Derzeit gibt es drei mögliche Quellen für die Herkunft der Rufnummern (Quelle BKA):
1. Die durch die Schadsoftware benutzten Nummern stammen aus früheren Angriffen.
2. Die Schadsoftware greift auf die Kontaktdaten eines infizierten Gerätes zu und nutzt dann diese Rufnummern. Eine Weitergabe dieser Kontakte und auch spätere neue Nutzung ist denkbar.
3. Die Rufnummer werden zufällig generiert. Dies würde auch die Reihenfolge (siehe nachfolgendes Bild eines Smartphones) erklären.

Eine Auflistung der Rufnummern erfolgt hier zum Schutz dieser Mobilfunkteilnehmer nicht. Auch andere Vorwahlen sind inzwischen aufgetaucht. Betroffen sind Mobilfunkteilnehmer im gesamten Bundesgebiet und auch ausserhalb von Deutschland.

 

Inzwischen sind weitere Versionen der SMS aufgetaucht. Diese beinhalten den Text (Fehler inklusive):

Das Paket wurde zugestellt…„,
Ihr Paket kommt an, verfolgen Sie es hier…„,
Um Ihre Nachricht anzuzeigen klicken Sie hier„,
Der Artikel, den Sie gekauft haben, wurde geliefert. Bitte überprüfen und akzeptieren Sie es„,
Ihr DHL Packung ist geliefert, verfolgen Sie online über: „,
Ihr Parket ist in der Warteschlange. Versand bestatigen:
Liebe/r… , Ihre Bestellung ist verschickt! Lieferung nachverfolgen:
„…um diese nachricht zu lesen klicken sie bitte hier https…“
‚“hallo Stefan D2  ihre packung wurde geliefert klicken sie  https…“  (Hier greifen die Täter auf Namen der Adressbücher zurück, siehe nachfolgender Abschnitt)
„Mm ihr paket …..“
„Ihr paket wird heute zum Absender zuruckgesendet. Letzte Moglichkeit es abzuholen…“
„Die von Ihnen gekaufte Ware wurde versendet. Bitte uberprufen Sie die Details…“
„Hallo Mn, Ihr Paket steht noch aus. Bestatigen Sie Ihre Angaben hier:…. Deutsche Post“
„Um Ihre Nachricht anzuzeigen, klicken Sie hier:…“
„Die von Ihnen gekaufte Ware wurde geliefert, bitte rechtzeitig einchecken. “
„Hallo …., Frau, Der Kurier nahm das Paket ab. Track…“
„Hallo , Ihr Paket steht noch aus. Bestatigen Sie Ihre Angaben hier: https://jackson…. Deutsche Post

Ihre Sendung geht soeben in Zustellung, verfolgen Sie Ihre Sendung unter
Ihr HOHL-Auftrag wird morgen vrs. 13-00-15:00 ausgefuhrt. Sendung live verfolgen auf…
„Deine Bestellung bei MyCreativeWood wurde versendet. Bestellung (#6242) anzeigen:“
„Ihre DPD-Lieferung wurde storniert. Um es wieder auszurichten, bestatige bei“
„SAINT LAURENT: Ihr Paket wird heute mit UPS zugestellt. Zur Verfolgung klicken Sie“
„Das Paktet mit ID# (nr) ist unterwegs. Wir benötigen ihre informationen“
„Under Armour: Ihr Paket ist auf dem Weg mit UPS. Klicken Sie hier um das Paket zu verfolgen“
„Hallo! Sie haben (1) Paket von Saturn!“
„Ihr gekauftes Geschenk wurde verschickt, bitte bestatigen Sie.“
„Die von Ihnen gekaufte Ware wurde versendet. Bitte bestätigen Sie.“
„Es wurde eine neue Bestellung VYIQCE auf Lieferando.de gesendet. Informationen:“
„Ihre Bestellung Nr. 76430 von JustBob DE ist versand Spiel“
„Das Geschenk, das Sie gekauft haben, wurde per Express verschickt. Bitte überprüfen Sie“
„DHL Express von Q-DANCE wird HEUTE bis Tagesende zugestellt. Sendung verfolgen:“
„Paket [009232513] wurde im Verteilerzentrum angehalten. Verfolgen Sie Ihre Sendung hier:“
„Sie haben ein ungelostes Problem mit Ihrem Paket:“
„Vielen Dank! Ihr Termin ist bestaetigt. Aktueller Status der Sendung:“
„Hallo, Sie haben (1) Paket von Saturn! Ref: UPS-87Y61W03 
Letzte Chance es abzuholen ->“
„Paketzustellung Ihrer Lieferung nicht moglich. Mehr Info:“
„Ihre AO Bestellung wird von unserem Logistikpartner geliefert. Zu Ihrer Sendungsverfolgung:“
„Facebook: Verdachtige Aktivitat auf Ihrem Facebook-Konto, klicken Sie hier:“
„Das Paket mit ID #2389 ist unterwegs. Wir benotigen Ihre Informationen“
„Hallo , Verfolgen Sie Ihr Paket: PST7788VN, Status: Bearbeitung, Verteilerzentrum: Vienna“
„Bestellung 2472767 versandt. Lieferung: 3-5 Werktag/e. Paketverfolgung“
„Pandora EU: Ihr Paket wird heute von DHLEXPRESSEU ausgeliefert. Verfolgen Sie Ihr Paket hier: “
„,Ihr DHL Packung ist Ihnen geliefert, verfolgen Sie online uber…“
„Vielen Dank! IUhr Termin ist bestaetigt. Aktueller Status der Sendung:…“
„Wir haben eine Sendung fur Sie…“
„Ihre A0 Bestellung wird von unserem Logistikpartner geliefert. Zu Ihrer Sendungsverfolgung…“
„Ihre DPD-Lieferung wurde storniert. Um es wiueder auszurichten, bestatige bei…“
„Ein Artikel derin Wish Bestellung wurde versandt!“
„Achtung: [Name entfernt]: Dein Paket ist in der Warteschlange. Versand bestätigen:“
„Your package with UPS has failed delivery attempt“
„Ihre Bestellung bei Amazon Prime Now trifft bald bei Ihnen ein. Sendung jetzt nachverfolgen“
„SAINT LAUREN: Ihr Paket wird heute mit UPS zugestellt. Zur Verfolgung klicken Sie“
„Der Kurier nahm das Paket ab. Trak:…“
„Home24: Ihr Paket ist mit DPD Germany unterwegs! Klicken Sie auf…. zur Sendungsverfolgung.“
„[009232513] Sie haben ein ungeloste Problem mit Ihrem Paket“
„Hallo [Name entfernt], Ihre Bestellung wurd am 15.02.2021 an der Abholstelle geliefert. Sehen Sie, wo Sie Ihre Pakete abholen konnen…“

Haben Sie eine Variante, die wir hier noch nicht aufführen, informieren Sie uns über diesen Link per Mail. Nennen Sie uns nur den Text der SMS (mit Fehlern) mit copy and paste und keine Rufnummern, keine Screenshots oder ähnliche Daten. Fragen werden über diese Mail nicht beantwortet.
Wir benötigen keine Information über die Absendernummern! Wir benötigen keine Screenshots! Bitte keine persönlichen Hinweise/Anmerkungen. Eine Meldung an die Bundesnetzagentur ist nicht notwendig!

Zudem enthalten die SMS einen Link mit der Endung „…tinyurl.com„, „…duckdns.org“ oder anderen Dienstanbietern. Diverse weitere Links, sogar mit deutlich erkennbaren Domainnamen zu offensichtlich gehackten Webseiten, sind im Umlauf.
Weiterhin häufen sich die Meldungen bei uns, dass der SMS Text eine persönliche Ansprache  (z.B. mit Vornamen) enthält. Einige Nutzer berichten, dass es auch Spitznamen oder Namenszusätze/Ergänzungen sind, die auf ein vorheriges Abgreifen der Daten von Telefonbüchern aus bereits befallenen Smartphones anderer Geschädigter hindeuten.

Auch anderssprachige Versionen (z.B. türkisch, ungarisch, französisch, koreanisch) seien bereits im Umlauf. Die Täter ändern offensichtlich regelmäßig den Nachrichtentext und die URL-Shortener-Dienste, um so bei den Providern eingerichtete Spamfilter zu umgehen.

Maßnahmen, die Sie machen können, wenn Sie eine solche SMS bekommen haben:

  • Klicken Sie auf keinen Fall auf Links, die Ihnen von unbekannter Seite und unerwartet zugestellt werden. Sollten Sie den Absender tatsächlich kennen, fragen Sie auf alternativem Weg nach, was sich hinter dem Link verbirgt und ob der Versand beabsichtigt war.
  • Bestätigen Sie keine Installation von fremden Apps auf Ihrem Smartphone. Besonders Android-Geräte sind hier gefährdert, da diese bei ungünstiger Einstellung eine Fremdinstallation und somit auch schädliche Apps zulassen.
  • Deaktivieren Sie bei Android die Möglichkeit, unbekannte Apps installieren zu können. Ggf. ist in Ihrer Android-Version diese Funktion nicht mehr im Sicherheitsbereich zu finden. Geben Sie unter Einstellungen in der Suche „unbek“ an. Möglicherweise werden Sie nun in den Bereich „Unbekannte Apps installieren“ geführt, bei denen Sie einzelnen Apps diese Erlaubnis erteilen oder noch besser entziehen können. Ohne diese Erlaubnis können keine fremden Apps (also alles außerhalb des originalen App-Stores) installiert werden. Je nach Android und Smartphone kann diese Einstellung anders sein.
  • Richten Sie unbedingt bei Ihrem Mobilfunkprovider die Drittanbietersperre ein, um weitere Kosten zu vermeiden. Diese kann kostenlos über den jeweiligen Service gebucht werden.
  • Wenn Sie eine oder ein paar wenige SMS (wie oben dargestellt) bekommen haben, dann muss es nicht bedeuten, dass Sie bereits die Schadsoftware installiert haben. Die Täter versuchen durch diese SMS ihre Schadsoftware, u.a. auch über die bereits infizierten Smartphones anderer Personen weiterzuverbreiten.
  • Solange Sie unter Android den Link nicht angeklickt haben und die App installiert haben, ist Ihnen noch nichts passiert. Wichtig dabei ist, dass Sie die Installation von unbekannten Apps deaktiviert haben (siehe weiter oben).
  • Wenn Ihnen die Anzahl der eingehenden SMS zu viel wird, dann prüfen Sie, ob Sie in Ihren Smartphone Einstellungen eine SMS-Spam-Filter aktivieren können. Ggf. müssen Sie für Ihr Gerät und Softwareversion nach einer passenden Anleitung im Internet suchen. So können einige Smartphones die Anrufe auf z.B. nur Telefonbucheinträge beschränken.

Zusätzliche Hinweise für iOS (Apple, iPhone, iPad) Nutzer

  • iOS/Apple Nutzer könnten mit dieser SMS inzwischen auch Probleme bekommen.  Apps können zwar nicht einfach so installiert werden, dennoch raten wir von einem Anklicken des Links ab. Durch eine aktuell bestehende Sicherheitslücke in WebKit besteht für iOS Nutzer die Gefahr, dass über einen manipulierten Link Apple Geräte kompromittiert werden können. Es wird dringend zum Update iOS 14.5 vom 26.04.2021 geraten. Die Version 14.4.2 vom 26.03.2021 hat offensicht bereits einige Lücken geschlossen. Wer dem Link folgt bekommt möglicherweise eine Seite mit der Nachricht „Ihr iPhone wurde gehackt. Alle Ihre Aktionen auf dem Gerät werden von einem Hacker verfolgt. Sofortiges Handeln ist erforderlich!“ und wird ggf. auf eine App im App-Store geführt. Diese bitte NICHT installieren! Ob hier bereits die Sicherheitslücke vor dem Update auf 14.4.2. ausgenutzt wurde oder lediglich versucht wird, mit dieser Nachricht eine App zu kaufen/laden zu lassen, kann derzeit nicht gesagt werden.Vorsorglich können Sie die Zugangsdaten zu Ihrer Apple-ID ändern und dabei auch die Zwei-Faktor-Authentifizierung einrichten. Wer Zweifel hat, sollte im schlimmsten Fall das Gerät auf ein vorheriges Backup oder den Werkszustand zurücksetzen.

Beispielbild für angebliche Hack-Anzeige

Wenn Sie bereits geklickt, installiert und die SMS nun massenhaft bekommen/ggf. selber versenden

  • Schalten Sie Ihr Smartphone in den Flugmodus.
  • Informieren Sie Ihren Provider
  • Richten Sie, wenn nicht bereits geschehen, die Drittanbietersperre ein. Dies verhindet ggf. zusätzliche Kosten durch Abodienste.
  • Prüfen Sie, ob durch die SMS bereits Kosten zu Ihrem Nachteil verursacht wurden. Ggf. können Sie einen Kostennachweis bereits beim Provider einholen/erfragen.
  • Erstatten Sie Anzeige bei Ihrer örtlichen Polizeidienststelle. Bringen Sie dazu das Smartphone, Ggf. Screenshots(/Abfotografieren mit einem anderen Smartphone), Kostennachweise usw. mit.
  • Starten Sie Ihr Smartphone im abgesicherten Modus und schauen Sie, welche Apps zuletzt/nicht bewusst von Ihnen installiert wurden. Diese Apps können Sie dann entfernen und das Smartphone neu starten. Die Möglichkeiten für den abgesicherten Modus können von Hersteller zu Hersteller abweichen. Eine mögliche Anleitung haben wir hier bei uns im Video in der Mediathek „Entfernen von z.B. Schadsoftware auf Android-Smartphones“ oder hier im Netz (Externer Link, keine Garantie für den dortigen Inhalt). Das Video haben wir nun auch ganz unten eingepflegt.
  • Im schlimmsten Fall hilft nur die Zurücksetzung in den Auslieferungszustand.
  • Ändern Sie die Zugangsdaten zu Ihren Diensten/Accounts. Richten Sie in diesem Zusammenhang auch die Zwei-Faktor-Authentifizierung ein. Machen Sie dies alles von einem nicht mit Schadsoftware befallenem Gerät!

Sie haben Ihr Telefon bereits zurückgesetzt/bereinigt und bekommen immer noch SMS?
Die Bereinigung/Wiederherstellung auf Werkseinstellung bewirkt lediglich, dass Ihr Telefon wieder sicher ist. Die SMS können dennoch weiterhin eingehen, da Ihre Rufnummer ja inzwischen bei den Tätern gesammelt wurde.

Zusätzliche Tipps  und Hinweise

  • Nutzen Sie die Apps der echten Transportdienstleister für Push-Nachrichten oder Abfragen von Lieferstatus und Aufträgen.
  • Fragen Sie im Zweifelsfall beim Support des Dienstleisters über die Ihnen bekannten Webseiten nach (nicht dem Link aus der Mail/SMS folgen).
  • Prüfen Sie im Zweifelsfall bei Ihrem Verkäufer den Versandstatus. Oft benachrichtigt dieser über eine Bestellbestätigung auch später die Lieferdaten. Ggf. sind diese auch im jeweiligen Bestellaccount zu finden.
  • Klicken Sie niemals auf Links und Anhänge, die Ihnen Unbekannte unerwartet zusenden. Prüfen Sie den Link genau! Besonders Shortlinks verbergen das eigentliche (und möglicherweise falsche Ziel)!
  • Shortlinks aus Mails, deren Linkziel nicht sichtbar sind, können mittels nachfolgender Webseiten sichtbar gemacht werden: https://www.getlinkinfo.com/ und https://checkshorturl.com/
  • Prüfen Sie Ihre Mailadresse/Rufnummer, ob im Zusammenhang damit ein Hack bekannt geworden ist: https://haveibeenpwned.com/  bzw. Mail-Adresse hier: https://sec.hpi.uni-potsdam.de/ilc/search
  • Wir können leider keine Ferndiagnosen bei Ihren Geräten durchführen. Auch eine Einschätzung, ob bei Ihrem Vorfall etwas passiert sein könnte, können wir nicht machen, da jeder Link anders sein kann und somit eine andere/neuere Version der Schadsoftware beininhaltet. Zudem können jede Handlung Ihrerseits und die Einstellungen Ihres Gerätes unterschiedlich sein, so dass wir keine konkreten Anfragen dazu beantworten können.

Inzwischen berichten uns diverse Personen, dass sie nun betrügerische Mails bekommen hätten. Der angebliche Absender gibt sich als bekannte Person aus (z.B. Trainer der Sportmannschaft des Kindes). In dieser Mail bittet er um Hilfe. Angeblich sei er aufgrund der aktuellen Corona-Situation nicht in der Lage, für seine Enkelin eine iTunes-Guthaben-Karte zu kaufen. Er bittet die per Mail angeschriebene Person, dies zu machen. Das Geld würde man natürlich wiederbekommen. Zudem wird genau beschrieben, wie der Guthaben-Code verschickt werden solle. Erst beim genaueren Nachfragen fallen sprachliche Probleme auf, so dass der versuchte Betrug auffällt. Einige Personen berichten, dass Sie die Masche fast geglaubt hätten. So etwas kann u.a. ein Resultat daraus sein, dass die Täter ein infiziertes Smartphone ausgelesen haben und die darin befindlichen Daten nun missbrauchen.

Zusätzliche Information bezüglich einer Variante mit FedEX finden Sie hier bei Heise.de. Dabei soll es sich laut einer Meldung von ESET um einen Banking-Trojaner handeln.
Zusätzlichen Informationen bezüglich iOS Update 14.4.2 bei Heise.de

Hier das Erklärvideo zum „Abgesicherten Modus“ auf Android-Geräten:

Scroll to top