Achtung „Smishing“: Falsche Paketbenachrichtigungen ermöglichen Datenklau

„Ihr Paket wurde verschickt. Bitte überprüfen und akzeptieren Sie es unter folgendem Link“: In den vergangenen Wochen sind auch in Schleswig-Holstein viele Menschen dieser scheinbar harmlosen Aufforderung, die als SMS auf dem Display ihres Smartphones erschien, nachgekommen – und haben damit unwissentlich eine Infektion ihres Gerätes mit einer Schadsoftware gestartet. Das Landeskriminalamt Schleswig-Holstein warnt vor der neuen Masche „Smishing“, die zum Ziel hat, das Smartphone der geschädigten Person fernzusteuern, auszuspähen und/oder missbräuchlich zu nutzen. „Smishing“ ist eine Wortschöpfung aus den Begriffen SMS (Kurznachrichten) und Phishing (Diebstahl von Zugangsdaten über gefälschte Nachrichten oder E-Mails).

Wer in der Annahme, es handle sich um die Information zu einer Paketsendung, auf den in der SMS angegebenen Link klickt, erlebt eine böse Überraschung. Nach dem Anklicken wird eine Software nachgeladen, die kurz danach hunderte SMS von der eigenen Rufnummer mit gleichen oder ähnlichen Inhalten versendet. Ermittler gehen derzeit von drei möglichen Quellen für die Herkunft dieser Rufnummern aus. Demnach werden die durch die Schadsoftware benutzen Nummern entweder zufällig generiert oder stammen aus früheren Angriffen oder aber es handelt sich um die Kontaktdaten eines infizierten Smartphones.

Die Links enden zumeist mit tinyurl.com oder duckdns.org, aber es sind auch andere Links im Umlauf. Auch die Texte der verschickten SMS variieren, auf diese Weise versuchen die Täter, Spamfilter der Provider zu umgehen. Viele SMS enthalten sogar eine persönliche Anrede mit Vor- oder Spitznamen, was auf einen vorherigen Zugriff auf die Kontaktdaten bereits infizierter Smartphones anderer Geschädigter hindeutet. Die Täter tarnen die Schadsoftware als eine für die Paketverfolgung angeblich notwendige App von bekannten Logistikunternehmen wie FedEx oder DHL. Apple iOS-NutzerInnen landen in der Regel auf Werbe- oder Phishing-Seiten, wo sie sensible Daten preisgeben sollen.

Was ist zu tun, wenn ich eine solche SMS bekomme?

Die gute Nachricht: Nur mit dem Erhalt der SMS ist noch kein Schaden entstanden. Solange Sie den Link nicht angeklickt und die App installiert haben, ist nichts passiert. Mit den folgenden Tipps können Sie sich schützen.

•  Klicken Sie nicht auf Links, die Ihnen von unbekannter Seite und unerwartet zugestellt werden. Falls Sie den Absender kennen, fragen Sie auf anderem Weg nach, was sich hinter dem Link verbirgt, zum Beispiel über die offizielle App des echten Transportdienstleisters.
• Löschen Sie die Nachricht umgehend.
• Bestätigen Sie keine Installation von fremden Apps auf Ihrem Smartphone. Besonders gefährdet sind Android-Smartphones, da diese bei ungünstiger Einstellung eine Fremdinstallation schädlicher Apps zulassen.
• Deaktivieren Sie bei Android die Möglichkeit, unbekannte Apps installieren zu können. Suchen Sie dafür in den Einstellungen nach „Apps aus unbekannten Quellen“ oder „Unbekannte Apps installieren“ und entfernen Sie dort den Haken.
• Prüfen Sie, ob Sie in Ihren Einstellungen einen SMS-Spam-Filter aktivieren können.
• Richten Sie bei Ihrem Mobilfunkanbieter eine Drittanbietersperre ein, um versehentliche Kosten oder eventuelle Kosten durch Schadsoftware zu vermeiden.
• Installieren Sie auch auf Mobilfunkgeräten die aktuellesten Betriebssystemversionen und Sicherheitsupdates.

Was kann ich tun, wenn ich bereits auf den Link geklickt und die Schadsoftware installiert habe?

• Schalten Sie Ihr Smartphone in den Flugmodus.
• Informieren Sie Ihren Provider.
• Richten Sie die Drittanbietersperre ein.
• Prüfen Sie Ihr Konto auf Abbuchungen, die sie nicht veranlasst haben.
• Starten Sie Ihr Smartphone im abgesicherten Modus und schauen Sie, welche neuen Apps nicht bewusst von Ihnen installiert wurden. Diese Apps können Sie dann entfernen und das Smartphone neu starten. Änderungen, die Sie an dem Gerät vornehmen, sollten Sie gegebenenfalls zu Beweiszwecken dokumentieren.
• Erstatten Sie Strafanzeige bei der örtlichen Polizeidienststelle. Nehmen Sie dazu Ihr Smartphone zur Beweissicherungen mit.
• Setzen Sie Ihr Smartphone auf Werkseinstellungen zurück, allerdings erst nachdem Sie Anzeige erstattet haben. Durch die Zurücksetzung gehen alle gespeicherten und installierten Daten auf dem Gerät verloren.
• Ändern Sie die Zugangsdaten zu Ihren Diensten und Accounts von einem sicheren Gerät.

OTS Landeskriminalamt Schleswig-Holstein