Mit gefälschten Paket-SMS versuchen Betrüger, Smartphone-Nutzer zur Installation von Schadsoftware zu bringen.

Foto: Getty Images

Derzeit ist es wieder besonders schlimm. Eine neue Welle an betrügerischen SMS bricht seit Tagen über Mobiltelefonnutzer herein. Darin immer wieder ähnliche Aufforderungen: Man solle doch endlich das im Paketshop wartende Paket abholen, sonst werde es zurückgeschickt. Oder aber es wird gar eine Geldüberweisung verlangt, damit das Paket nicht verlorengeht. All das immer angereichert mit einem Link, der angeblich auf weitere Informationen verweist. In Wirklichkeit handelt es sich dabei um eine perfide Falle, versteckt sich dahinter doch Schadsoftware, mit deren Hilfe unvorsichtigen Nutzern Geld abgeluchst werden soll.

Neu ist dieser Trick zwar nicht, ähnliche SMS machen bereits seit Ende 2020 ihre Runden. Da es aktuell aber eben wieder besonders viele Vorfälle gibt, im Folgenden der Versuch, einige der zentralen Fragen zu diesem Problem zu beantworten – und auch gleich nachzuforschen, was eigentlich die Mobilfunker so dagegen tun und was nicht.

Frage: Wie erkennt man solche betrügerischen SMS?

Antwort: Der erste Indikator: Sie kommen üblicherweise von unbekannten Telefonnummern. Zudem sind die Texte oftmals – aber nicht immer – mit Rechtschreibfehlern versehen. Der beste Hinweis ist aber der angefügte Link, dieser benutzt oftmals ungewöhnliche – und komplizierte – Adressen. Der eigentliche Inhalt der Nachricht hilft leider nur mehr zum Teil bei der Erkennung, gibt es doch mittlerweile unzählige Varianten – und zwar selbst welche, die gar nichts mehr mit Paketlieferungen zu tun haben. So kursieren etwa Mitteilungen, die den Nutzern mit der Sperre der SIM-Karte drohen, wenn sie nicht reagieren.

Frage: Was also tun?

Antwort: Generell empfiehlt es sich, Paketbenachrichtigungen via SMS zu ignorieren, so man sich bei der Authentizität des Absenders nicht absolut sicher ist. Alle großen Paketdienste haben Webseiten, über die die Wege der eigenen Lieferungen nachverfolgt werden können. Einfach direkt auf diese gehen und sich dort über den Status eine Lieferung informieren.

Frage: Warum gibt es gerade jetzt eine neue Welle des Paket-SMS-Betrugs?

Antwort: Weil die Angreifer natürlich auch nicht blöd sind. In der Vorweihnachtszeit werden besonders viele Pakete verschickt. Wenn man gerade auf ein Paket wartet, ist aber natürlich auch die Chance größer, dass man eine solche SMS erwartet – und dann auf den Betrug hineinfällt. Die Betrüger suchen sich also bewusst solche Zeiträume aus. Übrigens spielen dabei auch Lockdown-Maßnahmen eine Rolle. Bei jedem Lockdown nehme auch die Zahl der betrügerischen SMS wieder zu, betont der Mobilfunker A1 gegenüber dem STANDARD. Dahinter steht die gleiche Logik: Während Lockdown-Zeiten werden einfach mehr echte Pakete verschickt.

Auch die Polizei warnt immer wieder vor dem Paket-SMS-Betrug.

Frage: Ignorieren ist ja ein netter Ratschlag, aber kann man sonst auch noch etwas tun?

Antwort: Allerdings. Viele aktuelle SMS-Programme haben einen Spam-Filter, für Android wäre etwa Google Messages eine passende Wahl. Dort können die entsprechenden Nachrichten dann als Spam gemeldet werden. Generell ist Google Messages recht gut darin, solche Nachrichten auszufiltern. Wer lieber bei einem anderen SMS-Programm ohne Spam-Filter bleiben will, sollte die Nachrichten zumindest löschen, und sei es nur, um nicht später einmal irgendwann doch noch den Betrug mit einer echten Nachricht zu verwechseln.

Frage: In Artikeln wird gerne eindringlich davor gewarnt, ja nicht auf die Links zu klicken, da man sich sonst umgehend Schadsoftware einfängt. Stimmt das?

Antwort: Um ehrlich zu sein: nicht wirklich. Üblicherweise verweist der Link auf ein Programmpaket, das die Nutzer selbst installieren sollen. Versprochen wird dabei oftmals eine Tracking-App des jeweiligen Paketdienstleisters, in Wirklichkeit verbirgt sich darin aber eine Schadsoftware mit dem Namen Flubot.

Frage: Wenn ich auf den Link klicke, wird die Schadsoftware dann gleich installiert, richtig?

Antwort: Nein. Zunächst müssen die Nutzer noch zentrale Sicherheitssperren von Android manuell deaktivieren und dabei auch allerlei Warnungen ignorieren. So muss etwa zuerst einmal in die Installation von Paketen aus "unbekannten Quellen" zugelassen werden, erst danach kann die App überhaupt installiert werden.

Frage: Okay, aber jetzt haben wir es dann, oder? Also: Einmal installiert, spioniert Flubot alles aus?

Antwort: Es folgt ein weiteres Nein. Beim ersten Start der infizierten App fragt diese dann noch nach einer speziellen Berechtigung, die eigentlich für Programme aus dem Bereich Barrierefreiheit gedacht ist – etwa um Bildschirmlesegeräte zu ermöglichen. Erst wenn die Nutzer auch hier manuell über den Gang in die Systemeinstellungen ihre Erlaubnis erteilen, kann Flubot alles mitlesen, was so am Smartphone geschrieben wird.

Frage: Heißt das, der Tipp, auf keinen Fall auf Links zu klicken, ist also übertrieben?

Antwort: Aus aktueller Sicht ja – und doch ist er richtig. Immerhin könnte es durchaus auch einmal andere Varianten der Attacke geben, die zusätzliche Sicherheitslücken am Smartphone nützen, um sich auf anderem Weg zu verankern. Und da es nicht schadet, kann man also ruhig weiter sagen: Bitte nicht auf die Links klicken.

Frage: Was macht die Schadsoftware eigentlich, wenn sie einmal installiert ist?

Antwort: Das primäre Ziel von Flubot ist, Online-Banking-Daten abzugreifen, um dann Geld zu stehlen. Aber natürlich kann er auch sonst mittels seines weitreichenden Zugriffs auch andere sensible Daten ausspionieren – also etwa Benutzername und Passwort für allerlei Dienste. Zudem beginnt der Trojaner aber auch umgehend mit der eigenen Weiterverbreitung, versendet also massenhaft ebensolche betrügerischen SMS, auf die man gerade hereingefallen ist. Auch dafür holt er sich die nötigen Berechtigungen vorher von den Nutzern. Auch hier könnte also Auffallen, dass hier gerade etwas Verdächtiges passiert.

Frage: Das klingt jetzt ein bisschen so, als wären die, die auf so etwas hereinfallen, selbst schuld ...

Antwort: Nein, so ist das ganz sicher nicht gemeint. Was man nicht vergessen sollte: Über die Jahre wurde den Nutzern auf Webseiten und in Apps antrainiert, ohne weiteres Nachdenken allerlei Dialogen und Abfragen zuzustimmen – im Vertrauen, dass schon alles passen wird. Klar dürfte vielen technisch versierten Usern schnell auffallen, dass ein Betrugsversuch vorliegt. Wer dieses Wissen hingegen nicht hat, der ist rein auf das Vertrauen angewiesen – und das führt im schlimmsten Fall eben dazu, dass man sich nach einer Schritt-für-Schritt-Anleitung brav selbst einen Trojaner installiert. Einfach weil man Angst hat, sonst etwas falsch zu machen und ein Paket zu verlieren. Insofern sollte man sich also mit Spott über die Geschädigten besser zurückhalten.

Frage: Da waren jetzt einige Hinweise für Android. Heißt das, iPhone-User sind sicher?

Antwort: Jein. Tatsächlich gibt es dieses "Sideloading" von Apps, wie es in der Fachsprache heißt, am iPhone so nicht. Allerdings gibt es auch Varianten dieser SMS, die stattdessen auf klassische Phishing-Seiten verlinken, wo dann auch auf iPhones direkt versucht wird, die Nutzer zur Eingabe sensibler Daten zu drängen.

Frage: Was bleibt als Lehre für Android-Nutzer aus all dem?

Antwort: Wer nicht sehr genau weiß, was er tut, sollte sich bei der Installation von Apps direkt auf den Play Store beschränken und nie die Einrichtung aus "unbekannten Quellen" zulassen. Zudem sollte der Zugriff für Barrierefreiheit generell immer abgelehnt werden – außer eben es geht um ein Tool, das explizit für diesen Zweck gedacht ist. Das ist auch allgemein ein wertvoller Tipp, da viele Android-Schadsoftware genau diesen Weg nutzt, um sensible Inhalte wie Passwörter oder Kreditkartendaten mitzulesen.

Frage: Wenn ich jetzt schon infiziert bin, wie werde ich die Schadsoftware wieder los?

Antwort: Als Erstes empfiehlt sich die Aktivierung des Flugzeugmodus. Damit wird sichergestellt, dass die Schadsoftware keine weiteren SMS mehr verschicken kann. Danach gilt es, die Schadsoftware restlos zu entfernen. Wie schwer das ist, variiert allerdings und hängt zum Teil auch vom technischen Wissen ab. Entsprechend raten die Mobilfunker dazu, gleich das Gerät komplett auf Werkseinstellungen zurückzusetzen. Wer das nicht selbst kann, kann sich bei der jeweiligen Hotline melden oder auch in einen der Shops gehen, um sich Hilfe zu holen.

Frage: Zurücksetzen auf Werkseinstellungen heißt aber, dass die am Gerät gespeicherten Daten weg sind?

Antwort: Natürlich, aber immer noch besser, als ein Smartphone zu haben, das massenhaft betrügerische SMS an die gesamte Welt schickt, oder? Außerdem ist das auch eine gute Erinnerung an den Wert von regelmäßigen Back-ups.

Frage: Warum muss ich mich eigentlich damit herumschlagen. Könnten die Mobilfunker die Nachrichten nicht einfach als Spam ausfiltern?

Antwort: Eine gute Idee, auf die die Mobilfunker auf STANDARD-Nachfrage unisono dieselbe Antwort geben: Das dürfen wir nicht. Dafür müssten sie nämlich die Inhalte sämtlicher Nachrichten mitlesen. Das wäre zwar technisch leicht möglich, widerspreche aber dem Telekommunikationsgesetz, heißt es. Sollten die nötigen rechtlichen Rahmenbedingungen geschaffen werden, würde man aber schnell zusätzliche Sicherheitsmaßnahme ergreifen, versichert etwa Magenta. Entsprechende Gespräche seien derzeit im Laufen.

Frage: Das heißt, die Mobilfunker schauen dem Treiben bisher einfach zu?

Antwort: Das stimmt auch wieder nicht. So betonen etwa A1, Magenta und "3" unisono, dass man den SMS-Versand für Smartphones ab dem Moment blockiert, wo eine Infektion bemerkt wird. Und das fällt tatsächlich recht rasch auf, weil dabei meist tausende SMS in schneller Abfolge gesendet werden. Freigegeben wird die SMS-Funktion für die betreffende Nummer dann erst wieder nach einem Rücksetzen auf Werkseinstellungen und einer Kontaktaufnahme mit dem Mobilfunker.

Frage: Wer steckt hinter diesen Attacken?

Antwort: Wenig überraschend: Betrüger mit recht simplen, monetären Motiven. Es ist davon auszugehen, dass es sich längst nicht mehr um eine einzelne Gruppe von Angreifern handelt, sondern sich mehrere Banden einfach desselben Tricks in immer neuer Abwandlung bedienen – und dabei alle voneinander lernen.

Frage: Woher haben diese eigentlich die Telefonnummer und oft sogar den Namen ihrer Opfer?

Antwort: Ohne direkten Einblick in die Aktivitäten der Kriminellen ist das natürlich schwer mit vollständiger Sicherheit zu sagen. Aber üblicherweise stellen frühere Datenlecks den Ausgangspunkt für solche Attacken dar. So wurden etwa bei Facebook vor einiger Zeit bekanntermaßen 500 Millionen Namen und Telefonnummern abgegriffen. Aber auch andere Hacks dürften hier einfließen. Die wertvollste Quelle ist aber ohnehin eine andere: das Adressbuch der Opfer. Das heißt, die Schadsoftware sammelt auch gleich die am Gerät gespeicherten Kontakte ein, um diese dann in Zukunft von allerlei Geräten mit SMS zu beschicken.

Frage: Moment mal. Wenn die SMS von infizierten Smartphones kommen, wieso empfiehlt die Telekombehörde RTR dann immer wieder, die Absender zu melden?

Antwort: Sagen wir es mal so: Das ist eine gute Frage. Tatsächlich ist das ein begrenzt sinnvoller Tipp. Natürlich kann man etwa über das Blockieren am Smartphone verhindern, dass dann solch eine Fake-SMS zweimal vom selben Gerät kommt – aber ganz ehrlich: Das passiert sehr selten. Und ob es sich für die Meldung eines Geräts an die RTR auszahlt, ein umständliches Formular auszufüllen, damit die Mobilfunker etwas erfahren, was sie eigentlich ohnehin selbst erkennen sollten – also ein infiziertes Gerät –, ist mehr als zweifelhaft. Auf direkte Nachfrage bestätigt das denn auch die RTR, die Blockade einzelner Nummern sei eher bei anderen unerfreulichen Phänomenen des Mobiltelefonalltags, etwa Ping-Anrufen, sinnvoll. (Andreas Proschofsky, 14.12.2021)