Symbolbild Polizei
Symbolbild Polizei

Bei der Polizei gehen vermehrt Hinweise und Strafanzeigen bezüglich einer neuen, ungewöhnlichen Betrugsmasche ein. Mehrere Smartphone-Nutzer bekamen eine SMS mit einem Link.

Der Inhalt der Nachricht lautet so oder ähnlich:

„Ihr Paket wurde verschickt. Bitte überprüfen und akzeptieren Sie es. http://v…..jxgt.duckdns.org“

Diese Vorgehensweise wird neuerdings als smishing bezeichnet, ein Kunstwort zusammengesetzt aus SMS und dem englischen Wort phishing

Empfänger, welche auf den Link geklickt haben, berichten, dass eine Software nachgeladen wurde und kurz danach über den Tag verteilt mehrere hunderte SMS von verschiedenen Rufnummern zugestellt wurden, die alle die gleiche Nachricht enthielten. Ggf. wurden andere Links gezeigt, die bisher alle auf duckdns.org endeten.

Diese Nachricht stammt von keinem echten Transportdienstleister. Die Täter nutzen scheinbar derzeit die Corona-Pandemie aus, in der viel online bestellt wird. So ist es sehr wahrscheinlich, auf Personen zu treffen, die einer solchen SMS glauben, da Sie selbst Pakete erwarten.

Ermittlungen haben ergeben, dass es sich bei dem Anhang um Schadsoftware (z.B. „MoqHao“) handelt, die u.a. SMS und MMS senden/empfangen kann, sowie eine Fernsteuerung und Ausspähung des Smartphones zulässt. Auch die Teilnahme an einem Botnetz ist durch die Infektion möglich. Botnetze sind ein Zusammenschluss verschiedener „Computer“ (PC, Smartphone, Smarte Geräte…) die durch die Schadsoftware als Gesamtnetzwerk missbräuchlich von Tätern benutzt und gesteuert werden können (z.B. für Spamversand, Angriffe auf IT-Strukturen usw.). Auch eine Übernahme des Google-Accounts kann nicht ausgeschlossen werden. Damit könne dann ggf. auch die Zwei-Faktor-Authentifizierung überwunden werden.

Aktuelle Erkenntnisse zeigen, dass sich die Schadsoftware als Chrome-Browser ausgibt und sogar das bekannte App-Symbol darstellt. Nach der Installation werden wie sonst üblich die Rechte der Nutzung auf dem Smartphone über den Benutzer eingeholt (z.B. Zugriff auf Adressbuch).

Untersuchungen zeigten aber, dass hier die Schadsoftware diese Rechte und noch weitere tiefgreifende Rechte (z.B. SMS Versand) selber einräumt.

Mögliche Quellen für die Herkunft der Empfängerrufnummern:

1. Die durch die Schadsoftware benutzten Nummern stammen aus früheren Angriffen.

2. Die Schadsoftware greift auf die Kontaktdaten eines infizierten Gerätes zu und nutzt dann diese Rufnummern. Eine Weitergabe dieser Kontakte und auch spätere neue Nutzung ist denkbar.

3. Die Rufnummer werden zufällig generiert.

Woher diese Nummer stammen, ob dies beabsichtigt war oder ein Programmierfehler in der geladenen App, ist derzeit nicht ganz klar. Bei den Rufnummern kann es sich auch um die Nummern anderer Mobilfunkteilnehmer handeln, deren Smartphones nach einer Infektion nun diese SMS verbreiten. Auch andere Vorwahlen sind inzwischen aufgetaucht. Betroffen sind Mobilfunkteilnehmer im gesamten Bundesgebiet.

Inzwischen sind weitere, nicht abschließende Versionen der SMS aufgetaucht. Diese beinhalten den Text (Fehler inklusive):

„Das Paket wurde zugestellt…“,

„Ihr Paket kommt an, verfolgen Sie es hier…“, „Um Ihre Nachricht anzuzeigen klicken Sie hier“, „Der Artikel, den Sie gekauft haben, wurde geliefert. Bitte überprüfen und akzeptieren Sie es“, „Ihr DHL Packung ist geliefert, verfolgen Sie online über: „, „Ihr Parket ist in der Warteschlange. Versand bestatigen:“ „Liebe/r… , Ihre Bestellung ist verschickt! Lieferung nachverfolgen:“ „…um diese nachricht zu lesen klicken sie bitte hier https…“ ‚“hallo …….. D2 ihre packung wurde geliefert klicken sie https…“ (Hier greifen die Täter auf Namen der Adressbücher zurück, siehe nachfolgender Abschnitt) „Mm ihr paket …..“ „Ihr paket wird heute zum Absender zuruckgesendet. Letzte Moglichkeit es abzuholen…“ „Die von Ihnen gekaufte Ware wurde versendet. Bitte uberprufen Sie die Details…“ „Hallo Mn, Ihr Paket steht noch aus. Bestatigen Sie Ihre Angaben hier:…. Deutsche Post“ „Um Ihre Nachricht anzuzeigen, klicken Sie hier:…“ „Die von Ihnen gekaufte Ware wurde geliefert, bitte rechtzeitig einchecken. “

Zudem enthalten die SMS einen Link mit der Endung „…tinyurl.com“, „…duckdns.org“ oder anderen Dienstanbietern. Diverse weitere Links, sogar mit deutlich erkennbaren Domainnamen zu offensichtlich gehackten Webseiten, sind im Umlauf.

Weiterhin gibt es Meldungen, dass der SMS Text eine persönliche Ansprache (z.B. mit Vornamen) enthält. Einige Nutzer berichten, dass es auch Spitznamen oder Namenszusätze/Ergänzungen sind, die auf ein vorheriges Abgreifen der Daten von Telefonbüchern aus bereits befallenen Smartphones anderer Geschädigter hindeuten. Auch anderssprachige Versionen (z.B. türkisch, ungarisch, französisch, koreanisch) seien bereits im Umlauf. Die Täter ändern offensichtlich regelmäßig den Nachrichtentext und die URL-Shortener-Dienste, um so bei den Providern eingerichtete Spamfilter zu umgehen.

Maßnahmen, die Sie machen können, wenn Sie eine solche SMS bekommen haben:

Klicken Sie auf keinen Fall auf Links, die Ihnen von unbekannter Seite und unerwartet zugestellt werden. Sollten Sie den Absender tatsächlich kennen, fragen Sie auf alternativem Weg nach, was sich hinter dem Link verbirgt und ob der Versand beabsichtigt war.

Bestätigen Sie keine Installation von fremden Apps auf Ihrem Smartphone. Besonders Android-Geräte sind hier gefährdet, da diese bei ungünstiger Einstellung eine Fremdinstallation und somit auch schädliche Apps zulassen.

Deaktivieren Sie bei Android die Möglichkeit, unbekannte Apps installieren zu können. Ggf. ist in Ihrer Android-Version diese Funktion nicht mehr im Sicherheitsbereich zu finden. Geben Sie unter Einstellungen in der Suche „unbek“ an.

Möglicherweise werden Sie nun in den Bereich „Unbekannte Apps installieren“ geführt, bei denen Sie einzelnen Apps diese Erlaubnis erteilen oder noch besser entziehen können. Ohne diese Erlaubnis können keine fremden Apps (also alles außerhalb des originalen App-Stores) installiert werden.

Je nach Android und Smartphone kann diese Einstellung anders sein.

Richten Sie unbedingt bei Ihrem Mobilfunkprovider die Drittanbietersperre ein, um weitere Kosten zu vermeiden. Diese kann kostenlos über den jeweiligen Service gebucht werden.

iOS Nutzer könnten mit dieser SMS inzwischen auch Probleme bekommen. Apps können zwar nicht einfach so installiert werden, dennoch raten wir von einem Anklicken des Links ab. Durch eine aktuell bestehende Sicherheitslücke in WebKit besteht für iOS Nutzer die Gefahr, dass über einen manipulierten Link Apple Geräte kompromittiert werden können. Es wird dringend zum Update auf iOS 14.4.2 vom 26.03.2021 geraten.

Wenn Sie eine oder ein paar wenige SMS (wie oben dargestellt) bekommen haben, dann muss es nicht bedeuten, dass Sie bereits die Schadsoftware installiert haben. Die Täter versuchen durch diese SMS ihre Schadsoftware, u.a. auch über die bereits infizierten Smartphones anderer Personen weiterzuverbreiten.

Solange Sie unter Android den Link nicht angeklickt haben und die App installiert haben, ist Ihnen noch nichts passiert. Wichtig dabei ist, dass Sie die Installation von unbekannten Apps deaktiviert haben (siehe weiter oben).

Wenn Ihnen die Anzahl der eingehenden SMS zu viel wird, dann prüfen Sie, ob Sie in Ihren Smartphone Einstellungen eine SMS-Spam-Filter aktivieren können. Ggf. müssen Sie für Ihr Gerät und Softwareversion nach einer passenden Anleitung im Internet suchen. So können einige Smartphones die Anrufe auf z.B. nur Telefonbucheinträge beschränken.

Wenn Sie bereits geklickt, installiert und die SMS nun massenhaft bekommen/ggf. selber versenden

Schalten Sie Ihr Smartphone in den Flugmodus

Informieren Sie Ihren Provider

Richten Sie, wenn nicht bereits geschehen, die Drittanbietersperre ein

Prüfen Sie, ob durch die SMS bereits Kosten zu Ihrem Nachteil verursacht wurden. Ggf. können Sie einen Kostennachweis bereits beim Provider einholen/erfragen.

Starten Sie Ihr Smartphone im abgesicherten Modus und schauen Sie, welche Apps zuletzt/nicht bewusst von Ihnen installiert wurden. Diese Apps können Sie dann entfernen und das Smartphone neu starten. Die Möglichkeiten für den abgesicherten Modus können von Hersteller zu Hersteller abweichen.

Im schlimmsten Fall hilft nur die Zurücksetzung in den Auslieferungszustand.