Darum gehts
- Betrüger versenden gefälschte Paketnachrichten über neue Kanäle wie iMessage und RCS
- Täuschend echte Fake-Websites fordern sensible Daten für angebliche Zustellgebühren an
- Das Bundesamt für Cybersicherheit meldet starke Häufung von Phishing-Versuchen
«Zustellung unmöglich!» – so oder ähnlich beginnen zurzeit zahlreiche Nachrichten, angeblich von der Schweizer Post oder von DPD. Doch sie stammen von Betrügern. Die Masche ist alt, aber das Bundesamt für Cybersicherheit (Bacs) meldet eine starke Häufung von Phishing-Versuchen dieser Art in den vergangenen Tagen.
Die Cyberkriminellen weichen dabei auf weitere Kanäle aus: Apples iMessage und den Android-Dienst RCS. In beiden Fällen laufen die Nachrichten über die Standard-App aufs Handy. Anders als beim klassischen SMS sind iMessage und RCS Ende-zu-Ende-verschlüsselt. Eigentlich ein Vorteil für die Privatsphäre. Genau das nutzen die Cyberkriminellen aus. Denn Mobilfunkanbieter können die Nachrichten so nicht prüfen. Sie landen ungefiltert auf den Handys.
Neue Kanäle, alte Masche
Statt einer anonymen Nummer erscheint als Absender ein Name, zum Beispiel «Post Zustell-Info», da die Betrüger potenzielle Opfer einer Gruppe hinzufügen. «Dies wirkt legitimer als eine simple Nachricht von einer unbekannten ausländischen Nummer und senkt die Hemmschwelle», so das Bacs. Und um die eingebauten Schutzmechanismen der Telefone auszuhebeln, fordern die Absender zudem eine Antwort mit «Y» auf ihre Nachricht. Dies wird vom System als Vertrauensbeweis interpretiert, woraufhin der bösartige Link erst aktiv wird. Besonders perfide: «Die Angreifer bringen ihre Opfer dazu, die eigene Sicherheit auszuschalten», warnt das Bacs.
Wer dann auf den Link klickt, landet auf täuschend echten Fake-Websites der Post oder DPD. Da werden Kreditkartendaten oder Login-Infos verlangt, angeblich für eine Gebühr zur erneuten Zustellung. Spätestens hier sollten alle Alarmglocken schrillen.
Die Täter bedienen sich altbekannter Tricks, nur noch raffinierter. Die gesamte Kampagne ist auf psychologische Manipulation ausgelegt. Die Betrüger setzen auf das Autoritätsprinzip, erklärt das Bacs: bekannte Marken, vertraute Logos. Und sie erzeugen Zeitdruck: «Zustellung fehlgeschlagen», «innerhalb von 24 Stunden reagieren». Wer im Stress ist, denkt weniger nach und tappt leichter in die Falle.
So schützt du dich
Das Bacs rät, bei Paketnachrichten grundsätzlich misstrauisch zu sein, selbst dann, wenn man tatsächlich auf eine Lieferung wartet. Links in solchen Mitteilungen sollten niemals geöffnet werden. Ebenso wenig soll man auf die Nachrichten antworten, auch nicht mit «STOP», da dies den Betrügern signalisiert, dass die eigene Nummer aktiv ist. Am besten löscht man die Nachricht sofort und blockiert die Absendernummer.
Wer eine Sendung überprüfen will, soll die offizielle Webseite von Post oder DPD manuell im Browser aufrufen und dort die Sendungsnummer eingeben. Wichtig ist zudem, Betriebssystem und Apps stets aktuell zu halten und beim Mobilfunkanbieter eine Drittanbietersperre zu aktivieren, um Abofallen zu vermeiden. Wer bereits Daten preisgegeben hat, soll sein Finanzinstitut kontaktieren, Karten sperren lassen und Anzeige bei der Polizei erstatten. Die beste Abwehr: misstrauisch bleiben und niemals Links antippen.