{"id":278836,"date":"2023-03-19T00:28:00","date_gmt":"2023-03-18T23:28:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=278836"},"modified":"2023-03-18T11:35:42","modified_gmt":"2023-03-18T10:35:42","slug":"lka-warnung-vor-sms-phishing-wegen-gescheiterter-dhl-paketzustellung-mrz-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/03\/19\/lka-warnung-vor-sms-phishing-wegen-gescheiterter-dhl-paketzustellung-mrz-2023\/","title":{"rendered":"LKA-Warnung vor SMS-Phishing wegen gescheiterter DHL-Paketzustellung (M&auml;rz 2023)"},"content":{"rendered":"<p><img decoding=\"async\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" width=\"200\" align=\"left\"\/>Es ist eigentlich ein alter Hut, aber die Masche wird immer noch ausgenutzt. Ein Opfer bekommt einen SMS, in der die Betr\u00fcger im Namen von DHL behaupten, dass eine Paketzustellung wegen eines Fehlers gescheitert sei. Netterweise ist ein Link in der SMS dabei, um dieses \"Missverst\u00e4ndnis\" zu kl\u00e4ren und die Zustellung zu erm\u00f6glichen. Das ist aber eine Phishing-SMS, bei der die Cyberkriminellen entweder Daten der Opfer erbeuten oder Malware auf die Smartphones der Leute installieren wollen. Das LKA-Niedersachen warnt aktuell vor der Masche, behauptet aber, dass die Ziel-Phishing-Seite nicht mehr erreichbar sei. Ich habe mir mal den Screenshot der SMS angesehen und das Ziel analysiert (die T\u00e4ter haben einen Tippfehler in der SMS gemacht, die Phishing-Infrastruktur war beim gestrigen Verfassen dieses Blog-Beitrags nach wie vor aktiv).<\/p>\n<p><!--more--><\/p>\n<h2>Warnung des LKA-Niedersachsen<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg09.met.vgwort.de\/na\/1c284cba84e447a782f583731d000f79\" width=\"1\" height=\"1\"\/>Die letzten Tage habe ich weniger an solchen Spam-Nachrichten in meinen SPAM-Ordnern der E-Mail-Postf\u00e4cher gefunden. Aber es scheint, dass die Masche wieder verst\u00e4rkt auf Besitzer von Smartphones zielt. Jedenfalls <a href=\"https:\/\/www.polizei-praevention.de\/aktuelles\/fehler-bei-paketzustellung-per-sms-gemeldet.html\" target=\"_blank\" rel=\"noopener\">warnt das LKA NIedersachsen<\/a> vor der neuen SMS-Phishing-Masche, bei der den Opfern dann eine SMS mit dem folgenden Inhalt oder \u00e4hnliches zugeht:<\/p>\n<blockquote>\n<p>\"Dhl: Bei der Zustellung Ihres Pakets ist ein Fehler aufgetreten. Um die Zustellung zu best\u00e4tigen, gehen Sie bitte auf : parcel-delivered.com\"<\/p>\n<\/blockquote>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"SMS-Phishing wegen gescheiterter DHL-Paketzustellung\" alt=\"SMS-Phishing wegen gescheiterter DHL-Paketzustellung\" src=\"https:\/\/i.imgur.com\/yZHn2F7.png\" width=\"420\" height=\"425\"\/><\/p>\n<p>Das LKA schreibt, dass solche SMS mit vergleichbaren Texten und Links keine Seltenheit seien. Immer wieder versuchen Cyberkriminelle in Zeiten von Onlineshopping ihre Opfer mit einer solchen Nachricht zum Anklicken zu animieren. Was dann passiert, h\u00e4ngt vom jeweiligen Einzelfall ab. <\/p>\n<ul>\n<li>Es gibt SMS-Phishing-Versuche, wo die T\u00e4ter pers\u00f6nliche Daten des Opfers erbeuten wollen. Ich hatte auch schon \u00fcber Abo-Fallen berichtet, in die die Opfer gelockt werden sollten (siehe <a href=\"https:\/\/borncity.com\/blog\/2019\/11\/24\/vorsicht-abofalle-per-sms-dhl-paket-info-de-sam32013\/\">Vorsicht! Abofalle per SMS (DHL Paket Info DE-SAM32013)<\/a>).  <\/li>\n<li>Es gibt aber auch F\u00e4lle, wo Malware \u00fcber einen Link auf die Smartphones der unvorsichtigen Opfer geschoben wird. Das kann z.B. \u00fcber einen Hinweis erfolgen, sich die unter einem Link angegebene App zu installieren.<\/li>\n<\/ul>\n<p>Ich hatte solche Beispiele hier im Blog und es haben sich Opfer gemeldet. Ich kenne solche F\u00e4lle auch aus dem Bekanntenkreis, wo Malware statt der vermeintlichen DHL-Zustell-App installiert wurde. <\/p>\n<h3>Fehlschluss des LKA-Kriminalisten<\/h3>\n<p>Das LKA-Niedersachsen schreibt in seiner <a href=\"https:\/\/www.polizei-praevention.de\/aktuelles\/fehler-bei-paketzustellung-per-sms-gemeldet.html\" target=\"_blank\" rel=\"noopener\">Warnung<\/a>: <em>Wer dem Link aus unserem Beispiel folgt, landet aktuell auf einer nicht erreichbaren Seite. Offenbar wurde die Seite bereits abgeschaltet oder die T\u00e4ter haben die SMS zu fr\u00fch verschickt. Somit w\u00e4re aktuell nichts passiert. <\/em><\/p>\n<p>Vermutlich hatte der Verfasser der LKA-Warnung keine sehr guten Internet-Kenntnisse. Denn beim Link aus obigem Screenshot <em>parcel-delivered[dot]4com<\/em> kann der Seitenaufruf auch nicht funktionieren, da es keine <em>.4com<\/em>-TLD gibt. <\/p>\n<p>Dennoch sollte man auf Smartphones und Computern solchen Links nicht folgen, ist der Ratschlag des LKA und auch von mir. Eine besondere Vorsicht gilt bei sogenannten Short-Links, da diese durch URL-Shortener so gek\u00fcrzt wurden, so dass das eigentliche Ziel nicht erkennbar ist. <\/p>\n<p>Denn Links aus solchen SMS f\u00fchren in der Regel auf Phishing-Seiten, wo es den T\u00e4tern u.a. um pers\u00f6nliche Daten (Identit\u00e4tsdiebstahl, Daten f\u00fcr Spam, Phishing\u2026), um Zahlungsdaten (z.B. angeblich m\u00fcssen Zoll-\/Portgogeb\u00fchren nachbezahlt werden) oder um die Verbreitung von Schadsoftware (Auslesen weiterer Daten\/Manipulation von Smartphones, Computern, etc.<\/p>\n<h3>Es ist eine klassische Phishing Seite<\/h3>\n<p>Ich war ja neugierig, als ich obigen Screenshot mit dem Link gesehen habe. L\u00f6scht man die Ziffer 4 aus der URL <em>parcel-delivered[dot]4com<\/em> sieht die Sache dagegen anders aus &#8211; man landet weiterhin auf einer Phishing-Seite, die wie in folgendem Bild aussieht (bitte aus Sicherheitsgr\u00fcnden nicht selbst nachmachen).<\/p>\n<p><img decoding=\"async\" title=\"DHL-Phishing-Seite\" alt=\"DHL-Phishing-Seite\" src=\"https:\/\/i.imgur.com\/HqaoDfC.png\"\/><\/p>\n<p>Es wird zwar so etwas wie eine DHL-Seite zur Sendungsverfolgung unter der URL angezeigt &#8211; aber die fremdsprachigen Meldungen zur Cookie-Zustimmung sollten deutsche DHL-Phishing-Opfer bereits stutzig machen. <\/p>\n<blockquote>\n<p>Die LKA-Warnung stammt vom 14. M\u00e4rz 2023 &#8211; ich habe den Blog-Beitrag am 18. M\u00e4rz 2023 auf Vorrat f\u00fcr den 19. M\u00e4rz 2023 verfasst. Trotz der Warnung des LKA ist die Webseite immer noch nicht abgeschaltet. <\/p>\n<\/blockquote>\n<p>Pr\u00fcft man das SSL-Zertifikat dieser Seite im Browser, wurde dieses von LetsEncrypt f\u00fcr den Zeitraum vom&nbsp; 08.03.2023 bis zum 06.06.2023 ausgestellt &#8211; also gerade einmal drei Monate g\u00fcltig. Auch dies ist ein Indiz, dass die DHL der deutschen Post nicht hinter dieser Seite stehen kann. Ich habe am 18. M\u00e4rz 2023 dann <em>virustotal.com<\/em> nach der betreffenden URL befragt und erhielt <a href=\"https:\/\/www.virustotal.com\/gui\/url\/136755786d00c5db958e00f2f4993a5b0972b0e9283cd5c9375217dea2d75d35\" target=\"_blank\" rel=\"noopener\">folgendes Ergebnis<\/a>. <\/p>\n<p><img decoding=\"async\" title=\"DHL-Phishing-Seite auf VirusTotal\" alt=\"DHL-Phishing-Seite auf VirusTotal\" src=\"https:\/\/i.imgur.com\/6irxE82.png\"\/><\/p>\n<p>Immerhin sechs von 31 Scannern melden die betreffende Seite als sch\u00e4dlich (Verbreitung von Malware) oder als Phishing-Seite. Die Phishing-Seite wurde erstmals am 21. Februar 2023 auf VirusTotal gemeldet und untersucht. <\/p>\n<h2>Das sollte man wissen<\/h2>\n<p>Wer auf ein Paket wartet, sollte nicht auf solche Phishing-Versuche (egal oder SMS oder Mail) hereinfallen. Online-Shops versenden in der Regel eine Bestellbest\u00e4tigung sowie Auslieferungsnachrichten zusenden bzw. im Kundenbereich des Shops angezeigt werden. Vor allem wird dort eine passende Sendungsnummer zur Paketverfolgung f\u00fcr die verwendeten Transportunternehmen genannt. <\/p>\n<p>Die g\u00e4ngigen Transportanbieter haben auf Ihrer Webseite oder in den zugeh\u00f6rigen Apps ebenfalls die M\u00f6glichkeit einer Sendungsverfolgung. Im Falle von DHL (wie in obiger SMS) findet sich die Sendungsverfolgung auf der offiziellen DHL-Seite unter:<\/p>\n<p><a href=\"https:\/\/www.dhl.de\/de\/privatkunden\/dhl-sendungsverfolgung.html\" target=\"_blank\" rel=\"noopener\">https:\/\/www.dhl.de\/de\/privatkunden\/dhl-sendungsverfolgung.html<\/a><\/p>\n<p>Dort ist dann die vom Shop genannte Sendungsnummer anzugeben, um den Status der Paketzustellung einzusehen. Sind Sie auf eine solche SMS oder Mail hereingefallen und sind dem Link gefolgt? Da die Links und die Inhalte hinter solchen Links unterschiedlich sein k\u00f6nnen, und auch unterschiedliche Ger\u00e4te (Android, iOS, PCs) im Einsatz sind, lassen sich keine konkreten Handlungsanweisungen geben, wie weiter zu verfahren ist. <\/p>\n<p>Wurde etwas installiert oder wurden pers\u00f6nliche Daten auf den Phishing-Seiten eingegeben? Dann bleibt nur die \u00dcberpr\u00fcfung der Ger\u00e4te auf Schadsoftware mit einer ggf. erforderlichen S\u00e4uberung (l\u00e4uft auf Zur\u00fccksetzen oder Neuinstallation hinaus) &#8211; ggf. durch Fachleute. Wurden pers\u00f6nliche Daten angegeben, gilt es ggf. Zugangsdaten von betroffenen Online-Konten zu \u00e4ndern, bei Bank- und Kreditkartendaten die Konten auf Missbrauch im Auge zu behalten und ggf. Anzeige bei der Polizei zu erstatten. Zudem sollte der betreffenden Bank deren Kontendaten angegeben wurden, mitgeteilt werden. <\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/11\/24\/vorsicht-abofalle-per-sms-dhl-paket-info-de-sam32013\/\">Vorsicht! Abofalle per SMS (DHL Paket Info DE-SAM32013)<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2020\/04\/18\/verbraucherschutz-warnt-vor-abofalle-per-fake-dhl-info\/\">Verbraucherschutz warnt vor Abofalle per Fake-DHL-Info<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2022\/11\/24\/betrug-gre-von-dhl-wegen-regionaldirektion-fr-zoll-und-indirekte-abgaben-nov-2022\/\">Betrug: Gr\u00fc\u00dfe von DHL wegen \"Regionaldirektion f\u00fcr Zoll und indirekte Abgaben\" (Nov. 2022)<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/04\/23\/smishing-warnung-vor-abzock-welle-mit-paket-sms\/\">Smishing: Warnung vor Abzock-Welle mit Paket-SMS<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2020\/10\/04\/vorsicht-wieder-dhl-phishing-mit-zollabfertigungsgebhr\/\">Vorsicht: Wieder DHL-Phishing mit Zollabfertigungsgeb\u00fchr<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2022\/05\/31\/nchste-rund-flubot-banking-malware-mai-2022\/\">N\u00e4chste Runde: FluBot-Banking-Malware (Mai 2022)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Es ist eigentlich ein alter Hut, aber die Masche wird immer noch ausgenutzt. Ein Opfer bekommt einen SMS, in der die Betr\u00fcger im Namen von DHL behaupten, dass eine Paketzustellung wegen eines Fehlers gescheitert sei. Netterweise ist ein Link in &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/03\/19\/lka-warnung-vor-sms-phishing-wegen-gescheiterter-dhl-paketzustellung-mrz-2023\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-278836","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278836","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=278836"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278836\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=278836"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=278836"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=278836"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}