Das steckt hinter den nervigen Post-SMS, die Tausende erhalten

Betrüger kennen kein Sommerloch. Derzeit erhalten Schweizerinnen und Schweizer wieder massenhaft Phishing-Textnachrichten aufs Handy. Die letzte grosse Welle war Anfang Jahr zu beobachten. Bei der aktuellen Smishing-Kampagne (Phishing per SMS) werden die betrügerischen Nachrichten erneut im Namen der Post verschickt.

In der Fake-Nachricht heisst es: Weil die Adresse unvollständig sei, könne die Sendung nicht zugestellt werden. Man soll daher die Adresse "innerhalb von zwölf Stunden über den untenstehenden Link" aktualisieren.

Die betrügerischen Nachrichten sehen beispielsweise so aus:

Der Betrug ist u. a. an der falschen Vorwahl, dem scharfen S (ß) und anhand des verdächtigen Links erkennbar. Google hat die Nachricht als Spam erkannt. (Source: Screenshot Watson)

Der angegebene Link führt auf eine perfekt gemachte Kopie der Post-Webseite. Dort soll man seine Adresse inklusive E-Mail-Adresse und Telefonnummer aktualisieren. Für die erneute Zustellung werde eine Servicegebühr fällig. Diese könne man bequem online per Kreditkarte bezahlen. Die Kriminellen haben es also auf die persönlichen Daten sowie die Kreditkartendaten abgesehen, um sich unrechtmässig zu bereichern.

Anders als bei früheren Phishing-SMS sind die verwendeten Links nicht mehr ganz so offensichtlich als Betrug erkennbar. Auch die Landesvorwahl +44 ähnelt der Schweizer Vorwahl +41. Bei früheren SMS war der Betrug viel leichter an exotischen Telefonnummern zu erkennen.

Die Kriminellen haben teils von SMS auf RCS-Nachrichten auf Android (siehe Screenshot) und iMessage auf dem iPhone umgestellt, um die SMS-Filter von Swisscom und Co. zu umgehen. (Source: Screenshot Watson)

Die Textnachricht mit dem Absender +44 dürfte von einem infizierten Smartphone eines anderen Opfers der Kriminellen stammen. Diese Person weiss vermutlich nicht, dass ihr Handy für den Phishing-Betrug missbraucht wird.

Warum erhalten so viele Menschen diese angebliche Post-SMS?

Swisscom, Sunrise und Salt nutzen SMS-Filter gegen betrügerische Phishing-SMS. Das Problem: Die Kriminellen umgehen diese Spamfilter der Mobilfunkprovider immer öfter. Hierzu versenden sie statt SMS seit einiger Zeit vermehrt iMessage-Nachrichten an iPhone-User oder RCS-Nachrichten – quasi der Nachfolger der SMS – an Android-Smartphones. Diese moderneren und von Apple und Google gepushten Textnachrichten werden von Swisscom und Co. nicht gefiltert bzw. können nicht blockiert werden, wenn sie wie iMessage oder WhatsApp verschlüsselt sind.

Smartphone-Hersteller wie Google versuchen daher betrügerische Chatnachrichten direkt auf dem Smartphone zu blockieren. Das funktioniert umso besser, je schneller die Phishing-Nachrichten von den Betroffenen gemeldet werden.

Googles Messages-App versucht verdächtige RCS-Nachrichten auf dem Endgerät zu erkennen und direkt in den Spam-Ordner zu verschieben. (Source: Screenshot Watson)

Auch die gefälschten Post-Webseiten wurden von Google im Chrome-Browser rasch blockiert.

Wer auf den Link klickt, erhält deshalb folgende Warnmeldung.

Google Chrome warnt vor den Phishing-Webseiten, sobald sie von den Usern gemeldet werden. (Source: Screenshot Watson)

Das Blockieren hilft nur temporär. Wird eine Phishing-Webseite gesperrt, bringt die Täterschaft postwendend eine neue online.

Phishing-Angriffe laufen grösstenteils automatisiert ab. Laut Kapo Zürich werden "Hunderte Personen gleichzeitig angeschrieben, damit die Erfolgsquote höher ausfällt." Für den Massenversand der SMS werden "sogenannte SMS-Gateways (Software oder Hardware) verwendet." Diese erlauben über Web-Anwendungen den grossflächigen Versand von Phishing-SMS aus dem Ausland.

Die Phishing-Betrüger legen sich also bei den Anbietern solcher SMS-Dienste einen Account an und können mit sogenannten Large Accounts ohne grosse Kosten mit einem Klick Tausende Schweizer Handynummern erreichen. Da Swisscom und Co. vor einigen Jahren mit SMS-Filtern auf die Spam-Flut reagiert haben, weichen die Kriminellen auf RCS-Nachrichten, iMessage oder WhatsApp aus.

Solche Phishing-Kampagnen per Textnachrichten aufs Handy nehmen weltweit zu, da sie sich mit relativ einfacher Infrastruktur und ohne Expertenwissen durchführen lassen. Zudem können mit KI-Tools beliebige Variationen von Textnachrichten und Fake-Webseiten in diversen Sprachen schnell und fehlerfrei erstellt werden.

Was soll ich tun, wenn ich eine verdächtige Nachricht erhalte?

"Man muss in erster Linie gut prüfen, ob die Telefonnummer des Absenders Sinn macht, die Sprache richtig ist und ob ein valider Absendername draufsteht", sagt die Post.

Grundsätzlich gilt: Die Post fragt ihre Kundinnen und Kunden nie per E-Mail, SMS oder Telefon nach persönlichen Sicherheitselementen wie Passwörtern oder Kreditkartenangaben.

Besonders wichtig: Links unbedingt überprüfen, bevor man draufklickt. Sicherheits-Experte Daniel Stirnimann von der Stiftung Switch, die für den Betrieb und die Sicherheit der Schweizer Internetadressen verantwortlich ist, hat dafür einen Tipp: "Ein einfacher Tipp ist, bei einer verdächtigen Nachricht vorerst nichts zu unternehmen und z. B. mindestens 24 Stunden zu warten. Die meisten Phishing-Seiten sollten nach 24 Stunden blockiert sein. Alternativ wenden sich Betroffene telefonisch an das Unternehmen und erkundigen sich über die Echtheit der Nachricht."

Wer auf Nummer sicher gehen will, ruft die Webseite der Post oder des jeweiligen Paketdienstes im Browser direkt auf, um die Sendungsverfolgung einzugeben und den Status des Paketes zu prüfen.

Wer steckt hinter dieser Betrugsmasche?

Alle weiteren Informationen finden Sie in diesem Artikel.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.