Ihr Broker

  • DAX 0,70
  • EUR/USD 0,50
  • GOLD 0,30

Nur Spreads

Keine Kommission

Jetzt registrieren

CFDs sind komplexe Instrumente und umfassen aufgrund der Hebelfinanzierung ein hohes Risiko, schnell Geld zu verlieren.

Polizei, Kriminalit?t

Fake SMS mit Paketbenachrichtigungslink

08.04.2021 - 13:08:15

Polizeidirektion Trier / Fake SMS mit Paketbenachrichtigungslink

Idar-Oberstein - Bei der KI Idar-Oberstein gehen vermehrt Hinweise und Strafanzeigen bez?glich einer neuen, ungew?hnlichen Betrugsmasche ein. Mehrere Smartphone-Nutzer bekamen eine SMS mit einem Link.

Der Inhalt der Nachricht lautet so oder ?hnlich:

"Ihr Paket wurde verschickt. Bitte ?berpr?fen und akzeptieren Sie es. http://v.....jxgt.duckdns.org"

Diese Vorgehensweise wird neuerdings als smishing bezeichnet, ein Kunstwort zusammengesetzt aus SMS und dem englischen Wort phishing

Empf?nger, welche auf den Link geklickt haben, berichten, dass eine Software nachgeladen wurde und kurz danach ?ber den Tag verteilt mehrere hunderte SMS von verschiedenen Rufnummern zugestellt wurden, die alle die gleiche Nachricht enthielten. Ggf. wurden andere Links gezeigt, die bisher alle auf duckdns.org endeten.

Diese Nachricht stammt von keinem echten Transportdienstleister. Die T?ter nutzen scheinbar derzeit die Corona-Pandemie aus, in der viel online bestellt wird. So ist es sehr wahrscheinlich, auf Personen zu treffen, die einer solchen SMS glauben, da Sie selbst Pakete erwarten.

Ermittlungen haben ergeben, dass es sich bei dem Anhang um Schadsoftware (z.B. "MoqHao") handelt, die u.a. SMS und MMS senden/empfangen kann, sowie eine Fernsteuerung und Aussp?hung des Smartphones zul?sst. Auch die Teilnahme an einem Botnetz ist durch die Infektion m?glich. Botnetze sind ein Zusammenschluss verschiedener "Computer" (PC, Smartphone, Smarte Ger?te...) die durch die Schadsoftware als Gesamtnetzwerk missbr?uchlich von T?tern benutzt und gesteuert werden k?nnen (z.B. f?r Spamversand, Angriffe auf IT-Strukturen usw.). Auch eine ?bernahme des Google-Accounts kann nicht ausgeschlossen werden. Damit k?nne dann ggf. auch die Zwei-Faktor-Authentifizierung ?berwunden werden.

Aktuelle Erkenntnisse zeigen, dass sich die Schadsoftware als Chrome-Browser ausgibt und sogar das bekannte App-Symbol darstellt. Nach der Installation werden wie sonst ?blich die Rechte der Nutzung auf dem Smartphone ?ber den Benutzer eingeholt (z.B. Zugriff auf Adressbuch).

Untersuchungen zeigten aber, dass hier die Schadsoftware diese Rechte und noch weitere tiefgreifende Rechte (z.B. SMS Versand) selber einr?umt.

M?gliche Quellen f?r die Herkunft der Empf?ngerrufnummern:

1. Die durch die Schadsoftware benutzten Nummern stammen aus fr?heren Angriffen.

2. Die Schadsoftware greift auf die Kontaktdaten eines infizierten Ger?tes zu und nutzt dann diese Rufnummern. Eine Weitergabe dieser Kontakte und auch sp?tere neue Nutzung ist denkbar.

3. Die Rufnummer werden zuf?llig generiert.

Woher diese Nummer stammen, ob dies beabsichtigt war oder ein Programmierfehler in der geladenen App, ist derzeit nicht ganz klar. Bei den Rufnummern kann es sich auch um die Nummern anderer Mobilfunkteilnehmer handeln, deren Smartphones nach einer Infektion nun diese SMS verbreiten. Auch andere Vorwahlen sind inzwischen aufgetaucht. Betroffen sind Mobilfunkteilnehmer im gesamten Bundesgebiet.

Inzwischen sind weitere, nicht abschlie?ende Versionen der SMS aufgetaucht. Diese beinhalten den Text (Fehler inklusive):

"Das Paket wurde zugestellt...",

"Ihr Paket kommt an, verfolgen Sie es hier...", "Um Ihre Nachricht anzuzeigen klicken Sie hier", "Der Artikel, den Sie gekauft haben, wurde geliefert. Bitte ?berpr?fen und akzeptieren Sie es", "Ihr DHL Packung ist geliefert, verfolgen Sie online ?ber: ", "Ihr Parket ist in der Warteschlange. Versand bestatigen:" "Liebe/r... , Ihre Bestellung ist verschickt! Lieferung nachverfolgen:" "...um diese nachricht zu lesen klicken sie bitte hier https..." '"hallo ........ D2 ihre packung wurde geliefert klicken sie https..." (Hier greifen die T?ter auf Namen der Adressb?cher zur?ck, siehe nachfolgender Abschnitt) "Mm ihr paket ....." "Ihr paket wird heute zum Absender zuruckgesendet. Letzte Moglichkeit es abzuholen..." "Die von Ihnen gekaufte Ware wurde versendet. Bitte uberprufen Sie die Details..." "Hallo Mn, Ihr Paket steht noch aus. Bestatigen Sie Ihre Angaben hier:.... Deutsche Post" "Um Ihre Nachricht anzuzeigen, klicken Sie hier:..." "Die von Ihnen gekaufte Ware wurde geliefert, bitte rechtzeitig einchecken. "

Zudem enthalten die SMS einen Link mit der Endung "...tinyurl.com", "...duckdns.org" oder anderen Dienstanbietern. Diverse weitere Links, sogar mit deutlich erkennbaren Domainnamen zu offensichtlich gehackten Webseiten, sind im Umlauf.

Weiterhin gibt es Meldungen, dass der SMS Text eine pers?nliche Ansprache (z.B. mit Vornamen) enth?lt. Einige Nutzer berichten, dass es auch Spitznamen oder Namenszus?tze/Erg?nzungen sind, die auf ein vorheriges Abgreifen der Daten von Telefonb?chern aus bereits befallenen Smartphones anderer Gesch?digter hindeuten. Auch anderssprachige Versionen (z.B. t?rkisch, ungarisch, franz?sisch, koreanisch) seien bereits im Umlauf. Die T?ter ?ndern offensichtlich regelm??ig den Nachrichtentext und die URL-Shortener-Dienste, um so bei den Providern eingerichtete Spamfilter zu umgehen.

Ma?nahmen, die Sie machen k?nnen, wenn Sie eine solche SMS bekommen haben:

Klicken Sie auf keinen Fall auf Links, die Ihnen von unbekannter Seite und unerwartet zugestellt werden. Sollten Sie den Absender tats?chlich kennen, fragen Sie auf alternativem Weg nach, was sich hinter dem Link verbirgt und ob der Versand beabsichtigt war.

Best?tigen Sie keine Installation von fremden Apps auf Ihrem Smartphone. Besonders Android-Ger?te sind hier gef?hrdet, da diese bei ung?nstiger Einstellung eine Fremdinstallation und somit auch sch?dliche Apps zulassen.

Deaktivieren Sie bei Android die M?glichkeit, unbekannte Apps installieren zu k?nnen. Ggf. ist in Ihrer Android-Version diese Funktion nicht mehr im Sicherheitsbereich zu finden. Geben Sie unter Einstellungen in der Suche "unbek" an.

M?glicherweise werden Sie nun in den Bereich "Unbekannte Apps installieren" gef?hrt, bei denen Sie einzelnen Apps diese Erlaubnis erteilen oder noch besser entziehen k?nnen. Ohne diese Erlaubnis k?nnen keine fremden Apps (also alles au?erhalb des originalen App-Stores) installiert werden.

Je nach Android und Smartphone kann diese Einstellung anders sein.

Richten Sie unbedingt bei Ihrem Mobilfunkprovider die Drittanbietersperre ein, um weitere Kosten zu vermeiden. Diese kann kostenlos ?ber den jeweiligen Service gebucht werden.

iOS Nutzer k?nnten mit dieser SMS inzwischen auch Probleme bekommen. Apps k?nnen zwar nicht einfach so installiert werden, dennoch raten wir von einem Anklicken des Links ab. Durch eine aktuell bestehende Sicherheitsl?cke in WebKit besteht f?r iOS Nutzer die Gefahr, dass ?ber einen manipulierten Link Apple Ger?te kompromittiert werden k?nnen. Es wird dringend zum Update auf iOS 14.4.2 vom 26.03.2021 geraten.

Wenn Sie eine oder ein paar wenige SMS (wie oben dargestellt) bekommen haben, dann muss es nicht bedeuten, dass Sie bereits die Schadsoftware installiert haben. Die T?ter versuchen durch diese SMS ihre Schadsoftware, u.a. auch ?ber die bereits infizierten Smartphones anderer Personen weiterzuverbreiten.

Solange Sie unter Android den Link nicht angeklickt haben und die App installiert haben, ist Ihnen noch nichts passiert. Wichtig dabei ist, dass Sie die Installation von unbekannten Apps deaktiviert haben (siehe weiter oben).

Wenn Ihnen die Anzahl der eingehenden SMS zu viel wird, dann pr?fen Sie, ob Sie in Ihren Smartphone Einstellungen eine SMS-Spam-Filter aktivieren k?nnen. Ggf. m?ssen Sie f?r Ihr Ger?t und Softwareversion nach einer passenden Anleitung im Internet suchen. So k?nnen einige Smartphones die Anrufe auf z.B. nur Telefonbucheintr?ge beschr?nken.

Wenn Sie bereits geklickt, installiert und die SMS nun massenhaft bekommen/ggf. selber versenden

Schalten Sie Ihr Smartphone in den Flugmodus

Informieren Sie Ihren Provider

Richten Sie, wenn nicht bereits geschehen, die Drittanbietersperre ein

Pr?fen Sie, ob durch die SMS bereits Kosten zu Ihrem Nachteil verursacht wurden. Ggf. k?nnen Sie einen Kostennachweis bereits beim Provider einholen/erfragen.

Starten Sie Ihr Smartphone im abgesicherten Modus und schauen Sie, welche Apps zuletzt/nicht bewusst von Ihnen installiert wurden. Diese Apps k?nnen Sie dann entfernen und das Smartphone neu starten. Die M?glichkeiten f?r den abgesicherten Modus k?nnen von Hersteller zu Hersteller abweichen.

Im schlimmsten Fall hilft nur die Zur?cksetzung in den Auslieferungszustand.

R?ckfragen bitte an:

Kriminalinspektion Idar-Oberstein Hauptstra?e 236 55743 Idar-Oberstein Tel.: 06781-561-0 Fax: 06781-561-2709 Email:kiidar-oberstein@polizei.rlp.de

Pressemeldungen der Polizei Rheinland-Pfalz sind unter Nennung der Quelle zur Ver?ffentlichung frei.

Weiteres Material: http://presseportal.de/blaulicht/pm/117698/4883944 Polizeidirektion Trier

@ presseportal.de