Achtung vor vermeintlichen Paket-SMS

Bundesamt für Sicherheit in der Informationstechnik Achtung vor vermeintlichen Paket-SMS

Seit Wochen erhalten Nutzerinnen und Nutzer von Handys SMS-Nachrichten, die zum Klicken eines Links auffordern – zum Beispiel weil angeblich ein Paket zur Auslieferung bereitliegt. Das Bundesamt für Sicherheit in der Informationstechnik warnt davor. Hinter dem Link kann sich eine Schadsoftware verbergen.

Ein Handy und eine SMS mit vermeintlicher Paketankündigung.

Das Bundesamt für Sicherheit in der Informationstechnik warnt vor aktuellem SMS-Phishing.

Foto: Bundesregierung/Stutterheim

„Ihr Paket wird heute zum Absender zurückgesendet. Letzte Möglichkeit es abzuholen“ – SMS-Nachrichten wie diese gehen seit Wochen vermehrt bei Nutzerinnen und Nutzern von Smartphones ein. Manche von ihnen enthalten sogar eine persönliche Anrede. Das Bundesamt für Sicherheit in der Informationstechnik warnt vor den SMS – und vor allem davor, angefügte Links anzuklicken, denn diese führen zu manipulierten Internetseiten. Über diese wird dann unter anderem versucht, schädliche Inhalte auf das Endgerät zu bringen oder auf andere Weise sensible Daten abzugreifen.

Betrüger nutzen Namen bekannter Logistikunternehmen

Bei dem Phänomen handelt es sich laut BSI um sogenanntes „Smishing“ – eine Wortschöpfung aus den Begriffen SMS (Kurznachrichten) und Phishing (Diebstahl von Zugangsdaten über gefälschte Nachrichten oder E-Mails). Hinter dem Link verberge sich in den meisten aktuell beobachteten SMS-Nachrichten das Android-Schadprogramm „FluBot“, das seit etwa November 2020 im Umlauf ist, so das BSI.

Android-Nutzerinnen und -Nutzer bekommen über den Link die schädliche „FluBot“-App zum Download angeboten. Dabei tarnen die Kriminellen die Schadsoftware als eine für die Paketverfolgung angeblich notwendige App von bekannten Logistikunternehmen wie FedEx oder DHL. Nutzerinnen und Nutzer von Apple iOS landen in der Regel auf Werbe- oder Phishing-Seiten.

Was kann ich tun?

Das BSI rät, nicht auf den Link zu klicken und die Nachricht umgehend zu löschen. Zudem sei es wichtig, Geräte zu aktualisieren und immer mit den aktuellen Sicherheitsupdates der Hersteller zu versorgen – egal ob Android- oder iOS-Gerät. Apps sollten nur aus vertrauenswürdigen App-Stores installiert werden.

Wer schon auf den Link geklickt hat, sollte laut BSI: 

  • Das Gerät aus dem Netz nehmen, zum Beispiel über den Flugmodus.
  • Seinen Mobilfunkanbieter informieren.
  • Sein Bankkonto beziehungsweise seinen Zahlungsdienstleister auf Abbuchungen überprüfen.
  • Strafanzeige bei der Polizei erstatten.
  • Sein Smartphone zum Schluss auf Werkeinstellungen zurücksetzen. Ohne erfolgtes Backup gehen so jedoch alle gespeicherten Inhalte verloren. Sofern Anzeige erstattet werden soll, sollte deren weitere Bearbeitung jedoch abgewartet und das Smartphone in dieser Zeit nicht benutzt werden.

Weitere Informationen finden Sie beim Bundesamt für Sicherheit in der Informationstechnik.