Es ist eigentlich ein alter Hut, aber die Masche wird immer noch ausgenutzt. Ein Opfer bekommt einen SMS, in der die Betrüger im Namen von DHL behaupten, dass eine Paketzustellung wegen eines Fehlers gescheitert sei. Netterweise ist ein Link in der SMS dabei, um dieses „Missverständnis“ zu klären und die Zustellung zu ermöglichen. Das ist aber eine Phishing-SMS, bei der die Cyberkriminellen entweder Daten der Opfer erbeuten oder Malware auf die Smartphones der Leute installieren wollen. Das LKA-Niedersachen warnt aktuell vor der Masche, behauptet aber, dass die Ziel-Phishing-Seite nicht mehr erreichbar sei. Ich habe mir mal den Screenshot der SMS angesehen und das Ziel analysiert (die Täter haben einen Tippfehler in der SMS gemacht, die Phishing-Infrastruktur war beim gestrigen Verfassen dieses Blog-Beitrags nach wie vor aktiv).
Warnung des LKA-Niedersachsen
Die letzten Tage habe ich weniger an solchen Spam-Nachrichten in meinen SPAM-Ordnern der E-Mail-Postfächer gefunden. Aber es scheint, dass die Masche wieder verstärkt auf Besitzer von Smartphones zielt. Jedenfalls warnt das LKA NIedersachsen vor der neuen SMS-Phishing-Masche, bei der den Opfern dann eine SMS mit dem folgenden Inhalt oder ähnliches zugeht:
„Dhl: Bei der Zustellung Ihres Pakets ist ein Fehler aufgetreten. Um die Zustellung zu bestätigen, gehen Sie bitte auf : parcel-delivered.com“
Das LKA schreibt, dass solche SMS mit vergleichbaren Texten und Links keine Seltenheit seien. Immer wieder versuchen Cyberkriminelle in Zeiten von Onlineshopping ihre Opfer mit einer solchen Nachricht zum Anklicken zu animieren. Was dann passiert, hängt vom jeweiligen Einzelfall ab.
- Es gibt SMS-Phishing-Versuche, wo die Täter persönliche Daten des Opfers erbeuten wollen. Ich hatte auch schon über Abo-Fallen berichtet, in die die Opfer gelockt werden sollten (siehe Vorsicht! Abofalle per SMS (DHL Paket Info DE-SAM32013)).
- Es gibt aber auch Fälle, wo Malware über einen Link auf die Smartphones der unvorsichtigen Opfer geschoben wird. Das kann z.B. über einen Hinweis erfolgen, sich die unter einem Link angegebene App zu installieren.
Ich hatte solche Beispiele hier im Blog und es haben sich Opfer gemeldet. Ich kenne solche Fälle auch aus dem Bekanntenkreis, wo Malware statt der vermeintlichen DHL-Zustell-App installiert wurde.
Fehlschluss des LKA-Kriminalisten
Das LKA-Niedersachsen schreibt in seiner Warnung: Wer dem Link aus unserem Beispiel folgt, landet aktuell auf einer nicht erreichbaren Seite. Offenbar wurde die Seite bereits abgeschaltet oder die Täter haben die SMS zu früh verschickt. Somit wäre aktuell nichts passiert.
Vermutlich hatte der Verfasser der LKA-Warnung keine sehr guten Internet-Kenntnisse. Denn beim Link aus obigem Screenshot parcel-delivered[dot]4com kann der Seitenaufruf auch nicht funktionieren, da es keine .4com-TLD gibt.
Dennoch sollte man auf Smartphones und Computern solchen Links nicht folgen, ist der Ratschlag des LKA und auch von mir. Eine besondere Vorsicht gilt bei sogenannten Short-Links, da diese durch URL-Shortener so gekürzt wurden, so dass das eigentliche Ziel nicht erkennbar ist.
Denn Links aus solchen SMS führen in der Regel auf Phishing-Seiten, wo es den Tätern u.a. um persönliche Daten (Identitätsdiebstahl, Daten für Spam, Phishing…), um Zahlungsdaten (z.B. angeblich müssen Zoll-/Portgogebühren nachbezahlt werden) oder um die Verbreitung von Schadsoftware (Auslesen weiterer Daten/Manipulation von Smartphones, Computern, etc.
Es ist eine klassische Phishing Seite
Ich war ja neugierig, als ich obigen Screenshot mit dem Link gesehen habe. Löscht man die Ziffer 4 aus der URL parcel-delivered[dot]4com sieht die Sache dagegen anders aus – man landet weiterhin auf einer Phishing-Seite, die wie in folgendem Bild aussieht (bitte aus Sicherheitsgründen nicht selbst nachmachen).
Es wird zwar so etwas wie eine DHL-Seite zur Sendungsverfolgung unter der URL angezeigt – aber die fremdsprachigen Meldungen zur Cookie-Zustimmung sollten deutsche DHL-Phishing-Opfer bereits stutzig machen.
Die LKA-Warnung stammt vom 14. März 2023 – ich habe den Blog-Beitrag am 18. März 2023 auf Vorrat für den 19. März 2023 verfasst. Trotz der Warnung des LKA ist die Webseite immer noch nicht abgeschaltet.
Prüft man das SSL-Zertifikat dieser Seite im Browser, wurde dieses von LetsEncrypt für den Zeitraum vom 08.03.2023 bis zum 06.06.2023 ausgestellt – also gerade einmal drei Monate gültig. Auch dies ist ein Indiz, dass die DHL der deutschen Post nicht hinter dieser Seite stehen kann. Ich habe am 18. März 2023 dann virustotal.com nach der betreffenden URL befragt und erhielt folgendes Ergebnis.
Immerhin sechs von 31 Scannern melden die betreffende Seite als schädlich (Verbreitung von Malware) oder als Phishing-Seite. Die Phishing-Seite wurde erstmals am 21. Februar 2023 auf VirusTotal gemeldet und untersucht.
Das sollte man wissen
Wer auf ein Paket wartet, sollte nicht auf solche Phishing-Versuche (egal oder SMS oder Mail) hereinfallen. Online-Shops versenden in der Regel eine Bestellbestätigung sowie Auslieferungsnachrichten zusenden bzw. im Kundenbereich des Shops angezeigt werden. Vor allem wird dort eine passende Sendungsnummer zur Paketverfolgung für die verwendeten Transportunternehmen genannt.
Die gängigen Transportanbieter haben auf Ihrer Webseite oder in den zugehörigen Apps ebenfalls die Möglichkeit einer Sendungsverfolgung. Im Falle von DHL (wie in obiger SMS) findet sich die Sendungsverfolgung auf der offiziellen DHL-Seite unter:
https://www.dhl.de/de/privatkunden/dhl-sendungsverfolgung.html
Dort ist dann die vom Shop genannte Sendungsnummer anzugeben, um den Status der Paketzustellung einzusehen. Sind Sie auf eine solche SMS oder Mail hereingefallen und sind dem Link gefolgt? Da die Links und die Inhalte hinter solchen Links unterschiedlich sein können, und auch unterschiedliche Geräte (Android, iOS, PCs) im Einsatz sind, lassen sich keine konkreten Handlungsanweisungen geben, wie weiter zu verfahren ist.
Wurde etwas installiert oder wurden persönliche Daten auf den Phishing-Seiten eingegeben? Dann bleibt nur die Überprüfung der Geräte auf Schadsoftware mit einer ggf. erforderlichen Säuberung (läuft auf Zurücksetzen oder Neuinstallation hinaus) – ggf. durch Fachleute. Wurden persönliche Daten angegeben, gilt es ggf. Zugangsdaten von betroffenen Online-Konten zu ändern, bei Bank- und Kreditkartendaten die Konten auf Missbrauch im Auge zu behalten und ggf. Anzeige bei der Polizei zu erstatten. Zudem sollte der betreffenden Bank deren Kontendaten angegeben wurden, mitgeteilt werden.
Ähnliche Artikel:
Vorsicht! Abofalle per SMS (DHL Paket Info DE-SAM32013)
Verbraucherschutz warnt vor Abofalle per Fake-DHL-Info
Betrug: Grüße von DHL wegen „Regionaldirektion für Zoll und indirekte Abgaben“ (Nov. 2022)
Smishing: Warnung vor Abzock-Welle mit Paket-SMS
Vorsicht: Wieder DHL-Phishing mit Zollabfertigungsgebühr
Nächste Runde: FluBot-Banking-Malware (Mai 2022)
Schon die angegebene URL muß einen zwingend stutzig machen, denn das ist keine DHL-Adresse.
Und außerdem:
DHL kennt den Empfänger des Paketes und wird einen daher immer mit Namen ansprechen.
Und hinzu kommt:
DHL gibt immer die Sendungsverfolgungsnummer mit an.
Und die kann man dann auf der offiziellen DHL-Seite eingeben (niemals auf den Link klicken!)
Und: Woher sollte DHL die eigene Mobilfunknummer kennen?
Hat man die bei DHL hinterlegt oder beim Absender der Sendung angegeben?
Also so viele Ungereimtheiten, das gleich alle Alarmglocken läuten müssen.
Dann sollte man sich auch fragen, ob man denn überhaupt ein Paket erwartet.
Und selbst wenn das der Fall sein sollte, dann wird das Paket beim nächsten Paketshop abgegeben und man hat einen Benachrichtigungszettel im Briefkasten.
Es gibt also gar keinen Grund, auf die SMS zu reagieren.
> Hat man die bei DHL hinterlegt oder beim Absender der Sendung angegeben?
Ebay/amazon kennt die Nummer wg 2FA.
DHL Tracking zeigt Empfänger Name erst nach Eingabe PLZ.
Also mein Mobile warnt mich ziemlich eindeutig wenn ich eine URl in einer SMS klicke.
Könnte das mit der 4 nicht ein ganz besonderes perfider Trick sein.
und ja. Vielen Kripo Beamten fehlen die Grundlagen.
Vgl. jetzt als sie wussten das der Attentäter ein Buch geschrieben und veröffentlicht hat und es mit Google nicht gefunden haben, weil sie nur eine einzige Anfrage gestellt hatten. Oder es war gleich Feierabend. Das es in Deutschland eine Liste lieferbarer Bücher gibt ist zwar Allgemein-Wissen, und das Amazon jedes (!) dieser Bücher anbietet, also auch bei A gesucht werden sollte kann ein Kriminalbeamter, der Internet Recherche macht nicht wissen?
merke:
Wer im Internet etwas finden will muss selbst etwas wissen…
Leider haben viele Firmen schlechte Berater, die ihnen für jeden F
. eine neue Hauptdomain aufschwatzen, weil das mehr Kohle bringt als eine Subdomain.
Woher DHL die Mobilfunknummer kennen soll? Na, weil man die zwingend angeben muss, wenn man z.B. die Packstation nutzen will.
Das ist ja das Problem: Die Anbieter wollen immer mehr Angaben, als zur Erbringung der Leistung nötig wären. Mail, Handynummer, Festnetznummer, Geburtsdatum u.v.a.m. Da wird man dann auch nicht mehr stutzig, wenn man auf anderem Weg kontaktiert wird als bisher.
„Woher sollte DHL die eigene Mobilfunknummer kennen?“
Weil Du da Kunde bist, z.B. mit einer Paketstation.
Leider nutzt DHL Express diese Nummer um anzufragen ob ich denn Zuhause sein werde und wo sie das Paket dann hinterlegen sollen. Bei T-Systems scheint jedenfalls sicher niemand Zuhause zu sein, die Pakete gehen immer an eine Paket Station..
Insofern ist es nicht ungewöhnlich unerwartet SMS aus der Ecke zu bekommen.
Ach ja was haben wir gelacht als der Werkstudent für DHL die mTAN programmiert hatte.
Die mTAN stand an Ende der SMS, davor der Komplette Name des Kunden und die komplette Adresse der Paketstation. Was leicht mal 2 SMS gebraucht hätte. DHL hat aber nur eine zugelassen….
Mit „curl *ttps://parcel-delivered.com“ werden Teile der Seite geladen. Es ist aber keine normale http-Seite, sonders etwas wie Bildschirm-Overlay. So etwas habe ich noch nie gesehen, aber Experten sollten das verstehen können.
Bei Bedarf schicke ich die Codes per Email an Herrn Born.
Technischer Hinweis Hr. Born: Da ist ein aktiver Phishing Link klickbar verlinkt!
Sorry, das war etwas zu schnell.
„aber die fremdsprachigen Meldungen zur Cookie-Zustimmung sollten deutsche DHL-Phishing-Opfer bereits stutzig machen.
“
Sorry, das ist leider kein Kriterium für DHL-Kunden.
Ein DHL-Kunde kennt das.
Mir wurde, trotz cookies, teutscher IP, teutscher Browser-Einstellung,
immer wieder die englische Version vorgesetzt.
Und der Sprach-Umschalter war unten(!) auf der Seite,
natürlich erst nach scrollen zu erreichen. (Inzwischen korrigiert)
DHL hat ganz massive Probleme mit dem User Interface und dem Umgang mit den Endkunden(vgl. „Unerwartete SMS von DHL-Express) . Vermutlich arbeiten/sind da noch zuviele Leute mit dem „Beamten“ und dem lästigen „Untertanen“ im Kopf aus Staatsmonopol Zeiten?
User Interface Pobleme, siehe Paketstationen:
Da ist links im Blech ein kleines Feld mit dem Scanner und rechts ein Stück graues billige aussehendes Plastik für den Drucker. Viele, wirklich viele Kunden haben den Scanner nicht gefunden! (Und wenn, drücken sie den Barcode auf das Fenster)
Inzwischen klebt ein Aufkleber „Scanner“ drunter, aber dazu muß man da hinsehen.
Daher zeigt die „Ergonomieabteilung“ von DHL rechts auf dem Bildschirm ein Logo mit einem Pfeil senkrecht nach unten „Scanner“. Da wo der Drucker ist…aber so hat der Kunde schonmal die Richtung…aua.
Man hätte auch einen Pfeil nach schräg links machen machen können oder das Logo mit dem Text links tauschen können….
Naja…
Immerhin, es funktioniert: Gestern, Sonntag Nachmittag/Abend bei Amazon bestellt,
heute, Montag in der Paketstation. Achso, emm, da steht als Lieferant „Amazon“ drauf, nicht DHL…huch…
DHL ist somit das ideale Umfeld für solche Angriffe.
Was ist so wertvoll an den DHL Daten?
Versand-Kreditkarten betrüger haben das Problem, das sie die Ware irgendwie bekommen müssen. „Früher“ gab es spezielle, meist eigentlich leerstehende Gebäude an den 60 Leute gemeldet waren. Auf die Türklingel kam immer der passende Name…
Dank IT fällt das heute auf, aber mit Paketstationen kann man ähnliches erreichen…
Es muß noch nicht einmal um Versandbetrug gehen, sondern auch Einkäufe auf dem untersten Darknet will man nicht bei sich zuhause empfangen…da ist die gephischte Paketstation eines unschuldigen Dritten besser.