Betrüger kennen kein Sommerloch. Derzeit erhalten Schweizerinnen und Schweizer wieder massenhaft Phishing-Textnachrichten aufs Handy. Die letzte grosse Welle war Anfang Jahr zu beobachten. Bei der aktuellen Smishing-Kampagne (Phishing per SMS) werden die betrügerischen Nachrichten erneut im Namen der Post verschickt.
In der Fake-Nachricht heisst es: Weil die Adresse unvollständig sei, könne die Sendung nicht zugestellt werden. Man soll daher die Adresse «innerhalb von zwölf Stunden über den untenstehenden Link» aktualisieren.
Die betrügerischen Nachrichten sehen beispielsweise so aus:
Die Kriminellen haben es also auf die persönlichen Daten sowie die Kreditkartendaten abgesehen, um sich unrechtmässig zu bereichern.
Anders als bei früheren Phishing-SMS sind die verwendeten Links nicht mehr ganz so offensichtlich als Betrug erkennbar. Auch die Landesvorwahl +44 ähnelt der Schweizer Vorwahl +41. Bei früheren SMS war der Betrug viel leichter an exotischen Telefonnummern zu erkennen.
Die Textnachricht mit dem Absender +44 dürfte von einem infizierten Smartphone eines anderen Opfers der Kriminellen stammen. Diese Person weiss vermutlich nicht, dass ihr Handy für den Phishing-Betrug missbraucht wird.
Swisscom, Sunrise und Salt nutzen SMS-Filter gegen betrügerische Phishing-SMS. Das Problem: Die Kriminellen umgehen diese Spamfilter der Mobilfunkprovider immer öfter. Hierzu versenden sie statt SMS seit einiger Zeit vermehrt iMessage-Nachrichten an iPhone-User oder RCS-Nachrichten – quasi der Nachfolger der SMS – an Android-Smartphones. Diese moderneren und von Apple und Google gepushten Textnachrichten werden von Swisscom und Co. nicht gefiltert bzw. können nicht blockiert werden, wenn sie wie iMessage oder WhatsApp verschlüsselt sind.
Smartphone-Hersteller wie Google versuchen daher betrügerische Chatnachrichten direkt auf dem Smartphone zu blockieren. Das funktioniert umso besser, je schneller die Phishing-Nachrichten von den Betroffenen gemeldet werden.
Auch die gefälschten Post-Webseiten wurden von Google im Chrome-Browser rasch blockiert.
Wer auf den Link klickt, erhält deshalb folgende Warnmeldung.
Das Blockieren hilft nur temporär. Wird eine Phishing-Webseite gesperrt, bringt die Täterschaft postwendend eine neue online.
Phishing-Angriffe laufen grösstenteils automatisiert ab. Laut Kapo Zürich werden «Hunderte Personen gleichzeitig angeschrieben, damit die Erfolgsquote höher ausfällt». Für den Massenversand der SMS werden «sogenannte SMS-Gateways (Software oder Hardware) verwendet». Diese erlauben über Web-Anwendungen den grossflächigen Versand von Phishing-SMS aus dem Ausland.
Die Phishing-Betrüger legen sich also bei den Anbietern solcher SMS-Dienste einen Account an und können mit sogenannten Large Accounts ohne grosse Kosten mit einem Klick Tausende Schweizer Handynummern erreichen. Da Swisscom und Co. vor einigen Jahren mit SMS-Filtern auf die Spam-Flut reagiert haben, weichen die Kriminellen auf RCS-Nachrichten, iMessage oder WhatsApp aus.
Solche Phishing-Kampagnen per Textnachrichten aufs Handy nehmen weltweit zu, da sie sich mit relativ einfacher Infrastruktur und ohne Expertenwissen durchführen lassen. Zudem können mit KI-Tools beliebige Variationen von Textnachrichten und Fake-Webseiten in diversen Sprachen schnell und fehlerfrei erstellt werden.
«Man muss in erster Linie gut prüfen, ob die Telefonnummer des Absenders Sinn macht, die Sprache richtig ist und ob ein valider Absendername draufsteht», sagt die Post.
Grundsätzlich gilt: Die Post fragt ihre Kundinnen und Kunden nie per E-Mail, SMS oder Telefon nach persönlichen Sicherheitselementen wie Passwörtern oder Kreditkartenangaben.
Besonders wichtig: Links unbedingt überprüfen, bevor man draufklickt. Sicherheits-Experte Daniel Stirnimann von der Stiftung Switch, die für den Betrieb und die Sicherheit der Schweizer Internetadressen verantwortlich ist, hat dafür einen Tipp:
Wer auf Nummer sicher gehen will, ruft die Webseite der Post oder des jeweiligen Paketdienstes im Browser direkt auf, um die Sendungsverfolgung einzugeben und den Status des Paketes zu prüfen.
Also bitte, wem der Link "post-ch-news.top" nicht verdächtig vorkommt und danach auch noch die Phishing-Warnung des Browsers wegdrückt, der ist bei der natürlichen Selektion einfach durchgefallen.