Seit einigen Tagen erhalten NutzerInnen von Smartphones und Handys SMS-Nachrichten, die zum Klicken eines Links auffordern. Dabei handelt es sich um das sogenannte „Smishing“. Das ist eine Wortschöpfung aus den Begriffen SMS (Kurznachrichten) und Phishing (Diebstahl von Zugangsdaten über gefälschte Nachrichten oder E-Mails).
Frau sitzt auf einem Sessel und hält ein Smartphone in der Hand rechts daneben ist ein großes Smartphone
14.04.2021

Die Täter geben vor, dass die EmpfängerInnen der SMS bald ein Paket erhalten oder eine Sendung zurück an die Absenderin beziehungsweise den Absender gehen soll. Dieses Phänomen wurde bereits im Bürger-CERT Newsletter vom 18.02.2021 aufgegriffen. Damals handelte es sich um das Android Schadprogramm „MoqHao“. Seit den Ostertagen ist in manchen Fällen sogar eine persönliche Anrede zu beobachten. In den SMS befindet sich zusätzlich ein Link, hinter dem sich in den meisten aktuell beobachteten SMS-Nachrichten das Android-Schadprogramm FluBot verbirgt, das seit etwa November 2020 im Umlauf ist. Android-NutzerInnen bekommen über den Link die schädliche FluBot-App zum Download angeboten. Dabei tarnen die Kriminellen die Schadsoftware als eine für die Paketverfolgung angeblich notwendige App von bekannten Logistikunternehmen wie FedEx oder DHL. Apple iOS-NutzerInnen landen in der Regel auf Werbe- oder Phishing-Seiten.

 

Woher haben die Kriminellen überhaupt meine Handynummer und/oder meinen Namen?

Die Daten der aktuellen Smishing-Welle stammen vermutlich aus 500 Mio. von Facebook gestohlenen Handynummern und Namen. Das geschah zwar schon 2019, die Daten wurden aber erst vor einigen Tagen auf einer Hacker-Website frei veröffentlicht.

Allgemein muss man davon ausgehen, dass Cyberkriminellen der eigene Name, Mailadresse und Handynummer bekannt sind, da es immer wieder Leaks gibt, bei denen sie erbeutet wurden - jüngst z.B. auch bei LinkedIn. Man muss nicht einmal selbst von einem Hack betroffen sein, sondern es kann auch das Adressbuch eines Bekannten erbeutet worden sein, in dem man mit Name und Nummer steht. Sofern die Daten öffentlich gemacht wurden, kann man z.B. unter https://haveibeenpwned.com/ und https://sec.hpi.de/ilc/ prüfen, ob die eigene Mailadresse schon einmal in geleakten Daten aufgetaucht ist.

Auf jeden Fall sollte man aber auch bei SMS skeptisch sein, die an die private, vermeintlich nicht bekannte Handynummer geschickt wurden, auch wenn der eigene Name als Anrede verwendet wird. Argwöhnisch sollte man außerdem werden, wenn Handlungsdruck erzeugt wird, weil etwas "gesperrt" oder "zurückgeschickt" werden soll.
 

Folgendes könnt ihr tun, wenn ihr eine solche SMS-Nachricht erhalten habt:

Alle diese SMS-Nachrichten haben gemeinsam, dass sie einen Link enthalten. Dieser Link leitet direkt zu Schadsoftware oder zu Phishing-Seiten, auf denen ihr dann sensible Informationen preisgeben sollt. Sofern ihr noch nicht auf den Link geklickt habt, ist folgendes ratsam:

  • Klickt nicht auf den Link und löscht die Nachricht umgehend nach Erhalt. Sollte euch der Absender oder die Absenderin bekannt sein, könnt ihr ihn anrufen und nach der Richtigkeit der SMS fragen.
  • Sperrt über euer Betriebssystem den Absender der Nachricht.
  • Ladet Apps nur aus den bekannten Stores herunter und nicht aus externen Quellen. Deaktiviert unter Android die Installation von Apps aus unbekannten Quellen.
  • Egal ob Android oder iOS: Aktualisiert euer Gerät!
  • Ihr könnt bei eurem Mobilfunkanbieter die Drittanbietersperre aktivieren lassen. Dadurch lassen sich versehentliche Kosten oder eventuelle Kosten durch Schadsoftware weitestgehend vermeiden.
  • Um zu prüfen, ob es sich nicht tatsächlich um ein seriöses Anliegen handelt, kann man direkt auf die Webseite des Onlineshops, der Bank oder des Paketdienstleisters gehen und sich dort einloggen, ohne den Link in der SMS zu verwenden.
     

Folgendes könnt ihr tun, wenn ihr schon auf einen Link geklickt und/oder Daten preisgegeben habt:

Solltet ihr schon einen Link angeklickt oder sogar schon Software installiert haben, ist folgendes ratsam:

  • Nehmt euer Gerät aus dem Mobilfunknetz, indem ihr den Flugmodus aktiviert. Damit unterbindet ihr weiteren SMS-Versand und eine eventuelle Kommunikation von FluBot mit anderen Geräten.
  • Informiert euren Mobilfunkprovider über euren Fall.
  • Prüft z. B. euer Bankkonto oder euren Zahlungsdienstleister auf Abbuchungen, die ihr nicht veranlasst habt.
  • Auch in diesem Fall ist es ratsam, eine Drittanbietersperre einrichten zu lassen. Hier hilft euch euer Mobilfunkanbieter weiter.
  • Erstattet Strafanzeige bei der örtlichen Polizeidienststelle. Nehmt dazu euer Smartphone zur Beweissicherung mit.
  • Setzt euer Smartphone auf Werkseinstellungen zurück (nachdem ihr Anzeige erstattet habt). Sichert aber vorher alle wichtigen Daten wie Fotos, Dokumente usw. lokal (z. B. über eine USB-Verbindung). Mit dem Zurücksetzen auf die Werkseinstellungen gehen alle gespeicherten und installierten Daten verloren. Dieser Schritt ist allerdings notwendig, um die über die aktuellen SMS-Spam-Nachrichten verteilten Android-Schadprogramme vollständig zu entfernen.