Die Kantonspolizei Zürich zeigt, wie diese schnell um sich greifende Masche funktioniert – und was man dagegen tun kann.
Auf den ersten Blick sehen sie vertrauenswürdig aus, da sie von seriösen Unternehmen zu stammen scheinen. Zum Beispiel vom Versandunternehmen UPS. Doch in Wahrheit sind es betrügerische SMS oder Whatsapp-Nachrichten, mit denen Kriminelle versuchen, an Daten ihrer Opfer zu gelangen.
Die Zürcher Kantonspolizei etwa hat im März auf der Plattform X vor diesen Betrugsversuchen gewarnt. In solchen Textnachrichten werde behauptet, dass Lieferoptionen für ein «Paket» bestätigt werden müssten, schrieb die Kantonspolizei damals. Dabei geht es bei diesen Attacken um etwas ganz anderes: Empfänger der Nachrichten sollen dazu verleitet werden, ihre Kreditkartendaten preiszugeben.
Achtung vor betrügerischen #SMS im Namen von #UPS. In diesen Textnachrichten wird behauptet, dass die Lieferoptionen für ein versendetes Paket bestätigt werden müssen.
Das Ziel der Täuschung besteht darin, die Empfänger dazu zu verleiten, ihre Kreditkartendaten preiszugeben. pic.twitter.com/TwFwpv8TnH
— Kantonspolizei Zürich (@KapoZuerich) March 7, 2024
Die Masche hat einen Namen: Smishing, also Phishing per verdächtige SMS, nicht per E-Mail. Geködert werden die Opfer durch eine trügerische Botschaft: Ein «Paket» könne nicht zugestellt werden. Daher solle man auf den angezeigten Link klicken, dann werde alles gut.
Doch dem ist nicht so. Auf Cybercrimepolice.ch, einer Website der Kantonspolizei, die die Bevölkerung für solche und ähnliche Attacken am Handy und am Computer sensibilisieren soll, lässt sich der Fall des vermeintlichen Lieferdienstes UPS rekonstruieren. Personen, die auf den Link klickten, wurden auf eine Website weitergeleitet, die aussah wie eine echte Seite des Logistikunternehmens. Verlangt wurden «Zollgebühren», da das erwartete «Paket» aus dem Ausland geliefert werde («Jetzt bezahlen»). Dann sollte man Kartennummer, Ablaufdatum und Prüfnummer der Kreditkarte eingeben.
Immer wieder haben Betrüger mit solch perfiden Methoden Erfolg. Was kann man dagegen tun?
Die Kantonspolizei rät:
- SMS ignorieren.
- Niemals Links aus SMS oder E-Mails folgen, da diese auf gefälschte Websites führen können.
- Keine heiklen Daten von sich preisgeben, ohne gründlich überprüft zu haben, ob der Empfänger dieser Daten vertrauenswürdig ist.
- Und, falls man trotzdem darauf hereingefallen sein sollte: Kreditkarte sofort sperren lassen.
«Ihr Paket ist nicht zustellbar»
Der Trick mit den Paketen ist kein Zufall. Namen und Logos von Logistikunternehmen wie UPS oder der Schweizerischen Post werden bei Smishing- beziehungsweise Phishing-Versuchen häufig missbraucht. Dies deshalb, weil immer mehr Menschen online bestellen und sich Pakete nach Hause liefern lassen, erst recht seit der Pandemie, wie Marcel Zumbühl auf Anfrage erläutert. Sein Team ist für die Informationssicherheit der Post zuständig.
Die Post ist besonders exponiert. Laut dem Anti-Phishing-Bericht des Bundesamts für Cybersicherheit (BACS) findet jeder fünfte Phishing-Angriff in der Schweiz in deren «Namen» statt. In den vergangenen Tagen wurden wieder Tausende von Betrugsnachrichten verschickt, die so oder ähnlich lauten:
Auf den ersten Blick handelt es sich um eine echte SMS der Post. Doch der Schein trügt. Für ihren Link haben die Betrüger eine täuschend echt aussehende Website kreiert. Auch hier gilt: ignorieren, SMS löschen, Absender sperren. Melden kann man solche Kurznachrichten beim Contact Center der Post (Telefon 0848 888 888), auf Cybercrimepolice.ch oder über antiphishing.ch, eine Website des Bundesamts für Cybersicherheit.
Zumbühl macht darauf aufmerksam, dass die Post niemals solche Fristen setze und ihre Kunden per SMS oder E-Mail auch nie nach Passwörtern, persönlichen Daten oder Kreditkartenangaben fragen würde. Smishing habe zugenommen. «Am Smartphone ist man eher abgelenkt, eine SMS erscheint persönlicher als eine E-Mail. Da ist man vielleicht weniger skeptisch als am grossen Bildschirm zu Hause oder im Büro», sagt Zumbühl.
Mehr Phishing-Straftaten im Kanton Zürich
Sein Team hat alle Hände voll zu tun. Nach eigenen Angaben wehrt die Post jeden Monat über 280 Phishing- beziehungsweise Smishing-Wellen ab, die wie die oben zitierte SMS jeweils Tausende von Empfängern treffen können.
Besonders tückisch sind solche Nachrichten, wenn man tatsächlich ein Paket erwartet. Der NZZ liegen mehrere Meldungen von Personen vor, die bei einem Online-Händler etwas bestellt und Tage später eine Smishing-SMS bekommen haben, die auf die «Post» verweist. Das könnte Zufall sein. Es könnte aber auch ein Hinweis darauf sein, dass Cyberkriminelle über viel mehr Daten von Online-Kunden verfügen, als einem lieb sein kann.
Sicher ist: Die Zahl betrügerischer E-Mail und SMS steigt. Über antiphishing.ch, die Melde-Website des BACS, konnten im vergangenen Jahr über 10 000 Websites als Phishing-Websites identifiziert werden, 10 Prozent mehr als 2022. Auch in Zürich zeigen die Zahlen nach oben. Die Kriminalstatistik des Kantons verzeichnet 684 Phishing-Straftaten im vergangenen Jahr. Das sind 55 Prozent mehr als im Jahr davor. Aufgeklärt wurden nur wenige dieser Delikte (2,9 Prozent).
Die meisten Phishing- beziehungsweise Smishing-Attacken werden aus dem Ausland ausgeführt. Das macht es schwierig, die Täter zu erwischen. Auch, weil Rechtshilfebegehren spät oder gar nicht beantwortet werden, wie die Kantonspolizei auf Anfrage schreibt. Der Ärger über diese Online-Betrugsversuche bleibt: Im Januar und Februar 2024 sind im Kanton Zürich deswegen bereits über 200 Anzeigen eingegangen.
