Die Zeiten, in denen sich Kriminelle damit begnügen, Millionen von Spam–E–Mails zu verschicken sind längst vorbei. Mittlerweile haben sie es auf die Telefonnummern von Menschen abgesehen, denn damit geht für viele automatisch ein gesteigertes Vertrauen einher. Dass dies trügerisch sein kann, zeigen die aktuell wieder verstärkt aufkommenden Fälle betrügerischer Kurznachrichten. Was hinter dem Begriff «Smishing» steckt und warum Verbraucherinnen und Verbraucher gerade in der Vorweihnachtszeit auf der Hut sein sollten.
Die Logik der Betrüger scheint simpel: Vor Weihnachten warten fast alle Menschen auf irgendein Paket. Das erhöht die Wahrscheinlichkeit, dass bei einer direkten Kurznachricht auf das Handy von einem Paketdienst Vertrauen bei möglichen Opfern geweckt wird und sie auf die angefügten Links klicken. Genau das sollte man allerdings tunlichst vermeiden, egal wie überzeugend die SMS oder Messenger–Kurznachrichten von DHL, Hermes und Co. aussehen. Abgesehen haben es die Kriminellen auf Kreditkarten–Daten, Zugänge zum Online–Banking oder Direktüberweisungen, etwa für angebliche Zollgebühren.
Um solche SMS als Fake zu erkennen, sollte man sich zunächst die offensichtliche Frage zu stellen, ob man überhaupt ein Paket erwartet. Neben der Tatsache, dass die meisten Paketdienste gar keine SMS verschicken, um Sendungen zu verfolgen oder zu angeblichen Zollforderungen aufzufordern, ist die fehlerfreie Verwendung der deutschen Sprache häufig eine Schwäche der fraglichen Nachrichten. Ausserdem empfiehlt die Polizei Nordrhein–Westfalen, sich genau anzusehen, wohin einen der Link führen würde.
Faustregel für unbekannte SMS: Keinen Links folgen, nichts herunterladen
Erst Recht sollte man keine Apps installieren oder Dateien herunterladen, zu denen die SMS oder weiterführende Link auffordern – auch nicht, wenn auf diesen das offizielle DHL–Logo prangt. Grundsätzlich sollte man als Smartphone–User nur solche Apps installieren, die durch Apples Appstore oder Googles Playstore verifiziert sind. Die Verbraucherzentrale hat in einer Übersicht die gängigsten Formulierungen angeblicher Paketdienste–SMS zusammengestellt, dokumentiert sind vor allem Fälle der Deutschen Post und DHL. Die meisten Nachrichten–Apps haben Einstellungen, in denen man die entsprechende Nummer als Spam blockieren kann.
Als Verbraucher kann man sich gegen diese Betrugsversuche kaum schützen. Es lässt sich lediglich überprüfen, ob persönliche Daten wie E–Mail–Adresse oder Telefonnummer geleakt wurden und so auf dem Schwarzmarkt im Internet verfügbar sind. Im April 2016 gab es beispielsweise ein grösseres Datenleck bei Foodora, durch das sich Vor– und Nachname sowie Telefonnummer mit einer E–Mail–Adresse verknüpfen lassen. Zu den grössten Datenbanken mit jeweils mehr als zwölf Milliarden Datensätzen zählen der «HPI Identity Leak Checker» der Universität Potsdam sowie die Seite «haveibeenpwned.com».
Neu ist die Masche nicht: Vor Ostern 2021, als, befeuert von der Corona–Pandemie, besonders viele Pakete verschickt wurden, schlugen die Landeskriminalämter und Verbraucherzentralen Alarm, erstmals aufgekommen war die Masche im grossen Stil 2017. Dass Kriminelle in den kommenden Wochen wieder verstärkt auf das sogenannte «Smishing» (in Anlehnung an «Phishing» bei Spam–E–Mails) setzen werden, ist aufgrund der bevorstehenden Black Weeks und Weihnachten naheliegend.