Scam-Masche: Angebliche DHL-Zusteller fordern persönliche Sicherheitscodes
von André Westphal | 17 Kommentare
Eine neue Scam-Masche missbraucht die Marke DHL.
Das Landeskriminalamt Niedersachsen (LKA) warnt vor einer neuen Scam-Masche. Hierbei wird der Name des Logistikers DHL missbraucht. So geben angebliche DHL-Zusteller am Telefon an, für eine vermeintliche Paketzustellung einen persönlichen Sicherheitscode zu benötigen. Der soll per SMS zugestellt werden. Hierbei handelt es sich natürlich um eine Betrugsmasche.
Man habe bereits von drei Personen, die auf den Betrug hereingefallen sind, Anzeigen erhalten. Der ganze Ablauf gestaltete sich folgendermaßen: Die Geschädigten wurden angerufen und eine Person am anderen Ende der Leitung gab sich als DHL-Bote aus. Es sei ein Paket für den Angerufenen vorhanden, das könne aber aus Sicherheitsgründen erst dann zugestellt werden, wenn ein Sicherheitscode bestätigt werde.
So ein Code trudelt dann tatsächlich per SMS ein. Allerdings hat der Code so rein gar nichts mit DHL zu tun, sondern dient der Bestätigung eines völlig anderen Kontozugriffs mit Zwei-Faktor-Authentifizierung – z. B. dem Mobilfunkkonto bei O2 oder der E-Mail-Adresse. Die Täter wollten sich also von Anfang an darauf Zugriff verschaffen. Im Falle der angezeigten Fälle wurde so z. B. eine neue eSIM erstellt. Denkbar ist aber auch, dass die Masche sich auf Zugriffsversuche auf das Online-Banking ausweitet.
DHL verlangt von euch am Telefon keine derartigen Codes
Die Masche sollte mit etwas Ruhe und klarem Blick leicht zu durchschauen sein: Denn die SMS mit dem Code, die bei euch eintrudelt, stammt dann ja eindeutig nicht von DHL, sondern von z. B. O2 als Absender. In Warnhinweisen steht normalerweise dann auch, dass solche Codes nie weitergegeben werden sollten.
In den genannten Fällen hatten die Täter schon vorher Daten der Geschädigten erhalten, sonst hätten sie ja gar nicht erst anrufen und die Mobilfunknummer mit weiteren Konten in Verbindung bringen können. Woher sie diese Daten erhalten haben, ist offen. Zu vermuten ist, dass sie durch Leaks aus der Vergangenheit an sie gelangt sein dürften. Es ist dabei natürlich besonders brisant, wenn jemand Zugriff auf euer E-Mail-Konto oder eure Mobilfunknummer erhält, da darüber üblicherweise auch viele andere Dienste bestätigt werden.
So oder so solltet ihr in jenen Szenarien die Anbieter rasch kontaktieren und versuchen eure Zugangsdaten möglichst schnell abzuändern. Anschließend solltet ihr auch prüfen, ob z. B. andere, vertrauenswürdige Geräte hinterlegt worden sind, die nicht euch gehören und unbedingt entfernt werden sollten. Auch eine Anzeige bei der örtlichen Polizei bzw. Onlinewache empfiehlt sich.
- HERO-Sensor: Der HERO Sensor der nächsten Generation für präzise Abtastung (bis zu 25 600 DPI) ohne Glättung, Filterung oder...
- 11 programmierbare Tasten: Individuelle Tasteneinstellungen und ein ultraschnelles Scrollrad mit zwei Bildlaufmodi ermöglichen eine...
- Optischer Sensor mit echten 6.400 DPI für schnelle und präzise Mausbewegungen: Die Razer DeathAdder Essential verfügt über einen...
- Ergonomische Form für stundenlange Gaming-Sessions bei maximalem Komfort: Optimale Performance selbst bei deinen längsten Gaming...
- 10+1 programmierbare Tasten: Alle Makros und Sekundärfunktionen lassen sich 11 programmierbaren Tasten zuweisen, inklusive unserer...
- Neigbares Razer Hyperscroll Mausrad: Mit einem Mausrad, das frei läuft, bis es angehalten wird, lässt sich blitzschnell scrollen, oder...
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Manchmal frage ich mich schon, ob die Leute heute überhaupt noch denken können.
Ein Code der per SMS kommt, kommt ja nicht umsonst per SMS. Den gibt man doch nicht am Telefon raus.
Fällt für mich in die Klasse „Gib mir mal deine Zugangsdaten fürs Onlinebanking. Ich habe da eine Überweisung für Dich. Aus Sicherheitsgründen kann ich Dire das aber nur überweisen wenn Du sie mir gibt“.
Ich wollte mal bei Amazon eine fehlerhaft bearbeitete Retoure reklamieren und hatte mich dafür anrufen lassen (Rückruf-Service). Da war dann ein Herr (mutmaßlich aus einem indischen Callcenter) an der Leitung, der nach etwa 15 Minuten plötzlich meinte, ich solle ihm doch den Code nennen, den ich per SMS bekommen habe, er bräuchte das zur Bestätigung des Vorgangs.
Die SMS war bis auf den Code identisch zu den vorherigen 2FA-SMS und enthielt daher sogar den Hinweis, den Code nicht zu teilen. Das habe ich dann auch nicht gemacht, das Problem wurde dennoch bearbeitet und später behoben.
Mir fallen dazu nur zwei mögliche Erklärungen ein:
1. Amazon ist dumm und hat kaputte Prozesse, die man aber wohl auch umgehen kann (?)
2. Das Outsourcing-Callcenter hat ein Side-Business und verkauft Amazon-Accounts o.ä.
Was ähnliches habe ich auch gehabt. Amazon hat einen Sodastream mit Pin-Code rausgesendet. Scheien oft geklaut zu werden. Am Tag der Zustellung habe ich von der Amazon-App eine Pushnachricht bekommen, dass der Zusteller Probleme bei der Zustellung hat. Nachricht war „Komme nicht ins Haus: Bitte Pin schicken für Abgabe beim Nachbarn“. War aber zuhause und habe „Bitte klingeln, bin da“ geantwortet. Danach kam nichts mehr und die Sendung kam an dem Tag auch nicht.
Die wurde dann am Folgetag zugestellt, so wie es sein soll. Hätte ich hier die PIN rausgegegeben, wäre der Sodastream weg gewesen und Amazon hätte mit den Schuldern gezuckt.
Gut möglich, dass bei Dir der „Supporter“ sich auf deinem Konto auch ne Sendung abzwacken wollte.
Hochwertige Geräte bestelle ich aber bei Amazon grundsätztlich nicht mehr. Selbst mit PIN und einhaltung aller Regeln, ist man ja nicht davor sicher, plötzlich nur Tomatensouce, statt der Ware zu im Paket zu haben. Und wie man den Medien entnehmen kann, fangen dann die Probleme mit Amazon erst an.
Kommt mir das nur so vor oder haben diese Betrugsversuche in letzter Zeit stark zugenommen?
Rezession ⇒ Kriminalität
Wahrscheinlich ist das das nur die Wahrnehmung durch die Medien. Früher als es noch keine 2FA gab haben sie die Leute halt mit Accountname und Passwort aus gehackten oder per Trojaner abgezogenen Accounts abgezockt und niemand hat darüber berichtet, als dann aber immer mehr Dienste eine 2FA eingeführt haben, mussten die bösen Buben einen Weg finden an diesen zweiten Faktor zu kommen. Da es per Telefon schneller geht und diese Codes meistens nur ein paar Minuten gültig sind hat es sich wohl eingebürgert. Und darüber berichten die Medien in letzter Zeit halt häufiger.
…nein, die Dummen nehmen immer mehr zu;)
Sollte man diese Menschen nicht auch schützen? Was ist mit unseren Alten? Wer schützt die? Alles egal?
Du hast ein gutes Herz. Aber leider reicht das nicht aus.
Schon seit Jahrhunderten suchen sich Menschen mit krimineller Energie gezielt die leichtesten Opfer aus. Früher war das irgendwelche ungebildete Landbevölkerung, die zum Markttag in die Stadt kam.
Willst Du jetzt Leuten den Kauf eines Smartphones oder die Nutzung des Internets verbieten, wenn sie durch den obligatorischen Intelligenztest fallen?
99% dieser Maschen würden an der einfachen Anwendung des „gesunden Menschenverstands“ scheitern. Aber durch gezielte Ansprache von „Gier“, „Trieb“ oder „Angst“ findet man leider immer Leute, die erst dann nachdenken, wenn ihr Geld weg oder der Ärger da ist.
Ich halte es für eine naive Vorstellung, man könne so etwas durch „Technik“ verhindern. Bin aber für Vorschläge offen, wer denn was in diesen Fällen hätte besser machen können.
Leider Tatsache. Ich bekomme das jeden Tag mit im 1st Level Support. Der Erich würde sich über solche Leute freuen.
Die Betrugsmaschen werden immer dümmer und die Menschen die darauf reinfallen auch.
Ich habe für reine Dummheit immer weniger Mitleid und Empathie…
Irgendwann wirst Du automatisch dümmer, spätestens im Alter. Was dann? Sollen dann alle das selbe über dich denken?
Ich wurde schon mit allen möglichen Mitteln versucht abgezockt zu werden. Diese Betrüger Versuchen wirklich alles und mit allem was geht. Keine Ahnung wie die an meine Daten kommen. Wechsle ich die Nummer dauert es eins Zeit lang, dann geht es wieder los. E-Mail Adresse wechseln hilft auch nur eine Zeit lang. Derzeit sind bestimmt wieder mindestens 50 Spam E-Mails in meinem Web.de Postfach. Derzeit nehme ich auch eine Zunahme von Fake Anrufen wahr. Nummern die ich nicht kenne werden direkt blockiert und/oder gemeldet. Es gibt nur eine Hand voll Shops die ich seit den Anfängen in dem ich im Internet bin schon immer habe, ich denke das Problem kommt von irgendeiner dieser Anbieter. Ob man das gänzlich vermeiden kann? Das glaube ich mittlerweile nicht mehr. Ist man im Netz unterwegs muss man wohl damit leben. Ich denke das Größte Problem sind die E-Mails, da passiert bestimmt das meiste. Manche E-Mails sind wirklich gut gemacht. Das Ausmaß in dem es Mittlerweile passiert ist erschreckend. Politisch ist man an dem Thema anscheinend überhaupt nicht interessiert. Der Schaden ist immens groß.
Meine Maßnahmen im einigermaßen vor Betrug geschützt zu sein. Spam E-Mails werden direkt in Spam verschoben und in iOS hinterlegt um sie direkt in den Papierkorb zu schieben. Anrufe die ich nicht kenne werden direkt gesperrt und sind in iOS als unerwünscht hinterlegt. Nicht rangehen wenn unbekannte Anrufen oder direkt blockieren. Kontostand regelmäßig kontrollieren. 2 Faktor nutzen. Gute Passwörter nutzen mindestens 12 Stellen. Ganz wichtig, seriöse Bezahldienste nutzen! Kreditkarten sind hierbei ganz gut und meist sind die Käufe abgesichert, hier hilft es in die AGPs zu schauen. Paypal ist eigentlich nicht wirklich empfehlenswert, da hatte ich schon Probleme als Ver und Käufer. Gesunder Menschenverstand!!! Nichts ist schlimmer als jenen der ohne nachdenken im Netz unterwegs ist. So landete ich mit meiner Nummer schon bei einem Gewinnspiel, weil jemand 10 Leute eintragen musste, oder es gibt einen Freundesliste Webseite wo Kinder ihre Freunde eintragen können usw usw. Bei Kindern hilft aufklären oft überhaupt nicht und die Maschen werden immer dreister.
Hilfreich wären bestimmt auch viel höhere Strafen, aber da passiert absolut garnichts in der Richtung.
Höhere Strafen helfen da aus meiner Sicht wenig, da die Täter sowieso selten erwischt werden und dann auch noch oftmals im Ausland sitzen, wo denen das dann relativ wurscht ist, wie die Strafen in Deutschland ausfallen, muss man leider sagen. Mehr Aufklärung ist wohl das Einzige, was da hilft, damit solche Maschen sich weniger lohnen.
Meiner Meinung nach, könnte man aber etwas tun und sollte es auch. Denn schließlich sind es jählich Milliarden die so in dunkle Kanäle im versickern.
Möglich wäre z.B. eine entsprechende Rechtsänderung. Innerhalb der EU haftet die empfangende Bank, was zwangsläufig dazu führt, dass die sich ihre Kunden doch mal näher anschauen. Außerhalb der EU könnten die Gelder gepuffert werden, wenn der Empfänger / Land untrustetd ist. Für Konten von Firemen ausserhalb der EU müsse dann halt nur eine entsprechende Trusted IBAN / SWIFT-BIC Datenbank geführt werden, alles andere wird pauschal 2-3 Wochen verzögert überwiesen. Es sei denn, die empfangende Bank verpflichtet sich in die Haftung zu gehen. Alternativ könnte man entsprechende Rückbelastungsverfahren im SEPA / SWIFT – System intigrieren. Dann würden Banken weltweit 2x bei Ihren Neukunden hinschauen.
Ich bin da total bei Dir, Kinder und alte Menschen abzuzocken ist absolut verwerflich.
Diesen Opfern unterstelle ich auch erstmal gar nix.
Der Rest der Bevölkerung wird aber wirklich immer überheblicher, dümmer und ichbezogener.
Schon zu oft gesehen, wie Personen – die in ihrem Leben unabhängig von Vitamin B noch Nichts selbst auf die Beine gestellt haben – rumprahlen, wie toll sie doch sind, fallen aber auf dümmst anzunehmende Maschen rein.
Wenn Solche dann keinerlei Einsicht zeigen, selbst etwas falsch gemacht zu haben … werden sie beim nächsten Mal genauso aus reiner Alleinschuld agieren.
Genau diese Gruppe wächst leider überproportional schnell; wohin das Auge reicht: völlig uninformiert, aberlaufend völligen Qutsch behaupten.
Schaut Euch nur mal offenen Auges um; dann wisst ihr, wer wirklich gemeint ist.
Also soweit ich weiß, gibt es bei O2 gar keine Zwei-Faktor-Authentifizierung für das Mobilfunkkonto, oder hab ich da was verpasst?