„Ihr Paket konnte nicht zugestellt werden"
Diese SMS kennt fast jeder: Angeblich konnte ein Paket nicht zugestellt werden, ein Link soll zur „Nachverfolgung" führen. In Wahrheit installiert der Link oft Schadsoftware auf deinem Handy oder stiehlt deine Daten. Das nennt man Smishing (SMS + Phishing).
Was du tun solltest
- Nicht klicken – auch nicht „nur um zu schauen".
- SMS löschen oder deinem Mobilfunkanbieter melden (oft per Weiterleitung an eine kostenlose Meldenummer möglich).
- Schon geklickt? Handy in den Flugmodus schalten, nicht weiter nutzen, und jemanden fragen, der sich auskennt.
WeiterfĂĽhrend: Smishing (Wikipedia)
Warum diese Masche so gut funktioniert
Fake-Paket-SMS wirken glaubwürdig, weil gerade beim Online-Shopping tatsächlich häufig Lieferbenachrichtigungen per SMS kommen. Angreifer nutzen genau diese Erwartungshaltung aus – besonders rund um Rabattaktionen und Feiertage.
So erkennen Sie Smishing
- Der Link führt zu einer unbekannten, oft leicht abgewandelten Domain (z. B. „dhl-service24.info" statt „dhl.de").
- Sie erwarten aktuell kein Paket, oder die SMS passt nicht zum tatsächlichen Bestellstatus.
- Aufforderung zur Eingabe von Zahlungsdaten für eine angeblich fällige „Zollgebühr" oder „Nachlieferung".
Wenn Sie bereits geklickt oder etwas installiert haben
- Gerät vom WLAN/Mobilfunknetz trennen.
- Keine weiteren Eingaben tätigen (Passwörter, Zahlungsdaten).
- Mit einem aktuellen Sicherheitsscan prĂĽfen, ob Schadsoftware installiert wurde.
- Bank informieren, falls Zahlungsdaten eingegeben wurden.
Weiterführend: Verbraucherzentrale – Phishing-Radar
Smishing als Angriffsweg auf Unternehmen
Smishing zielt zunehmend auch auf Mitarbeitende ab – etwa mit gefälschten SMS von angeblichen IT-Abteilungen, Paketdiensten oder sogar der Geschäftsführung („CEO-Fraud" per SMS statt E-Mail).
Unsere Handlungsempfehlungen
- Sensibilisierung erweitern: Phishing-Schulungen sollten explizit auch SMS- und Messenger-basierte Angriffe abdecken, nicht nur E-Mail.
- Meldeweg auch für SMS-Betrug etablieren: Mitarbeitende sollten wissen, wohin sie verdächtige SMS melden.
- Keine kritischen Anweisungen per SMS akzeptieren: Zahlungsfreigaben oder Zugangsdaten-Änderungen nie allein auf Basis einer SMS-Anweisung durchführen – immer über einen zweiten Kanal verifizieren.
WeiterfĂĽhrend: Phishing erkennen und richtig melden