RASIMENE
Blog
Phishing·March 27, 2026·9 Min. Lesezeit

Die SMS „Paket in Zustellung“: Anatomie eines Betrugs, der immer noch funktioniert.

Warum dieser alte Trick jeden Monat weiterhin Tausende von Menschen hereinlegt. Vom Versandserver bis zu den gestohlenen Bankdaten — wir zerlegen das System.

ME
Mohamed ESSID
Gründer — Trasimène

Die Infrastruktur hinter dem Betrug

Diese SMS stammen nicht von einem Teenager in einer Garage mit einem Prepaid-Handy. Hinter einer professionellen SMS-Phishing-Kampagne steckt eine industrielle Infrastruktur.

Die Massenversand-Server sind in der Regel außerhalb der Europäischen Union gehostet — Ukraine, Moldawien, einige südostasiatische Länder — was die justizielle Zusammenarbeit erschwert. Die Absendernummern sind Wegwerfnummern, die stündlich erneuert werden, um Sperrlisten zu umgehen. Die betrügerischen Webseiten werden auf Domains gehostet, die 24 bis 48 Stunden vor der Kampagne registriert werden, oft über unseriöse Registrare.

Die Gesamtkosten einer schlüsselfertigen Kampagne — Server, Nummern, Domain, geklonte Seite — werden auf 150 bis 300 Euro geschätzt. Bei einer Klickrate von 2 % auf 100.000 versendete SMS mit einer Konversionsrate von 10 % der Klicks ist der Return on Investment enorm.

Die Phishing-Seite

Die gefälschte Seite imitiert DHL, Hermes, DPD oder Deutsche Post mit verblüffender Genauigkeit: die richtigen Logos, die richtigen Unternehmensfarben, manchmal sogar ein Lieferfortschrittsbalken und eine zufällig generierte Sendungsnummer.

Die Forderung beträgt 1,99 Euro für „Zollgebühren“ oder „Weiterleitungskosten“. Der Betrag ist absichtlich niedrig — er löst nicht die psychologische Alarmreaktion aus, die bei einer größeren Transaktion einsetzen würde.

Es geht nicht um diese 2 Euro. Es geht um Ihre 16-stellige Kartennummer, das Ablaufdatum und die CVV-Prüfziffer auf der Rückseite. Mit diesen drei Angaben kann jeder Online-Bezahldienst belastet werden.

Was danach passiert

Innerhalb weniger Stunden nach der Eingabe wird Ihre Karte „getestet“: Mikrotransaktionen von 0,01 bis 0,50 Euro auf Plattformen, die Zahlungen ohne starke Authentifizierung akzeptieren.

Sobald die Karte als aktiv bestätigt ist, folgen größere Einkäufe. Die bevorzugte Methode: der Kauf von Geschenkkarten für Steam, Amazon oder Google Play, die sich auf Sekundärmärkten innerhalb weniger Minuten in Bargeld umwandeln lassen.

Die Rückerstattung über ein Chargeback-Verfahren dauert durchschnittlich 3 bis 6 Monate. Ihre Bank wird in der überwiegenden Mehrzahl der Fälle erstatten — aber nur wenn Sie die Transaktionen fristgerecht reklamiert haben.

Wie Sie sich schützen

Vier einfache Regeln, die 95 % des Risikos eliminieren:

  • Klicken Sie niemals auf einen SMS-Link zu einer Lieferung — gehen Sie direkt auf die offizielle Website des Paketdienstes (dhl.de, hermes.de) und geben Sie die Sendungsnummer manuell ein.
  • Überprüfen Sie die URL, bevor Sie irgendetwas eingeben: 'dhl-paket-zahlung.com' ist nicht DHL. Die legitime URL ist immer dhl.de.
  • Echte Paketdienste verlangen niemals per SMS eine Kreditkarte für eine Zustellung — das ist ein absolutes Betrugszeichen.
  • Melden Sie die SMS an die Bundesnetzagentur oder über die Spam-Meldefunktion Ihres Mobilfunkanbieters.
Trasimène analysiert URLs in Echtzeit. Wenn Sie einen betrügerischen Link scannen oder öffnen, wird der Zugriff blockiert, bevor die Seite geladen wird.

Diese Betrugsmaschen bestehen fort, weil sie einen völlig plausiblen Kontext ausnutzen — wir bestellen alle Pakete, oft warten wir auf mehrere gleichzeitig. Systematische Wachsamkeit bei allen per SMS empfangenen Links, ohne Ausnahme, ist die einzig wahre Verteidigung.

Trasimène — Mobile Sicherheit

Phishing-Schutz aktivieren

Trasimène herunterladen →
Zurück zum Blog