Die Infrastruktur hinter der Masche
Diese SMS kommen nicht von einem Teenager in einer Garage mit einem Wegwerf-Handy. Hinter einer professionellen SMS-Phishing-Kampagne steckt eine industrielle Infrastruktur.
Die Server für den Massenversand werden in der Regel außerhalb der Europäischen Union gehostet – Ukraine, Moldawien, einige südostasiatische Länder – was die justizielle Zusammenarbeit erschwert. Die Absendernummern sind Wegwerfnummern, die stündlich gewechselt werden, um Sperrlisten zu entgehen. Die betrügerischen Webseiten werden auf Domains gehostet, die 24 bis 48 Stunden vor der Kampagne registriert wurden, oft über skrupellose Registrare.
Die Gesamtkosten einer schlüsselfertigen Kampagne – Server, Nummern, Domain, geklonte Seite – werden auf 150 € bis 300 € geschätzt. Bei einer Klickrate von 2 % auf 100.000 versendete SMS und einer Konversionsrate von 10 % (eingegebene Bankdaten) ist die Rendite gewaltig.
Die Phishing-Seite
Die gefälschte Seite gibt sich mit beunruhigender Genauigkeit als DHL, La Poste, Colissimo oder Chronopost aus: die richtigen Logos, die richtigen Markenfarben, manchmal sogar ein Lieferfortschrittsbalken und eine zufällig generierte, aber überzeugend formatierte Sendungsverfolgungsnummer.
Die Forderung lautet auf 1,99 € für 'Zollgebühren' oder 'Neuzustellungsgebühren'. Der Betrag ist bewusst niedrig gewählt – er löst nicht den psychologischen Alarm aus, der eine bedeutende Transaktion begleitet.
Es geht nicht um diese 2 €. Es geht um Ihre 16-stellige Kartennummer, das Ablaufdatum und die CVV-Nummer auf der Rückseite. Mit diesen drei Angaben kann jeder Online-Zahlungsdienst belastet werden.
Was als Nächstes passiert
Innerhalb weniger Stunden nach der Eingabe wird Ihre Karte 'getestet': Mikrotransaktionen von 0,01 € bis 0,50 € auf Plattformen, die Zahlungen ohne starke Authentifizierung akzeptieren (manche Abo-Dienste, Trinkgelder, Spenden).
Sobald die Karte als aktiv bestätigt ist, folgen größere Einkäufe. Die bevorzugte Methode: der Kauf von Geschenkkarten für Steam, Amazon oder Google Play, die sich innerhalb von Minuten auf Sekundärmärkten in Bargeld umwandeln lassen, ohne direkte Bankspur.
Sein Geld über ein Rückbuchungsverfahren (Chargeback) zurückzuerhalten, dauert im Schnitt 3 bis 6 Monate. Ihre Bank wird in nahezu allen Fällen erstatten – aber nur, wenn Sie die Transaktionen fristgerecht angefochten haben (maximal 13 Monate für Zahlungen in Frankreich).
Wie Sie nicht mehr darauf hereinfallen
Vier einfache Regeln, die 95 % des Risikos ausschalten:
- →Klicken Sie niemals auf einen Link in einer Liefer-SMS – gehen Sie direkt auf die offizielle Website des Versanddienstleisters (laposte.fr, dhl.fr) und geben Sie die vom Verkäufer erhaltene Sendungsnummer manuell ein.
- →Prüfen Sie die URL, bevor Sie irgendetwas eingeben: 'laposte-colis-paiement.com' oder 'colissimo-fr.net' sind nicht La Poste. Die legitime URL ist immer laposte.fr.
- →Echte Versanddienstleister fragen für eine Zustellung niemals per SMS nach einer Bankkarte – das ist ein absolutes Betrugsmerkmal.
- →Melden Sie die SMS an 33700 (Frankreichs nationale Anti-Smishing-Plattform der GSMA) – das hilft, betrügerische Nummern schneller abzuschalten.
Diese Maschen halten sich, weil sie einen völlig plausiblen Kontext ausnutzen – wir alle bestellen Pakete und erwarten oft mehrere gleichzeitig. Systematische Wachsamkeit bei jedem per SMS erhaltenen Link, ohne Ausnahme, ist die einzige echte Verteidigung. Ein Link in einer Liefer-SMS: niemals direkt anklicken.
- Cybermalveillance.gouv.fr (French national cybersecurity assistance platform, GIP ACYMA), "L'hameçonnage à la livraison de colis" (Package-delivery phishing scam)
- 33700 — French national platform against SMS spam and smishing (operated by the French telecom operators)
- Code monétaire et financier, Article L133-24 (Légifrance) — 13-month deadline to report/contest an unauthorized payment operation
Phishing-Schutz aktivieren