Händlerbund-Jurist Melvin Dreyer erklärt, wie Sie sich vor Betrugsversuchen mit gefälschten Paketbenachrichtigungen schützen können.

In der Vorweihnachtszeit berichteten wir über eine gefälschte SMS-Nachricht, die angeblich im Namen der DHL verschickt wurde. In dieser wurde der Kunde darüber informiert, dass ein Paket im Verteilzentrum angehalten wurde, für den Weiterversand müsse man einen Betrag von zwei Euro zahlen. Dabei handelte es sich allerdings um einen Betrugsversuch. Wer seine Daten eingibt, schließt unwissentlich ein Abo über 70 Euro ab. Seit Mitte Januar sind auch E-Mails dieser Art um Umlauf. Im Folgenden erklärt Händlerbund-Jurist Melvin Dreyer, wie Sie solche und ähnliche Betrugsversuche erkennen und sich vor Ihnen schützen können und welche Schritte nötig sind, falls Sie auf eben jene Masche hereingefallen sind.

FAQ: Betrugsversuche mit gefälschten Paketbenachrichtigungen 

Ich bin auf einen möglichen Betrugsversuch hereingefallen. Was kann ich tun?

Melvin Dreyer: Haben Sie wichtige Daten, wie etwa jene ihrer Kreditkarte angegeben, sollten Sie sich umgehend mit Ihrer Bank in Verbindung setzen, den Fall schildern und die betreffende Karte sperren lassen. Alternativ können Sie diese auch über den zentralen Sperr-Notruf unter 116 116 sperren lassen. Hier kümmert man sich im Übrigen auch um SIM-Karten, elektronische Ausweise, Online-Accounts für Banking und E-Mail oder auch Kundenkarten.

Wenn Sie sich nicht sicher sind, ob Ihre Daten tatsächlich missbräuchlich verwendet werden könnten, wenden Sie sich an den angegebenen Absender, sofern dieser vertrauenswürdig ist – beispielsweise die DHL. Hierfür sollten Sie aber nicht auf Links oder Angaben aus der betreffenden Nachricht selbst zurückgreifen, sondern die Kontaktdaten anderweitig recherchieren. Generell sind viele Unternehmen, deren Identität für betrügerische Zwecke genutzt wird, dankbar für eine Information darüber. 

Schließlich sollten Sie auch in Erwägung ziehen, eine Anzeige bei der Polizei zu erstatten. Gegebenenfalls können Sie auch Screenshots, beispielsweise der Fake-Internetseite, anfertigen, was hilfreich für eine spätere Beweisführung sein kann. Sollten Sie Passwörter, Pins oder Zugangsdaten angegeben haben, ändern Sie diese umgehend. Sollten diese bereits unberechtigterweise geändert worden sein, informieren Sie den entsprechenden Anbieter umgehend und lassen Sie den Account sperren. Betrugs-SMS können Sie an die Bundesnetzagentur melden, welche dann Maßnahmen, wie die Sperrung des Absenders, treffen wird.

Ich habe meine persönlichen Daten (Name, Adresse) eingegeben, aber keine Zahlungsinformationen. Muss ich eine Zahlung befürchten?

Hier kann es ganz wie bei einer Bestellung im Online-Shop sein: Ein rechtsverbindlicher Vertrag kann hier zustande kommen, auch wenn keine unmittelbaren Zahlungsinformationen angegeben werden – wie beispielsweise bei Kauf auf Rechnung. Dass keine Zahlungsdaten angegeben wurden, schützt insofern nicht vor einer Zahlungsaufforderung. Achten Sie insofern vor der Eingabe von Daten und besonders dem Absenden von Formularen auf etwaige Angaben und auch das Kleingedruckte. Nicht selten verbergen sich hier Informationen zu Verträgen, auf die Sie sich in diesem Moment scheinbar einlassen. Zudem sollte die entsprechende Internetseite auf Unregelmäßigkeiten kontrolliert werden. Betrügerische Auftritte werden immer besser – auch bei einer täuschend echt wirkenden Seite schleichen sich aber gerne Schreibfehler ein, die einen aufhorchen lassen sollten.

Ob eine Forderung tatsächlich besteht, muss im Einzelfall idealerweise durch einen Rechtsanwalt abgeklärt werden. 

Ich habe nur auf den Link geklickt, ohne irgendwelche Daten hinterlegt zu haben. Kann dadurch etwas passieren?

Das bloße Klicken auf Links kann äußerst problematisch sein, da dies beispielsweise zum automatischen Download von Schadprogrammen führen kann, oder aber möglicherweise eine Fake-Seite angezeigt, die Besucher zur Angabe von Daten oder zum Download auffordert. Ebenfalls nicht irrelevant kann schon das Öffnen einer E-Mail in E-Mail-Programmen sein. Je nach Einstellung können so durch das Öffnen beispielsweise Bild-Dateien automatisch heruntergeladen werden – dahinter kann sich ebenfalls Schadsoftware verstecken oder der Versender Auskunft erlangen, dass ihre E-Mail-Adresse aktiv genutzt wird und insofern für Phishing, Spam und dergleichen interessant ist. Achten Sie deswegen auf die Einstellungen Ihres E-Mail-Programms und überprüfen Sie schon bei einem Anfangsverdacht, ob es sich um einen seriösen Link handelt. So wie sich hinter einem Button jedweder Link verstecken kann, muss auch hinter der in einer E-Mail oder SMS angegebenen verlinkten Web-Adresse nicht zwingend der Link stecken, der zu dieser Adresse führt. Kopieren Sie die verlinkte Adresse daher vielleicht zunächst in ein Dokument, um diesen ohne Öffnen überprüfen zu können. Viele Browser zeigen den tatsächlichen Link bei einem Mouse-over außerdem in der unteren linken Ecke des Fensters an. Nutzen Sie regelmäßig ein aktuelles Antiviren-Programm und führen Sie einen Scan durch, sobald Ihnen etwas merkwürdig vorkommt. 

Wie kann ich mich vor solchen Angriffen schützen?

Nicht immer finden sich in betrügerischen Nachrichten auch deutliche Hinweise auf diesen Hintergrund, auch hier werden die Taktiken immer ausgefeilter. Achten Sie auf Auffällig- und Unregelmäßigkeiten in Ihren Nachrichten. 

  • Gibt es Schreibfehler oder unterscheidet sich das Design vom Gewohnten, auch nur in Details? 
  • Werden Sie persönlich angesprochen oder handelt es sich nur um eine allgemeine Ansprache, die womöglich von einem Massenversand herrührt?
  • Werden unbekannte Leistungen des angeblichen Absenders beworben oder gar Gewinne? 
  • Werden Sie überraschend zu Zahlungen aufgefordert oder werden ungewöhnliche Zusatzleistungen gegen ein – ggf. auffallend geringes – Entgelt angeboten? 
  • Kommuniziert der Anbieter gegebenenfalls auch sonst auf diesem Weg mit Ihnen? 
  • Passt die Absender-Adresse oder -nummer tatsächlich zum angegebenen Absender? Nutzt bspw. ein Versandanbieter eine E-Mail-Adresse von einem Provider für kostenlose E-Mail-Adressen, sollten Sie kritisch werden.
  • Werden Sie zur Aktualisierung sensibler Daten aufgefordert? Prüfen Sie direkt beim Anbieter, ob dies wirklich nötig ist, ohne dabei Links aus der Nachricht zu nutzen.
  • Ist eine angegebene Sendungsnummer echt? Geben Sie diese zunächst händisch in der Sendungsverfolgung an.

Gerade auf Smartphones wird oftmals ein Absender aus dem Adressbuch angezeigt, um den es sich aber nicht zwingend auch wirklich handeln muss. Seien Sie tendenziell zurückhaltend im Umgang mit ihren persönlichen Daten, überprüfen Sie die Identität einer Internetseite anhand ihrer URL und achten Sie auch auf die ordnungsgemäße Verschlüsselung, über welche Sie ihr Browser meist in der Nähe der Adresseingabe informiert. Fragen Sie gegebenenfalls beim vermeintlichen Absender nach. Weitere Informationen erhalten Sie auch beim Bundesamt für Sicherheit in der Informationstechnik.