Pishing mit angeblichem DHL-Paket

Die Tage kam eine E-Mail, angeblich von DHL, mit noch zu überweisenden Zollgebühren. Auf einem Mobilgerät sah das alles recht authentisch aus.

Bei einer E-Mail-Adresse kann man den Absender frei angeben. Mobilgeräte zeigen die eigentliche Adresse gar nicht an. Aber selbst wenn, die kann man ja auch fälschen.

Das hier ist der Text:

Hallo,

Wir freuen uns, Ihnen mitteilen zu können, dass Ihre Sendung in unserem lokalen Ursprungszentrum eingetroffen ist.

Bevor wir mit der endgültigen Lieferung fortfahren können, müssen einige ausstehende Kosten beglichen werden (2,99 $). Diese Kosten sind mit den Lieferzöllen verbunden und für die Zollabfertigung gemäß den internationalen Versandvorschriften unerlässlich.

Um den Bezahlvorgang für Sie komfortabler zu gestalten, haben wir eine Online-Zahlungsmöglichkeit eingerichtet. Klicken Sie einfach auf den folgenden Link, um die Zahlung sicher durchzuführen:

Zahlen Sie jetzt

Mit freundlichen Grüßen, DHL Support Group.

Wenn man immer wieder Dinge im Ausland bestellt, bekommt man immer wieder solche E-Mails. Von daher erscheint das erstmal nicht merkwürdig. Man will den Papierkram einfach erledigen und klickt auf den Link.

Man sieht dann dieses Formular und soll seine Adresse eingeben. Schaut man nicht weiter, macht man das halt.

Als nächstes wird man zum Zahlungsdienstleister weitergeleitet und soll seine Kreditkartennummer eingeben. Selbst wenn man das macht, so muss man dann noch in der App bestätigen. Hier holen sich die Betrüger um 3 EUR. Das ist etwas, was einem wahrscheinlich gar nicht weiter auffällt. Immerhin können sie durch die Bestätigung in der App die gleichen Daten nicht immer wieder nutzen.

Schaut man sich das ganze aber einmal in Ruhe an, findet man ganz viele verdächtige Anhaltspunkte.

Die Absenderadresse ist customerhelp@sekur.com. Das hat mit DHL nichts zu tun.

Dann ist die URL unten in der E-Mail auf http://mynichefunnel.com/de. Dort steht nichts spezifisches drin. Woher wollen die dann wissen können, für welches Paket man überhaupt bezahlt? Das ist schon unseriös. Die URL leitete weiter auf https://cpanel17wh.bkk1.cloud.z.com/~cp996250/%3Ftrackig/locatar/home.php?newtoken=, was total unseriös ist. Das Problem ist leider, dass auch die offiziellen URLs unseriös wirken und Domainnamen verkehrt herum strukturiert sind. Somit fällt das alles nicht weiter auf. Auf Mobilgeräten bekommt man davon noch weniger mit.

Schaut man auch einmal bei z.com, so haben die wohl weniger mit Zollabrechnung zu tun:

Auf der Phishing-Webseite ist auch auffällig gewesen, dass keine der anderen Schaltflächen irgendwas bewirkt hat. Das war einfach nur ein Gerüst, mehr nicht.

Die Details der Kostenaufstellung waren auch sehr dubios. Was ist bitte »Volumengewicht«, »steuerpflichtiges Gewicht« und »Gesamtgewicht«? Das ist der Posten von 0,14 EUR mit »Notsituation«?

Wenn man hier seine Daten eingegeben haben sollte, ist das ärgerlich, aber kein Weltuntergang. Durch die Bestätigung per App können Betrüger in der Regel wenig machen. Man sollte aber seine Kontoauszüge im Blick behalten und bei merkwürdigen Abbuchungen dann die Karte sperren lassen.