this post was submitted on 13 Mar 2026

166 points (98.8% liked)

DACH - Deutschsprachige Community für Deutschland, Österreich, Schweiz

5040 readers

442 users here now

Das Sammelbecken auf feddit.org für alle Deutschsprechenden aus Deutschland, Österreich, Schweiz, Liechtenstein, Luxemburg und die zwei Belgier. Außerdem natürlich alle anderen deutschprechenden Länderteile der Welt.

Für länderspezifische Themen könnt ihr euch in folgenden Communities austauschen:

___

Zusätzliche Regeln aus „Lessons learned":

Postet hier zu allen Themen, die euch interessieren (soweit sie den anderen Regeln genügen)
Es werden Posts zum Thema Nahost / Palästina/Israel hier auf Dach gelöscht.
Dasselbe gilt für Wahlumfragen à la Sonntagsumfrage.
Bitte Titel von Posts nur sinnerweiternd und nicht sinnentstellend verändern. Eigene Meinungen gehören in den Superkommentar oder noch besser in einen eigenen Kommentar darunter.
Youtube Videos bitte nicht ohne eine zusätzliche Zusammenfassung posten

___

Einsteigertipps für Neue gibt es hier.
___

Eine ausführliche Sidebar mit den Serverregeln usw. findet ihr auf der Startseite von feddit.org

___

founded 2 years ago

MODERATORS

Seven@feddit.org

Der_aus_Aux@feddit.org

ZonenRanslite@feddit.org

166

Post Mortem: Auf den Phishing-Link geklickt (feddit.org)

submitted 4 days ago by Chemo@feddit.org to c/dach@feddit.org

39 comments fedilink hide all child comments

Es ist passiert, ich bin auf eine Phishing-SMS reingefallen. Mir unerklärlich wie ich so dumm sein kann aber es ist geschehen.

Seitdem ist so einiges passiert und ich dachte ich teile meine monatelangen Erfahrungen mal hier, damit andere davon etwas lernen können.

Der böse Klick

Alles fing an mit einer vermeintlichen SMS von meinem Mobilfunkanbieter SIMon Mobile:

SIMon: Hoppla! Die aktuelle Abbuchung für deinen Vertrag ist leider fehlgeschlagen. Bitte kontrollieren unter https://simonmobile.de-kunden.sbs/

Der Ton ist tatsächlich das authentischste an der SMS, weil SIMon genau diesen pseudo-hippen Duktus pflegt. Die URL ist natürlich offensichtlich fake, der Trick ist allerdings, dass die Zeile am Minus umbricht, wenn die Zeilenlänge stimmt und damit auf dem ersten Blick mit der echten Adresse übereinstimmt.

Ich war tatsächlich nicht so sensibilisiert für Phishing per SMS, weil ich angenommen habe, dass man an eine Telefonnummer nicht so leicht und anonym rankommt, wie an eine Emailadresse. Bei einer E-Mail wäre ich sicher misstrauischer gewesen.

Also raufgeklickt, dahinter die perfekt nachgebaute SIMon-Mobile-Anmeldeseite. Meine Anmeldedaten eingegeben. Klappt nicht. Nochmal probiert: nicht endender Ladeindikator. Kriegt mal eure Technik in den Griff denk ich mir und mach es wieder zu.

Die Falle schnappt zu

Am nächsten Morgen stelle ich verblüfft fest, dass mein Email-Postfach überflutet ist. Über 100 Mails: Anmeldungen bei irgendwelche obskuren Newslettern, 2FA-Anfragen von allerlei Diensten. Ich frage mich ob mein Email-Postfach übernommen wurde aber warum sollten die Angreifer mich dann in Newslettern eintragen und warum löschen sie vor allem nicht die ganzen verdächtigen Emails? Ohne wirklich anzunehmen, dass mein Postfach kompromittiert ist, ändere ich sicherheitshalber mein Passwort.

Am selben Morgen stelle ich fest, dass mein Handy keinen Empfang hat. Ich vermute, dass ein Funkmast in der Nähe meines Zuhauses vll gerade ein Problem hat. Als ich auch an anderen Orten in der Stadt keinen Empfang habe, beginne ich mich zu wundern. Neustart, SIM-Karte raus und rein, nichts hilft. Irgendwann merke ich, dass ich offenbar gar nicht im Netz angemeldet bin.

Also wende ich mich am Abend nochmal meinen Postfach zu und da entdecke ich sie, die einzige relevante Mail unter all dem Spam: Mein Mobilfunkanbieter teilt mir mit, dass meine beantragte eSIM in 1-2 Stunden einsatzbereit ist. Das war vor 20 Stunden. Jetzt fällt der Groschen. Ich checke die SMS nochmal und bemerke meinen Fehler. Die Email-Flut in meinem Postfach sollte die entlarvende Info-Mail meines Providers verschütten. Die Betrüger hatten jetzt knapp 24 Stunden Zugriff auf meine Telefonnummer.

Ich habe die eSIM natürlich sofort sperren lassen, der Zugang zu meinem SIMon-Konto war glücklicherweise unverändert zugänglich. Ich dachte, damit hat es sich und ich müsste jetzt nur 2 Tage auf meine neue SIM-Karte warten.

Der Schufa-Schock

In den folgenden Tagen habe ich sicherheitshalber eine Anzeige bei der Polizei gestellt und dabei in gerechter Empörung die Telefonnummer angegeben, von der ich die SMS erhalten hatte. Dafür werde ich mir bald etwas dumm vorkommen.

Bei der Gelegenheit habe ich nochmal ChatGPT gefragt, was man in solchen Fällen noch tun sollte und das hatte einen entscheidenden Tipp, den ich jeder*m Betroffene*n ans Herz legen kann: Eine Datenauskunft bei der Schufa einholen, wer so alles Bonitätsauskünfte über mich eingeholt hat. Das habe ich gemacht (kann man einmal im Jahr über die DSGVO-Auskunft kostenlos tun) und ein paar Tage später der Schock: 3 Dutzend Bonitätsauskünfte innerhalb kürzester Zeit.

(Interessanterweise allerdings einige schon bevor ich auf den Phishing-Link geklickt hatte. Das erhärtet meinen Verdacht, dass die Angreifer bereits etwas über mich wussten als sie mir die gezielte SMS mit dem korrekten Mobilfunkanbieter zugeschickt haben.)

Auf der Liste kann ich auch sehen, wie mit jeder Auskunft mein Schufa-Score weiter in den Keller wandert, bis er bei "Hohes Ausfallrisiko" landet. Die Schufa begründet ihr halbkriminelles Treiben ja damit, dass sie vor Identitätsdiebstahl schützt und da haben sie durchaus einen Punkt.

Also all die Firmen angeschrieben, die meine Bonität erfragt haben, weil offenbar jemand in meinem Namen versucht hat Verträge mit ihnen abzuschließen. Alle die antworten melden mir jedoch schnell, dass ein Vertragsabschluss nicht zustande gekommen war. Also war ich erleichtert.

"Sind sie Congstar"?

In den Wochen darauf erhalte ich ein Dutzend SMS von unbekannten Nummern mit verwirrtem Inhalt: "Ich bin gar nicht bei Congstar!", "Sind sie der Telekom-Kundendienst"?, usw. Mir dämmert wofür die Betrüger meine Telefonnummer gemopst haben: In den knapp 24 Stunden haben sie derart viele andere Nummern mit Phishing-SMS angeschrieben, dass selbst Wochen später noch Leute darauf reagieren.

Wie viele das waren, kann ich nicht sagen aber da ich nicht davon ausgehe dass besonders viele Leute auf die Idee kommen auf eine Info-SMS eines Mobilfunkanbieters per SMS zu antworten, sind es wahrscheinlich eine ganze Menge.

Doppel-Fake

In diesem Zeitraum erhalte ich jedoch zwei Briefe von den Kreditinstituten Babu Green und Topmaxx24, in der sie mich zu Zahlungen im höheren dreistelligen Bereich auffordern, wegen eines gewährten Kredits. Beide Briefe sind aber fast exakt identisch, was mir doppelt komisch vorkommt. Als ich sehe, dass als Kontakt-Email eine GMX-Adresse angegeben ist, wird mir klar, dass diese Briefe gefälscht sind und die echten (aber nicht minder krummen) Kreditinstitute davon wahrscheinlich nichts wissen. Später fällt mir noch auf, dass die Briefe mit Papierbriefmarken frankiert sind. Ich ignoriere die Schreiben also, informiere jedoch die echten Institute sicherheitshalber ohne je eine Antwort zu bekommen.

Später bekomme ich mehrere Briefe von einem Inkasso-Unternehmen (Euro Invest Inkasso), das sowohl das Geld für die Babu Green-Rechnung, als auch eine weitere mir noch ganz unbekannte Rechnung eintreiben will. Hier bin ich mir unsicher, ob es sich um einen Fake-Brief handelt oder die Betrüger ihre Fake-Schulden vielleicht tatsächlich an das echte (ebenfalls shady) Inkasso-Unternehmen verkauft haben.

Die Stadt Nürnberg stimmt, auch wenn dort ein Postfach, statt des Firmensitzes auf dem Rück-Umschlag angegeben wird. Testhalber bereite ich eine Überweisung an die angegeben Überweisungsadresse vor und meine Bank warnt mich nicht über eine abweichende Empfänger-Angabe, wie sie es sonst tut.

Also schreibe ich per Einschreiben dem echten Inkasso-Firmensitz, ohne je eine Antwort zu bekommen. Stattdessen erhalte ich weitere Mahnungen mit der Behauptung ich hätte nicht reagiert von dem was ich mittlerweile für ein Fake-Inkasso-Büro halte.

Um mir später nichts vorwerfen lassen zu können, antworte ich denen per Einschreiben nun an das Postfach, weise alles zurück, kläre über den Identitätsdiebstahl auf und fordere die Zustellung der Originalrechnungen und bekomme blitzschnell eine Antwort: Alles sei mit dem Auftraggeber abgeklärt und ich müsste bezahlen. Jetzt lehne ich mich entspannter zurück: Fake.

Es wird ernst

Einen Monat nach dem Vorfall teilt mir meine Partnerin kleinlaut mit, dass sie vergessen hat mir einen Brief zu geben, den sie aus dem Briefkasten gefischt hatte und gerade erst wiederentdeckt hat. Darin: Abschluss eines Mobilfunkvertrags bei Drillisch, inklusive 2 Apple-Geräten im Wert von über 2000 Euro.

Panisch dort angerufen: Ja, der Vertrag wurde abgeschlossen und besteht. Die Geräte jedoch wurden an eine mir unbekannte Adresse in einer anderen Stadt verschickt - konnten jedoch nicht zugestellt werden. Darum wurden sie zurück an den Mobilfunkanbieter geschickt. Der Callcenter-Mitarbeiter vermutet, dass es den Betrügern nicht gelungen ist, das Paket abzufangen und entweder der angegebene Adressat irritiert das Paket zurückgesendet hat oder der Postbote das Paket wieder mitgenommen hat, als sich der Empfänger nicht korrekt ausweisen konnte. Für den Mobilfunkanbieter sei kein Schaden entstanden und der Vertrag sei rückwirkend aufgehoben und hinfällig.

Also Großes Glück im Unglück. Jedoch hatten die Betrüger einen Monat lang eine Telefonnummer auf meinem Namen zur Verfügung und haben davon sicherlich rege Gebraucht gemacht.

Die Polizei

Überraschenderweise glänzte die Polizei nicht durch Untätigkeit, sondern eine Kommissarin der Leipziger Polizei hat sich zügig bei mir telefonisch gemeldet, sich noch einmal alles erzählen lassen und versprochen all die Firmen, die Bonitätsauskünfte veranlasst hatten anzuschreiben.

Seitdem habe ich jedoch nichts mehr von denen gehört, obwohl ich nachträglich nochmal die ganze Fake-Inkasso-Dokumente nachgesendet haben.

Generell kommt mir die lokale Polizei jedoch als etwas überfordert vor, mit dieser Hausnummer von Betrügern. Ich würde erwarten dass bei diesem Maßstab die Landespolizei eingeschaltet wird. Vielleicht wurde sie das auch, keine Ahnung.

Fazit

Bis auf ein paar Versandkosten sind mir (bisher) keinerlei Schäden entstanden. Viel Zeit und Nerven hat mich das Ganze jedoch gekostet.

Ich bin vor allem beeindruckt von dem Level an Professionalität der Betrüger: innerhalb von 24 Stunden mit einer gekidnappten Telefonnummer vermutlich hunderte oder tausende SMS abzuschicken, dutzende Vertragsabschlüsse zu versuchen und mit Fake-Rechnungen noch ganz andere Angriffswege auszuprobieren - das ist schon beeindruckend.

Besonders beeindruckt hat mich jedoch eine SMS, die ich einige Wochen nach dem Vorfall erhalten habe:

SIMon: Hurra! Deine neue eSIM wurde erfolgreich aktiviert. Änderungen/Stornierung unter https://simonmobile.de-ptan.sbs/

Wirklich diabolisch clever.

you are viewing a single comment's thread
view the rest of the comments

[–] lichtmetzger@discuss.tchncs.de 16 points 3 days ago* (last edited 3 days ago) (1 children)

Phishing-Mails sind mittlerweile auch wirklich gut geworden. Ich betreibe bestimmt seit locker 20 Jahren einen eigenen Mailserver und hab in all der Zeit auch die Spam-Mails immer aufgehoben und trainiere damit Antispam-Tools. Die Zeiten von schlecht übersetztem Deutsch und kaputten Layouts die man schnell erkennt, sind seit einigen Jahren vorbei.

Es funktioniert gut - 99% der Mails werden sofort geblockt, allerdings sind die 1% die durchrutschen, auf den ersten Blick überhaupt nicht mehr als Spam zu erkennen.

Ein Beispiel: Mein Server steht bei Hetzner und ich bekomme häufig E-Mails von Fake-Hetzner, die mich auffordern, meine Rechungen zu begleichen - das ist nicht verwunderlich, weil die IP-Adressbereiche von Hetzner bekannt sind und Angreifer sich da einfach durcharbeiten, um Opfer zu finden.

Im Textmodus sind die Mails eigentlich immer 1zu1 kopiert und leiten auch zum echten Hetzner weiter - nur im HTML-Modus stimmt die URL im Hauptbutton nicht (aber alle URLs im Footer z.B.). Wenn man da grad erst aufgewacht ist oder abends aus der Kneipe kommt und kurz in seine Mails reinschaut, klickt man da wirklich schnell drauf. Die letzte Mail hatte als Absender auch "Hetzner Support" und man hat nur anhand der eigentlichen Absenderadresse "noreply@byosupport.com" erkannt, dass das nicht der echte Hetzner-Support ist.

Grob fahrlässig finde ich, dass moderne E-Mail-Programme im Absenderfeld oft nur den Titel anzeigen und nicht die Adresse. Selbst moderne Tools wie Roundcube machen diesen Quatsch im Jahr 2026 noch. Da wird die Adresse erst angezeigt, wenn man draufhovert:

Auch K9-Mail unter Android macht den gleichen Fehler (da kann ich dann drauftippen um die Details zu sehen):

Es wäre so einfach zu erkennen, wenn man das einfach in Klammern dahinter anzeigen würde.

[–] elvith@feddit.org 6 points 3 days ago (1 children)

Auch K9-Mail unter Android macht den gleichen Fehler

Nervt mich auch, aber:

Einstellungen > Allgemein > Anzeige > Runterscrollen zum Bereich "Nachrichtenliste" > "Namen anzeigen" deaktivieren

Dann ist es umgekehrt und du siehst die Namen nur beim drauftippen:

Was mich am Meisten nervt in den letzten Monaten - der "Google Groups Spam". Google Groups haben irgendeine Funktion, mit der Gruppen angelegt werden können, ohne dass die Mitglieder das bestätigen müssen. Und in dem Fall kann man auch die Gruppe nicht verlassen, da die eingetragene Mail-Adresse i.d.r. kein Google Account ist und das nur mit Login geht (und selbst mit Google Account auf der Mail-Adresse ist man nicht offiziell Mitglied der zugrundeliegenden Organisation und darf die Gruppe mangels Zugriff nicht verlassen). Gleichzeitig sehen viele Spamfilter die Google -Infrastruktur als vertrauenswürdig an und sortieren die nicht so schnell in den Spam-Ordner. Und alle Auto-Responder o.ä. gehen auch direkt wieder zurück über die Gruppe an alle Opfer. Hab daher ein Sieve-Script, was alle Mails, die über Google Groups versendet werden direkt in den Spam aussortiert. Da ich keine Google Groups nutze ist das dann halt die einfachste Version.

[–] lichtmetzger@discuss.tchncs.de 5 points 3 days ago (1 children)

Oh, danke für den Tipp, das ist so deutlich angenehmer mit K9-Mail.

Ich bekomme oft sowas ähnliches wie den Google Groups-Spam, und zwar Ticketsystem-Spam! Bot-Accounts senden eine E-Mail an irgendein Ticketsystem, bekommen einen Weblink zurück und können dann so über ein Webinterface einfach weitere Empfänger hinterlegen und Kommentare posten, die an alle Empfänger gesendet werden.

Das ist tatsächlich sehr weit verbreitet und schwer zu bekämpfen, weil die Ticketsysteme auch zumeist von vertrauenswürdigen Servern senden und ich hab auch noch keine gute Lösung gefunden, um solche Sachen zu blockieren, da Betreff und Inhalt nicht immer irgendeinen Bezug zu einem Support-Ticket enthalten.

Echt super, dass Firmen mit null Kompetenz sowas massenhaft aufsetzen und nicht korrekt konfigurieren. 🫠

[–] elvith@feddit.org 2 points 2 days ago* (last edited 2 days ago) (1 children)

Interessant, das hab ich noch gar nicht bemerkt bei mir. Neben dem normalen Spamfilter und meine Sieve-Script hab ich sonst nur Graylisting aktiv, was auch nochmal einen Teil des Spams abwehrt.

Falls du Sieve zur Verfügung hast bei dir, könntest du schauen, ob das bei den betroffenen Absendern evtl immer wieder dieselbe Software ist und die sich über Header o.ä. verrät und darauf filtern. Ich denke mal, dass du nicht zu häufig Supportfälle auf machst, bei denen dann auch genau das System genutzt wird? In Kombi mit einem eindeutigen Betreff wie bei mir ließe sich das zum einen filtern und zum anderen bei legitimen Mails auch einfach erkennen, warum die im Spam landen.

Meine Sieve-Script dafür schaut so aus (hab da noch mehr drin, kann also sein, das für den Part zu viele Includes/Requiers genannt sind, die anderswo verwendet werden):

require ["body", "date", "editheader", "envelope", "fileinto", "imap4flags", "mailbox", "regex", "reject", "variables"];

if anyof(
    header :contains "List-Subscribe" "groups.google.com",
    header :matches "X-Google-Group-Id" "*"
   ) {
	if header :matches "Subject" "*" {
		set "subject" "${1}";
	} else {
		set "subject" "";
	}
	deleteheader "Subject";
	addheader :last "Subject" "[Google-Groups-Spam] ${subject}";

	fileinto "Junk";
}

[–] lichtmetzger@discuss.tchncs.de 3 points 2 days ago

Ja, ich benutze Sieve! Vielen Dank für das Script, ich beobachte das mal, für den Google-Groups-Spam (den ich zum Glück nicht so oft bekomme) ist das auf jeden Fall Gold wert. 😍