this post was submitted on 13 Mar 2026
166 points (98.8% liked)

DACH - Deutschsprachige Community für Deutschland, Österreich, Schweiz

5040 readers
497 users here now

Das Sammelbecken auf feddit.org für alle Deutschsprechenden aus Deutschland, Österreich, Schweiz, Liechtenstein, Luxemburg und die zwei Belgier. Außerdem natürlich alle anderen deutschprechenden Länderteile der Welt.

Für länderspezifische Themen könnt ihr euch in folgenden Communities austauschen:

___

Zusätzliche Regeln aus „Lessons learned":

___

Einsteigertipps für Neue gibt es hier.
___

Eine ausführliche Sidebar mit den Serverregeln usw. findet ihr auf der Startseite von feddit.org

___

founded 2 years ago
MODERATORS
Seven@feddit.org
Der_aus_Aux@feddit.org
ZonenRanslite@feddit.org
166
Post Mortem: Auf den Phishing-Link geklickt (feddit.org)
submitted 4 days ago by Chemo@feddit.org to c/dach@feddit.org
39 comments fedilink hide all child comments
 

Es ist passiert, ich bin auf eine Phishing-SMS reingefallen. Mir unerklärlich wie ich so dumm sein kann aber es ist geschehen.

Seitdem ist so einiges passiert und ich dachte ich teile meine monatelangen Erfahrungen mal hier, damit andere davon etwas lernen können.

Der böse Klick

Alles fing an mit einer vermeintlichen SMS von meinem Mobilfunkanbieter SIMon Mobile:

SIMon: Hoppla! Die aktuelle Abbuchung für deinen Vertrag ist leider fehlgeschlagen. Bitte kontrollieren unter https://simonmobile.de-kunden.sbs/

Der Ton ist tatsächlich das authentischste an der SMS, weil SIMon genau diesen pseudo-hippen Duktus pflegt. Die URL ist natürlich offensichtlich fake, der Trick ist allerdings, dass die Zeile am Minus umbricht, wenn die Zeilenlänge stimmt und damit auf dem ersten Blick mit der echten Adresse übereinstimmt.

Ich war tatsächlich nicht so sensibilisiert für Phishing per SMS, weil ich angenommen habe, dass man an eine Telefonnummer nicht so leicht und anonym rankommt, wie an eine Emailadresse. Bei einer E-Mail wäre ich sicher misstrauischer gewesen.

Also raufgeklickt, dahinter die perfekt nachgebaute SIMon-Mobile-Anmeldeseite. Meine Anmeldedaten eingegeben. Klappt nicht. Nochmal probiert: nicht endender Ladeindikator. Kriegt mal eure Technik in den Griff denk ich mir und mach es wieder zu.

Die Falle schnappt zu

Am nächsten Morgen stelle ich verblüfft fest, dass mein Email-Postfach überflutet ist. Über 100 Mails: Anmeldungen bei irgendwelche obskuren Newslettern, 2FA-Anfragen von allerlei Diensten. Ich frage mich ob mein Email-Postfach übernommen wurde aber warum sollten die Angreifer mich dann in Newslettern eintragen und warum löschen sie vor allem nicht die ganzen verdächtigen Emails? Ohne wirklich anzunehmen, dass mein Postfach kompromittiert ist, ändere ich sicherheitshalber mein Passwort.

Am selben Morgen stelle ich fest, dass mein Handy keinen Empfang hat. Ich vermute, dass ein Funkmast in der Nähe meines Zuhauses vll gerade ein Problem hat. Als ich auch an anderen Orten in der Stadt keinen Empfang habe, beginne ich mich zu wundern. Neustart, SIM-Karte raus und rein, nichts hilft. Irgendwann merke ich, dass ich offenbar gar nicht im Netz angemeldet bin.

Also wende ich mich am Abend nochmal meinen Postfach zu und da entdecke ich sie, die einzige relevante Mail unter all dem Spam: Mein Mobilfunkanbieter teilt mir mit, dass meine beantragte eSIM in 1-2 Stunden einsatzbereit ist. Das war vor 20 Stunden. Jetzt fällt der Groschen. Ich checke die SMS nochmal und bemerke meinen Fehler. Die Email-Flut in meinem Postfach sollte die entlarvende Info-Mail meines Providers verschütten. Die Betrüger hatten jetzt knapp 24 Stunden Zugriff auf meine Telefonnummer.

Ich habe die eSIM natürlich sofort sperren lassen, der Zugang zu meinem SIMon-Konto war glücklicherweise unverändert zugänglich. Ich dachte, damit hat es sich und ich müsste jetzt nur 2 Tage auf meine neue SIM-Karte warten.

Der Schufa-Schock

In den folgenden Tagen habe ich sicherheitshalber eine Anzeige bei der Polizei gestellt und dabei in gerechter Empörung die Telefonnummer angegeben, von der ich die SMS erhalten hatte. Dafür werde ich mir bald etwas dumm vorkommen.

Bei der Gelegenheit habe ich nochmal ChatGPT gefragt, was man in solchen Fällen noch tun sollte und das hatte einen entscheidenden Tipp, den ich jeder*m Betroffene*n ans Herz legen kann: Eine Datenauskunft bei der Schufa einholen, wer so alles Bonitätsauskünfte über mich eingeholt hat. Das habe ich gemacht (kann man einmal im Jahr über die DSGVO-Auskunft kostenlos tun) und ein paar Tage später der Schock: 3 Dutzend Bonitätsauskünfte innerhalb kürzester Zeit.

(Interessanterweise allerdings einige schon bevor ich auf den Phishing-Link geklickt hatte. Das erhärtet meinen Verdacht, dass die Angreifer bereits etwas über mich wussten als sie mir die gezielte SMS mit dem korrekten Mobilfunkanbieter zugeschickt haben.)

Auf der Liste kann ich auch sehen, wie mit jeder Auskunft mein Schufa-Score weiter in den Keller wandert, bis er bei "Hohes Ausfallrisiko" landet. Die Schufa begründet ihr halbkriminelles Treiben ja damit, dass sie vor Identitätsdiebstahl schützt und da haben sie durchaus einen Punkt.

Also all die Firmen angeschrieben, die meine Bonität erfragt haben, weil offenbar jemand in meinem Namen versucht hat Verträge mit ihnen abzuschließen. Alle die antworten melden mir jedoch schnell, dass ein Vertragsabschluss nicht zustande gekommen war. Also war ich erleichtert.

"Sind sie Congstar"?

In den Wochen darauf erhalte ich ein Dutzend SMS von unbekannten Nummern mit verwirrtem Inhalt: "Ich bin gar nicht bei Congstar!", "Sind sie der Telekom-Kundendienst"?, usw. Mir dämmert wofür die Betrüger meine Telefonnummer gemopst haben: In den knapp 24 Stunden haben sie derart viele andere Nummern mit Phishing-SMS angeschrieben, dass selbst Wochen später noch Leute darauf reagieren.

Wie viele das waren, kann ich nicht sagen aber da ich nicht davon ausgehe dass besonders viele Leute auf die Idee kommen auf eine Info-SMS eines Mobilfunkanbieters per SMS zu antworten, sind es wahrscheinlich eine ganze Menge.

Doppel-Fake

In diesem Zeitraum erhalte ich jedoch zwei Briefe von den Kreditinstituten Babu Green und Topmaxx24, in der sie mich zu Zahlungen im höheren dreistelligen Bereich auffordern, wegen eines gewährten Kredits. Beide Briefe sind aber fast exakt identisch, was mir doppelt komisch vorkommt. Als ich sehe, dass als Kontakt-Email eine GMX-Adresse angegeben ist, wird mir klar, dass diese Briefe gefälscht sind und die echten (aber nicht minder krummen) Kreditinstitute davon wahrscheinlich nichts wissen. Später fällt mir noch auf, dass die Briefe mit Papierbriefmarken frankiert sind. Ich ignoriere die Schreiben also, informiere jedoch die echten Institute sicherheitshalber ohne je eine Antwort zu bekommen.

Später bekomme ich mehrere Briefe von einem Inkasso-Unternehmen (Euro Invest Inkasso), das sowohl das Geld für die Babu Green-Rechnung, als auch eine weitere mir noch ganz unbekannte Rechnung eintreiben will. Hier bin ich mir unsicher, ob es sich um einen Fake-Brief handelt oder die Betrüger ihre Fake-Schulden vielleicht tatsächlich an das echte (ebenfalls shady) Inkasso-Unternehmen verkauft haben.

Die Stadt Nürnberg stimmt, auch wenn dort ein Postfach, statt des Firmensitzes auf dem Rück-Umschlag angegeben wird. Testhalber bereite ich eine Überweisung an die angegeben Überweisungsadresse vor und meine Bank warnt mich nicht über eine abweichende Empfänger-Angabe, wie sie es sonst tut.

Also schreibe ich per Einschreiben dem echten Inkasso-Firmensitz, ohne je eine Antwort zu bekommen. Stattdessen erhalte ich weitere Mahnungen mit der Behauptung ich hätte nicht reagiert von dem was ich mittlerweile für ein Fake-Inkasso-Büro halte.

Um mir später nichts vorwerfen lassen zu können, antworte ich denen per Einschreiben nun an das Postfach, weise alles zurück, kläre über den Identitätsdiebstahl auf und fordere die Zustellung der Originalrechnungen und bekomme blitzschnell eine Antwort: Alles sei mit dem Auftraggeber abgeklärt und ich müsste bezahlen. Jetzt lehne ich mich entspannter zurück: Fake.

Es wird ernst

Einen Monat nach dem Vorfall teilt mir meine Partnerin kleinlaut mit, dass sie vergessen hat mir einen Brief zu geben, den sie aus dem Briefkasten gefischt hatte und gerade erst wiederentdeckt hat. Darin: Abschluss eines Mobilfunkvertrags bei Drillisch, inklusive 2 Apple-Geräten im Wert von über 2000 Euro.

Panisch dort angerufen: Ja, der Vertrag wurde abgeschlossen und besteht. Die Geräte jedoch wurden an eine mir unbekannte Adresse in einer anderen Stadt verschickt - konnten jedoch nicht zugestellt werden. Darum wurden sie zurück an den Mobilfunkanbieter geschickt. Der Callcenter-Mitarbeiter vermutet, dass es den Betrügern nicht gelungen ist, das Paket abzufangen und entweder der angegebene Adressat irritiert das Paket zurückgesendet hat oder der Postbote das Paket wieder mitgenommen hat, als sich der Empfänger nicht korrekt ausweisen konnte. Für den Mobilfunkanbieter sei kein Schaden entstanden und der Vertrag sei rückwirkend aufgehoben und hinfällig.

Also Großes Glück im Unglück. Jedoch hatten die Betrüger einen Monat lang eine Telefonnummer auf meinem Namen zur Verfügung und haben davon sicherlich rege Gebraucht gemacht.

Die Polizei

Überraschenderweise glänzte die Polizei nicht durch Untätigkeit, sondern eine Kommissarin der Leipziger Polizei hat sich zügig bei mir telefonisch gemeldet, sich noch einmal alles erzählen lassen und versprochen all die Firmen, die Bonitätsauskünfte veranlasst hatten anzuschreiben.

Seitdem habe ich jedoch nichts mehr von denen gehört, obwohl ich nachträglich nochmal die ganze Fake-Inkasso-Dokumente nachgesendet haben.

Generell kommt mir die lokale Polizei jedoch als etwas überfordert vor, mit dieser Hausnummer von Betrügern. Ich würde erwarten dass bei diesem Maßstab die Landespolizei eingeschaltet wird. Vielleicht wurde sie das auch, keine Ahnung.

Fazit

Bis auf ein paar Versandkosten sind mir (bisher) keinerlei Schäden entstanden. Viel Zeit und Nerven hat mich das Ganze jedoch gekostet.

Ich bin vor allem beeindruckt von dem Level an Professionalität der Betrüger: innerhalb von 24 Stunden mit einer gekidnappten Telefonnummer vermutlich hunderte oder tausende SMS abzuschicken, dutzende Vertragsabschlüsse zu versuchen und mit Fake-Rechnungen noch ganz andere Angriffswege auszuprobieren - das ist schon beeindruckend.

Besonders beeindruckt hat mich jedoch eine SMS, die ich einige Wochen nach dem Vorfall erhalten habe:

SIMon: Hurra! Deine neue eSIM wurde erfolgreich aktiviert. Änderungen/Stornierung unter https://simonmobile.de-ptan.sbs/

Wirklich diabolisch clever.

top 39 comments
sorted by: hot top controversial new old
[–] lichtmetzger@discuss.tchncs.de 16 points 3 days ago* (last edited 3 days ago) (1 children)

Phishing-Mails sind mittlerweile auch wirklich gut geworden. Ich betreibe bestimmt seit locker 20 Jahren einen eigenen Mailserver und hab in all der Zeit auch die Spam-Mails immer aufgehoben und trainiere damit Antispam-Tools. Die Zeiten von schlecht übersetztem Deutsch und kaputten Layouts die man schnell erkennt, sind seit einigen Jahren vorbei.

Es funktioniert gut - 99% der Mails werden sofort geblockt, allerdings sind die 1% die durchrutschen, auf den ersten Blick überhaupt nicht mehr als Spam zu erkennen.

Ein Beispiel: Mein Server steht bei Hetzner und ich bekomme häufig E-Mails von Fake-Hetzner, die mich auffordern, meine Rechungen zu begleichen - das ist nicht verwunderlich, weil die IP-Adressbereiche von Hetzner bekannt sind und Angreifer sich da einfach durcharbeiten, um Opfer zu finden.

Im Textmodus sind die Mails eigentlich immer 1zu1 kopiert und leiten auch zum echten Hetzner weiter - nur im HTML-Modus stimmt die URL im Hauptbutton nicht (aber alle URLs im Footer z.B.). Wenn man da grad erst aufgewacht ist oder abends aus der Kneipe kommt und kurz in seine Mails reinschaut, klickt man da wirklich schnell drauf. Die letzte Mail hatte als Absender auch "Hetzner Support" und man hat nur anhand der eigentlichen Absenderadresse "noreply@byosupport.com" erkannt, dass das nicht der echte Hetzner-Support ist.

Grob fahrlässig finde ich, dass moderne E-Mail-Programme im Absenderfeld oft nur den Titel anzeigen und nicht die Adresse. Selbst moderne Tools wie Roundcube machen diesen Quatsch im Jahr 2026 noch. Da wird die Adresse erst angezeigt, wenn man draufhovert:

Auch K9-Mail unter Android macht den gleichen Fehler (da kann ich dann drauftippen um die Details zu sehen):

Es wäre so einfach zu erkennen, wenn man das einfach in Klammern dahinter anzeigen würde.

[–] elvith@feddit.org 6 points 3 days ago (1 children)

Auch K9-Mail unter Android macht den gleichen Fehler

Nervt mich auch, aber:

Einstellungen > Allgemein > Anzeige > Runterscrollen zum Bereich "Nachrichtenliste" > "Namen anzeigen" deaktivieren

Dann ist es umgekehrt und du siehst die Namen nur beim drauftippen:

Was mich am Meisten nervt in den letzten Monaten - der "Google Groups Spam". Google Groups haben irgendeine Funktion, mit der Gruppen angelegt werden können, ohne dass die Mitglieder das bestätigen müssen. Und in dem Fall kann man auch die Gruppe nicht verlassen, da die eingetragene Mail-Adresse i.d.r. kein Google Account ist und das nur mit Login geht (und selbst mit Google Account auf der Mail-Adresse ist man nicht offiziell Mitglied der zugrundeliegenden Organisation und darf die Gruppe mangels Zugriff nicht verlassen). Gleichzeitig sehen viele Spamfilter die Google -Infrastruktur als vertrauenswürdig an und sortieren die nicht so schnell in den Spam-Ordner. Und alle Auto-Responder o.ä. gehen auch direkt wieder zurück über die Gruppe an alle Opfer. Hab daher ein Sieve-Script, was alle Mails, die über Google Groups versendet werden direkt in den Spam aussortiert. Da ich keine Google Groups nutze ist das dann halt die einfachste Version.

[–] lichtmetzger@discuss.tchncs.de 5 points 3 days ago (1 children)

Oh, danke für den Tipp, das ist so deutlich angenehmer mit K9-Mail.

Ich bekomme oft sowas ähnliches wie den Google Groups-Spam, und zwar Ticketsystem-Spam! Bot-Accounts senden eine E-Mail an irgendein Ticketsystem, bekommen einen Weblink zurück und können dann so über ein Webinterface einfach weitere Empfänger hinterlegen und Kommentare posten, die an alle Empfänger gesendet werden.

Das ist tatsächlich sehr weit verbreitet und schwer zu bekämpfen, weil die Ticketsysteme auch zumeist von vertrauenswürdigen Servern senden und ich hab auch noch keine gute Lösung gefunden, um solche Sachen zu blockieren, da Betreff und Inhalt nicht immer irgendeinen Bezug zu einem Support-Ticket enthalten.

Echt super, dass Firmen mit null Kompetenz sowas massenhaft aufsetzen und nicht korrekt konfigurieren. 🫠

[–] elvith@feddit.org 2 points 2 days ago* (last edited 2 days ago) (1 children)

Interessant, das hab ich noch gar nicht bemerkt bei mir. Neben dem normalen Spamfilter und meine Sieve-Script hab ich sonst nur Graylisting aktiv, was auch nochmal einen Teil des Spams abwehrt.

Falls du Sieve zur Verfügung hast bei dir, könntest du schauen, ob das bei den betroffenen Absendern evtl immer wieder dieselbe Software ist und die sich über Header o.ä. verrät und darauf filtern. Ich denke mal, dass du nicht zu häufig Supportfälle auf machst, bei denen dann auch genau das System genutzt wird? In Kombi mit einem eindeutigen Betreff wie bei mir ließe sich das zum einen filtern und zum anderen bei legitimen Mails auch einfach erkennen, warum die im Spam landen.

Meine Sieve-Script dafür schaut so aus (hab da noch mehr drin, kann also sein, das für den Part zu viele Includes/Requiers genannt sind, die anderswo verwendet werden):

require ["body", "date", "editheader", "envelope", "fileinto", "imap4flags", "mailbox", "regex", "reject", "variables"];

if anyof(
    header :contains "List-Subscribe" "groups.google.com",
    header :matches "X-Google-Group-Id" "*"
   ) {
	if header :matches "Subject" "*" {
		set "subject" "${1}";
	} else {
		set "subject" "";
	}
	deleteheader "Subject";
	addheader :last "Subject" "[Google-Groups-Spam] ${subject}";

	fileinto "Junk";
}
[–] lichtmetzger@discuss.tchncs.de 3 points 2 days ago

Ja, ich benutze Sieve! Vielen Dank für das Script, ich beobachte das mal, für den Google-Groups-Spam (den ich zum Glück nicht so oft bekomme) ist das auf jeden Fall Gold wert. 😍

[–] luciferofastora@feddit.org 7 points 2 days ago

Ich verlinke bei solchen Stories gerne einen Blogpost von Cory Doctorow, der selbst in dem Thema eigentlich ein Profi ist, worin er berichtet wie er selbst einem Scam zum Opfer gefallen ist und das auseinanderpflückt.

Gräm dich also nicht zu sehr fürs reinfallen: Wenn jemand regelmäßig zu Social Engineering Wettbewerben geht und trotzdem drauf reinfallen kann, weil ein mal alle unglücklichen Umstände perfekt zusammenkommen, dann kann das auch dem Rest von uns passieren. Manchmal übertönt halt was anderes alle Alarmglocken.

[–] Black616Angel@discuss.tchncs.de 21 points 3 days ago

Blöd gelaufen aber schön geschrieben. Danke erstmal dafür.

Aber warum kannst du dir blöd vor, die Nummer bei der Polizei angegeben zu haben?

Das scheint ja auch eine betroffene Person zu sein und über dieser Nummer kann man die vielleicht aufspüren und informieren. Ich meine, du hast alles richtig gemacht (bis auf den Anfang)

Ich empfehle übrigens einen Passwortmanager, der dann die URLs kennt und halt einfach nix ausspuckt, wenn die nicht stimmt.

[–] hikaru755@lemmy.world 17 points 3 days ago* (last edited 3 days ago) (2 children)

Also raufgeklickt, dahinter die perfekt nachgebaute SIMon-Mobile-Anmeldeseite. Meine Anmeldedaten eingegeben.

Weil es bisher in den Kommentaren noch nicht erwähnt wurde, aber es einer der wichtigsten Schutzmechanismen gegen sowas ist: Jeder, absolut jeder, sollte konsequent einen Passwort-Manager mit Autofill benutzen, und dann sehr, sehr skeptisch werden wenn Autofill mal nicht funktioniert - normalerweise bedeutet das, dass man gerade nicht auf der Seite ist, auf der man glaubt zu sein.

Passwort-Manager sind wirklich in jeglicher Hinsicht win-win ohne Kompromisse - sich irgendwo anzumelden wird einfacher und sicherer, gleichzeitig. Man muss sich nur noch ein einziges Passwort merken und von Hand eingeben, alles andere macht der Passwort-Manager für dich, und sorgt ergänzend auch noch dafür dass du überall unterschiedliche und sichere Passwörter benutzt.

[–] SkavarSharraddas@gehirneimer.de 4 points 3 days ago

Noch ein Tip: Nie auf Links klicken sondern wenn man persönliche Daten eingibt immer die Adresse aus Suchmaschine / Bookmarks / eigenen Unterlagen nehmen (und dann kann man auch noch prüfen auf wen das HTTPS-Zertifikat läuft).

[–] phneutral@feddit.org 4 points 3 days ago (1 children)

Ergänzend möchte ich hinzufügen: Zusätzlich, überall wo möglich Zwei-Faktor-Authentifizierung (2FA) aktivieren! Natürlich muss man weiterhin vorsichtig sein und sollte auch den zweiten Faktor nicht in ein Phishing-Formular eingeben, aber da diese Zahlencodes zeitbasiert nur wenige Sekunden gültig sind, wird es auch schwieriger für die Angreifenden und es reicht eben nicht das Passwort einmal zu ergaunern.

[–] hikaru755@lemmy.world 3 points 3 days ago (1 children)

Richtig und wichtig! Alternativ sind Passkeys auch eine gute Sache, sind aber noch nicht so wirklich im Mainstream-Bewusstsein angekommen

[–] phneutral@feddit.org 2 points 3 days ago

Ja, Passkeys sind natürlich premium, werden aber leider auch noch nicht von allen Diensten angeboten.

[–] MatSeFi@lemmy.liebeleu.de 7 points 3 days ago

Vor solchen Links hat mich mein Passwortmanager schon 2 mal gerettet. Im ersten Moment denkt man, dass das Autofill kaputt ioder die Login-URL umgezogen ist. Spätestens beim Eintragen der neuen URL in den passwortmanager stellte ich dann fest, dass Adresse scam ist.

[–] gabelstapler@feddit.org 8 points 3 days ago

In 99,9% der Fälle ist das Phishing offensichtlich. In 0,1% der Fälle passt einfach alles zusammen...

Wir haben für unser Kind ein Depot angelegt, beide Elternteile haben eigene Zugangsdaten, meine bessere Hälfte nutzt ihre aber nicht. Damals wurden noch tan-listen verwendet und verschickt.

Eines Tages bekommt meine bessere Hälfte eine SMS von der "Bank": das tan-verfahren ist nicht mehr gültig und muss erneuert werden, sonst können sie nicht mehr drauf zugreifen. Bitte gehen sie auf Bank-tanverfahren.APP

Erste Reaktion: passt alles, wir sind bei der Bank, die tan listen sind tatsächlich nicht mehr erlaubt. Erst auf den zweiten Blick dann die Überlegung, schicken die das tatsächlich per SMS und nicht per Brief? Als Absender war eine Telefonnummer angegeben, anstelle des Namen der Bank. Zuletzt dann die URL, die auf .APP endete.

Obwohl ich der Meinung war phishing zu erkennen, bin ich hier wirklich ins grübeln gekommen.

[–] ConstructiveVandalism@piefed.zip 23 points 3 days ago (2 children)

Drücken wir die Daumen, dass das schlimmste vorbei ist.

Ja, vor Fishing ist niemand wirklich sicher. Klar, die offensichtlichen erkennt jeder. Dadurch wird man aber auch gewissermaßen desensibilisiert. Und wir werden alle durch schlechte Userinterfaces darauf trainiert irgendwelche Meldungen und Links schnell an-/wegzuklicken. Bis man mal im Stress ist oder einen schlechten Tag hat und zu schnell auf den falschen Link klickt. 

[–] bleistift2@sopuli.xyz 13 points 3 days ago

wir werden alle durch schlechte Userinterfaces darauf trainiert irgendwelche Meldungen und Links schnell an-/wegzuklicken.

Da stimme ich vollkommen zu. Ich war schon auf legitimen Seiten von Diensteanbietern, deren Interface so schlecht programmiert war, dass ich ernsthaft an einen Fake glaubte. Da geben sich Kriminelle scheinbar mehr Mühe…

[–] Wrufieotnak@feddit.org 8 points 3 days ago

Ja, ich war immer recht arrogant und dachte: da muss man nur aufpassen und dann passiert einem nichts. Bis ich mal auf eine Testphishingmail von meinem Arbeitgeber halb reingefallen bin. Halb, weil ich gesehen habe dass der Link falsch ist und gedacht habe: Man ey, die dumme Verwaltung ist zu doof die eigenen Links richtig zu versenden. Jetzt haben alle hier den falschen Link bekommen. ... Der doofe war ich, gab nämlich absichtlich noch ein paar andere Ungereimtheiten, die ich in meiner Überheblichkeit nicht bemerkt hatte.

Wie du sagst: im Stress fällt man dann in die Falle.

[–] kossa@feddit.org 12 points 3 days ago* (last edited 3 days ago) (3 children)

Ja, ich musste auch den Gang nach Canossa antreten, vom hohen Ross "auf Fakes fallen doch nur Rentner rein" herunterzukommen.

Hatte einen Fahrrad Kinderanhänger für so ~25€ günstiger in einem kleinen Onlineshop gesehen. Also noch nicht mal so ein auffälliges "richtig viel billiger". Hab Due Diligence angefangen: die Firma gab es im Handelsregister, die Adressen stimmten überein, sah gut aus.

Ich hab' zu dem Zeitpunkt selbst einen kleinen Onlineshop betrieben, wollte also aus Prinzip andere kleine Shops unterstützen. Das man nur per Überweisung zahlen konnte wunderte mich deshalb auch nicht, weil die Paypal Integration bei uns auch ein ziemlicher Kampf war und bei uns auch witzigerweise Kunden häufiger per Überweisung (Vorkasse) bezahlten als per Paypal. Daher keine Alarmglocken.

Rechnung kam per Mail, Domains stimmten, Rechnung hatte alle richtigen Angaben (mit VAT Id., Rechnungsnummer, Rechnungsdatum, USt., alle Bells and Whistles). Also überwiesen.

Einen Tag später war die Domain nicht mehr zu erreichen. Überweisung versucht zurückzuholen, ging nocht mehr, weil Echtzeit Überweisung.

Tja.

Turns out: die kopieren einfach Firmendaten aus dem Handelsregister. Ich meine, fair enough, ist ja einfach. Aber krass. Mit dieser Professionalität hatte ich nicht gerechnet.

Traurige Lehre daraus: lieber nur bei Shops bestellen, die man kennt, empfohlen bekommt oder wenigstens Paypal als Zahlmöglichkeit anbieten. Tut mir leid kleine Onlineshops. Oh, und N26 meiden, die haben wohl das größte Kontingent an gefälschten Konten, sagte mir das LKA. So nach dem Motto "ja, wenn da eine Rechnung mir N26 IBAN kommt: besser nicht überweisen und ein anderes Zielkonto von der Firma erfragen" 😅

Edit: auch krass war, dass die ansonsten auch ein passendes Sortiment hatten: nicht zu klein, nicht zu groß, nicht zu wahllos für einen kleinen Shop. Normale Preise bei den sonstigen Artikeln, das war also explizit darauf abgestellt nur Leute zu diesem Fahrradanhänger zu locken.

[–] Vizzerdrix@lemmy.world 5 points 3 days ago

Besonders Vorsicht übrigens wenn nur Zahlung per Kreditkarte möglich ist. Da gibt es auch Scammer, die so gezielt Kreditkarten Daten abgreifen.

Gab auch einen guten 38C3 Vortrag zu so fake shops (in dem Fall im Modebereich), die tatsächlich auf den ersten Blick sehr professionell aussehen. Und dank SEO natürlich auch prominent von Suchmaschinen platziert werden

https://youtu.be/oyH5z7klhBU?is=EHIh4oyQLGS7ePoF

[–] Brummbaer@pawb.social 2 points 3 days ago

Das ist natürlich dämlich.

Ich würde nie etwas per Überweisung zahlen. Entweder Bankeinzug, dann kann ich mir das Geld zurückholen oder wenn man nur per Kreditkarte bezahlen kann benutz ich wegwerf Karten. Dann kann man mit der Nummer nix anfangen wenn ich die deaktivier.

[–] smokeysnilas@feddit.org 2 points 3 days ago (1 children)

Wenn Paypal nicht geht nehmt wenigstens Kreditkarten, da kann man auch immer relativ lange zurück buchen.

[–] lichtmetzger@discuss.tchncs.de 3 points 3 days ago* (last edited 3 days ago)

Ich hab' meine Mastercard bei einer reinen Online-Bank, verknüpft mit meinem Konto - die funktioniert wie eine ganz reguläre Karte , aber bei jedem Vorgang wird 2FA in der Banking-App erzwungen.

Selbst wenn jemand die Kartennummer und Prüfziffer mal rausfinden sollte: Viel Spaß damit. Ich bekomme sofort eine Benachrichtigung beim Versuch und kann die Karte instant sperren lassen.

Diese Konstellation hat auch den Vorteil, dass man über die Kreditkarte nur so viel abheben kann, wie auch Geld auf dem Konto ist. Der "Kredit"rahmen beträgt 0€. Das ließe sich theoretisch auch ändern, aber finde ich gut so - verleitet zu weniger Impulskäufen. :)

[–] Stitch0815@feddit.org 8 points 3 days ago

Ich schließ mich allen anderen an.

Vielen dank fürs teilen

Niemand ist 100% sicher nicht irgendwann mal doof zu clicken.

Um so wichtiger, dass man mal erfährt was so passiert/hätte passieren können

Wirklich wirklich spannend zu lesen.

Kleinen Krimi haste uns da gegönnt :)

[–] tofu@lemmy.nocturnal.garden 13 points 3 days ago

Autsch! Super nervig, hoffe, du hast alles einfangen können. Schön aufgeschrieben.

[–] ranslite@pie.dasneuland.de 8 points 3 days ago

Vielen Dank fürs teilen.

[–] Daniel_@discuss.tchncs.de 7 points 3 days ago (1 children)

Danke für das Teilen! Zum Glück scheint es ja nochmal gut für dich ausgegangen zu sein. Die Story ist authentischer als jeder awareness - slop den ich in letzter Zeit unternehmensbedingt über mich ergehen lassen musste.

Dürfte ich deine Geschichte an ein paar Kollegen weiterleiten?

[–] Chemo@feddit.org 2 points 3 days ago

Ja klar, gerne, freut mich wenn möglichst viele das ein oder andere daraus lernen.

[–] sp3ctre@feddit.org 7 points 3 days ago

Schöner Text. Kann wirklich jedem mal passieren.

[–] plyth@feddit.org 6 points 3 days ago (1 children)

dass man an eine Telefonnummer nicht so leicht und anonym rankommt

Kann SIMon Mobile einen Nummernblock haben, und sie haben alle Kunden angeschrieben? Woher kennen sie sonst den Anbieter?

[–] Chemo@feddit.org 2 points 3 days ago

Ich hatte auch zuerst einen Datenleck bei SIMon mobile im Verdacht. Allerdings habe ich zuletzt auch noch eine maßgeschneiderte Phishing-E-Mail für meine korrekte Krankenkasse bekommen. Ich wüsste nicht wie die Betrüger die erfahren könnten, aus dem Zugriff auf meinen Mobilvertrag-Account. Darum kann ich mir vorstellen dass irgendwo anders ein größeres Datenleck über mich aufgetreten ist. Ich wüsste aber nicht wo...

[–] einfach_orangensaft@sh.itjust.works 7 points 3 days ago

Super spannend zu lesen, danke fürs posten!

[–] Nosferatu@feddit.org 4 points 3 days ago

Vielen Dank für deinen Bericht. Schon etwas beängstigend, was da alles auf einen zukommen kann.

[–] brainwashed@feddit.org 3 points 3 days ago (1 children)

Ich bin etwas erstaunt dass eine Telefonnummer offensichtlich ausreicht einen weiteren Vertrag abzuschließen. Die hätte gedacht es ist nicht so schwer auf irgendwelchen Flohmärkten ein paar Simkarten einzukaufen.

[–] Chemo@feddit.org 1 points 3 days ago* (last edited 3 days ago) (1 children)

Ich verstehe auch nicht wie Drillisch da seine Verträge abschließt. Alles was man braucht sind die korrekte Name und Adresse einer kreditwürdigen Person (die Telefonnummer war wahrscheinlich noch nicht mal nötig, lässt sich auch am schwersten für Drillisch auf Plausibilität überprüfen) und Drillisch schickt Artikel im Wert von 2000 Euro los? Noch dazu an eine ganz andere Adresse und Namen.

[–] brainwashed@feddit.org 1 points 3 days ago (1 children)

Und die beiden Infos könnte ich ja im Prinzip sofort von jedem Nachbarn abschrieben. Aber vielleicht hilft die dort verifiziere Adresse / Identität beim „Trust Score“. Müssen ja echt ein paar Insider kennen, wenn die sowas wissen.

[–] Chemo@feddit.org 1 points 3 days ago

Die machen damit halt eine Bonitätsabfrage bei der Schufa.

[–] smokeysnilas@feddit.org 3 points 3 days ago

Der Trick mit dem Zeilenumbruch ist schon echt mies, danke für's post mortem. Da werde ich in Zukunft nochmal mehr drauf achten.

[–] bleistift2@sopuli.xyz 1 points 3 days ago (1 children)

Danke für’s Aufschreiben. Das sensibilisiert noch einmal.

Ich selbst sehe mich auch gefährdet, auf auf den ersten Blick legitime Links in SMS zu klicken. Zum Glück schützt mein Handy mich davor, indem es sich gar nicht mit dem Internet verbinden kann (weil zu alt). Das macht übrigens auch die bundesweiten Warntage angenehmer.

[–] RidderSport@feddit.org 3 points 3 days ago

Der letzte Satz ist hoffentlich sarkastisch.