Mit einer Nachricht wie dieser fängt es an: „Das DHL-Paket ist im Lager angekommen und kann aufgrund unvollständiger Adressangaben nicht zugestellt werden. Bitte bestätigen Sie Ihre Adresse im Link innerhalb von 12 Stunden.“ Was harmlos klingt, ist der Beginn einer groß angelegten Betrugsmasche, mit der Kriminelle jährlich hunderttausende Kreditkartendaten abfischen.
Einem Team aus Reporterinnen und Reportern ist es gelungen, tiefe Einblicke in die Infrastruktur der Betrüger zu gewinnen. Dadurch zeigt sich unter anderem das globale und fast industrielle Ausmaß des Betrugs.
Der DHL-Scam
In Deutschland verschickte die von BR, NRK und Le Monde untersuchte Betrügergruppierung, die sich "Darcula" nennt, vor allem gefälschte DHL-Nachrichten. Sie versandte diese nicht nur per SMS, sondern auch mithilfe der verschlüsselten Dienste iMessage (iOS, Apple) und RCS (Android, Google). Die Links führten auf eine Webseite, die der DHL-Seite täuschend ähnlich sah. Hier sollten Kunden ihre Daten eingeben und eine niedrige "Servicegebühr" mit Kreditkarte bezahlen.
Besonders perfide: Klickten sie auf das Impressum oder auf das Logo von DHL, landeten sie auf der echten DHL-Seite.
Wie erkenne ich betrügerische Nachrichten?
Verbraucherschützer weisen darauf hin, die Nachricht in Ruhe zu lesen und auf mehrere Merkmale zu prüfen:
- Absender: Oft stammen die Nachrichten von ausländischen Nummern oder ungewöhnlichen E-Mail-Adressen
- Auffällige Links: Die Adresse enthält häufig noch bekannte Namen wie "DHL", endet jedoch nicht auf ".de", sondern auf ".top", ".info", ".site" oder ähnlichem.
- Künstlicher Zeitdruck: Formulierungen wie "so schnell wie möglich", oder "innerhalb von 12 Stunden" sind klare Hinweise.
Bis vor Kurzem waren Rechtschreibfehler ein Hinweis auf möglichen Betrug. Durch den Einsatz von KI sind diese Fehler kaum mehr zu finden.
Verbraucherzentralen sowie einzelne Polizeibehörden veröffentlichen regelmäßig Informationen zu aktuellen Phishing-Kampagnen.
Ich habe eine Phishing-Nachricht erhalten – was soll ich tun?
Wer eine solche Nachricht erhält, sollte nicht antworten und keinesfalls auf enthaltene Links klicken. Verdächtige SMS können Sie als Spam melden – etwa bei Geräteherstellern, Telekommunikationsanbietern oder der Bundesnetzagentur. Das hilft, bestimmte Absender und Links zu sperren.
Ich habe meine Kreditkarten-Daten eingegeben – was nun?
Sollten Sie Ihre Kreditkartendaten eingegeben und dabei ein ungutes Gefühl haben, lassen Sie Ihre Karte umgehend sperren. Eine Neuerung im Bereich des digitalen Kreditkartenbetrugs: Die Kriminellen fügen die Karten häufig zu digitalen Wallets (ApplePay/GooglePay) hinzu. Dadurch können die Betrüger die Karten mit zeitlichem Abstand nutzen. Das heißt, auch wenn Ihre Karte nicht sofort belastet wird, ist die Gefahr nicht gebannt.
Es empfiehlt sich, eine Anzeige bei der Polizei zu stellen, auch um den Schaden gegenüber der eigenen Bank glaubhaft zu machen.
Habe ich Anspruch auf Erstattung?
Wer Opfer eines Betrugs wird, kann unter Umständen Geld zurückfordern. Grundlage ist Paragraph 675u BGB. Demnach müssen Banken nicht autorisierte Zahlungen grundsätzlich erstatten.
Dies gilt jedoch nicht, wenn Kunden grob fahrlässig gehandelt haben – etwa durch die Weitergabe sensibler Daten. Ob ein Anspruch besteht, hängt daher immer vom Einzelfall ab.
Wer über eine entsprechende Rechtsschutzversicherung verfügt, kann sich ohne zusätzliche Kosten anwaltlichen Rat einholen.
Trailer: Kings of Scam – wer klickt, verliert
Kings of Scam – Wer klickt, verliert
Das ist die Europäische Perspektive bei BR24.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!