Es ist passiert, ich bin auf eine Phishing-SMS reingefallen. Mir unerklärlich wie ich so dumm sein kann aber es ist geschehen.

Seitdem ist so einiges passiert und ich dachte ich teile meine monatelangen Erfahrungen mal hier, damit andere davon etwas lernen können.

Der böse Klick

Alles fing an mit einer vermeintlichen SMS von meinem Mobilfunkanbieter SIMon Mobile:

SIMon: Hoppla! Die aktuelle Abbuchung für deinen Vertrag ist leider fehlgeschlagen. Bitte kontrollieren unter https://simonmobile.de-kunden.sbs/

Der Ton ist tatsächlich das authentischste an der SMS, weil SIMon genau diesen pseudo-hippen Duktus pflegt. Die URL ist natürlich offensichtlich fake, der Trick ist allerdings, dass die Zeile am Minus umbricht, wenn die Zeilenlänge stimmt und damit auf dem ersten Blick mit der echten Adresse übereinstimmt.

Ich war tatsächlich nicht so sensibilisiert für Phishing per SMS, weil ich angenommen habe, dass man an eine Telefonnummer nicht so leicht und anonym rankommt, wie an eine Emailadresse. Bei einer E-Mail wäre ich sicher misstrauischer gewesen.

Also raufgeklickt, dahinter die perfekt nachgebaute SIMon-Mobile-Anmeldeseite. Meine Anmeldedaten eingegeben. Klappt nicht. Nochmal probiert: nicht endender Ladeindikator. Kriegt mal eure Technik in den Griff denk ich mir und mach es wieder zu.

Die Falle schnappt zu

Am nächsten Morgen stelle ich verblüfft fest, dass mein Email-Postfach überflutet ist. Über 100 Mails: Anmeldungen bei irgendwelche obskuren Newslettern, 2FA-Anfragen von allerlei Diensten. Ich frage mich ob mein Email-Postfach übernommen wurde aber warum sollten die Angreifer mich dann in Newslettern eintragen und warum löschen sie vor allem nicht die ganzen verdächtigen Emails? Ohne wirklich anzunehmen, dass mein Postfach kompromittiert ist, ändere ich sicherheitshalber mein Passwort.

Am selben Morgen stelle ich fest, dass mein Handy keinen Empfang hat. Ich vermute, dass ein Funkmast in der Nähe meines Zuhauses vll gerade ein Problem hat. Als ich auch an anderen Orten in der Stadt keinen Empfang habe, beginne ich mich zu wundern. Neustart, SIM-Karte raus und rein, nichts hilft. Irgendwann merke ich, dass ich offenbar gar nicht im Netz angemeldet bin.

Also wende ich mich am Abend nochmal meinen Postfach zu und da entdecke ich sie, die einzige relevante Mail unter all dem Spam: Mein Mobilfunkanbieter teilt mir mit, dass meine beantragte eSIM in 1-2 Stunden einsatzbereit ist. Das war vor 20 Stunden. Jetzt fällt der Groschen. Ich checke die SMS nochmal und bemerke meinen Fehler. Die Email-Flut in meinem Postfach sollte die entlarvende Info-Mail meines Providers verschütten. Die Betrüger hatten jetzt knapp 24 Stunden Zugriff auf meine Telefonnummer.

Ich habe die eSIM natürlich sofort sperren lassen, der Zugang zu meinem SIMon-Konto war glücklicherweise unverändert zugänglich. Ich dachte, damit hat es sich und ich müsste jetzt nur 2 Tage auf meine neue SIM-Karte warten.

Der Schufa-Schock

In den folgenden Tagen habe ich sicherheitshalber eine Anzeige bei der Polizei gestellt und dabei in gerechter Empörung die Telefonnummer angegeben, von der ich die SMS erhalten hatte. Dafür werde ich mir bald etwas dumm vorkommen.

Bei der Gelegenheit habe ich nochmal ChatGPT gefragt, was man in solchen Fällen noch tun sollte und das hatte einen entscheidenden Tipp, den ich jederm Betroffenen ans Herz legen kann: Eine Datenauskunft bei der Schufa einholen, wer so alles Bonitätsauskünfte über mich eingeholt hat. Das habe ich gemacht (kann man einmal im Jahr über die DSGVO-Auskunft kostenlos tun) und ein paar Tage später der Schock: 3 Dutzend Bonitätsauskünfte innerhalb kürzester Zeit.

(Interessanterweise allerdings einige schon bevor ich auf den Phishing-Link geklickt hatte. Das erhärtet meinen Verdacht, dass die Angreifer bereits etwas über mich wussten als sie mir die gezielte SMS mit dem korrekten Mobilfunkanbieter zugeschickt haben.)

Auf der Liste kann ich auch sehen, wie mit jeder Auskunft mein Schufa-Score weiter in den Keller wandert, bis er bei "Hohes Ausfallrisiko" landet. Die Schufa begründet ihr halbkriminelles Treiben ja damit, dass sie vor Identitätsdiebstahl schützt und da haben sie durchaus einen Punkt.

Also all die Firmen angeschrieben, die meine Bonität erfragt haben, weil offenbar jemand in meinem Namen versucht hat Verträge mit ihnen abzuschließen. Alle die antworten melden mir jedoch schnell, dass ein Vertragsabschluss nicht zustande gekommen war. Also war ich erleichtert.

"Sind sie Congstar"?

In den Wochen darauf erhalte ich ein Dutzend SMS von unbekannten Nummern mit verwirrtem Inhalt: "Ich bin gar nicht bei Congstar!", "Sind sie der Telekom-Kundendienst"?, usw. Mir dämmert wofür die Betrüger meine Telefonnummer gemopst haben: In den knapp 24 Stunden haben sie derart viele andere Nummern mit Phishing-SMS angeschrieben, dass selbst Wochen später noch Leute darauf reagieren.

Wie viele das waren, kann ich nicht sagen aber da ich nicht davon ausgehe dass besonders viele Leute auf die Idee kommen auf eine Info-SMS eines Mobilfunkanbieters per SMS zu antworten, sind es wahrscheinlich eine ganze Menge.

Doppel-Fake

In diesem Zeitraum erhalte ich jedoch zwei Briefe von den Kreditinstituten Babu Green und Topmaxx24, in der sie mich zu Zahlungen im höheren dreistelligen Bereich auffordern, wegen eines gewährten Kredits. Beide Briefe sind aber fast exakt identisch, was mir doppelt komisch vorkommt. Als ich sehe, dass als Kontakt-Email eine GMX-Adresse angegeben ist, wird mir klar, dass diese Briefe gefälscht sind und die echten (aber nicht minder krummen) Kreditinstitute davon wahrscheinlich nichts wissen. Später fällt mir noch auf, dass die Briefe mit Papierbriefmarken frankiert sind. Ich ignoriere die Schreiben also, informiere jedoch die echten Institute sicherheitshalber ohne je eine Antwort zu bekommen.

Später bekomme ich mehrere Briefe von einem Inkasso-Unternehmen (Euro Invest Inkasso), das sowohl das Geld für die Babu Green-Rechnung, als auch eine weitere mir noch ganz unbekannte Rechnung eintreiben will. Hier bin ich mir unsicher, ob es sich um einen Fake-Brief handelt oder die Betrüger ihre Fake-Schulden vielleicht tatsächlich an das echte (ebenfalls shady) Inkasso-Unternehmen verkauft haben.

Die Stadt Nürnberg stimmt, auch wenn dort ein Postfach, statt des Firmensitzes auf dem Rück-Umschlag angegeben wird. Testhalber bereite ich eine Überweisung an die angegeben Überweisungsadresse vor und meine Bank warnt mich nicht über eine abweichende Empfänger-Angabe, wie sie es sonst tut.

Also schreibe ich per Einschreiben dem echten Inkasso-Firmensitz, ohne je eine Antwort zu bekommen. Stattdessen erhalte ich weitere Mahnungen mit der Behauptung ich hätte nicht reagiert von dem was ich mittlerweile für ein Fake-Inkasso-Büro halte.

Um mir später nichts vorwerfen lassen zu können, antworte ich denen per Einschreiben nun an das Postfach, weise alles zurück, kläre über den Identitätsdiebstahl auf und fordere die Zustellung der Originalrechnungen und bekomme blitzschnell eine Antwort: Alles sei mit dem Auftraggeber abgeklärt und ich müsste bezahlen. Jetzt lehne ich mich entspannter zurück: Fake.

Es wird ernst

Einen Monat nach dem Vorfall teilt mir meine Partnerin kleinlaut mit, dass sie vergessen hat mir einen Brief zu geben, den sie aus dem Briefkasten gefischt hatte und gerade erst wiederentdeckt hat. Darin: Abschluss eines Mobilfunkvertrags bei Drillisch, inklusive 2 Apple-Geräten im Wert von über 2000 Euro.

Panisch dort angerufen: Ja, der Vertrag wurde abgeschlossen und besteht. Die Geräte jedoch wurden an eine mir unbekannte Adresse in einer anderen Stadt verschickt - konnten jedoch nicht zugestellt werden. Darum wurden sie zurück an den Mobilfunkanbieter geschickt. Der Callcenter-Mitarbeiter vermutet, dass es den Betrügern nicht gelungen ist, das Paket abzufangen und entweder der angegebene Adressat irritiert das Paket zurückgesendet hat oder der Postbote das Paket wieder mitgenommen hat, als sich der Empfänger nicht korrekt ausweisen konnte. Für den Mobilfunkanbieter sei kein Schaden entstanden und der Vertrag sei rückwirkend aufgehoben und hinfällig.

Also Großes Glück im Unglück. Jedoch hatten die Betrüger einen Monat lang eine Telefonnummer auf meinem Namen zur Verfügung und haben davon sicherlich rege Gebraucht gemacht.

Die Polizei

Überraschenderweise glänzte die Polizei nicht durch Untätigkeit, sondern eine Kommissarin der Leipziger Polizei hat sich zügig bei mir telefonisch gemeldet, sich noch einmal alles erzählen lassen und versprochen all die Firmen, die Bonitätsauskünfte veranlasst hatten anzuschreiben.

Seitdem habe ich jedoch nichts mehr von denen gehört, obwohl ich nachträglich nochmal die ganze Fake-Inkasso-Dokumente nachgesendet haben.

Generell kommt mir die lokale Polizei jedoch als etwas überfordert vor, mit dieser Hausnummer von Betrügern. Ich würde erwarten dass bei diesem Maßstab die Landespolizei eingeschaltet wird. Vielleicht wurde sie das auch, keine Ahnung.

Fazit

Bis auf ein paar Versandkosten sind mir (bisher) keinerlei Schäden entstanden. Viel Zeit und Nerven hat mich das Ganze jedoch gekostet.

Ich bin vor allem beeindruckt von dem Level an Professionalität der Betrüger: innerhalb von 24 Stunden mit einer gekidnappten Telefonnummer vermutlich hunderte oder tausende SMS abzuschicken, dutzende Vertragsabschlüsse zu versuchen und mit Fake-Rechnungen noch ganz andere Angriffswege auszuprobieren - das ist schon beeindruckend.

Besonders beeindruckt hat mich jedoch eine SMS, die ich einige Wochen nach dem Vorfall erhalten habe:

SIMon: Hurra! Deine neue eSIM wurde erfolgreich aktiviert. Änderungen/Stornierung unter https://simonmobile.de-ptan.sbs/

Wirklich diabolisch clever.