SMS-Scam richtig melden

Oft bekommt man eine von diesen Nachrichten und wundert sich, welche Idioten denn auf so was reinfallen. Die Wahrheit ist aber, diese Leute sind vielleicht gar nicht dumm, sondern nur ein Bisschen leichtgläubig oder sie handeln aus einem Automatismus heraus oder das Alter macht sich bemerkbar und sie kommen bei den neuesten Sachen nicht mehr so richtig hinterher. Das wird uns vermutlich allen blühen. Drum lasst uns die Welt ein Stückchen besser machen. Für alle... außer Scammer. Hier zeige ich anhand eines Beispiels, wie man richtig vorgeht.

The SMS
Die eingegangene SMS

Schritt 1: Die Domain

Wenn für den Scam eine Top Level Domain (TLD) angemietet wurde, lässt sie sich auch leichter offline nehmen. Dann ist das ganze Ding nur für den Scam angeschafft worden und die Beweislage klar.

Um herauszufinden, wohin wir unsere Beschwerde melden müssen, bedienen wir uns des WHOIS-Eintrags (Engl. "wer ist?"). Eine gute Seite dafür ist die von Domaintools.

ergebnis
Das Ergebnis

Wenn es einen Beschwerdekontakt gibt, ist der in einem Feld eingetragen, in dem das Wort "Abuse" (Engl. "Missbrauch") vorkommt. Diese Domain hat keinen solchen Eintrag. Vermutlich ist sie verschleiert worden oder es wurde absichtlich ein Anbieter herausgesucht, der diese Daten nicht hinterlegt. Wir müssen also anders dran kommen. Die angezeigten Informationen helfen uns dabei. Anhand des "Name Servers"-Eintrags sehen wir, dass sich die Flachzangen bei Squarespace eingenistet haben. Jetzt haben wir zweierlei Möglichkeiten: Entweder wir googeln (in diesem Fall) "Squarespace Abuse", um ein entsprechendes Formular zu finden oder wir bleiben gleich auf der WHOIS-Seite und finden es dort heraus. Wir kopieren einfach die Top Level Domain (hier: SQUARESPACEDNS.COM) in das Lookup-Feld und suchen noch mal.

ergebnis2
Ergebnis der zweiten Suche

Treffer! Der Eintrag des Name Servers hat einen Abuse Kontakt. Diesen schreiben wir in eine Textdatei, in der wir die Infos zu dem Vorfall sammeln. Kopieren klappt leider nicht, also abtippen.

Schritt 2: Die IP

Wenn wir die Domain des Betreibers absägen, existiert aber immer noch die tatsächliche Maschine, auf der die Webseite gehostet wird. Die Gauner holen sich dann einfach eine neue Domain und leiten die wieder an die Webseite weiter. Oder sie haben schon eine und ersetzen einfach den Eintrag. Wir wollen also auch die Webseite offline nehmen. Glücklicherweise zeigt uns der erste WHOIS-Eintrag (der von der Domain, also eine Seite zurück springen) direkt auch die IP und den Betreiber an. Genau wie die TLDs haben auch Netzbereiche WHOIS-Einträge. Wir kopieren also die IP in das Lookup-Feld und kucken nach, zu welchem Netz die gehört.

ip whois
WHOIS der IP

Es erscheint die Betreiberinformation des Netzwerksegments und ein dazugehöriger Beschwerdekontakt, den wir uns wieder abschreiben.

Schritt 3: Die erste Meldung - Domain und IP

Jetzt haben wir die ersten beiden Beschwerde-Adressen... und ein Problem: Wenn wir die Informationen ungefiltert in unsere Email stecken und sich Teile davon bereits in irgendwelchen Anti-Spam-Datenbanken befinden, bleiben wir vielleicht schon an unserem eigenen Abuse-Filter kleben und die Email geht gar nicht erst raus. Wir müssen also dafür sorgen, die Daten so zu übermitteln, dass unsere Email keine roten Flaggen hebt. Ein geeignetes Mittel dazu wäre es, sie in Base64 zu konvertieren. Wir brauchen also einen Base64-Encoder. Diesen hier z.B.. Wir rufen die Seite auf und wählen als Modus "Encode". Dann tragen wir die gesammelten Informationen ein und klicken auf ENCODE.

base64
Base64 Encoding

Ins Ergebnisfeld purzelt eine lange Zeichenkette. Das sind unsere Daten im Base64-Format. Diese Zeichenkette kopieren wir komplett in eine Textdatei und nennen sie z.B. "Links_b64.txt". Wenn wir unsere Beschwerdemail absetzen, ist es wichtig, dass wir die Kollegen am anderen Ende der Leitung darauf hinweisen, was wir da gemacht haben. Ein geeigneter Email-Text (in Englisch) könnte also lauten:

Dear Sir or Madam,

this morning, I have received an SMS claiming to be for a delayed package.
As these are currently going around, I strongly suspect a phishing attempt.
I have attached the links in question as a base64 encoded text file,
to avoid getting filtered by any anti-spam measures.
It can be decoded with the coreutils command 'base64 -d' or a suitable online-decoder.

Please ensure the offending domain and server are taken offline.

Kind Regards

Jetzt hängen wir noch die Textdatei an die Email und schicken sie an unsere beiden Abuse-Adressen. Dann für ein paar Minuten den Posteingang im Auge behalten! Manchmal nehmen Anbieter Beschwerden nicht per Email entgegen, sondern haben ein eigenes Beschwerdeformular. In dem Fall bekommt man als Antwort eine Email mit einem Link dazu. Dieses dann ebenfalls ausfüllen.

Alles erledigt? - Nicht ganz! Zu guter letzt machen wir noch den Versandkanal dicht. Dieser Schritt wird oft vergessen.

Schritt 4: Die zweite Meldung - Telefonnummer

In Deutschland ist für uns die Bundesnetzagentur zuständig. Diese hat HIER einen Beschwerdeservice eingerichtet. Dieses rufen wir auf und gehen unter dem Punkt "Nicht verlangte SMS oder Nachricht über Messenger" ins Beschwerdeformular. Dort alle bekannten Daten und den exakten Wortlaut der Nachricht eintragen. Der Prozess ist ein bisschen langwierig, aber unbedingt richtig ausfüllen. In den Zusätzlichen Angaben könnt ihr vermerken, dass ihr vermutet, dass es sich um Phishing oder dergleichen handelt. Über denselben Service lassen sich übrigens auch andere Telefon-Ärgernisse, wie Werbeanrufe, Ping-Anrufe und dergleichen melden.

Schritt 5: Superheld

Vielen Dank, dass du hilfst, die Welt ein Stückchen besser zu machen. Je mehr Leute so einen Unfug melden, desto weniger lohnt er sich für die Betrüger.