DHL Fake SMS: So erkennen Sie die Betrugsmasche per SMS und E-Mail
Eine SMS von angeblich „DHL“ mit Link zur Paketverfolgung ist fast immer Betrug. Wie das sogenannte Smishing funktioniert, wie Sie sich schützen und welche rechtlichen Schritte nach einem Datendiebstahl möglich sind.
Eine SMS von angeblich „DHL“ mit der Bitte, einen Link zur Sendungsverfolgung anzuklicken, ist in den allermeisten Fällen Betrug. DHL verschickt keine Tracking-Links per SMS. Die Masche heißt Smishing, eine Wortkombination aus SMS und Phishing, und zielt darauf ab, über eine gefälschte Webseite persönliche Daten oder Zugangsdaten zum Online-Banking abzugreifen.
Wie funktioniert der SMS-Betrug mit angeblichen DHL-Nachrichten?
Die Täter verschicken massenhaft Nachrichten, die den Eindruck erwecken, von DHL oder einem anderen Paketdienstleister zu stammen, nach demselben Muster wie bei den aktuell kursierenden Betrugsbriefen mit QR-Code im Namen von Banken. Typische Inhalte sind eine Meldung, dass ein Paket unterwegs sei oder eine zusätzliche Gebühr fällig werde, dazu ein Link zu einer täuschend echt gestalteten Webseite. Manche Varianten fordern zur Installation einer App auf, die in Wirklichkeit Schadsoftware enthält.
Wer auf den Link klickt und dort Daten eingibt, liefert diese direkt an die Betrüger. Damit lassen sich Bankkonten plündern, Identitäten missbrauchen oder weitere Kontakte über das eigene Smartphone mit Phishing-SMS infizieren. Aktuell kursieren zudem Varianten, die ein angebliches „Übergewicht“ des Pakets oder offene Zollgebühren vorschieben, um zur Zahlung eines kleinen Betrags zu drängen und dabei die Kartendaten abzugreifen.
Wie erkennt man eine gefälschte DHL-SMS?
Einige Merkmale wiederholen sich bei den meisten Fake-Nachrichten. Die SMS enthält eine unerwartete Sendungsbenachrichtigung oder Zahlungsaufforderung, obwohl kein Paket erwartet wird. Der Link führt zu einer Adresse, die der echten DHL-Seite nur ähnelt, oft mit Schreibfehlern oder über eine verkürzte URL wie bit.ly, die das eigentliche Ziel verschleiert. Die Absendernummer wirkt ungewöhnlich, etwa eine ausländische Vorwahl. Und die Nachricht drängt zur Eile, weil angeblich eine Zustellung zu scheitern droht.
Im Zweifel gilt: Niemals über den Link in der SMS reagieren. Wer wissen will, ob tatsächlich ein Paket unterwegs ist, ruft die Sendungsverfolgung direkt über die offizielle DHL-Webseite auf.
Wie schützt man sich vor der Betrugsmasche?
Mehrere einfache Regeln senken das Risiko deutlich. Klicken Sie keine Links in SMS oder E-Mails an, DHL verschickt keine Tracking-Links auf diesem Weg, genauso wenig wie Banken wie die Commerzbank Links zur photoTAN-Aktivierung per SMS verschicken. Geben Sie niemals Passwörter oder Bankdaten heraus, seriöse Anbieter fragen danach nicht per SMS. Prüfen Sie eine unbekannte Absendernummer online, bevor Sie reagieren. Melden Sie verdächtige Nachrichten an DHL oder eine Verbraucherschutzstelle. Halten Sie Virenschutz sowie System- und App-Updates aktuell, da viele Betrugsmaschen bekannte Sicherheitslücken ausnutzen.
Verdächtige Nachrichten lassen sich direkt an DHL weiterleiten, an die Adresse phishing@dhl.com. DHL bittet darum, die SMS oder E-Mail möglichst per Anhang mit vollständigem Header weiterzuleiten, nur so lässt sich die Herkunft technisch zurückverfolgen.
Welche rechtlichen Schritte sind nach einem Datendiebstahl möglich?
Die Täter agieren oft aus dem Ausland, was die Strafverfolgung erschwert. Rechtlich stehen trotzdem mehrere Wege offen.
Strafrechtlich ist Phishing als Straftat einzuordnen. Wer sich per Smishing Zugangsdaten verschafft und darüber automatisiert Geld überweist, macht sich nach § 263a StGB wegen Computerbetrugs strafbar, der Strafrahmen reicht bis zu fünf Jahren Freiheitsstrafe, in besonders schweren Fällen bis zu zehn Jahren. Hinzu kommt regelmäßig § 202a StGB, das Ausspähen von Daten. Bereits die Vorbereitung eines Computerbetrugs ist nach § 263a Abs. 3 StGB strafbar.
Zivilrechtlich haftet die eigene Bank in vielen Fällen für nicht autorisierte Abbuchungen, ein Grundsatz, der bei praktisch jedem Fall von Online-Banking-Betrug zum Tragen kommt. Nach § 675u BGB hat der Zahlungsdienstleister gegen den Kunden keinen Anspruch auf Ersatz seiner Aufwendungen, wenn eine Zahlung nicht autorisiert war, und muss das Konto unverzüglich, spätestens bis zum Ende des folgenden Geschäftstags nach der Meldung, wieder auf den ursprünglichen Stand bringen. Die Bank trägt dabei die Beweislast: Sie muss nachweisen, dass die Zahlung tatsächlich autorisiert war oder dass der Kunde grob fahrlässig gehandelt hat, etwa weil er seine PIN weitergegeben oder eine offensichtlich gefälschte Seite nicht als solche erkannt hat.
Kann DHL für Schäden durch die Betrugsmasche haftbar gemacht werden?
Eine direkte Haftung von DHL ist in der Praxis schwierig, weil DHL nicht der Absender der betrügerischen Nachrichten ist und die Täuschung technisch außerhalb der DHL-Systeme stattfindet. Denkbar wäre eine Pflichtverletzung, wenn DHL Kunden erkennbar unzureichend vor bekannten Betrugswellen warnt, oder ein Anspruch aus Verbraucherschutz- und Wettbewerbsrecht, wenn zugesagte Sicherheitsmaßnahmen tatsächlich nicht eingehalten werden. In der bisherigen Praxis sind erfolgreiche Klagen gegen DHL selbst wegen Smishing-Fällen nicht bekannt, das Melden eines Vorfalls erhöht aber den Druck auf das Unternehmen, technische Gegenmaßnahmen wie Nummernsperrungen und die Abschaltung gefälschter Domains zügig umzusetzen.
Rechtsstand: Juli 2026.
Fragen & Antworten
Woran erkenne ich eine DHL Fake SMS?
Typische Merkmale sind eine unerwartete Sendungsbenachrichtigung oder Zahlungsaufforderung, ein Link zu einer nachgeahmten Webseite, oft über eine verkürzte URL, eine ungewöhnliche Absendernummer sowie eine Aufforderung, persönliche Daten einzugeben oder eine App zu installieren. DHL verschickt grundsätzlich keine Tracking-Links per SMS.
Welche Strafe droht den Tätern von Phishing-Angriffen?
Phishing per SMS, das sogenannte Smishing, fällt regelmäßig unter Computerbetrug nach § 263a StGB (Freiheitsstrafe bis zu fünf Jahren, in besonders schweren Fällen sechs Monate bis zehn Jahre) sowie unter das Ausspähen von Daten nach § 202a StGB. Die Strafverfolgung ist oft schwierig, weil viele Täter aus dem Ausland agieren.
Bekomme ich mein Geld von der Bank zurück, wenn ich auf eine Fake-SMS hereingefallen bin?
Nach § 675u BGB muss die Bank eine nicht autorisierte Zahlung grundsätzlich erstatten. Die Bank kann sich nur befreien, wenn sie beweist, dass die Zahlung autorisiert war oder Sie grob fahrlässig gehandelt haben. Banken lehnen eine Erstattung in der Praxis häufig zunächst ab, eine anwaltliche Prüfung lohnt sich in solchen Fällen.
Wo kann ich eine verdächtige DHL-SMS melden?
Leiten Sie die Nachricht mit vollständigem Header an phishing@dhl.com weiter. Zusätzlich sollten Sie den Vorfall bei der Polizei anzeigen, insbesondere wenn bereits Geld abgebucht wurde.
Hinweis: Dieser Artikel dient ausschließlich der allgemeinen rechtlichen Information und stellt keine Rechtsberatung im Einzelfall dar. Für die Beurteilung Ihrer konkreten Situation wenden Sie sich bitte direkt an Rechtsanwalt Hermann Kaufmann. Die Inanspruchnahme von Rechtsdienstleistungen setzt ein individuelles Mandatsverhältnis voraus (§ 43b BRAO).