Fake-Paket-SMS von DHL, Hermes oder DPD täuschen häufig ein Zustellproblem, eine fehlende Adresse oder eine geringe Nachzahlung vor. Die Empfänger sollen einen Link öffnen, persönliche Angaben eintragen oder Zahlungsdaten übermitteln. DHL, Hermes und DPD warnen auf ihren offiziellen Internetseiten ausdrücklich vor solchen Nachrichten, wie die Redaktion Techify unter Berufung auf die aktuellen Sicherheitshinweise der Paketdienste berichtet.
Besonders gefährlich ist nicht allein die Nachricht, sondern die verlinkte Internetseite. Sie kann einer echten Sendungsverfolgung optisch ähneln und zur Eingabe von Name, Anschrift, Telefonnummer, Zugangsdaten oder Karteninformationen auffordern. Das Bundesamt für Sicherheit in der Informationstechnik bezeichnet SMS-Phishing als Smishing: Die Täter verwenden überzeugend formulierte Kurznachrichten, um Nutzer zum Öffnen eines Links zu bewegen. Als Vorwand dient unter anderem ein angeblich nicht zustellbares Paket.
Typische Texte in gefälschten Paket-SMS
Die Formulierungen wechseln, das Prinzip bleibt jedoch weitgehend gleich. Die Nachricht erzeugt Zeitdruck und behauptet, dass der Empfänger unmittelbar handeln müsse. Häufig geht es um eine angeblich unvollständige Adresse, einen gescheiterten Zustellversuch oder eine zusätzliche Gebühr.
Verdächtig sind insbesondere Nachrichten mit Aussagen wie:
- „Ihr Paket konnte nicht zugestellt werden. Bitte aktualisieren Sie Ihre Adresse.“
- „Für Ihre Sendung fallen noch Zoll- oder Versandkosten an.“
- „Ihre Lieferung wird zurückgeschickt, wenn Sie nicht innerhalb von 24 Stunden reagieren.“
Solche Sätze sind nicht automatisch ein Beweis für Betrug. Entscheidend ist, wohin der enthaltene Link führt, ob überhaupt eine entsprechende Sendung erwartet wird und ob die Mitteilung zum offiziellen Kommunikationsweg des jeweiligen Paketdienstes passt.
Eine SMS sollte nie über den darin enthaltenen Link geprüft werden. Der Sendungsstatus lässt sich unabhängig über die offizielle App oder die manuell aufgerufene Website kontrollieren.
So sieht eine gefälschte DHL-SMS aus
DHL nennt mehrere konkrete Merkmale gefälschter Nachrichten. In einem veröffentlichten Beispiel stammt die SMS von einer ausländischen Telefonnummer, enthält eine erfundene Sendungsnummer und verlinkt auf eine Website, die weder zu DHL noch zur Deutschen Post gehört. Der Paketdienst fordert ausdrücklich dazu auf, enthaltene Links nicht anzuklicken.
„Drücken Sie nicht auf enthaltene Links.“
(DHL, Sicherheitshinweise zu einer veröffentlichten gefälschten SMS)
Die Domain ist eines der wichtigsten Prüfmerkmale. Betrüger verwenden häufig Adressen, in denen „dhl“, „paket“, „zustellung“ oder eine Sendungsnummer vorkommt. Zusätzliche Wörter, Bindestriche und ähnlich aussehende Buchstaben sollen den Eindruck einer offiziellen Adresse erzeugen. Dass der Markenname in einer Webadresse erscheint, macht die Seite jedoch nicht zu einem Angebot des Unternehmens.
Wer eine DHL-Sendung erwartet, sollte die offizielle Post & DHL App öffnen oder die DHL-Website selbst in den Browser eingeben. In der App können registrierte Sendungen und Paketinformationen eingesehen werden, ohne einen Link aus einer unaufgefordert eingegangenen SMS zu verwenden.
Verdächtige Mitteilungen können DHL nach den offiziellen Sicherheitshinweisen an die Anti-Abuse-Adresse phishing@dhl.com gemeldet werden. DHL weist darauf hin, solche Meldungen zu untersuchen, in der Regel jedoch nicht individuell zu beantworten.

Hermes nennt ein besonders klares Erkennungsmerkmal
Bei Hermes ist die Unterscheidung nach Angaben des Unternehmens vergleichsweise eindeutig: SMS von Hermes enthalten keine Links und führen immer die Sendungs-ID auf. Weicht eine Nachricht von diesem Muster ab, stammt sie laut Hermes nicht vom Paketdienst. Empfänger sollen die SMS ignorieren, keine verdächtige Website öffnen und dort keine persönlichen Daten eingeben.
„SMS sent by Hermes do not contain any links.“
(Hermes, offizielle Sicherheitshinweise für SMS)
Hermes erklärt außerdem, das Unternehmen fordere Kunden nicht per E-Mail, Telefon oder SMS dazu auf, sensible Kundendaten zur Kontrolle im Internet einzugeben oder anderweitig zu übermitteln. Zahlungsaufforderungen per E-Mail oder SMS sollen gelöscht werden. Die Bezahlung einer regulären Hermes-Dienstleistung erfolge nach den veröffentlichten Hinweisen vor Ort oder während der Erstellung eines Paketscheins über die offizielle Website.
Für den tatsächlichen Sendungsstatus steht die offizielle Hermes-Sendungsverfolgung zur Verfügung. Hermes bietet zudem Benachrichtigungen per E-Mail und Push-Nachrichten über die App an. Bei einer nicht erfolgreichen Zustellung können Informationen auch per Karte im Briefkasten oder per E-Mail übermittelt werden, sofern Hermes die Adresse vom Versender erhalten hat.
Eine Hermes-SMS mit anklickbarem Zustell- oder Zahlungslink widerspricht dem von Hermes beschriebenen SMS-Muster und sollte nicht geöffnet werden.
DPD warnt vor unerwarteten Nachrichten und falschen Absendern
DPD Deutschland veröffentlichte am 28. Mai 2025 eine ausdrückliche Warnung vor Phishing-Mails und SMS. Nach Angaben des Unternehmens versuchen Kriminelle dabei, persönliche Daten zu erlangen oder Empfänger zu schädlichen Handlungen zu bewegen. DPD rät zunächst zu prüfen, ob überhaupt eine Sendung erwartet wird. Unerwartete Paketbenachrichtigungen von unbekannten Absendern sollen besonders kritisch behandelt werden.
„Misstrauen Sie unerwarteten Nachrichten.“
(DPD Deutschland, Warnung vor Phishing-Mails und SMS vom 28. Mai 2025)
DPD empfiehlt außerdem, Absender und Internetadressen genau zu kontrollieren. Offizielle E-Mails des Unternehmens kommen laut Warnhinweis von Adressen mit der Endung @dpd.de oder von anderen offiziellen DPD-Domains. Bei einer SMS ist die angezeigte Absenderkennung allein allerdings kein verlässlicher Echtheitsnachweis, weil Absenderangaben manipuliert werden können.
Den Status einer erwarteten DPD-Lieferung sollten Empfänger ausschließlich über die offizielle DPD-Sendungsverfolgung kontrollieren. Die Seite sollte manuell geöffnet werden, statt den Link aus einer fragwürdigen Nachricht zu verwenden.
Diese Warnzeichen sprechen für eine Fake-Paket-SMS
Ein einzelner Tippfehler reicht nicht aus, um eine SMS sicher einzuordnen. Professionelle Phishing-Nachrichten können sprachlich korrekt sein und bekannte Markennamen, Logos oder reale Zustellbegriffe verwenden. Aussagekräftiger ist die Kombination mehrerer Merkmale:
- Die Nachricht kommt unerwartet, obwohl keine passende Sendung bekannt ist.
- Ein Link soll wegen einer angeblichen Adresskorrektur, Zustellbestätigung oder Zahlung geöffnet werden.
- Die Internetadresse gehört erkennbar nicht zur offiziellen Domain des Paketdienstes.
- Es wird mit Rücksendung, Sperrung oder einer sehr kurzen Frist gedroht.
- Die Seite verlangt Karteninformationen, Onlinebanking-Daten, Passwörter oder ungewöhnlich umfangreiche persönliche Angaben.
- Sendungsnummer, Händler oder Absender der Ware fehlen.
- Der geforderte Ablauf widerspricht den offiziellen Angaben des Paketdienstes.
Die Verbraucherzentrale nennt unter anderem unseriöse Absenderadressen, kurze Fristen, unpersönliche Anreden und die Aufforderung zum Handeln über einen Link als typische Phishing-Merkmale. Zeitdruck soll verhindern, dass Empfänger Absender, Domain und Anlass der Nachricht in Ruhe kontrollieren.
Was tun, wenn die SMS nur angekommen ist
Solange der Link nicht geöffnet und keine Daten übermittelt wurden, genügt es in der Regel, die Nachricht zu löschen, den Absender zu blockieren und sie gegebenenfalls als Spam zu melden. Der tatsächliche Paketstatus sollte separat über die offizielle App oder Website geprüft werden.
Vor dem Löschen kann ein Screenshot sinnvoll sein, wenn die Nachricht an den Paketdienst, den Mobilfunkanbieter oder eine zuständige Stelle gemeldet werden soll. Auf die SMS sollte nicht geantwortet werden. Auch ein vermeintliches „STOP“ oder „Abmelden“ bestätigt dem Absender unter Umständen nur, dass die Nummer aktiv genutzt wird.
Was tun, wenn der Link bereits geöffnet wurde?
Das bloße Öffnen einer Seite bedeutet nicht automatisch, dass Zugangsdaten oder Zahlungsinformationen gestohlen wurden. Betroffene sollten die Seite dennoch sofort schließen und keine Datei installieren, keine Benachrichtigungen erlauben und keine Angaben eintragen.
Anschließend sind folgende Schritte sinnvoll:
- Browser und Betriebssystem aktualisieren und das Gerät mit den vorhandenen Sicherheitsfunktionen prüfen.
- Heruntergeladene Dateien oder unbekannte Apps nicht öffnen; verdächtige Installationen entfernen.
- Kontrollieren, ob im Browser ungewöhnliche Berechtigungen, Weiterleitungen oder Benachrichtigungen aktiviert wurden.
Wurde auf Aufforderung eine App außerhalb des offiziellen App-Stores installiert, besteht ein höheres Risiko. In diesem Fall sollte das Gerät bis zur Klärung möglichst nicht für Onlinebanking oder andere sensible Zugänge verwendet werden.
Was tun, wenn Daten oder Kartendetails eingegeben wurden?
Wer auf der gefälschten Seite ein Passwort eingegeben hat, sollte es unverzüglich über die echte Website des betroffenen Dienstes ändern. Wird dasselbe Passwort noch für weitere Konten verwendet, muss es auch dort ersetzt werden. Wo verfügbar, sollte anschließend eine Zwei-Faktor-Authentisierung aktiviert werden.
Bei übermittelten Karten- oder Kontodaten ist die Bank sofort über einen selbst recherchierten offiziellen Kontaktweg zu informieren. Die Bank kann die Karte sperren, verdächtige Buchungen prüfen und über weitere Schritte entscheiden. In Deutschland lässt sich die zentrale Sperrvermittlung unter der Rufnummer 116 116 erreichen; die Erreichbarkeit für das jeweilige Zahlungsmedium sollte über die offiziellen Angaben des Sperr-Notrufs geprüft werden.
Bereits ausgeführte oder vorgemerkte Abbuchungen sollten dokumentiert werden. Dazu gehören Screenshots der SMS, die Webadresse, der Zeitpunkt, eingegebene Daten und vorhandene Zahlungsbelege. Diese Informationen können für die Bank und eine Strafanzeige relevant sein.
Die sicherste Prüfung dauert weniger als eine Minute
Eine Paket-SMS sollte nicht anhand des Logos, des Absendernamens oder der professionellen Gestaltung beurteilt werden. Ausschlaggebend ist, ob die Mitteilung mit einer tatsächlich erwarteten Sendung übereinstimmt und ob sich die Information unabhängig auf der offiziellen Website oder in der App bestätigen lässt.
Für Hermes gilt nach den offiziellen Sicherheitshinweisen eine besonders klare Regel: Eine Hermes-SMS enthält keinen Link. DHL warnt vor Nachrichten mit fremden Domains und fordert dazu auf, Links nicht zu öffnen. DPD rät, unerwarteten Mitteilungen zu misstrauen und Absender sowie Domain sorgfältig zu prüfen.
Wer unsicher ist, öffnet nicht den Link, sondern startet die Paket-App selbst oder trägt die bekannte Webadresse des Zustellers manuell ein. Damit lässt sich eine echte Zustellinformation überprüfen, ohne Daten an eine von Betrügern kontrollierte Seite zu übertragen.
Sie können dies und weitere nützliche Informationen auf unserer Website nachlesen. Wir empfehlen Ihnen außerdem die Lektüre folgender Artikel: QR-Code auf Parkplatz oder Ladesäule: So erkennen Sie Quishing-Betrug
