12.10.2021 - In der letzten Woche wurde ein anhaltend moderater Meldungseingang verzeichnet. Der Datenabfluss durch ein gehacktes Videostreaming-Portal zeigte einmal mehr, wie schnell schützenswerte Daten im Internet offen zugänglich sind. Der zweite Fall zeigt exemplarisch, wie einfach Betrüger mit Pay Services an Geld kommen.
Datendiebstahl im Internet am Beispiel eines Videostreaming-Portals
«twitch.tv» ist eine der größten Streaming-Plattformen für Videospiele. Neben den Live-Videostreams gibt es auch eine Community mit lebhaftem Austausch. In der vergangenen Woche wurde bekannt, dass Hacker in die Systeme von twitch.tv eingedrungen und neben anderem auch die persönlichen Daten der Nutzerinnen und Nutzer und die gesamte Kommunikation der Community seit Beginn des Portals gestohlen worden waren. Den Nutzenden wurde geraten, zumindest das Passwort zu ändern. Zudem wurden sie aufgefordert, eine zusätzliche Prüfung einzuschalten. eine sogenannte Zwei-Faktor-Authentifizierung (two-factor authentication). in der neben dem Benutzernamen und dem Passwort zusätzlich noch ein als SMS oder als E-Mail versendeter Code abgefragt wird.
Dies ändert jedoch nichts daran, dass die Daten der Nutzerinnen und Nutzer nun im Darknet für alle frei einsehbar sind. Dies bedeutet, dass alle jemals auf dieser Plattform geäusserten Kommentare – auch diejenigen, welche auf der Plattform selbst nur einem kleinen Kries zugänglich waren – nun von allen gelesen werden können. Sobald sich eine Person identifizieren lässt, kann anhand der veröffentlichten Informationen ein Profil erstellt und nachgesehen werden, was sie mit wem – unter Umständen in einem vertraulichen Rahmen – ausgetauscht hat. Ein twitch-Nutzer hat das NCSC kontaktiert und nachgefragt, ob seine Daten irgendwie gelöscht werden können. Leider ist dies praktisch unmöglich.
Bei diesem Vorfall handelt es sich nicht um ein isoliertes Phänomen, viel mehr wurden bereits viele hunderte solcher Datenabflüsse bekannt und es besteht die Möglichkeit, dass früher oder später die eigenen Daten ebenfalls von einem derartigen Datendiebstahl betroffen sind. Und bei jeder Registration im Internet erhöht sich die Wahrscheinlichkeit dazu ein wenig.
- Gehen Sie davon aus, dass bei einem Datendiebstahl auch als privat gekennzeichnete Informationen öffentlich werden können. Überlegen Sie sich vorher, was dies für Sie bedeuten würde.
- Verwenden Sie im Internet ein Pseudonym und eine dazugehörige eigene E-Mail-Adresse - wo dies möglich ist.
- Verwenden Sie bei jedem Dienst ein eigenes Passwort und wo immer möglich eine Zwei-Faktor Authentisierung.
- Lassen Sie nicht zu, dass Internetdienste Ihre Kreditkartendaten bei sich speichern.
- Bezahlen Sie kein Geld an Personen, welche behaupten, Ihre veröffentlichten Daten löschen zu können.
Trickreiches Vorgehen von Telefonbetrügern
Betrüger gehören mitunter zu den wohl innovativsten Zeitgenossen überhaupt. Sobald eine neue Technologie oder ein neuer Service angeboten wird, dauert es zumeist nicht lange, bis ausgeklügelte Geschichten erfunden werden, um jemanden auszutricksen.
Bezahldienste (Pay Services) der Telefongesellschaften sind bereits seit mehreren Jahren üblich. Dabei können gewisse Dienste und Produkte online gekauft und über die Telefonrechnung abgerechnet werden. Auf diese Weise kann auch in diversen Online Shops eingekauft werden. Um einen Kauf nur den Berechtigten zugänglich zu machen, muss dabei jeweils ein separat erstellter PIN-Code verwendet werden – im Fall der Bezahlung über eine Telefongesellschaft wird dieser dem Käufer per SMS übermittelt. Für Betrüger sind solche Einkaufsmöglichkeiten hilfreich, da sie digital und anonym ausgenutzt werden können. Dies zeigte sich bei folgendem Fall, der dem NCSC letzte Woche gemeldet wurde:
Das Opfer erhielt per WhatsApp einen Telefonanruf, scheinbar von seinem Telefonprovider. Der Anrufende erklärte, dass es um eine Verifikation wegen einer Unstimmigkeit auf der Telefonrechnung gehe. Es werde gleich eine vierstellige Zahl übermittelt, welche zur Bestätigung vorgelesen werden soll. Bei dieser Zahl handelte es sich in Tat und Wahrheit um den PIN-Code, der zum Einkauf in einem Online Shop benötigt wird. Nachdem das Opfer den Code vorgelesen hatte, konnten die Betrüger somit Einkäufe über den entsprechenden Online Shop tätigen. Da die betroffene Person dies relativ rasch bemerkte, konnte sie den Pay Service stoppen – einige Geschenkkarten waren aber bereits gekauft worden.
Die Betrüger hatten die im Internet über die betrogene Person verfügbaren Informationen – offenbar inklusive deren Telefonprovider – direkt genutzt, um eine, für die Zielperson als glaubwürdig empfundene, Geschichte zu erfinden.
- Seien Sie immer skeptisch, wenn jemand Sie anruft oder Ihnen eine Nachricht sendet und etwas von Ihnen verlangt.
- Lassen Sie sich nicht unter Druck setzten.
- Sobald Sie einen derartigen Betrug bemerken, Informieren Sie die Betreiber des Online Shops und den Telefonanbieter. Erstatten Sie Anzeige bei der Polizei.
- Deaktivieren Sie solche Services, solange Sie diese nicht nutzen.
Aktuelle Zahlen und Statistiken
Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:
Letzte Änderung 12.10.2021