So nutzen Betrüger die neue DSGVO zu ihren Gunsten aus

Bedrohungen

In letzter Zeit wurden Sie wahrscheinlich mit Nachrichten überhäuft, die Sie über die Änderungen der Datenschutzrichtlinien und die Notwendigkeit, ihre Newsletter erneut zu abonnieren, um diese auch weiterhin zu erhalten, informiert haben.

Nein, es handelt sich hierbei nicht um einen internationalen Flash Mob globaler Unternehmen – sie versuchen lediglich, sich an die neue Datenschutz-Grundverordnung (DSGVO) der EU anzupassen, die am 25. Mai 2018 in Kraft getreten ist.

Die DSGVO gilt für alle Unternehmen, die in der EU tätig sind, und verlangt, dass sie verantwortungsvoll mit den Daten der Nutzer umgehen: dazu zählt die sichere Speicherung, keine Weitergabe an Dritte ohne die Erlaubnis des Nutzers und eine rechtzeitige Benachrichtigung über Datenlecks.

Darüber hinaus haben Unternehmen nicht das Recht, Nachrichten ohne ihre Zustimmung an Benutzer zu senden. Und genau aus diesem Grund tümmeln sich in Ihrem Postfach lauter Anfragen zum erneuten Abo – denn natürlich sind alle Dienste daran interessiert, Ihnen auch weiterhin sämtliche Nachrichten zukommen zu lassen. Das geht allerdings nur mit Ihrer Einverständnis.

DSGVO-Betrug

Cyberkriminelle haben die perfekte Gelegenheit gerochen, um sich in dieser Situation einige Benutzerdaten unter den Nagel zu reißen. Immerhin klicken Millionen von Menschen weltweit blind auf „Ja, ich stimme zu“ und geben persönliche Informationen auf mehreren Seiten ohne einen zweiten Blick ein.

Wir sind beispielsweise auf eine Mail gestoßen, in der „Apple“ die Nutzer fälschlicherweise darüber informierte, dass ihre Apple ID gesperrt wurde und innerhalb von drei Tagen gelöscht wird, sofern kein Formular ausgefüllt wird, um ihre Kontoinformationen zu bestätigen.

In der Nachricht heißt es, Apple sei nicht in der Lage, Ihre Rechnungsdaten zu bestätigen, da dies möglicherweise gegen die Sicherheitsrichtlinien des Unternehmens verstößt. Aus diesem Grund würde das Konto stillgelegt und innerhalb von drei Tagen gelöscht, wenn dem darauf folgenden Link nicht gefolgt und dort die Daten des Nutzers eingegeben werden.

Natürlich hat das rein gar nichts mit Apple zu tun. Hierbei handelt es sich schlichtweg um Phishing.

Die Verfasser haben mit der Mail den ältesten Social-Engineering-Trick der Geschichte verwendet: Einschüchterung. Aus Angst, ihr wertvolles Konto verlieren zu können, handeln weniger versierte Nutzer panisch und vorschnell und geben ihre persönlichen Daten dort ein, wo sie es lieber nicht tun sollten.

Beispiel einer Phishing-Mail von „Apple“

So decken Sie Phishing-Mails auf

Wenn Sie einen kühlen Kopf bewahren, ist es leicht zu erkennen, dass es sich bei einer Nachricht um Phishing handelt. Lassen Sie uns einen genaueren Blick auf ID-bezogene Mail von Apple werfen.

In den meisten Fällen kann man bereits vor dem Öffnen der Nachricht erkennen, dass es sich dabei um Betrug handelt. Werfen Sie beispielsweise einen genaueren Blick auf die Absenderadresse in der Von-Zeile  und auf das Thema in der Betreffzeile (siehe Screenshot). Es ist offensichtlich, dass eine zu lange E-Mail-Adresse, die generische Wörter und Zahlenabfolgen enthält, gefälscht ist, insbesondere dann, wenn Sie wissen, dass alle legitimen Nachrichten über das Apple-ID-Konto von appleid@id.apple.com stammen.

Auch der Betreff der Nachricht enthält seltsame Zahlen, die überhaupt keinen Sinn ergeben. Betrüger verwenden sie, um die Nachricht einzigartig und individuell aussehen zu lassen. Achten Sie auch auf den AW-Tag, der darauf hindeutet, dass die empfangene Nachricht eine Antwort auf eine von Ihnen gesendete Nachricht ist. Das ist besonders verdächtig, vor allem, wenn Sie nie eine E-Mail an das Unternehmen geschrieben haben.

Wenn Betreff und Absenderadresse nicht ausreichend sind, sollte eine Analyse des Nachrichtentextes alle bestehenden Bedenken ausräumen. Kein Unternehmen, das sich im Besitz Ihrer personenbezogenen Daten befindet, wird Sie in einer E-Mail jemals mit Ihrer E-Mail-Adresse anstelle Ihres Vor- und Nachnamens ansprechen.

Eine andere Alternative, eine betrügerische E-Mail zu erkennen, besteht darin, sich die URL-Adresse des Links, dem Sie folgen sollen, genauer anzusehen. Wenn Sie mit dem Mauszeiger über den Text des Links fahren, wird die Adresse, zu der Sie weitergeleitet werden, gleich neben dem Link oder in der unteren linken Ecke des Browserfensters angezeigt. Sie sollte keine kuriosen Domains oder kurze Links wie bit.ly oder ähnliches enthalten.

So schützen Sie Ihre Daten

  • Geben Sie Ihre persönlichen Daten niemals auf verdächtigen und nur auf offiziellen Websites ein.
  • Bevor Sie auf einen Link in einer Nachricht klicken und zustimmen, Ihre persönlichen Informationen zur Verfügung zu stellen, sollten Sie sich vergewissern, dass die Nachricht authentisch ist. Überprüfen Sie die Adresse, den Betreff und den Nachrichtentext des Absenders auf Unstimmigkeiten. Wenn Ihnen etwas merkwürdig erscheint, wenden Sie sich zunächst an den technischen Support des Dienstes, in dessen Namen die Nachricht gesendet wurde. Sie werden Ihnen dabei helfen, die Situation zu klären.
  • Verwenden Sie eine zuverlässige Sicherheitslösung wie Kaspersky Internet Security mit Anti-Spam- und Anti-Phishing-Komponenten. Sie kann zweifelhafte Nachrichten herausfiltern und vor verdächtigen Links warnen.