Auf Selfie-Jagd: So nutzen Betrüger Ihre Fotos mit Personalausweis

16 Aug 2019

Oftmals werden Sie beim Registrierungsprozess von einigen Onlinediensten dazu aufgefordert, Ihre Identität zu bestätigen, indem Sie ein Selfie hochladen, das Sie und Ihren Personalausweis zeigt. Dies ist ein äußerst bequemer Weg Ihre Identität zu belegen, ohne die Notwendigkeit, wertvolle Zeit in einer endlos langen Warteschlange zu verschwenden. Stattdessen machen Sie ganz einfach ein Foto, laden es hoch und warten darauf, dass Ihr Konto von einem Administrator genehmigt wird.

Leider sind nicht nur legitime Websites mit gutem Ruf an Ihren Selfies interessiert. Auch für Phisher sind die netten Fotos von besonderem Interesse. Im Anschluss erklären wir Ihnen, wie die Betrugsmasche funktioniert mit der Kriminelle zunehmend arbeiten, warum diese überhaupt auf Ihre Selfies mit Personalausweis aus sind und wie Sie möglichen Ködern aus dem Weg gehen.

Identitätsprüfung

Ein gängiges Geschäftsszenario beginnt heutzutage mit einer E-Mail von einer Bank, einem Zahlungssystem oder einem sozialen Netzwerk, in der Sie dazu aufgefordert werden, Ihre Identität im Rahmen „zusätzlicher Sicherheitsmaßnahmen“ (oder aus einem anderen Grund) zu bestätigen.

Der beigefügte Link führt zu einer Seite mit einem Formular, auf der Sie dann dazu aufgefordert werden, Kontodaten, Zahlungskartendaten, Adresse, Telefonnummer oder andere Informationen anzugeben und darüber hinaus ein Selfie mit Ihrem Personalausweis oder einem anderen Dokument hochzuladen. An diesem Punkt sollten Sie innehalten und überlegen, ob es tatsächlich eine gute Idee ist, Ihr Selfie mit Ausweis hochzuladen!

Betrüger, die sich als Zahlungssystem oder Bank ausgeben, fragen nach einem Selfie mit Personalausweis

Betrüger, die sich als Zahlungssystem oder Bank ausgeben, fragen nach einem Selfie mit Personalausweis

Deshalb sind Selfies bei Betrügern beliebt

Wie zuvor erwähnt, verlangen einige Onlinedienste ein Foto mit Personalausweis bei der Registrierung. Wenn ein solches Selfie jedoch in die Hände von Betrügern gelangt, können diese Konten in Ihrem Namen erstellen – beispielsweise auf Krypto-Börsen – und auf diese Weise in Ihrem Namen Geldwäsche betreiben.

Auf dem Schwarzmarkt ist Ihr Selfie mit Ausweis um einiges mehr wert als das „bloße“ Foto Ihrer ID. Nachdem die Betrüger das begehrte Foto erhalten haben, können sie es gewinnbringend verkaufen, und die Käufer Ihren Namen nach Belieben missbrauchen.

Anzeichen für Onlinebetrug

Glücklicherweise ist Onlinebetrug selten das Reich akribischer Typen, die jedes kleinste Detail perfektionieren. Ein genauer Blick auf die Phishing-E-Mail sowie auf die Website, zu der der Link führt, zeigt deshalb fast immer zahlreiche verdächtige Elemente.

1. Grammatik- und Rechtschreibfehler

Höchstwahrscheinlich zeichnen sich weder die E-Mails noch die Dateneingabeformulare durch ihre künstlerische Prosa aus. Sind offizielle Websites und E-Mails seriöser Unternehmen häufig mit Grammatik- und Rechtschreibfehlern behaftet?

2. Verdächtige Absender

Solche Nachrichten stammen häufig von Adressen, die bei kostenlosen E-Mail-Diensten registriert sind, oder von Firmen, die rein gar nichts mit dem in der E-Mail genannten Unternehmen zu tun haben.

3. Domainnamen stimmen nicht überein

Selbst wenn die Adresse des Absenders legitim wirkt, ist die Website, auf der das Phishing-Formular gehostet wird, wahrscheinlich einer falschen oder nicht verwandten Domain zugeordnet. In einigen Fällen kann die Adresse sehr ähnlich, in anderen wiederum vollkommen unterschiedlich sein. Das nachfolgende Bild zeigt eine angeblich von LinkedIn stammende Nachricht, die Benutzer dazu einlädt, ein Foto in Dropbox hochzuladen.

Warum sollte LinkedIn um ein Foto-Upload bitten?

Warum sollte LinkedIn um ein Foto-Upload bitten?

 

4. Handlungsdruck

Oft bemühen sich die Verfasser solcher E-Mails, den Empfänger unter Druck zu setzen, indem sie beispielsweise behaupten, dass der Link in 24 Stunden abläuft. Betrüger greifen gerne und häufig auf diese Masche zurück, da der falsche Handlungsdruck viele dazu bringt zu handeln, ohne nachzudenken.

5. Frage nach Informationen, die Sie bereits angegeben haben

Seien Sie besonders vorsichtig, wenn Sie zumindest einen Teil der angeforderten Informationen (wie zum Beispiel Ihre E-Mail-Adresse oder Telefonnummer) bereits bei der Registrierung angegeben haben. Sollte die E-Mail von einer Bank stammen, denken Sie daran, dass Ihre Identität bereits bei der Kontoeröffnung bestätigt wurde. Warum sollten Sie diese im Rahmen „zusätzlicher Sicherheitsmaßnahmen“ noch einmal bekräftigen?

6. Nachfrage statt Angebot

Viele Ressourcen bieten Ihnen erweiterte Funktionen, die Sie im Austausch gegen Informationen über Sie freischalten können – diese werden jedoch über Ihr persönliches Konto auf der Website angefordert, nicht per E-Mail. In der Regel handelt es sich um ein Angebot, das Sie auf Wunsch ablehnen können. In dem Formular, das über den Link in einigen betrügerischen E-Mails geöffnet wird, gibt es jedoch nur eine Schaltfläche und somit auch nur eine Option.

7. Keine Informationen auf der offiziellen Website

Möglicherweise mussten Sie Ihre Identität schon einmal für eine Ressource bestätigen, die Sie bereits seit langer Zeit verwenden. Das ist allerdings die Ausnahme, nicht die Regel, und Details zu den Vorgängen sollten auf der offiziellen Website des Dienstes verfügbar und einfach zu googeln sein.

Geben Sie keine Selfies mit Ihrem Personalausweis preis

Um zu verhindern, dass Betrüger Ihre Identität stehlen, sollten Sie bei Forderungen, bei denen Daten und wichtige Dokumente im Spiel sind, besonders vorsichtig sein.

  • Gehen Sie mit Anfragen zur Identitätsbestätigung für Dienste, die Sie bereits seit längerer Zeit nutzen, vorsichtig um. Sollten Zweifel aufkommen, suchen Sie zunächst auf der offiziellen Unternehmenswebsite nach Informationen.
  • Achten Sie auf die Qualität des Nachrichtentexts. Denken Sie daran, dass Grammatik- und Rechtschreibfehler, fehlende Wörter etc. in authentischen Unternehmenskommunikationen nur selten vorkommen.
  • Überprüfen Sie die Herkunft der Nachricht. Unternehmen senden E-Mails über offizielle Domains und Ausnahmen werden mit 100%iger Sicherheit auf ihren Websites erläutert. Umfragen, Anmeldeformulare und andere offizielle Seiten werden normalerweise auch auf offiziellen Ressourcen zitiert.
  • Jegliche Einschränkungen oder Auflagen, beispielsweise eine knappe Deadline zur Informationsübermittlung, sollten bei Ihnen die Alarmglocken auslösen. Lieber, Sie verpassen eine fiktive Deadline als Ihre Daten an Cyberkriminelle zu senden.
  • Rufen Sie im Zweifelsfall den Kundendienst an. Nutzen Sie allerdings nicht die in der E-Mail bereitgestellten Telefonnummer, sondern suchen Sie auf der offiziellen Website danach.
  • Verwenden Sie ein zuverlässiges AV-Programm, das Sie vor Phishing und Onlinebetrug schützen kann.