privacy service   a-cert e-rating.at
e-commerce News | Bewertungsmethoden | Shop anmelden | Benutzer registrieren | Mitglied werden | Hilfe
2006/11/29 Warnung vor Identitätsdiebstahl
OMV-Gewinnspiel wird zum Kriminalfall - Beschaffung von Kontodaten dient als Vorbereitung für Phishing der dritten Generation - besondere Verantwortung der Internet Service Provider - Nach den Banken weitere Onlinedienste im Visier - besonders gefährdet sind Online-Glücksspiele

OMV-Gewinnspiel wird zum Kriminalfall

So mancher träumt vom schnellen BMW, leicht nachvollziehbar, dass sich viele am OMV 50 Jahre - Gewinnspiel beteiligen. Bestellkarte ausfüllen, bei der Tankstelle abgeben und schon steht nächste Woche der BMW vor der Tür - Falls man Glück hat.

Wenn nicht, kann es schon passieren, dass man einen Telefonanruf erhält und die freundliche Stimme erklärt, man hätte zwar keinen BMW gewonnen, aber immerhin Gratis-Lottotipps im Wert von 3000 Euro. Zur Abwicklung des Gewinns sei es nur mehr notwendig Bankverbindung und Kontonummer bekannt zu geben.

Laut Aussage der OMV-Marketingabteilung, leider kein Einzelfall. Man distanziere sich von diesen Aktivitäten, es handle sich nicht um OMV-Mitarbeiter, selbstverständlich habe man schon eine entsprechende Anzeige eingebracht.

Bleibt für den gelernten Datenschützer nur die Frage, woher stammen die Teilnehmerdaten? Noch gibt es keine Gewissheit, möglich sind mehrere Varianten.

Variante 1: Bei der Abwicklung des Spieles gibt es Schwachstellen und Mitarbeiter haben die Daten unbemerkt kopiert und weitergegeben.

Variante 2: Bei einzelnen einsammelnden Tankstellen sitzen übereifrige Mitarbeiter, die die Daten abschreiben.

Variante 3: Jemand beobachtet OMV-Tankstellen und notiert sich die KFZ-Kennzeichen der Kunden. Wenn er rechtliches Interesse behauptet, erhält er von der KFZ-Zulassungsbehörde auch die Daten des KFZ-Inhabers.

Variante 4: ???

Variante 3 klingt ein wenig kompliziert und unwahrscheinlich und wurde daher nur der Vollständigkeit halber erwähnt.


Was kann der Angreifer mit diesen Daten anfangen?

Welchen Nutzen haben Bankverbindung und Kontonummer, werden sich viele fragen. Direkt für das Onlinebanking sind sie nicht verwertbar, dazu wäre PIN und TAN erforderlich, trotzdem lässt sich einiges mit den Daten anfangen.

So könnte der Angreifer bei der Bank anrufen und versuchen sich unter Angabe der Bankdaten an eine neue Adresse Onlinebanking-Unterlagen zuschicken zu lassen. Er könnte auch Papier-Überweisungen mit den Bankdaten versehen und in einem Überweisungsautomaten abgeben. Die Unterschriftenprüfung erfolgt mittlerweile bei vielen Banken nur mehr sehr oberflächlich. Er könnte die Daten auch für einen Einziehungsauftrag benutzen.

Der Angreifer könnte diese Daten aber auch, gemeinsam mit der eMail-Adresse des Betroffenen für eine Phishing-Attacke der dritten Generation nutzen.

Wurden zu Beginn des Phishings Mails wahllos und breit gestreut und der Kunde aufgefordert zu einer Website zu gehen und dort vertrauliche Daten bekannt zu geben, so wurden in der zweiten Generation Würmer dazu genutzt Trojaner zu verbreiten und so Onlinebanking-Kunden dazu zu bringen, ihre vertraulichen Daten preis zu geben.

Die dritte Generation setzt auf individuelle Kontakte und Social Hacking, das heißt beim Betroffenen wird durch Insiderwissen besondere Vertrauenswürdigkeit vorgegaukelt und somit erreicht, dass er vertrauliche Daten bekannt gibt. Persönliche, nicht allgemein bekannte Daten sind für das Erschleichen von Vertrauen die beste Voraussetzung.


"Gewinner" kann unwissend Mittäter bei Phishing-Attacke werden

Ein weiteres Szenario ist, dass dem Kontoinhaber tatsächliche ein Gewinn üebrwiesen wird, aber glich danach man ihm mitteilt, dass es sich leider um einen Irrtum handelte und nur ein Bruchteil des Betrages für ihn vorgeseehn sei. Man bitte ihn daher das Geld aus Gründen der Geschwindigkeit mittels MoneyTransfer oder einer ähnlichen Organisation rasch an eine ausländische Stelle zu überweisen. Für die Unannehmlichkeiten können er einen Gewissen Betrag zurückbehalten.

Hintergrund einer derartigen Aktion. das Geld stammte in Wirklichkeit von einem Phishingopfer und wid auf diesem Weg unverdächtig und rasch ins Ausland geschleust.


OMV-Fall kein Einzelfall

Scheinbare Gratisangebote, wie Online-Quizspiele, Gratis-Mailaccounts oder psychologische Gratistests sind weitere beliebte Instrumente an persönliche Daten heranzukommen. Für die Laien unbemerkt wird dabei auch die Internet-Adresse registriert (IP-Adresse). Diese Adresse kann dann wieder Anknüpfungspunkt für weitere Datenbeschaffungen sein.


Verantwortung der Internet Service Provider (ISP)

Hat sich ein Angreifer eine IP-Adresse beschafft, dann gelingt es ihm meist auch weitere persönliche Benutzerdaten zu beschaffen. Bei vielen ISPs genügt ein etwas schärfer gehaltener Brief, in dem Urheberrechtsverletzungen behauptet werden, damit sie die Daten ihrer Kunden weitergeben. Verunsicherung, Bequemlichkeit und eine unklare Rechtssprechung führen dazu, dass ISPs Kundendaten - in der Regel rechtswidrig - weitergeben (siehe http://www2.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGED...).

Eine Praxis, die rasch abgestellt werden sollte. Neben verwaltungsrechtlichen und strafrechtlichen Konsequenzen wegen Verletzung des Telekommunikationsgeheimnisses drohen auch Schadenersatzansprüche an die Provider.


Nach den Banken weitere Onlinedienste im Visier

Neben den Banken ist grundsätzlich auch bei anderen Onlinediensten Identitäsdiebstahl möglich. So könnte jemand mit Hilfe der Konto- und Personendaten bei einem Onlinewettanbieter oder einem Musikdownload-Portal eifrig bestellen, belastet wird das Konto des Geschädigten. Es wäre in diesen Fällen gar nicht erforderlich die Zugangsdaten beim Betroffenen auszuspähen, sondern der Angreifer könnte mit der geborgten Identität einen eigenen Zugang (Account) einrichten.

Wenn der Betroffene die Abbuchungen merkt oder die ersten Rechnungen ins Haus flattern, ist der Angreifer längst über alle Berge.


Richtiges Verhalten im Angriffsfall

Grundsätzlich sollte man weder telefonisch, noch über das Internet persönliche Daten bekannt geben, sofern man sich nicht vergewissert hat, dass es sich um eine vertrauenswürdige Quelle handelt. Telefonisch wird man das durch Rückruf prüfen können, im Internet nur durch Prüfung der Zertifikatsdaten eines Onlineanbieters.

Auch scheinbar banale Informationen, wie Adresse, welche Hobbys man hat oder wo man beschäftigt ist, können Ansatzpunkt für Angriffe sein. Mit diesen Zusatzdaten wird versucht ein Vertrauensverhältnis aufzubauen und weitere Informationen zu gewinnen.

Für die meisten Dienste im Internet ist die Angabe der realen Personendaten nicht erforderlich. Es wird daher dringend empfohlen, sich für das Internet Aliasidentitäten zuzulegen und nur diese Daten bekannt zu geben. Selbst Bestellungen sind mit Aliasdaten zulässig, sofern man nicht in betrügerischer Absicht handelt.

mehr --> Phishing - Identitätsdiebstahl als neues Delikt einer anonymen...
mehr --> Raffinierter Trojaner gefährdet Österreichs Onlinebanking-Kunden
mehr --> Internet-Provider verstoßen regelmäßig gegen das Kommunikation...


Die angezeigten Informationen sind nur zur persönlichen Nutzung bestimmt. Jede Weitergabe an Dritte ist unzulässig und ausdrücklich untersagt. Alle Angaben und Informationen ohne Gewähr. Trotz sorgfältiger Recherche besteht die Möglichkeit, daß einzelne Informationen veraltet, unklar oder unvollständig sind. Sollten Sie Kenntnis von derartigen Informationen erhalten, ersuchen wir Sie um Rückmeldung, damit wir die Daten raschest korrigieren können. e-commerce Ratingwerte geben die Einschätzung des e-rating-Teams zu der genannten Organisationen und Webshops wider. Diese Einschätzung muss nicht mit Einschätzungen anderer Rating-Organisationen oder mit der Selbsteinschätzung der bewerteten Organisation übereinstimmen. Es liegt in der Verantwortung jedes Benutzers des Informationssystems die Ratingwerte in geeigneter Weise zu interpretieren.

Bei Nutzungsproblemen wenden Sie sich bitte an unseren Support! per fax +43(0)1/5320974 oder per e-mail Online Hilfe
Content Management System developed & powered by e-commerce monitoring gmbh

© e-commerce monitoring GmbH 2002-2017 webmaster
Datenschutz, Privatsphäre, Privacy, Informationsrecht, Datensicherheit, Inhouse-Schulung, Datenschutzbeauftragter, DSB, Österreich, Austria, Wien, Internet, Telekommunikation, Personendaten, Auftraggeber, Dienstleister, datenschutz-seminar.at, privacy-day.at, privacyday.at, Cloud Computing, datenschutz-seminare@at, Vorratsdatenspeicherung, Vorratsspeicherung, datenschutz tag, hacking, hacker, Whistleblowing, RFID, social media, Web 2.0, Web2.0, informationelle Selbstbestimmung, datenschutz tagung, e-government, e-commerce, Identität, phishingdata protection, privacy, data security, data safety, Inhouse, data protection officer, Austria, Vienna, internet, telecommunication, personal data, data retention, privacy protection, privacy protect, Video Surveillance, CCTV