Fake-SMS mit Paketbenachrichtigungen beruhen auf Facebook Leak

von | 10.04.2021 | Digital

Sie sorgen gür große Verunsicherung: Aktuell kursieren besonders viele Nachrichten, die aussehen wie eine Paket-Benachrichtigung – aber reiner Betrug sind. Wie die Linkadresse in der SMS anklickt oder antippt, läuft Gefahr, sich einen Trojaner aufs Smartphone zu holen. Hier ist oberste Vorsicht angeraten!

„Ihr Paket steht noch aus. Bitte bestätigen Sie Ihre Angaben hier“: Wer eine solche oder ähnlich lautende Kurznachricht erhält, sollte unbedingt vorsichtig sein – und unter keinen Umständen auf den in der Nachricht enthaltenen Link klicken oder tippen. Und dem Absender auch keine persönliche Datenanvertrauen. Denn es handelt sich um eine Falle.

Hintergrund: Am vergangenen Wochenende sind im Internet über 530 Millionen Datensätze mit Daten von Facebook-Nutzern aufgetaucht. Für jeden frei zugänglich in Hacker-Foren. Mit persönlichen und sensiblen Daten wie Name, Geburtsdatum oder Mail-Adresse. Ein vergleichsweise großer Hack. Das öffnet Missbrauch durch Cyberkriminelle Tür und Tor.

Datenklau liegt zwei  Jahre zurück – Daten kursieren jetzt

Der eigentlich Datenklau liegt schon eine ganze Weile zurück. Im Herbst 2018 haben Hacker durch Ausnutzen von unverzeihlichen Sicherheitslücken bei Facebook im großen Stil Daten von Usern abgreifen können. Nicht nur Daten, die man bei Facebook öffentlich sehen kann, sondern auch persönliche und sensible Daten: Name, Wohnorte, E-Mail-Adresse, Rufnummer, Geschlecht, Beziehungsstand und einiges mehr.

Die Daten wurden unbemerkt eingesammelt und schon Anfang des Jahres in Hacker-Foren zum Verkauf angeboten. Jetzt sind die Daten frei verfügbar, was die Gefahr für Missbrauch natürlich enorm erhöht. Es sind 6 Millionen Deutsche betroffen. Facebook hat das Sicherheitsleck dann 2019 geschlossen.

Was wollen Hacker mit Rufnummern anstellen?

Jetzt stellt sich natürlich die Frage: Welches Risiko besteht, wenn solche Daten – die teilweise ja sogar auf Facebook öffentlich zu sind – in die Hände von Cyberkriminellen kommen? Was sollen sie mit meiner Telefonnummer anstellen?

Das sollte man auf keinen Fall unterschätzen. Die Datensätze enthalten ein Bündel von sensiblen Daten: Name, Geburtsdatum, Wohnort, Mail-Adresse und Telefonnummer. Diese Daten nutzen Cyberkriminelle vor allem, um gezielt Phishing-Mails zu versenden – oder Phishing-SMS. Also Nachrichten, die aussehen, als kämen sie von einer offiziellen Stelle, zum Beispiel der Bank, Paypal, Amazon, DHL, UPS oder einen anderen populären Dienst.

Wenn die Nachricht original aussieht, eine korrekte Anrede enthält und vielleicht auch die eigene Telefonnummer, dann geht man davon aus, dass das Anschreiben echt ist. Die Empfänger öffnen die Nachricht, klicken arglos den Link an – landen aber auf manipulierten Webseiten. Sie sehen echt aus – greifen aber dann Zugangsdaten an. Schon können die Cyberkriminellen auf das Onlinekonto zugreifen. Das kann fatale Folgen haben.

Die Masche wird bereits aktiv eingesetzt

Phishing-Mails sind üblich – und leider sehr häufig erfolgreich. Aktuell gibt es eine Welle von Fake-SMS. Sie behaupten, eine Paket konnte nicht zugestellt werden. Wer den Link anklickt, landet zum Beispiel bei Amazon, soll seine Daten eingeben. Wer das macht, könnte Opfer werden: Fremde bestellen auf Kosten der Opfer waren. Solche Fake-SMS kursieren derzeit häufiger als sonst. Wahrscheinlich schon die erste Folge des Daten-Leaks.

Bei Facebook gibt es keine Hilfe. I

ch habe aber zwei Angebote gefunden, die weiter helfen. Eins hat ein junger Entwickler auf die Beine gestellt, der bei einem Kölner Startup als Entwickler arbeitet. Unter fbleak.freddygreve.com ist das Angebot zu erreichen. Hier muss man lediglich seine Facebook-ID angeben. Die wurde nämlich auch entwendet. Es ist klug, dass die ID abgefragt wird, denn die ist öffentlich.

Wenn man Mail-Adresse oder Telefonnummer eingeben müsste, würden sich viele unwohl fühlen. Die Facebook-ID findet man blitzschnell in der Facebook-App und trägt sie dann in die Webseite ein. Schon informiert einen die Webseite, ob man betroffen ist oder nicht. Ich zum Beispiel bin betroffen.

Ebenfalls empfehlenswert ist HaveIbeenPawned. Mail-Adresse oder Rufnummer eingeben – schon erfährt man, ob man betroffen ist oder bei einem der vielen anderen Leaks Opfer gewesen ist. Sehr praktisch.

https://www.youtube.com/watch?v=np5H9OKDc24&ab_channel=schieb.de

 

Schieb App