wwWissen zum Nachlesen
Facebook-Datenleck, Betrüger-SMS, Cashback
von Andreas Bertolin, 18.05.2021
Bei der Online-Infostunde wwWissen am Dienstag, 18. Mai haben wir uns mit dem Facebook-Datenleck vom April beschäftigt. Außerdem haben wir uns – teilweise im Zusammenhang damit – über Betrüger-SMS und -WhatsApp-Nachrichten unterhalten und einige Informationen zum Italia-Cashless-Projekt „Cashback“ erhalten.
Es ist schon wieder passiert, aber diesmal auf andere Art und Weise: Facebook sind wieder massenhaft Nutzerdaten abhanden gekommen. Der bis vor kurzem größte Datenskandal wurde im Frühjahr 2018 bekannt und offenbarte, dass die Analysefirma Cambridge Analytica 2015 unbefugt Zugriff auf 50 Millionen Facebook-Profile hatte, die sie für Wahlkampfanalysen verwendete. Seither sind immer wieder mal Nutzerdaten-Sammlungen auf Schwarzmärkten aufgetaucht, im April 2021 gab es aber einen neuen Rekord, mit einer Datensammlung von über 500 Millionen Nutzerdaten – ca. 20% aller Facebook-Nutzer (https://heise.de/-6005192). Die Daten selbst stammen aus dem Jahr 2019 und wurden eventuell auch seither im kriminellen Rahmen verwendet. Auch dem Netzwerk LinkedIn und der App Clubhouse sind massenhaft Daten abhanden gekommen, auch wenn darüber im April nur vereinzelt berichtet wurde.
Die Facebook-Sammlung ist nicht nur besonders groß, sie war zudem auch kostenlos abrufbar und enthält unter anderem die Telefonnummern der Nutzer.
Woher die Daten stammen, ist zu diesem Zeitpunkt noch nicht vollends geklärt. Facebook behauptet, es handle sich um rein öffentlich sichtbare Daten, die von den öffentlichen Profilen der Nutzer aufgrund eines Softwarefehlers massenhaft abgerufen werden konnten. Der Fehler sei 2019 behoben worden. Zahlreiche Nutzer berichten aber, dass Telefonnummern in der Sammlung enthalten seien, die nicht öffentlich einsehbar gewesen sein sollen.
Hauptursache ist möglicherweise das sogenannte „Web-Scraping“, das automatisierte Abrufen (scraping = zusammenkratzen) von Informationen die entweder direkt oder über Schnittstellen öffentlich zugänglich sind. Web-Scraping zu verhindern, ist keine einfache Aufgabe und basiert vor allem darauf, massenhafte Zugriffe zu erkennen und zu blockieren oder zu verlangsamen. Eine Theorie, wie die Datensammlung zustande gekommen sein könnte, kann man hier nachlesen: https://heise.de/-6009896
Die (unbestätigte) Theorie geht davon aus, dass vom Angreifer je Land eine Liste möglicher Telefonnummern nach einem Muster erstellt wurde. Für Italien gibt es beispielsweise je Provider eine bestimmte Vorwahl (z.B. 333, 339, etc.) gefolgt von 7 zufälligen Ziffern. Der Angreifer könnte dann einen oder mehrere Facebook-Accounts erstellt und die Telefonnummernliste(n) dem Adressbuch des Accounts hinzugefügt haben. Durch den Softwarefehler von 2019 wären dem Angreifer dann alle „Freunde“ aus dem Adressbuch zurückgemeldet worden. Dadurch entsteht eine sehr umfangreiche Liste, in der mindestens das Facebook-Profil und die Telefonnummer miteinander verknüpft stehen. Vielleicht auch gleich weitere Informationen wie Name oder Mail-Adresse, je nachdem welche Informationen über die Adressbuch-Schnittstelle abrufbar waren.
Ob die Theorie stimmt, könnte man eventuell überprüfen, wenn man die Privatsphäre-Einstellungen der Nutzerkonten überprüft, deren nicht-öffentliche Telefonnummern in der Liste stehen. Die Einstellungen bieten nämlich die Möglichkeit, das Auffinden des eigenen Accounts über die Telefonnummer auszuschalten.
Das Problem an der ganzen Sache ist, dass Facebook – vermutlich aus rechtlichen Gründen – anscheinend als normal und nicht verhinderbar hinstellen will. Facebook weigert sich bisher auch, die betroffenen Nutzer zu informieren – im Rahmen eines Einbruchs in die Facebook-Infrastruktur wäre Facebook dazu gegen hohe Geldstrafen verpflichtet. https://heise.de/-6022602
Der vertrauenswürdige Dienst https://haveibeenpwned.com bietet die Möglichkeit nachzusehen, ob das eigene Profil beim diesem oder anderen Datenlecks und -Sammlungen aufgetaucht ist (Achtung auf die Schreibweise!).
Ein solch massenhaftes Scraping wird auch nicht zum letzten Mal passiert sein. Es gibt bereits Berichte darüber, dass aktuell ein Softwareprogramm existiert, mit dem es möglich sein soll, fünf Millionen E-Mail-Adressen pro Tag auf zugehörige Facebook-Accounts zu prüfen (https://heise.de/-6023093 mit Originalquelle https://arstechnica.com/gadgets/2021/04/tool-links-email-addresses-to-facebook-accounts-at-scale).
Allerdings stellt nicht nur das Abgreifen von Telefonnummern ein Problem dar. Viele Nutzer sind sich nicht bewusst, dass die öffentlich ins Internet gestellten Bilder ihrer Kinder – z.B. auf öffentlich zugänglichen Facebook-Profilen – beliebte Sammelobjekte für Pädophile sind. Ein schwieriges Thema, das eigentlich auch seit Jahren bekannt ist und zur Grundkompetenz von Internet-benutzenden Eltern gehören sollte. Ein Bericht der Sendung „Panorama“ der ARD zeigt aktuell auf, was viele Eltern nicht wissen und meist gar nie erfahren und ebenfalls mittels Web-Scraping erreicht wird: das Sammeln von Kinderfotos und -Videos aus sexuellen Antrieben heraus. https://daserste.ndr.de/panorama/archiv/2021/Aufwaendige-Recherche-zum-Diebstahl-von-Kinderfotos,kinderpornografie218.html
Zusammenfassend bleibt festzuhalten, dass per Internet geteilte Daten immer auch als öffentliche Daten betrachtet werden müssen – auch wenn diese vermeintlich nicht einsehbar waren. Das „sozial“ in den sozialen Netzwerken bezieht sich nicht auf den sozialen Umgang, sondern lediglich auf die Vernetzung von Menschen – im Guten wie im Bösen. Bei den Konzernen stehen sich (mindestens) zwei unvereinbare Dinge gegenüber: Die Nutzer sollen möglichst viele Daten preisgeben, damit das Unternehmen Geld damit verdienen kann und gleichzeitig müssen diese massenhaften Daten geschützt werden, die sich sehr schwer bis gar nicht schützen lassen. Dem Nutzer bleibt, sich dessen bewusst zu sein oder zu werden.
Thematisch und als Folgeerscheinung von Datenlecks kann man die immer wieder auftretenden Wellen von Betrüger-SMS und -Nachrichten auf WhatsApp etc. betrachten. Man spricht hier von „Phishing“, früher als Bauernfängerei bekannt. In den letzten Jahren hat sich das Wort „Smishing“ in IT-Sicherheitskreisen etabliert und konkretisiert damit lediglich das Phishing via SMS, allerdings kann es auch via WhatsApp oder anderer Messaging-Dienste erfolgen. https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Smishing_SMS-Phishing_090421.html
Der Begriff findet sich in letzter Zeit auch in nicht-technischer Berichterstattung, sodass man damit evtl. häufiger in Berührung kommt.
Es handelt sich dabei um eine Nachricht, die man am Smartphone erhält und die von einem vermeintlich legitimen Absender wie der Bank, einem Lieferdienst, oder einem Online-Händler stammt. Häufig steht darin ein Text, der dazu verleiten soll, auf den angeführten Link zu tippen / klicken. Nicht selten wird man im Text auch namentlich genannt, oder es ist die eigene Wohnadresse enthalten. Woher diese Daten stammen, haben wir beim Facebook-Datenleck gesehen.
Es ist nicht immer so einfach, Smishing zu enttarnen. Jeder von uns, auch Sicherheitsexperten, haben einen Angriffspunkt. Er fällt lediglich unterschiedlich aus. Stellen Sie sich vor, sie erwarten eine dringende Lieferung und warten bereits auf das Klingeln des Postboten. In dem Moment erhalten Sie eine SMS, die Ihnen mitteilt, dass das Paket zurückgeschickt wurde, weil Sie nicht anzutreffen waren. Um die Rücksendung zu verhindern und einen neuen Zustelltermin zu vereinbaren, müssen Sie lediglich den angeführten Link anklicken. Ein Moment der Unachtsamkeit in einer solchen Situation kann schon reichen. Verabschieden kann man sich übrigens von der Vorstellung, anhand von Schreibfehlern solche Smishing-Texte zu enttarnen. Es gibt mittlerweile genügend Übersetzungsdienste online, die sehr brauchbare Texte in beliebiger Sprache erstellen – auch für Betrüger. Mitunter ist die Absendernummer auch nicht sichtbar, sondern lediglich ein Absendername, der im ungünstigsten Fall dem Namen einer echten Bank, eines echten Lieferdienstes, etc. stark ähnelt.
Die Nachricht selbst ist, in den meisten Fällen, nicht schädlich – auch wenn es dafür Ausnahmen gibt. Das reine Lesen der Nachricht ist im Normalfall also nicht das Problem, sehr wohl aber das Antippen / Öffnen des beigefügten Links. Haben Sie das gemacht, kann das unterschiedliches bewirken: Die Internetseite, die sich dann öffnet, kann mit Schadcode verseucht sein und versuchen, ihr Smartphone zu infizieren oder Ihnen eine App unterzuschieben, die dann Daten sammelt und weiterleitet. Eine andere Masche kann sein, dass Sie auf eine Internetseite geleitet werden, die jener der Bank, des Lieferdienstes etc. stark ähnelt oder von dieser gar nicht zu unterscheiden ist. Wenn Sie hier dann persönliche Daten eingeben, oder sich mit Ihren Zugangsdaten anmelden, landen diese in den Händen der Betrüger. Beachten Sie, dass eine Internetseite auch so programmiert sein kann, dass die eingegebenen Daten bereits vor dem Abschicken (also während der Eingabe) bereits an die Betrüger übermittelt werden.
Wenn man um die Angriffsmethode also weiß, sollte man (besonders bei dringend wirkenden Nachrichten) niemals den Link antippen, sondern stattdessen über den üblichen Weg (Internetseite oder App des Anbieters) gehen und legitime Informationen erhalten. Hilfreich ist auch das Einrichten sogenannter „Zwei-Faktor-Authentifizierung“ (2FA), wie es z.B. bei Online-Banking seit kurzem vorgeschrieben ist. Der zweite Faktor kann unterschiedlich gestaltet sein. Aber auch hier gilt es aufzupassen. In den letzten Monaten gab es nämlich noch eine andere Art von Smishing, die man auch in Bezug auf auf 2FA kennen sollte:
Betrüger wollten die WhatsApp-Accounts der Betroffenen übernehmen. Dazu erhielten die Betroffenen eine Nachricht von einer/einem Bekannten, in der gebeten wurde, den Code der gleich per SMS eintreffen würde, weiterzuschicken. Die meisten kennen solche SMS-Codes, aber sind sich nicht vollumfänglich bewusst, was diese bedeuten. Muss man sich bei einem Dienst mit der eigenen Telefonnummer (oder auch Mail-Adresse) identifizieren, dann erhält man vom Dienst einen Code zugeschickt. Nur wenn man die korrekte Telefonnummer (oder Mail-Adresse) angegeben hat, erhält man den Code und kann ihn zur Bestätigung eingeben (oder die App liest eingehende SMS mit und übernimmt den Code eigenhändig, ohne Zutun des Nutzers). Wenn nun aber ein Betrüger versucht, mit ihrer Telefonnummer einen WhatsApp-Account auf seinem eigenen Gerät einzurichten, dann wird der Bestätigungscode an Ihre Telefonnummer geschickt. Kann der Betrüger Sie überzeugen, ihm den Code weiterzuschicken, dann ist ihr WhatsApp-Account weg, schlimmstenfalls zusammen mit Ihren Bildern und Videos. Ihr gestohlener WhatsApp-Acount wird dann wiederum verwendet, um Ihre Freunde und Bekannte zu phishen / zu überlisten.
Auch wenn in diesem Text immer wieder von „dem Betrüger“ gesprochen wird, muss man immer bedenken, dass diese Angriffe zwar von Menschen gestartet, aber von Programmen automatisiert ausgeführt werden und damit eine irrsinnige Reichweite aufbauen können.
Die Postpolizei bietet die Möglichkeit, Phishing-Versuche und und ähnliches online zu übermitteln. Das Formular findet sich auf https://www.commissariatodips.it unter „Segnalazioni“.
Ein ganz anderes Thema, das allerdings auch viel mit Datenerhebung zu tun hat, ist das staatliche Projekt „Italia Cashless“ (www.cashlessitalia.it) Dabei geht es darum, bargeldlose Bezahlmethoden in Italien zu stärken. US-Amerikaner würden sich wundern, denn in den USA ist das Bezahlen mit Bargeld eine schmuddelige Affäre – gleichzeitig treiben Kreditkarten-Schulden (die durch die Zinsen auf den Kredit entstehen) Privatleute in den Ruin. Es gibt aus mehreren Gründen Skepsis, gegen rein digitale Bezahlmethoden.
Um den Umstieg anzukurbeln, hat unsere Regierung sich deshalb zwei Anreizsysteme überlegt. Das eine nennt sich Cashback (quasi „Geldzurück“), das andere Lotteria degli Scrontrini (quasi „Beleg-Lotterie“). Bei beiden geht es darum, dass man für die Benutzung digitaler Bezahlmethoden in lokalen Geschäften Geld vom Staat bekommt. Voraussetzung für Cashback ist die Installation einer App, genannt „IO“ (https://io.italia.it/cashback) und die Anmeldung in der App mittels SPID oder elektronischer Identitätskarte. Da man sich hierbei als eindeutige Person identifiziert, erhält man bei der Einrichtung dann auch ohne Zutun eine Auswahl der eigenen Bankkonten und Kreditkarten, aus denen man auswählen kann. Bezahlt man mit einer der eingerichteten Kreditkarten beim lokalen Einkauf, erhält man am Ende der laufenden Periode (unter bestimmten Bedingungen) Geld auf sein Bankkonto zurücküberwiesen.
Die Perioden sind in Semester unterteilt, im Moment läuft das erste Semester vom 1. Jänner 2021 bis 30. Juni 2021. Das zweite Semester vom 1. Juli bis 31. Dezember 2021. Das dritte (und voraussichtlich letzte) Semester vom 1. Jänner bis 30 Juni 2022.
Teilnehmen können nur volljährige italienische Staatsbürger, mit ihren privaten (also nicht geschäftlichen) Einkäufen bei einem teilnehmenden Händler ab dem Folgetag der Aktivierung, mit den Bezahlsystemen Kreditkarte, Debitkarte (Bancomat-Karte), Prepaidkarte (z.B. Postepay), Bezahlapps wie Bancomat Pay, sowie Google Pay und Apple Pay.
Es gibt aber noch einige weitere Einschränkungen, wenn man am Ende (60 Tage nach Semesterende) Geld sehen will: Man muss im jeweiligen Semester mindestens 50 Transaktionen durchgeführt haben. Pro Transaktion wird lediglich ein Maximalbetrag von 150€ beachtet und maximal 10% des Transaktionsbetrages gutgeschrieben. Das bedeutet, dass man pro Transaktion maximal 15€ gutgeschrieben bekommen kann. Für das gesamte Semester kann man höchstens 150€ gutgeschrieben bekommen (10% von 1.500 €). Wenn man hier kurz nachrechnet, kann man feststellen, dass man das Optimum erreicht, indem man bei einer Minimalanzahl von 50 Bezahlvorgängen in 6 Monaten jeweils mindestens 30 € ausgeben / einkaufen muss. Man erhält dann nämlich 3€ Gutschrift mal 50 Bezahlvorgänge, ergibt die Maximalgutschrift von 150€. Das würde zwei Einkäufen zu je 30€ pro Woche entsprechen.
Wer mehr als das Optimum will oder generell viel bargeldlos zahlt, der kann zudem versuchen beim „Super Cashback“ weitere 1.500 € einzusacken. Bei dieser Spielerweiterung treten die Teilnehmer gegeneinander an. Wer am Ende so viele Transaktionen getätigt hat, dass er unter den 100.000 Teilnehmern mit den meisten Transaktionen ist, bekommt den Super Cashback. Gibt es für den letzten Platz mehrere mit der gleichen Transaktionsanzahl, zählt wer diese zuerst erreicht hat.
Wem das immer noch zu wenig Spielerfahrung ist, der kann auch an der „Lotteria degli Scontrini“ teilnehmen, bei Mindesttransaktionen von einem Euro (https://www.lotteriadegliscontrini.gov.it). Je höher der Betrag, desto mehr „virtuelle Lotteriescheine“ erhält man, nämlich eines pro einem Euro. Um Teilzunehmen, benötigt man einen „Lotteriecode“, den man sich auf der genannten Seite durch Eingabe der Steuernummer holen kann. Der Lotteriecode ist ein Strichcode / Barcode den man beim Bezahlvorgang an der Kasse vorzeigen muss (entweder ausgedruckt oder als Bild auf dem Smartphone abgespeichert). Er gilt während der gesamten Cashless-Periode.
Die Lotterie-Ziehungen erfolgen wöchentlich (15x 25.000€), monatlich (10x 100.000€) und jährlich (1x 5.000.000€). Die Gewinner werden ausschließlich per eingeschriebenem Brief oder PEC-Mail benachrichtigt, oder über die „area riservata“ des obengenannten Portals – also in Bezug auf Smishing/Phishing bitte vorsichtig sein, es gibt keine Benachrichtigung per SMS oder normaler E-Mail. Die Nummern der Gewinner-Belege (Scontrini) inklusive des bezahlten Betrages finden sich auch öffentlich auf oben genanntem Portal als PDF.
Übrigens nehmen die Händler auch an der Lotterie teil, ebenso wöchentlich (15x 5.000€), monatlich (10x 20.000€) und jährlich (1x 1.000.000€).
Na, wurde die Spielerlust schon geweckt?
Aus sicherheitstechnischer Sicht sei zusammenfassend gesagt: wer sowieso schon lokal bargeldlos zahlt, der nimmt mit der Teilnahme an beiden Anreizen vermutlich kein zusätzliches Datenschutzrisiko auf. Der Staat dürfte ohnehin schon Einblick in alle bargeldlose Transaktionen haben und daraus Daten wie Käufer, Händler, Uhrzeit und Betrag ziehen und daraus wiederum Informationen wie Kaufgewohnheiten (und Unregelmäßigkeiten), evtl. Einkommenseinordnung, etc. ableiten. Die Daten, die Händler und Zahlungsinstitute sammeln, dürften sich durch die Aktion nicht ändern, sehr wohl aber die Anzahl der gesammelten Daten – es geht ja schließlich darum, vermehrt Transaktionen bargeldlos abzuwickeln. Wer bisher mit Bargeld bezahlt, muss Kosten-Nutzen abwägen, ob die 150€/Semester und die Teilnahme am Glücksspiel die Nachverfolgbarkeit wert ist. Bleibt dann nur noch zu hoffen, dass die Datenbanken, in denen die gesammelten und gelinkten Daten von Steuernummern und Lotterie-Codes, IBANs und Kreditkartennummern, möglichst gut abgesichert sind und nicht demnächst am Schwarzmarkt zum Verkauf oder gar geschenkt angeboten werden. Eine SMS mit folgendem Text würde dann wohl eher mehr als weniger Leute auf dem falschen Fuß erwischen: „Sie haben mit der Steuernummer XYZ und der Belegnummer 12345 vom 17. Mai mit 33,72€ an der Scontrini-Lotterie teilgenommen. Wir gratulieren zum Gewinn von 25.000 €. Überprüfen Sie bitte ihren Beleg mit den angegebenen Daten. Leider konnte die Auszahlung nicht durchgeführt werden, klicken Sie bitte auf folgenden Link zur Überprüfung ihrer Kontodaten.“