Die Datensätze enthalten Namen, Telefonnummern, Geburtsdaten, Wohnorte, Arbeitgeber und E-Mail-Adressen: Diese Informationen über Facebook- und LinkedIn-Nutzer sind in öffentlich zugänglichen Hacker-Foren aufgetaucht – und damit für Cyberkriminelle verfügbar. Betroffen sind auch mehrere Millionen deutsche Nutzer, die die Folgen des Datenlecks bereits spüren. Denn seit Ostern verbreiten sich Betrugsversuche per SMS massiv.
Um welche Daten geht es?
Zunächst sind in einem einschlägigen Forum vertrauliche Informationen zu 533 Millionen Facebook-Nutzern gelandet – darunter mehr als sechs Millionen Kunden aus Deutschland. Die Daten sind dem Netzwerk offenbar bereits 2019 „abhandengekommen“. Nun sind sie aber zum ersten Mal quasi öffentlich abrufbar. Dazu kommen jetzt Informationen zu rund 500 Millionen LinkedIn-Nutzern, die unter dubiosen Umständen im Netz verkauft werden. Die Hacker bieten Interessenten den kompletten Datensatz für einen zumindest vierstelligen Dollarpreis an.
Wie reagieren Facebook und LinkedIn?
Laut Facebook handelt es sich um kein neues Leck. „Das sind alte Daten, über die bereits 2019 berichtet wurde“, heißt es in einer Stellungnahme. Das ändert aber nichts daran, dass der allergrößte Teil dieser Informationen auch heute noch aktuell ist. Alon Gal von der israelischen Sicherheitsfirma Hudson Rock kritisiert: „Ich warte noch darauf, dass Facebook diese absolute Fahrlässigkeit im Umgang mit den Daten zugibt.“ Die Microsoft-Tochter LinkedIn verspricht: „Der Versuch, Mitgliederdaten für Zwecke zu verwenden, denen LinkedIn und unsere Mitglieder nicht zugestimmt haben, wird von uns verfolgt.“ Beide US-Unternehmen sprechen von „Scraping“ (Deutsch: „Abkratzen, Ablesen von Daten“). Dabei geht es um Nutzerinformationen aus ihren Netzwerken, die überwiegend frei zugänglich sind. Kriminelle könnten sie sich also auch selbst auf Facebook und LinkedIn zusammensuchen. Das ist aber viel zu aufwändig. Mit den riesigen Datensätzen werden jetzt groß angelegte Betrugsversuche erst möglich.
Was sind die Folgen?
Selbst die Handynummer von Facebook-Chef Mark Zuckerberg ist in dem Leck aufgetaucht. Internetkriminelle können nun per SMS oder E-Mail Phishing-Angriffe starten – wahllos nach dem Zufallsprinzip oder gezielt auf Nutzer, deren Profile ihnen interessant und lukrativ erscheinen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt, dass eine solche Betrugswelle bereits rollt. Dort heißt es: „Seit Tagen erhalten Nutzer von Smartphones und Handys SMS-Nachrichten, die zum Klicken eines Links auffordern.“ Die Experten sprechen von „Smishing“, also von einem Mix aus SMS und dem bekannten Betrugsversuch des „Phishing“, bei dem Bankdaten oder Passwörter abgefischt werden sollen – oft sogar mit dem korrekten Namen als Anrede. Die Links stehen in angeblichen Versandmitteilungen von Paketdiensten wie DHL, FedEx und UPS oder in Einladungen zu Online-Videokonferenzen. Wer sie anklickt, kann sich Schadsoftware aufs Gerät laden. Dazu gehört der Banking-Trojaner FluBot, mit dem Betrüger Bankkonten hacken.
Woher weiß ich, dass ich betroffen bin?
Mittlerweile ist es auf mehreren Websites möglich, herauszufinden, ob eigene Identitätsdaten ausspioniert wurden. Facebook bietet diese Möglichkeit unter bit.ly/facebook-hilfe. Weitere Anlaufstellen sind das Hasso-Plattner-Institut (bit.ly/hpi-checker) sowie die Websites haveibeenpwned.com und fbleak.freddygreve.com. Wer betroffen ist, sollte sein Facebook- oder LinkedIn-Passwort ebenso ändern wie die mit dem Konto verbundene Telefonnummer und Mailadresse.
Wie kann ich mich schützen?
Bei Links, die vor allem per SMS von unbekannten Absendern eintreffen, sollten Betroffene zunächst einmal grundsätzlich davon ausgehen, dass es sich um einen Betrugsversuch handelt. Sie sollten den Link keinesfalls anklicken und die Nachricht löschen. Bei SMS wie „DHL Express 6185xxxxxx von Amazon wird voraussichtlich am 14 Apr 2021 zugestellt“ besteht ohnehin kein Bedarf, etwas anzuklicken, die Info spricht für sich. Wenn der Link Adressteile wie dhl.com, dhl.de oder ups.com enthält, spricht das für die Echtheit, Vorsicht ist trotzdem angebracht. Wenn sie fehlen, und wenn die Nachricht zudem in schlechtem Deutsch geschrieben ist, deutet das auf eine Fake-SMS hin. Darüber hinaus gelten die üblichen Vorsichtsmaßnahmen: Geräte immer auf dem neuesten Stand des Betriebssystems halten, Android und Windows mit Virenschutz absichern. iPhone und iPad sind ab Werk besser geschützt, für sie gibt es gar keinen Virenschutz. Generell gilt: Nutzer sozialer Netze sollten dringend so wenige Daten wie nur irgend möglich preisgeben. Wer geklickt hat und auf eine Betrugs-SMS hereingefallen ist, hat nur eine Chance: Die eigenen Handy-Daten wie Fotos und Dokumente sichern, Gerät löschen und neu installieren. Mehr: bit.ly/bsi-smishing.