l+f: You will be pwned: Scammer locken mit finanzieller Hilfe für Leak-Opfer

Die selbsternannte US Trading Commission entschädigt Leak-Opfer finanziell – aber nur wenn sie vorher eine Sozialversicherungsnummer kaufen. Betrug? Natürlich!

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen
Hacker

(Bild: Old Guy Photos / Shutterstock)

Lesezeit: 3 Min.

(Bild: heise)

Auf einer Website, die die IT-Sicherheitsfirma Kaspersky kürzlich entdeckte, bietet nicht etwa ein nigerianischer Prinz, sondern eine fiktive US-Organisation namens "US Trading Commission" einen finanziellen Entschädigungs-Service für Opfer von Datenlecks an. Und zwar nicht nur für US-Bürger, sondern für Betroffene weltweit.

Was bereits aus der Ferne nach Betrug riecht, stinkt bei genauem Hinsehen gewaltig. Denn die Scammer der Fake-Kommission mit staatlichem Anstrich wollen Betroffenen nicht nur ihrerseits vertrauliche Daten abknöpfen, sondern ihnen auch gleich noch ein wenig Geld aus der Tasche leiern.

Wie die neue Betrugsmasche funktioniert, hat Kaspersky in einem Blogeintrag beschrieben. Ein Formular mit der Überschrift "Check my data for leaks" auf der Website der "US Trading Commission" bietet auch Personen, denen bislang noch keine persönlichen Daten abhanden kamen, die Gelegenheit, ihren vollständigen Namen nebst Mobilfunknummer direkt an Scammer zu schicken. Anschließend simuliert die Website einen Datenbank-Check à la "Have I Been Pwned" und zeigt eine attraktive Geldsumme an, die dem jeweiligen Nutzer angeblich als "cash compensation" zusteht.

Sieht recht seriös aus: Die Ankündigung eines "Data Protection Funds" auf der von Kaspersky entdeckten Scam-Website.

(Bild: kaspersky.com)

Kasperskys Beobachtungen zufolge steht wohl so ziemlich jedem ein Geldbetrag in Höhe von etwa 2500 US-Dollar zu – etwa auch Personen namens "fghfgh fghfgh". Die Auszahlung ist allerdings an eine Bedingung geknüpft: Im nächsten Schritt fragen die Scammer die Nummer einer Bank-/Kreditkarte sowie die US-Sozialversicherungsnummer (Social Security Number, SSN) ab.

Wer keine SSN hat, erhält an dieser Stelle die einmalige Möglichkeit, eine online zu kaufen. Die ist zum Preis von rund 9 US-Dollar ein echtes Schnäppchen; schließlich winkt doch anschließend die ersehnte cash compensation. Gezahlt wird bequem per Kreditkarte, unter Eingabe der üblichen zahlungsrelevanten Daten.

Dass die Eingabe einer echten SSN (beziehungsweise die Angabe, bereits eine zu besitzen) eine Fehlermeldung verursacht und zu dem Hinweis zurückführt, dass eine temporäre SSN benötigt werde, überrascht kaum.

(Bild: kaspersky.com)

Auf welchem Wege potenzielle Opfer auf die Scam-Website gelockt wurden, ist Kasperskys Blogeintrag nicht zu entnehmen. Im Zweifel hätten sie jedoch durch eine kurze Internetrecherche feststellen können, dass eine "US Trading Commission" nicht existiert. Ebensowenig wie ähnliche (staatliche) Entschädigungsprogramme.

Wer herausfinden möchte, ob seine (Account-)Daten im Zuge eines Datenleaks kompromittiert wurden, dem stehen mit dem Prüfdienst Have I Been Pwned oder beim deutschen Gegenstück des Hasso-Plattner-Instituts (Identity Leak Checker) seriöse Prüfdienste zur Verfügung, die ohne Vorkasse oder falsche Versprechen auskommen.

Mehr Infos

lost+found

Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.

Alle l+f Meldungen in der Übersicht

(ovw)