Das Öl des 21. Jahrhunderts - Daten!

24.11.2015
G DATA Blog

Jeder hat schon einmal eine mehr oder weniger gut gemacht Spam E-Mail erhalten. Die meisten Nutzer sind für diese Art von Angriffen inzwischen sensibilisiert. Doch in der letzten Zeit landen die ungewollten Nachrichten nicht mehr nur in den elektronischen Postfächern, sondern auch wieder verstärkt auf dem Mobiltelefon. Die Experten der G DATA SecurityLabs haben sich eine solche Nachricht einmal vorgenommen und sind den verwirrenden Spuren der Daten gefolgt. Wichtig: Dieser Artikel bezieht sich auf einen konkreten Fall, in dem einzelne Firmen als Lockvogel fungieren. Weder Rewe noch Apple sind in diese geschilderten Aktionen involviert. Ihre Markennamen werden von den Betreibern dazu missbraucht, der Aktion einen vertrauenswürdigen Anstrich zu verpassen und durch die Popularität mehr Aufmerksamkeit zu erregen. Rewe distanzierte sich erst kürzlich in der Presse und auch auf der eigenen Facebook-Seite von solchen und ähnlichen Falschmeldungen. Andere namhafte Firmen und Markennamen wurden in einer Vielzahl von Kampagnen dieser Machart schon verwendet - darunter auch weitere Supermärkte, große deutsche Elektronikmärkte und Discounter.

Alles beginnt mit einer SMS

In unserem Fall wird ein vermeintlicher "gratis Einkauf" beim Handelskonzern Rewe versprochen; 500 Euro scheinen wir zur Verfügung zu haben, nach einem "gratis Klick". Wir sind natürlich sehr interessiert daran.

Sofort fällt auf, dass die Absender es mit der deutschen Rechtschreibung nicht allzu genau nehmen - "HerzlicheRn Glückwunsch" heißt es hier. Überhaupt ist die Wortwahl in der Nachricht nicht vertrauenerweckend, aber die Initiatoren versuchen sich aus Kostengründen auf eine SMS-Länge, 160 Zeichen, zu begrenzen. Für den Empfänger der Nachricht kann die Sprache schon ein erstes Alarmzeichen sein. Auch die angegebene URL erweckt keinen allzu seriösen Eindruck, denn sie ist ganz eindeutig keine offizielle Seite von Rewe. 

Woher stammen die Telefonnummern?

Es gibt ganz unterschiedliche Möglichkeiten, wie die sogenannten "Vertrags- und Vertriebsunternehmen", mit denen wir uns im Verlauf der Analyse noch beschäftigen, an Telefonnummern kommen können. Einige Beispiele:

  • Sie probieren schlicht und ergreifend Mobilfunknummern aus dem Zielland aus und hoffen, eine hohe Trefferzahl zu bekommen.
  • Sie kaufen Listen von Nummern, ähnlich wie E-Mail Spammer Listen mit Adressen kaufen. Dabei bestimmen Faktoren wie die Validität, die Herkunft, und eventuelles Zusatzwissen über den Besitzer den Preis für die digitale Ware.
  • Unter Umständen haben die Handybesitzer jedoch auch selbst dazu beigetragen, dass ihre Nummer in den Händen der Werber landet. Vielleicht haben sie in einer Mobile-App die Erlaubnis dazu gegeben, dass die Telefonnummer weitergegeben werden darf. Oder aber in einem Gewinnspiel (online oder offline) die Nummer preisgegeben.

Die "Gewinn-Webseite"

In unserem Fall wurde von der Webseite keinerlei Schadcode an den Besucher ausgeliefert - das Vorgehen wäre bei dieser Art von Geschäftsmodell auch eher unüblich. Trotzdem ist es niemals ausgeschlossen, dass die Anbieter mehrere Ziele gleichzeitig verfolgen.Die Benutzung des Links aus der SMS birgt für den Betreiber der Aktion Vorteile: er kann durch den Identifikator "g@117" schon eine Vorklassifizierung der Quelle vornehmen. Unter Umständen hat er Telefonnummern eines bestimmten Typs (gleiche Vorwahl? gleiche Quelle? gleicher PLZ-Bereich? ...) gruppiert und ihnen genau diese URL geschickt. Tatsächlich wird der Besucher auf der Seite von einem weiteren Angebot überrascht: Eine Art Glücksrad suggeriert, dass zu einem Rewe Gutschein gleich noch ein hochwertiger Preis hinzukäme: Ein iPhone 6S oder eine Apple Watch.

Das Glücksrad dreht sich - der Screenshot sieht daher verzerrt aus

Somit stiege der Wert des Gewinns auf 1.200 oder gar 1.500 Euro an. Während unserer Untersuchung sollten wir die Uhr bekommen. Auch wenn der Klick auf die Seite „gratis“ war, so ist es die ganze Aktion natürlich nicht - der Besucher muss bezahlen, mit seinen Daten. Wir werden aufgefordert, diese einzugeben.

"Dies ist ein Service der Telemark D.O.O." bekommen wir angezeigt. Diese Firma werden wir uns später genauer ansehen. Nach einem Klick auf "Gewinndaten eingeben" werden wir auf eine neue Hauptseite geleitet, den myquizplanet.de. 

Schritt 1 verlangt nach den ersten personenbezogenen Daten

Man solle vier Schritte durchgehen, um "die Teilnahme zu bestätigen"; nicht etwa, um den "gratis Einkauf" tätigen zu können, der uns versprochen wurde. Ein Banner "Aktion Kunden Bonus" prangt oben auf der Seite. Bisher war uns nicht bewusst, dass wir Kunden sind. Wir hatten uns doch als Gewinner gefühlt. Die einzigen Hinweise auf das Gewinnspiel finden sich in den zu bestätigenden Bedingungen und auf dem Bild links, in dem die „United Customer Services GmbH“ als "Veranstalter des Gewinnspiels" genannt wird. Dazu später mehr.

Darauf lassen sich "Teilnehmer" ein

"Im Falle eines Gewinns kann ich unter den oben angegeben Adressdaten kontaktiert werden. Und die United Customer Service GmbH sowie ihre Sponsoren und benannten Partner werden meine Angaben für Marktforschung, für Zielgruppen- und Kundenprofilanalysen, sowie für werbliche Angebote, die meinen erkennbaren Interessen entgegenkommen, aus unterschiedlichen Branchen und Organisationen (z.B. gemeinnützigen Organisationen) per E-Mail, Telefon, SMS und Brief verwenden. United Customer Service GmbH darf hierfür meine Angaben an Sponsoren und Partner weitergeben, die benannt sind und zu deren Fragen ich Angaben mache. Diese Unternehmen dürfen mir auch kostenlose Produktmuster zusenden. Ich kann auch ohne Einverständnis durch Sendung einer Postkarte mit dem Stichwort ‚myquizplanet‘ teilnehmen. Die Einwilligungen kann ich jederzeit widerrufen."

Hier wird auf den ersten Blick deutlich, dass der Benutzer seine Daten an mehr als nur eine Firma/Organisation gibt, sondern auch an eine lange Liste von Sponsoren und Partnern. Darunter finden sich uns eher unbekannte aber auch namhafte Firmen, wie etwa ein großer deutscher Pay-TV Sender oder ein renommierter Verlag. Dazu kommen noch einige „weitere Kooperationspartner“. Die personenbezogenen Daten und damit verknüpften Informationen sind für Unternehmen ganz sicher interessant. Doch eine quasi unkontrollierte Verbreitung der persönlichen Daten und damit einhergehend eine erwartete Flut von potentiell unerwünschten Nachrichten auf allen Kanälen ist vorprogrammiert. Abgefragt werden:

  • Geschlecht
  • Vorname und Nachname
  • E-Mail Adresse
  • Geburtstag, Geburtsmonat, Geburtsjahr
  • Straße und Hausnummer
  • Postleitzahl, Wohnort und Land
  • Festnetznummer
  • Mobilfunknummer

Weitere Daten werden eingefordert. Wir zweifeln, dass man zur Zusendung des Gewinns das Geburtsdatum der Person benötigt.

Und wer sich dachte, dass er doch nur den versprochenen Einkauf einlösen möchte, der täuscht sich - die Einwilligung in die Verbreitung der eigenen Daten ist erst Schritt 1 von 4 und ohne Zustimmung geht der Prozess nicht weiter. Nicht, dass wir wirklich daran glaubten, wir würden das "Glück bei der Ziehung" wirklich einlösen können...

Nur noch wenige Schritte bis zu...

Nachdem nun etliche persönliche Daten in den Pool des Veranstalters oder des Service-Anbieters, den Sponsoren, Partnern oder wem auch immer geflossen sind, werden wir nun auch noch nach unseren Präferenzen befragt. In Schritt 1 wurde dies als Zielgruppen- und Kundenprofilanalysen erwähnt. So kann die zukünftige Werbung selbstverständlich noch gezielter platziert werden und die Datensammler können für die detaillierteren Datensätze auch mehr Geld verlangen. Wir erwähnten einen Bezahlsender und zeigen im Screenshot eine Frage von insgesamt 23, dessen Antwort für diesen Partner/Sponsor besonders interessant ist: 

Die Zielgruppen- und Kundenprofilanalysen, der man in Schritt 1 zugestimmt hat

Ein Augenmerk möchten wir erneut auf die Wortwahl der Webseite richten: Stufe 3 ist gekennzeichnet als "Gratis Angebot". Wir fragen uns natürlich, was dieses Angebot ist. Dürfen wir gratis Fragen beantworten? Außerdem müssen in unsere E-Mail Adresse verifizieren (steigert den Wert der Adresse beim Weiterverkauf), um eine "erfolgreiche Teilnahme" zu haben und um den "Erhalt [des] GRATIS GESCHENKS" zu bestätigen. Was genau ist ein gratis Geschenk? Ob es sich dabei um den "gratis Einkauf" handelt? Die Beantwortung der Interessens-Fragen sichert uns die "Gewinnchance". Es wird immer verstrickter. Am Ende der Seite schicken wir unsere Antworten mit einem Klick auf "Gratis mitmachen" ab. An dieser Stelle ist nun gar keine Rede mehr von Gewinn.

Schritt 4: Fertig

Wir werden erneut aufgefordert, einen Link aus einer E-Mail aufzurufen, um die „Teilnahme an der Aktion“ zu bestätigen. Wir sollen doch im Spam-Ordner nachschauen, falls die Mail nicht ankommt. Diese Anmerkung wirkt inzwischen mehr als skurril; da hilft auch die Nennung eines potentiellen Mitarbeiternamens mit Danksagungen nicht.

Wir dürfen uns ein kleines Geschenk aussuchen

Das „gratis Geschenk“ ist nun zu einem „kleinen Geschenk“ geworden und besteht aus einem Gutschein aus dem „exklusiven Partnernetzwerk“ – alles wird groß mit den Worten „gratis“ beworben. Der Teilnehmer wird auf eine weitere Webseite geleitet: sovendus.com Selbstredend hat dies nicht im Geringsten etwas mit dem versprochenen Rewe-Gutschein oder gar dem Technik-Gadget zu tun, was uns noch immer auf der Webseite im Banner entgegenstrahlt. Wir gehen nicht davon aus, dass wir eine Chance darauf haben, das Lockangebot je in den Händen zu halten.

Das Gutscheinportal

Man beachte, dass allein der Klick auf einen Gutschein schon als Annahme der Nutzungsbedingungen, der Datenschutzerklärung und der Anerkennung der Informationen zur Profilbildung gilt! Auch hier stehen die Daten des Benutzers wohl hoch im Kurs. Auf seiner Homepage nimmt Sovendus konkret auf die Datenfrage Bezug und erläutert auch die Prüfung der Datensicherheit und des Datenschutzes durch die Firma Schutzwerk GmbH. Trotzdem stehen unsere Daten hier im Vordergrund – auch wenn hier augenscheinlich „geprüfter Datenschutz“ praktiziert wird, wie das Siegel suggeriert.

Im Hintergrund: ein undurchsichtiges, internationales Firmen-Netzwerk

Wir haben ein wenig hinter die Kulissen des Gewinnspiels geschaut und öffentlich verfügbare Informationen über die offensichtlich beteiligten Firmen eingeholt:

Schematische Darstellung der öffentlichen Informationen über beteiligte Firmen

Über all diese Firmen sind Informationen im WWW zu finden. Nicht selten beschweren sich Personen, die mit ihnen in Kontakt kamen und sich anschließend bei Verbraucherzentralen und in Anti-Spam-Foren Rat suchen.

Preise für die Datensammlung und den Datenverkauf

Das angedeutete Netz der beteiligten Firmen ist schon beachtlich dafür, dass es eigentlich nur um ein Gewinnspiel geht. Und alle Beteiligten haben natürlich ein Interesse daran, aus der Aktion Gewinn für sich zu ziehen. Wir haben auf einer „Partnerprogramm-Suchmaschine“ Angaben zum Verdienst gesehen, den ein Verbreiter der Aktion (der Publisher) für einen sogenannten Lead erhält. Für das Veröffentlichen eines „Rewe-Saturn Gewinnspiels“ von myquizplanet.de (dem Advertiser) und einen dazugehörigen Lead werden jeweils 1,90€ ausgeschüttet (Aktionsbeginn: Oktober 2015). Ein Publisher unterstützt einen Advertiser beim Online-Vertrieb seiner Waren und Dienstleistungen. Ein kompletter Datensatz eines Besuchers der Webseite könnte ein solcher Lead sein.

Lead: Bei einem Lead schließt sich an einen gültigen View, Click oder Call eine freiwillige und bewusste Ausführung einer bestimmten definierten Aktion auf der Webseite des Advertisers (qualifizierte Aktion) durch den User an. 

Der Adresshandel ist in Deutschland grundsätzlich nicht verboten. Es gibt verschiedene Anbieter, wie etwa Direktmarketingfirmen, die personenbezogene Daten nach Kriterien zusammengestellt verkaufen. Ein kurzer Test auf einer großen deutschen Plattform für Adresshandel zeigt: wir würden pro Zielgruppen-Adresssatz 0,24€ zahlen müssen (bezieht sich auf vollständige Anschrift, inkl. Briefanrede). Telefonnummern sind bei diesem Anbieter nur bei Firmenadressen verfügbar.

Adress-Kauf über einen Direktmarketing-Anbieter

Der Preis pro Adresse variiert stark. Vergleiche im Internet geben Preise von 0,12€ bis 1,60€. Zusatzinformationen würden natürlich auch hier extra berechnet werden, sofern sie verfügbar sind.

Laut Medienberichten verkaufen auch Behörden seit Jahren sogenannte Bürgerdaten:„Der Zugriff auf die Bürgerdaten ist gebührenpflichtig, die Preise sind bundesweit uneinheitlich: Das Bürgeramt Berlin kassiert fünf Euro pro Adresse, in München liegt der Preis pro Adressdatensatz bei 15 Euro. Der Eintrag in das amtliche öffentliche Verzeichnis unterliegt in Deutschland der Meldepflicht und beinhaltet Namen, Staatsangehörigkeit, Religionsgemeinschaft, gegenwärtige und frühere Adresse, Familienstand und Kinder. “Aktuell kostet z.B. eine einfache Melderegisterauskunft bei der Stadt Bochum 7€ und beinhaltet Vorname, Nachname, die Anschrift sowie die Angabe über einen Doktortitel. Eine erweiterte Auskunft schlägt mit 10€ zu Buche.

And the winner is… - ein kurzes Fazit

… ganz sicher nicht der Benutzer, der seine Daten eingegeben hat. Egal wie hoch die Gewinnchance für den ausgelobten Preis in der Realität auch ist, die Angabe zu so vielen persönlichen Daten in Verbindung mit Informationen über Vorlieben und Meinungen zu ausgewählten Themen sind ein hoher Preis. Die Konsequenzen der freiwilligen Datenweitergabe wiegen vom Wert her einen vermeintlichen Gewinn nicht auf. Daten und Informationen sind ein wertvolles Gut und sie können für allerlei Aktionen genutzt werden – sei es der Versand von (unerwünschter) Werbung, die Erstellung von Statistiken oder aber auch weniger legitime Dinge, wie etwa betrügerische Taten mit fremden Personendaten. Die Situation um den beschriebenen Gewinnspielfall ist undurchsichtig. Gewonnen haben wir zum aktuellen Zeitpunkt zumindest nicht und unsere Einkäufe zahlen wir weiterhin selbst. Auch wenn sich die beteiligten Firmen vermeintlich an alle Gesetze halten, sind viele Internetnutzer bei solchen Kampagnen verunsichert und lassen sich von den Versprechungen, großen Zahlen, Bildern und augenscheinlich hochwertigen Preisen allzu gerne verleiten, Dinge zu tun, die sie ohne die Aussicht auf ein Gewinnspiel vermutlich nicht tun würden. 

Darauf sollten Sie achten:

  • Unverhoffte Gewinnmeldungen, dazu von unbekannten Absendern, sollten Sie sehr kritisch beäugen und nicht in vorschneller Euphorie den Anweisungen folgen.
  • Bittet man Sie ausdrücklich um eine Einwilligung zur Verarbeitung und/oder Verbreitung Ihrer Daten, sollten sie sehr stark abwägen, ob Sie die Daten wirklich für diesen Zweck preisgeben wollen.
  • Geben Sie keine persönlichen Daten auf undurchsichtigen Gewinnspielseiten ein. Wie das Beispiel zeigt, sind es die zu erwartenden Folgen nicht annähernd wert.
  • Generell sollten Sie ihre persönlichen Daten nur sehr zurückhaltend im Internet und Apps preisgeben. Geben Sie immer nur die absolut notwendigen Daten an.
  • Lesen Sie das Kleingedruckte! Häufig enthalten diese Dokumente schon mehr oder minder eindeutige Informationen darüber, was mit den angefragten Daten tatsächlich passiert.
  • Es gibt ganz allgemein Betrugsmaschen, in denen wird vom potentiellen Gewinner eine Zahlung verlangt, die angebliche Zollgebühren, Transportkosten oder ähnlich fingierte Kosten abdecken soll (beispielsweise Nigeria-Scam). Man erhalte den Gewinn/das Erbe erst nach der Zahlung. Tätigen sie solche Zahlungen nicht, denn in aller Regel erhalten Sie trotzdem keinen Gewinn und die überwiesene Summe ist ebenfalls verloren. Auch von einer Angabe der eigenen Kontodaten raten wir dringend ab.
  • Klicken Sie die Links in den SMS oder Messenger-Nachrichten nicht an. 
    • Ihr Endgerät könnte durch präparierte Webseiten mit Schadcode infiziert werden.
    • Außerdem besteht ein potentielles Risiko von Abo-Fallen durch WAP-Bezahlverfahren oder ähnlichen Abo-Diensten. Hier kann eine sogenannte Drittanbietersperre beim eigenen Mobilfunkanbieter Abhilfe schaffen.
  • Das Sperren der Absendernummern auf dem eigenen Gerät hat in der Regel nur einen geringen bis gar keinen Effekt, da die Initiatoren diese Nummern ständig wechseln. Sie können die Nummern jedoch bei der Bundesnetzagentur melden, unter dem Punkt „Unverlangte SMS“.
  • Weitere Informationen zum Thema finden sich in der Broschüre des Landes NRW: „Adresshandel und unerwünschte Werbung

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein