Charity-Scam: Tue Gutes und… lass Dich nicht reinlegen!

19.12.2013
G DATA Blog

In der Weihnachtszeit nimmt die Dichte der Spendenaufrufe traditionell zu – im TV, im Web, in Zeitungen und auf Plakaten in den Städten – und die Aufgerufenen lassen sich besonders zum Fest der Liebe dazu hinreißen, caritativen Zwecken Geld- und Sachspenden zukommen zu lassen. Die Experten der G Data Software AG warnen jedoch davor vorschnell zu handeln und rät dazu am besten genau hinzusehen!

Besonderes Augenmerk bei diesem heutigen Hinweis erhält der weltweit bekannte Online-Dienst AOL. Der amerikanische Internetriese legt großen Wert auf Unternehmensverantwortung und beschreibt viele der geleisteten Projekte auf einer eigens dafür eingerichteten Webseite. Eine Einrichtung, die AOL seit 2007 besonders am Herz liegt, ist das St. Jude Children’s Research Hospital. Neben den Berichten über die durchgeführten Aktionen zu Gunsten des Krankenhauses schaltet das Unternehmen auch Anzeigen, um weitere Spenden zu generieren. Eine solche Anzeige sieht zum Beispiel so aus:

Nach einem Klick auf „Donate now“, also „Spenden Sie jetzt“, wird der Webseitenbesucher zum St. Jude Onlineshop geleitet, wo Spenden mit verschiedenen Zahlungsmitteln abgewickelt werden können.

Die Masche der Betrüger

Die Betrüger haben es im aktuellen Fall nicht auf die Zahlungsdaten von willigen Spendern abgesehen, sondern auf die AOL Log-In Daten. Sie erstellen eine Webseite, die nahezu eine Kopie des Originals ist, fügen ein gefälschtes AOL-Log-In Formular ein und lassen sich alle dort eingegebenen Daten schicken. Das aktuelle Beispiel wurde von den Angreifern auf einem französischen Wordpress Blog abgelegt, sehr wahrscheinlich ohne das Wissen des Blog-Betreibers:

Gelangen die Cyberdiebe an die Zugangsdaten der AOL-Konten, stehen ihnen vielfältige Möglichkeiten zur Verfügung. Sie können zum Beispiel die Webdienste des Services mit den fremden Daten für Spam-Versand missbrauchen oder auch die Log-In Daten und hinterlegten persönlichen Daten im Untergrund verkaufen. So oder so, das Phishing-Opfer wird zum schwarzen Schaf.

Tipps & Tricks gegen Phishing und zum Spenden

  • Geben Sie Adressen von Webseiten mit Benutzeranmeldung manuell ein oder benutzen Sie die Lesezeichenfunktion Ihres Browsers.
  1. Achten Sie beim Eingeben besonders darauf, Tippfehler zu vermeiden. Angreifer rechnen damit und registrieren Tippfehler-Domains für ihre Zwecke.
  • Verwenden Sie bei der Anmeldung komplexe Passwörter und benutzen Sie für jeden Service ein eigenes Passwort.
  • Seien Sie misstrauisch bei E-Mails von fremden Absendern.
  1. Klicken Sie keine Links an – auf den hinterlegten Webseiten können Angriffe durch Schadprogram me oder Phishing-Fallen lauern.
  • Vertrauenswürdige Unternehmen und Institute werden Sie niemals nach Zugangsdaten oder persönlichen Informationen per E-Mail fragen.
  • Vertrauen Sie auf Webseiten nicht blind auf Ankündigungen wie „die Spende geht garantiert direkt an die Bedürftigen“ und ähnlichen Lock-Phrasen. Schauen Sie sich ganz genau an, wer hinter der Webseite steht. Ist es ein seriöses Unternehmen/eine seriöse Organisation?
  • Zeigt sich die Organisation, die zur Spende aufruft seriös und transparent? Gibt es Kontaktadressen, Ansprechpartner, Finanzberichte, können Sie Informationen einholen? Ist die Organisation vielleicht sogar als gemeinnützig anerkannt?
  • Orientieren Sie sich zum Beispiel an Qualitätssiegeln des Deutschen Zentralinstituts für soziale Fragen (DZI). Nicht jeder seriöse Spender beantragt ein Siegel oder Zertifikat, aber die, die ein solches haben, wurden durch unabhängige Stellen überprüft. Die Überprüfungsmethoden zur Vergabe der Auszeichnungen variieren jedoch.
  • Achten Sie beim Online-Spenden, genau wie beim Online-Shopping, auf die Sicherheitsmerkmale, die in modernen Browsern auf unterschiedliche Art angezeigt werden:
  1. Die Anzeige der korrekten Webadresse und dazugehöriger Top-Level Domain.
  2. Die Abkürzung „https“ vor der eingegebenen Adresse.
  3. Die grün hinterlegte Adresszeile in vielen modernen Browsern.
  4. Die Gültigkeit eines Zertifikats, in vielen Browsern durch ein Vorhängeschloss gekennzeichnet.

Die besten Beiträge per E-Mail

  • Aktuelle Beiträge
  • Jederzeit kündbar