Optus, Australiens zweitgrößtes Telekommunikationsunternehmen, gab am 22. September bekannt, dass die Identifikationsdaten von bis zu 9,8 Millionen Kunden aus seiner Kundendatenbank gestohlen wurden.
Die Details, die bis ins Jahr 2017 zurückreichen, umfassen Namen, Geburtsdaten, Telefonnummern, E-Mail-Adressen und – für einige Kunden – Adressen und Führerschein- oder Reisepassnummern.
Nach australischem Recht sind Telekommunikationsanbieter verpflichtet, Ihre Daten zu speichern, solange Sie ihr Kunde sind, und für weitere zwei Jahre, können die Daten jedoch für ihre eigenen Geschäftszwecke länger aufbewahren.
Dies bedeutet, dass Ihre Daten auch betroffen sein können, wenn Sie ein früherer Kunde von Optus sind – obwohl unklar bleibt, wie lange die Daten früherer Kunden gespeichert wurden.
Die gestohlenen Daten stellen eine fast vollständige Sammlung von Identitätsinformationen über eine beträchtliche Anzahl von Australiern dar. Optus gibt an, die Betroffenen benachrichtigt zu haben, aber es bleiben noch viele Fragen offen.
Was passiert als nächstes mit Ihren Daten und was kann der durchschnittliche Australier tun, um sich vor den Bedrohungen zu schützen, die durch diese beispiellose Datenschutzverletzung verursacht werden?
Was passiert mit den Daten?
Ende letzter Woche veröffentlichte ein anonymer Poster in einem Dark-Web-Forum eine Stichprobe von Daten, die angeblich von der Verletzung stammen, mit dem Angebot, die Daten nicht zu verkaufen, wenn Optus ein Lösegeld von 1 Million US-Dollar zahlt.
Obwohl seine Legitimität noch nicht verifiziert wurde, ist es unwahrscheinlich, dass die Angreifer die Daten löschen und weitermachen.
Wahrscheinlicher ist, dass die Daten über das Darknet verteilt werden (zunächst verkauft, aber schließlich kostenlos verfügbar). Cyberkriminelle verwenden diese Daten, um Identitätsdiebstahl und betrügerische Kreditanträge zu begehen, oder verwenden die persönlichen Informationen, um Ihr Vertrauen bei Phishing-Angriffen zu gewinnen.
Im Folgenden skizzieren wir mehrere Schritte, die Sie unternehmen können, um sich proaktiv zu verteidigen, und wie Sie böswillige Verwendungen Ihrer Daten und Identität erkennen und darauf reagieren können.
Was soll ich tun, wenn ich betroffen bin?
Schritt 1: Identifizieren Sie Ihre am stärksten gefährdeten Konten und sichern Sie sie
Erstellen Sie eine Liste Ihrer am stärksten gefährdeten Konten.
- Welche Bankkonten haben Sie?
- Was ist mit Renten- oder Maklerkonten?
- Haben Sie wichtige medizinische Informationen über Dienstleistungen, die Diebe gegen Sie verwenden könnten?
- Auf welchen Konten werden Ihre Kreditkartendaten gespeichert?
Amazon und eBay sind häufige Ziele, da die Leute oft Kreditkartendaten auf diesen Konten speichern.
Überprüfen Sie als Nächstes, wie ein Passwort-Reset für diese Konten durchgeführt wird.
Benötigt es lediglich Zugriff auf Ihre Textnachrichten oder Ihr E-Mail-Konto? Wenn dies der Fall ist, müssen Sie diese Konten ebenfalls schützen. Erwägen Sie vorsichtshalber, Ihr Passwort für jedes Konto auf ein neues – noch nie zuvor verwendetes – Passwort zu aktualisieren.
Viele Konten ermöglichen eine Multi-Faktor-Authentifizierung. Dies fügt eine zusätzliche Ebene hinzu, die Kriminelle durchbrechen können, indem sie beispielsweise einen zusätzlichen Code zur Eingabe anfordern.
Aktivieren Sie die Multi-Faktor-Authentifizierung für Ihre sensiblen Konten wie Banken, Pensions- und Maklerkonten.
Verwenden Sie im Idealfall eine Anwendung wie Google Authenticator oder Microsoft Authenticator, wenn der Dienst dies zulässt, oder eine E-Mail-Adresse, die nicht bei Optus aufgeführt ist.
Vermeiden Sie es, Codes an Ihre Optus-Telefonnummer zu senden, da diese einem höheren Diebstahlrisiko ausgesetzt sind.
Schritt 2: Sperren Sie wenn möglich Ihre SIM-Karte und Kreditkarte
Eines der unmittelbarsten Bedenken wird die Verwendung der durchgesickerten Daten sein, um Ihre Telefonnummer zu kompromittieren, die viele Menschen für ihre Multi-Faktor-Authentifizierung verwenden.
SIM-Jacking – einen Mobilfunkanbieter dazu zu bringen, Zugriff auf eine Telefonnummer zu gewähren, die ihm nicht gehört – wird eine ernsthafte Bedrohung darstellen.
Bei den meisten Netzbetreibern können Sie als zweiten Verifizierungsschritt eine verbale PIN hinzufügen, um SIM-Jacking zu verhindern.
Während Optus SIM-Karten vorübergehend gesperrt hat, ist es unwahrscheinlich, dass diese Sperre anhält. Rufen Sie Ihren Anbieter an und fragen Sie nach einer verbalen PIN, die Ihrem Konto hinzugefügt wird.
Wenn Sie unter ungewöhnlichen Umständen plötzlich alle Mobilfunkdienste verlieren, wenden Sie sich an Ihren Anbieter, um sicherzustellen, dass Sie nicht mit SIM-Jacking belegt sind.
Um Identitätsdiebstahl vorzubeugen, können Sie Ihre Bonitätsprüfungen kurzfristig sperren (bzw. sperren). Diese können helfen, Kriminelle davon abzuhalten, in Ihrem Namen einen Kredit aufzunehmen, erschweren es jedoch, während des Einfrierens selbst einen Kredit zu beantragen.
Die drei großen Kreditauskunfteien Experian, Illion und Equifax bieten diesen Service an.
Wenn Sie Ihr Guthaben nicht einfrieren können, weil Sie selbst Zugriff benötigen, bietet Equifax einen kostenpflichtigen Kreditwarndienst an, um Sie über Kreditprüfungen Ihrer Identität zu informieren. Wenn Sie eine verdächtige Kreditwarnung erhalten, können Sie den Vorgang schnell anhalten, indem Sie sich an den Dienst wenden, der die Meldung angefordert hat.
Schritt 3: Verbessern Sie Ihre Cyberhygiene
Diese Brüche existieren nicht in einem Vakuum. Die von Optus gestohlenen persönlichen Daten können mit anderen Informationen verwendet werden, die Cyberkriminelle online über Sie finden; Soziale Medien, die Website Ihres Arbeitgebers, Diskussionsforen und frühere Verstöße liefern zusätzliche Informationen.
Viele Menschen sind in der Vergangenheit unwissentlich Opfer von Cyberangriffen geworden.
Sie sollten überprüfen, welche Informationen über Sie Cyberkriminellen zur Verfügung stehen, indem Sie HaveIBeenPwned überprüfen.
HaveIBeenPwned wird von dem australischen Sicherheitsexperten Troy Hunt betrieben, der eine Datenbank mit bekanntermaßen durchgesickerten Daten unterhält.
Sie können Ihre E-Mail-Konten auf der Website durchsuchen, um eine Liste der Verstöße zu erhalten, an denen sie beteiligt waren. Überlegen Sie, welche Passwörter diese Konten verwendet haben. Verwenden Sie diese Passwörter woanders?
Seien Sie besonders vorsichtig bei der Überprüfung von E-Mails und Textnachrichten. Betrüger verwenden durchgesickerte Informationen, um Phishing-Versuche glaubwürdiger und zielgerichteter zu machen. Klicken Sie niemals auf per SMS oder E-Mail gesendete Links. Gehen Sie nicht davon aus, dass jemand, der von einem Unternehmen anruft, legitim ist, rufen Sie die Kundensupportnummer von deren Website ab und rufen Sie sie unter dieser Nummer an.
Das Erstellen eindeutiger und sicherer Passwörter für jeden Dienst ist die beste Verteidigung, die Sie haben. Mit einem Passwort-Manager – es gibt viele kostenlose Apps – wird die Verwaltung Ihrer Passwörter erleichtert.
Verwenden Sie Passwörter nicht über mehrere Dienste hinweg, da sie für den Zugriff auf andere Konten verwendet werden können.
Wenn Sie keinen Passwort-Manager verwenden, sollten Sie zumindest eindeutige Passwörter für Ihre am stärksten gefährdeten Konten aufbewahren und vermeiden, digitale Aufzeichnungen davon in E-Mails oder Computerdateien aufzubewahren, während Sie alle schriftlichen Passwörter an einem sicheren Ort aufbewahren.
Ich wurde gehackt, was nun?
Manchmal kann man alles richtig machen und trotzdem Opfer eines Datenlecks werden.
Woher wissen Sie also, ob Sie gehackt wurden und was können Sie dagegen tun?
Wenn Sie Anrufe, E-Mails oder Briefe von Finanzinstituten bezüglich eines Darlehens oder einer Dienstleistung erhalten, von der Sie nichts wissen, rufen Sie das Institut an und klären Sie die Situation.
Sie sollten sich auch an IDCare wenden, eine gemeinnützige Organisation zur Unterstützung von Opfern von Cyberangriffen und Identitätsdiebstahl, um weitere Informationen zu erhalten. Sie können auch Cyberkriminalität – einschließlich Identitätsdiebstahl – über CyberReport melden.
Jennifer J. Williams ist derzeit Doktorandin an der Abteilung für Sicherheitsstudien und Kriminologie der Macquarie University.
Jeffrey Foster ist außerordentlicher Professor für Cyber Security Studies an der Macquarie University.
Tamara Watson ist außerordentliche Professorin für Psychologie an der Western Sydney University.
Ursprünglich veröffentlicht in The Conversation.
.