Der Link, der lügt

Beitrag von ft

Datenschutz-Grundverordnung

Seit die EU Datenschutz-Grundverordnung anwendbar ist, müssen wir im Internet sehr oft die Bearbeitung unserer Personendaten zulassen. Sofern Sie nicht aufpassen, haben wir Zugang zu Ihren Mails!

Theoretisch wissen wir alle, dass das Anklicken von Links gefährlich sein kann. Das haben wir hier bereits erwähnt. Nun geht es aber nicht mehr nur um eine allgemeine Warnung, sondern um einen konkreten Anwendungsfall:

Sie erhalten einen Link, wo etwas wegen Cookies steht und gelangen dann zu den Hinweisen zum Datenschutz. Dort wird von Ihnen verlangt, dass Sie wegen der neuen EU DSGVO Ihr Einverständnis erteilen müssen. Man will von Ihnen, dass Sie auf "ZULASSEN" klicken. Falls Sie den Zugriff nicht zulassen, können Sie die Seite nicht weiter lesen oder erhalten den Newsletter nicht mehr. Der Hinweis auf den Datenschutz kann so aussehen:

Einverstanden

Klicken Sie im Original-Link vorschnell auf "ZULASSEN" (was hier selbstverständlich deaktiviert ist), geben Sie uns ungewollt alle aufgeführten Berechtigungen zu Ihrem Google-Mailkonto; und schon haben wir Zugriff auf Ihr Mailsystem. Das funktioniert wirklich!

Es kann sein, dass Sie davon gar nichts bemerken. Falls doch, werden Sie sich fragen, wie Sie den gefährlichen Inhalt der Meldung nur übersehen konnten. Sie erkennen, wie gefährlich die Macht der Gewohnheit sein kann. Es mag hart klingen, aber bei dieser neuen Gefahr handelt es sich nicht um eine Schwachstelle in einem Programm, sondern um eine Schwachstelle von Ihnen als Anwender, da Sie vorschnell Ihr Datenschutz-Einverständnis erklärt haben.

Schauen Sie also ganz genau hin, was Sie anklicken - sonst haben wir Ihren Mailzugang!

Für den technisch interessierten Leser: Der Exploit basiert auf dem Einsatz der Standard Programmierschnittstelle von Google (Google API). Hierbei werden diverse Berechtigungen in eine Standard-Einverständniserklärung eingebaut. Und schon können wir die neu erhaltenen Berechtigungen gegen Sie verwenden. Für einen gewieften Hacker sollte es kein Problem darstellen, innerhalb nur gerade einer Stunde eine solche Seite zu erstellen.

(Stand: 10.06.2018)