Onderzoekers van Redscan hebben deze maand een nieuwe trend onder internetoplichters ontdekt. Zij gebruiken GDPR-compliance e-mails als dekmantel voor phishing-aanvallen. Kwaadwillenden doen zich voor als bekende bedrijven en gebruiken de GDPR-wetgeving om persoonlijke gegevens te stelen.

In de nepmails met waarschuwingen over de aankomende wijzigingen in privacyinstellingen proberen ze malware te verspreiden of persoonlijke gegevens te stelen. Redscan kwam deze door GDPR geïnspireerde oplichterij tegen in een e-mail, vermomd als Airbnb’s klantenondersteuning, waarbij de ontvangers werden gevraagd hun persoonlijke informatie bij te werken om de service te blijven gebruiken. Deze techniek is bijzonder opportunistisch en maakt gebruik van het groeiende besef van urgentie bij bedrijven en de vele e-mails die zij naar klanten versturen om binnen minder dan een maand te voldoen aan GDPR.

Gegevensbescherming

Veel bedrijven die routinematig omgaan met persoonlijke gegevens, waaronder Airbnb, zijn bezig met het voldoen aan de vereisten die zijn vastgelegd in de nieuwe reeks gegevensverordeningen, waarbij velen contact opnemen met klanten om deze te informeren over de bijgewerkte servicevoorwaarden en veranderingen in het privacybeleid. “De ironie zal niemand ontgaan dat cybercriminelen de komst van nieuwe gegevensbeschermingsregels misbruiken om de gegevens van mensen te stelen,” zei Mark Nicholls, directeur cyberbeveiliging bij Redscan. Hij geeft aan dat het moeilijk is om de omvang van dergelijke oplichting in te schatten.

In een valse e-mail die door oplichters is verzonden met het adres ‘important@mail.airbnb.work’ konden ontvangers lezen dat ze op Airbnb geen nieuwe boekingen konden accepteren of geen berichten konden verzenden totdat zij het nieuwe privacybeleid van het bedrijf accepteren. In de e-mail staat dat de update verplicht is vanwege de nieuwe wijzigingen in de EU Digital Privacy-wetgeving die van toepassing is op in de Verenigde Staten gevestigde bedrijven, om Europese burgers en bedrijven te beschermen.

Airbnb is inmiddels op de hoogte dat klanten phishing e-mails kunnen ontvangen. “Deze e-mails zijn een schaamteloze poging om ons vertrouwde merk te gebruiken om gebruikersgegevens te stelen en dit heeft niets met Airbnb te maken”, aldus het bedrijf in een verklaring aan IT Pro. De online marktplaats voor de verhuur en boekingen van overnachtingen roept iedereen op die een verdachte e-mail heeft ontvangen dit te melden bij het bedrijf.