Phishing: So­ci­al-Me­dia-Ac­counts im Fokus von Hackern

So schützen Sie Ihre Online-Accounts vor Fremdzugriff.

© Canva

Mit gefälschten E-Mails oder Websites versuchen Cy­ber­kri­mi­nel­le persönliche Daten und insbesondere Login-Daten „abzufischen“ – und damit auch Zugang zu privaten So­ci­al-Me­dia-Ac­counts zu erlangen. Diese werden dann unter anderem dazu genutzt, strafbare Inhalte zu verbreiten oder um die rechtmäßigen Eigentümer zu erpressen.

So­ci­al-Me­dia-Ac­counts: Zugangsdaten bei Cy­ber­kri­mi­nel­len hoch im Kurs

Beim Thema Phishing denkt man zuerst an den Diebstahl persönlicher Daten und insbesondere an das Abschöpfen von Kreditkarten- oder Zugangsdaten zum On­line-Ban­king oder zum Mailpostfach.

Doch auch Social Me­dia-Ac­counts stehen zunehmend im Fokus von Hackern. Denn die Zugangsdaten lassen sich leicht zu Geld machen - sei es durch Verkauf, durch Betrug oder durch Erpressung des rechtmäßigen Ac­count­in­ha­bers. Ebenso ist auch in die Rufschädigung, bzw. eine Dis­kre­di­tie­rung der Betroffenen in der Öf­fent­lich­keit ein mögliches Motiv der Täter.

Da die Täter das Passwort meist direkt nach der Übernahme ändern, hat der eigentliche Besitzer oder die Besitzerin des So­ci­al-Me­dia-Kon­tos keine Möglichkeit mehr, selbst auf die Inhalte zuzugreifen. Wird außerdem die Methode zur Wie­der­her­stel­lung des Accounts geändert, kann das Passwort nicht mehr zurückgesetzt werden.

In vielen jüngeren Phi­shing-Fäl­len, die bei der Polizei gemeldet wurden, wurden die gekaperten Accounts für die Verbreitung von verbotenen Inhalten genutzt - auf Facebook zuletzt z. B. immer wieder für die Verbreitung von Kin­der­por­no­gra­fie bzw. Darstellungen se­xua­li­sier­ter Gewalt an Kindern.

 

So sichern Sie Ihre So­ci­al-Me­dia-Ac­counts gegen Hacking

  • Prüfen Sie Mails auf Echtheit und folgen Sie keinen darin enthaltenen Links. Geben Sie keine Login-Daten ein.
  • Nutzen Sie starke, für jeden Account individuelle Passwörter und aktivieren Sie die Zwei-Fak­tor-Au­then­ti­sie­rung (2FA), bei Instagram und Facebook auch „Zweistufige Au­then­ti­fi­zie­rung“ genannt.
  • Sichern Sie den Zugriff auf Ihre Geräte z.B. mit einer PIN oder einem Passwort und prüfen Sie die App-Be­rech­ti­gun­gen in den Ge­rä­te­ein­stel­lun­gen.
  • Seien Sie sparsam bei der Ver­öf­fent­li­chung privater Daten (Setzen Sie Ihr Profil auf "privat").
  • Führen Sie zusätzlich vom Anbieter angebotene Si­cher­heits­checks durch, um mit den Empfehlungen die Sicherheit Ihres Kontos zu erhöhen. Diese finden Sie in der Regel ebenfalls in den Si­cher­heits­ein­stel­lun­gen.
  • Halten Sie ihr Passwort geheim. Geben Sie insbesondere nie einen Sicherheits- bzw. Einmalcode z.B. für die Zwei-Fak­tor-Au­then­ti­fi­zie­rung weiter.

Weitere Tipps für den Ernstfall, wenn Sie Opfer von Phishing geworden sind, finden Sie in der Checkliste des BSI und des ProPK.

Checkliste Phishing

Sichere Passwörter erstellen

 

Infos des BSI zu Si­cher­heits­ein­stel­lun­gen bei Facebook, Twitter, Instagram, WhatsApp & TikTok

Social Media Account sichern

Basis-Schutz für Social Media

Erste Hilfe: Wenn das Konto gehackt wurde

 

Mails auf Echtheit prüfen

Täuschend echt aussehende Phi­shing-Mails im Namen von Netzwerken, wie Instagram oder Facebook machen immer wieder die Runde - deren Echtheit können Sie leicht prüfen und mit unseren Tipps Ihr Profil gegen Angriffe sichern.

Zuallererst gilt: Lassen Sie sich unter keinen Umständen unter Druck setzen!

Bevor Sie einen Link in der Mail öffnen, prüfen Sie die Mail auf Echtheit:

Bei Instagram

Bei Facebook

  • Öffnen Sie die „Sicherheits- und Log­in-Ein­stel­lun­gen“ und navigieren Sie weiter zu „Einstellungen und Privatsphäre“. Wählen Sie dort „Einstellungen“.
  • Klicke auf Sicherheit und Login.
  • Scrollen Sie nach unten wählen Sie „Aktuelle E-Mails von Facebook ansehen“.

 

Fragen und Antworten zu Ac­count-Hacking

Was sind die Motive hinter solchen Taten?

Hinter Phi­shing-At­ta­cken stecken häufig finanzielle Motive. Login-Daten werden verkauft, in be­trü­ge­ri­scher Absicht wei­ter­ver­wen­det oder für Er­pres­sungs­ver­su­che genutzt. Ebenso kann auch die Rufschädigung, bzw. eine Dis­kre­di­tie­rung der Betroffenen Personen oder Gruppen in der Öf­fent­lich­keit ein Motiv der Täter sein.

 

Wie gehen die Betrüger vor?

Am häufigsten setzen die Betrüger auf Phi­shing-Mails, um an die Zugangsdaten zu gelangen, da viele Platt­form­be­trei­ber Nutzende aus­schlie­ß­lich per Mail kontaktieren. In den täuschend echt aussehenden Mails werden Empfänger mit Verweis auf einen angeblichen Verstoß gegen die Richtlinien der Plattform – etwa ein Verstoß gegen Urheberrechte oder die Verbreitung von strafbaren Inhalten – dazu aufgefordert, einem Link zu einer Webseite zu folgen, um dort ihre Daten einzugeben und Stellung zum Vorfall zu nehmen. Dabei wird bewusst Hand­lungs­druck aufgebaut, zum einen durch den vor­ge­täusch­ten Verstoß und zum anderen durch die Drohung, das Profil werde zeitnah gelöscht, würde man der Aufforderung nicht nachkommen.

 

Was sind die möglichen Folgen eines Account-Hacks?

Da die Täter das Passwort meist direkt nach der Übernahme ändern, hat der eigentliche Besitzer oder die Besitzerin des So­ci­al-Me­dia-Kon­tos keine Möglichkeit mehr, selbst auf die Inhalte zuzugreifen. Wird außerdem die Methode zur Wie­der­her­stel­lung des Accounts geändert, kann das Passwort nicht mehr zurückgesetzt werden.

In vielen jüngeren Phi­shing-Fäl­len, die bei der Polizei gemeldet werden, werden die gekaperten Accounts für die Verbreitung von verbotenen Inhalten genutzt. Auf Facebook aktuell besonders für die Verbreitung von Kin­der­por­no­gra­fie bzw. von Darstellungen se­xua­li­sier­ter Gewalt an Kindern.

Für die Besitzer der Accounts drohen im schlimmsten Fall straf­recht­li­che Konsequenzen. Denn Verbreitung von Kin­der­por­no­gra­fie ist weltweit strafbar.

 

Was tun, wenn Sie glauben von Phishing betroffen zu sein?

  • Erstatten Sie in jedem Fall Anzeige bei Ihrer örtlichen Po­li­zei­dienst­stel­le – auch bei einem vagen Verdacht. Als Opfer von In­ter­net­kri­mi­na­li­tät haben Sie die gleichen Rechte wie Opfer anderer Straftaten auch.
  • Führen Sie Ak­tua­li­sie­run­gen von Software und Be­triebs­sys­te­men auf allen Geräten immer sofort durch und installieren Sie An­ti­vi­ren­pro­gram­me.
  • Seien Sie skeptisch bei E-Mails unbekannter Absender. Ihre Bank, Diens­te­an­bie­ter oder Behörden bitten niemals per E-Mail darum, persönliche Daten wie Passwörter über einen Link zu ändern.
  • Bei Zweifeln lassen Sie sich die Echtheit einer E-Mail vom Absender telefonisch bestätigen. Nutzen Sie dafür nicht die Telefonnummer aus der E-Mail, sondern suchen Sie diese immer selbst heraus!
  • Vorsicht bei Anhängen mit Formaten wie .exe oder .scr. Diese können Schadsoftware direkt auf Ihr Gerät laden. Manchmal werden Nutzer oder Nutzerinnen auch durch Dop­pelen­dun­gen wie Dokument .​pdf.​exe in die Irre geführt. Blockieren Sie die Ausführung von Makros.
  • Verwenden Sie für die diversen Ac­count-Zu­gän­ge möglichst eine Zwei-Fak­tor-Au­then­ti­sie­rung. Durch die zweite Stufe der Iden­ti­fi­zie­rung können Kriminelle selbst dann nicht auf Ihre Daten zugreifen, wenn sie bereits Ihr Passwort erbeutet haben.

Sicher durch Social-Media

 

Laden Sie sich unser passendes kostenloses Social Media Paket

On­line-Ac­counts schützen