Was ist Phishing in Social Media?

Unter Phishing in Social Media versteht man einen Angriff, der über Plattformen wie Instagram, LinkedIn, Facebook oder X erfolgt. Ziel eines solchen Angriffs ist es, personenbezogene Daten abzufangen oder die Kontrolle über Ihr Social-Media-Konto zu erlangen.

Social Media sind inzwischen so allgegenwärtig wie die Atemluft. Facebook, Instagram, Twitter (jetzt X) und viele andere Plattformen dienen Nutzern dazu, mit Freunden und Familie in Kontakt zu bleiben, sich über Neuigkeiten zu informieren, sich zu verabreden und mit der Welt zu vernetzen.

Unternehmen nutzen Social Media unter anderem dafür, Kunden über die neuesten Produktangebote und Veranstaltungen zu informieren, Marketing zu betreiben und neue Kunden zu gewinnen. Daher ist Social Media eine attraktive Anlaufstelle für Betrüger, die Phishing-Angriffe durchführen. Mit Tools wie Hidden Eye oder ShellPhish muss bei dieser Art von Phishing-Angriffen lediglich eine Anwendung ausgeführt werden.

Die von den Hackern gesammelten Informationen umfassen Anmeldedaten für Social Media, Kreditkarteninformationen und persönliche Daten über Sie, die dann für weitere Betrügereien und Angriffe verwendet werden können.

Instagram-Phishing

Instagram ist eine beliebte Plattform für das Teilen von Fotos und Nachrichten. Instagrammer weltweit nutzen diese Plattform als eine Art Videotagebuch, um alltägliche Aktivitäten und Momente zu teilen.

Ein Phishing-Angriff auf Instagram beginnt damit, dass ein Hacker eine gefälschte Instagram-Anmeldeseite erstellt. Um Sie zu täuschen, werden diese Scheinseiten so gestaltet, dass sie der echten Internetseite so ähnlich sehen wie möglich. Wenn Sie eine Instagram-Anwenderkennung und ein Passwort auf der gefälschten Seite eingeben, erfasst der Angreifer Ihre Anmeldedaten. In der Regel werden Sie dabei zur Anmeldung auf die reale Instagram-Anmeldeseite weitergeleitet, aber der Schaden ist bereits angerichtet. Mit Ihren Instagram-Anmeldedaten hat der Angreifer vollen Zugriff auf Ihr Konto.

Wenn Sie dieselben Anmeldeinformationen für andere Social-Media-Seiten oder, noch schlimmer, für Ihr Bankkonto verwenden, kann der Angreifer auch auf diese Konten zugreifen.

Sobald der Hacker Zugriff auf Ihr Instagram-Konto hat, kann er es nutzen, um Sie auszuspionieren. Der Hacker kann sich auch als der legitime Anwender ausgeben und persönliche Informationen von Ihren Freunden und Abonnenten anfordern. Natürlich verwischt der Hacker alle Spuren, indem er die betrügerischen Nachrichten löscht.

Im nächsten Schritt kann der Angreifer das Instagram-Konto vollständig übernehmen. Der Hacker kann Ihre persönlichen Daten und Einstellungen und sogar Ihr Passwort ändern. Sie werden dadurch aus Ihrem eigenen Konto ausgesperrt.

LinkedIn-Phishing

LinkedIn ist die weltweit meistgenutzte Plattform für berufliches Networking. Hacker senden E-Mails, LinkedIn-Nachrichten und Links an Sie und versuchen, Sie dazu zu bringen, vertrauliche Informationen, Kreditkartendaten, persönliche Informationen und Anmeldedaten preiszugeben. Der Betrüger kann sich in Ihr LinkedIn-Konto hacken, sich als Sie ausgeben und Phishing-Nachrichten an Ihre Kontakte senden, um personenbezogene Daten zu sammeln.

Es ist auch möglich, dass der Hacker E-Mails verschickt, die scheinbar direkt von LinkedIn stammen. Dies ist möglich, da die offizielle LinkedIn-Internetseite mehrere echte E-Mail-Domänen hat, darunter linkedin@e.linkedin.com und linkedin@el.linkedin.com. Es ist schwierig, die authentischen Domänen von den gefälschten zu unterscheiden, die der Angreifer möglicherweise verwendet.

Facebook-Phishing

Facebook wurde in den frühen 2000er-Jahren gegründet und ist mit über 2,9 Milliarden weltweit aktiven Anwendern die führende moderne Social-Media-Plattform. Internetseiten wie Friendster und MySpace waren zwar Vorläufer, aber Facebook hat den Grundstein dafür gelegt, wie Menschen und Unternehmen mit Freunden, Familie und Kunden in Verbindung bleiben.

Ein typischer Phishing-Angriff über Facebook erfolgt über eine Nachricht oder einen Link, durch den Sie aufgefordert werden, Ihre persönlichen Daten anzugeben oder zu bestätigen. In einem Facebook-Beitrag oder über die Facebook-Messenger-Plattform ist es oft schwierig, die seriöse Nachricht eines potenziellen Freundes von einem Phishing-Versuch zu unterscheiden.

Die bei einem Facebook-Phishing-Versuch gesammelten Informationen liefern den Angreifern die Informationen, die sie benötigen, um Zugang zu Ihrem Facebook-Konto zu erhalten. Sie erhalten beispielsweise eine Nachricht, in der Sie darüber informiert werden, dass es ein Problem mit Ihrem Facebook-Konto gibt und dass Sie sich anmelden müssen, um das Problem zu beheben.

Diese Nachrichten enthalten einen praktischen Link, dem Sie folgen können und der Sie zu einer Facebook-ähnlichen Seite führt. Sobald Sie auf dieser gefälschten Internetseite landen, werden Sie aufgefordert, sich anzumelden. Von dort aus kann der Hacker Ihre Anmeldedaten abgreifen. Achten Sie genau auf die URL, um sicher zu sein, dass Sie zu www.facebook.com weitergeleitet werden. Alles andere ist wahrscheinlich gefälscht.

X-Phishing

Während Facebook als Möglichkeit vermarktet wird, mit Freunden und Familie in Verbindung zu bleiben, und LinkedIn als Möglichkeit für Berufstätige, Kontakte zu knüpfen, bietet X die Möglichkeit, mit Menschen zu interagieren, die man in der realen Welt nicht kennt. Dieses Maß an Vertrauen, das die Anwender bei der Interaktion mit Fremden entwickeln, hat X zu einer beliebten Plattform für Phishing-Angriffe gemacht.

Hacker, die Angriffe auf X starten, nutzen die gleichen Phishing-Taktiken und -Methoden wie auf anderen Social-Media-Plattformen. Ein Betrüger verschickt gefälschte Nachrichten, die angeblich von X gesendet wurden. Diese Nachrichten sollen Sie dazu bewegen, sensible Informationen preiszugeben, etwa Anmeldeinformationen, persönliche Daten und sogar Kreditkartendaten. X hat klargestellt, dass E-Mails an Anwender nur von zwei Domains aus verschickt werden: @x.com oder @e.x.com.

Diese Phishing-Angriffe können zu anderen, damit zusammenhängenden Angriffen führen, z. B. dem „Pay for Followers“-Angriff. Bei dieser Phishing-Methode erhalten Sie Nachrichten von Hackern, die vorgeben, Ihnen für den geringen Preis von fünf Dollar eine bestimmte Anzahl von Abonnenten zu verschaffen. Wenn Sie Ihre persönlichen Daten und Ihre Kreditkartennummer angeben, können Hacker Geld von Ihrem Konto abbuchen und/oder sich bei Ihrem X-Konto anmelden und den Betrug mit Ihrer Liste von Abonnenten fortsetzen.

Weiterführende Artikel

Weiterführende Forschung