Aktuelle Studie: 8 neue Phishing-Angriffe in sozialen Medien

Hier erfahren Sie, worauf Sie zum Schutz Ihrer Informationen achten sollten.

Nutzen Sie soziale Netzwerke? Sie könnten zum Ziel von Phishing-Angriffen werden, die darauf abzielen, Ihre privaten Daten abzugreifen.

Dies ist eine der Erkenntnisse einer neuen Studie von Norton Labs. Das Labs-Team analysierte ein ganzes Jahr lang Phishing-Angriffe auf Social-Media-Websites, darunter Facebook, Instagram, TikTok, Twitter, LinkedIn und Snapchat.

Hier einige zentrale Ergebnisse der Studie:

• Bei Phishing-Kampagnen, die auf soziale Medien abzielen, werden verschiedene Vorwände vorgeschoben, um die Nutzer in die Falle zu locken.
• Facebook ist das häufigste Ziel: Bei knapp drei Viertel der Phishing-Websites handelt es sich um Nachahmungen dieser Plattform.
• Social-Media-Angriffe werden zunehmend raffinierter: Spezielle Tools sorgen dafür, dass sie immer glaubhafter werden und immer leichter durchzuführen sind.

Weiter unten werden wir die einzelnen Betrugsmaschen anhand von Beispielen genauer unter die Lupe nehmen, doch erst einmal wollen wir uns die Gründe für die Angriffe ansehen.

Warum nehmen Betrüger gerade soziale Medien ins Visier?

Soziale Medien verbinden Menschen in aller Welt miteinander. Viele von uns verwenden Plattformen wie Facebook, Instagram, TikTok, Twitter, LinkedIn und Snapchat, um mit Freunden und Kollegen in Kontakt zu bleiben, aber auch, um Nachrichten abzurufen, Produkte zu kaufen, eine Anstellung zu finden, Videos anzusehen und vieles mehr. 

Weltweit nutzen Milliarden von Menschen soziale Medien. Dabei geben sie viel von sich preis: z. B. wo sie leben, was ihnen gefällt, wofür sie sich interessieren und mit wem sie Kontakt pflegen. Durch diese Informationen gelangen die Plattformbetreiber an Daten, die Werbetreibende wirkungsvoll einsetzen können, um ihre Marketing-Kampagnen auf bestimmte Zielgruppen zuzuschneiden. 

Das ist auch der Grund, warum viele Cyberkriminelle soziale Medien ins Visier nehmen. Die Plattformen sind in den letzten Jahren zu einem der Hauptziele für Phishing-Angriffe geworden. Denn die Drahtzieher erreichen auf diese Weise ohne viel Aufwand Milliarden von Menschen in aller Welt. 

Außerdem ist es einfacher geworden, diese Angriffe durchzuführen. Raffinierte Tools machen es Betrügern leicht, bekannte Profile nachzuahmen, um das Vertrauen ihrer Zielpersonen zu gewinnen. Schnappt die Falle zu, verbreitet sich die Phishing-Nachricht in kürzester Zeit unter den Nutzern in der Freundesliste des Betroffenen. 

Die Liste der Betrugsarten: Achten Sie auf diese acht Phishing-Tricks in sozialen Medien

Sehen wir uns nun acht der von uns entdeckten Betrugsmaschen anhand von realen Fällen und Kontexten an. Bei den nachfolgenden Beispielen handelt es sich um Phishing-Seiten, getarnt als offizielle Seiten des jeweiligen Unternehmens.

1. Der klassische Login-Scam

Bei der häufigsten und am weitesten verbreiteten Phishing-Methode wird eine Website aufgesetzt, die so aussieht wie die offizielle Login-Seite eines sozialen Netzwerks und auch dessen Namen trägt. Durch den Anschein der Legitimität werden Nutzer, die versuchen, sich über die Seite bei ihrem Profil einzuloggen, um ihre Login-Daten betrogen.

2. Meldung von Kontosperrungen

Bei dieser Betrugsmasche schüren die Betrüger die Angst der Nutzer, um ihre Login-Daten abzugreifen, indem sie ihnen vorgaukeln, der Zugriff auf ihr Konto stehe auf dem Spiel. Phishing-Websites dieser Art sind in der Regel darauf ausgelegt, Nutzer durch Panikmache dazu zu bringen, sensible Informationen preiszugeben. Dazu wird beispielsweise behauptet, dass ein unbefugter Zugriff erkannt worden sein, dass die Kontodaten veraltet seien oder dass der Nutzer zu seinem eigenen Schutz die Sicherheitsfragen beantworten müsse.

3. Urheberrechtliche Beschwerden

Soziale Plattformen sind rechtlich dazu verpflichtet, die Veröffentlichung von Material ohne Erlaubnis des Urheberrechtsinhabers zu unterbinden, daher unterliegen die Nutzer strengen urheberrechtlichen Regeln. Phishing-Betrüger machen sich diesen Umstand zunutze, indem sie ihre Opfer glauben machen, ihre Konten seien gesperrt worden, weil sie angeblich gegen urheberrechtliche Bestimmungen verstoßen. Mit dem Ziel, ihre Login-Daten in Erfahrung zu bringen, weisen sie die Zielpersonen an, sich bei gefälschten Websites einzuloggen, um ihre Profile zu entsperren.

4. Betrug mit Verifizierungsabzeichen

Verifizierungsabzeichen sind Symbole, die auf einigen Social-Media-Websites angezeigt werden, um zu bestätigen, dass es sich bei einem Konto wirklich um das Profil des besagten Influencers, Prominenten oder Unternehmens handelt.  Verifizierte Konten sind in der Regel besonders vertrauenswürdig. Oft gehen damit auch weitere Vorteile einher, z. B. eine größere Reichweite. Bei Phishing-Kampagnen werden Verifizierungsabzeichen als Vorwand missbraucht, um Nutzer zur Preisgabe ihrer Login-Daten zu manipulieren. Auf gefälschten Websites werden sie aufgefordert, sich einzuloggen, um ihren Verifizierungsstatus zu erlangen – bzw. diesen nicht zu verlieren.

5. Profil-Hacking-Angebote

Profil-Hacking-Angebote sind eine neuartige Phishing-Angriffsform, die derzeit in sozialen Medien die Runde macht. Dabei wird Nutzern das Angebot unterbreitet, ein Profil zu hacken oder die Informationen anderer Kunden wie E-Mail-Adressen oder Kontaktlisten in Erfahrung zu bringen. In den meisten Fällen zielen diese Kampagnen nicht darauf ab, die Login-Daten der Zielpersonen abzugreifen, sondern diese auf andere Services wie Werbeanzeigen oder Umfragen weiterzuleiten, sodass die Drahtzieher die dafür angebotene Provision einstreichen können.

6. Angebote zur Follower-Generierung

Zu den Hauptzielen von Content-Erstellern und Profilinhabern gehört es, Follower zu gewinnen und andere Nutzer dazu zu bringen, mir ihren Social-Media-Konten zu interagieren. Diesen Umstand macht sich eine andere Phishing-Methode zunutze, bei der Nutzern das Angebot unterbreitet wird, für wenig Geld oder sogar kostenlos Follower zu generieren. Bei Angriffen dieser Art werden die Opfer auf von den Drahtziehern kontrollierte Websites weitergeleitet, die mit Werbeanzeigen gespickt sind (Abbildung links), eine gefälschte Eingabemaske enthalten (Abbildung in der Mitte) oder mit Schadsoftware verseucht sind, die die Nutzer installieren sollen (Abbildung rechts). All das bringt den Betrügern Geld ein.

7. Abfangen von Zwei-Faktor-Authentifizierungscodes

Für viele Nutzer ist die Zwei-Faktor-Authentifizierungsmethode bereits Routine. Viele dürfte es jedoch überraschen, dass selbst Zwei-Faktor-Authentifizierungscodes per App oder SMS durch Phishing abgefangen werden können. Auf einigen Phishing-Websites werden Nutzer zur Eingabe eines Zwei-Faktor-Codes aufgefordert. Dabei machen sich die Betrüger das routinierte Verhalten von Nutzern zunutze, die bereits mit dieser Login-Methode vertraut sind. 

Noch raffiniertere Phishing-Kampagnen zielen wiederum darauf ab, die temporär gültigen Codes abzufangen, um Profile mit aktivierter Zwei-Faktor-Authentifizierung zu knacken. Diese Token sind in der Regel mit der Telefonnummer oder einer Code-Generierungs-App auf dem Mobilgerät der Zielperson verknüpft und werden benötigt, um sich bei dem entsprechenden Konto einzuloggen oder Änderungen vorzunehmen.

8. Zahlungsbetrug

Betrüger entwerfen auch Phishing-Kampagnen für Social-Media-Plattformen, die zusätzlich darauf ausgelegt sind, die Finanzdaten der Nutzer abzugreifen. Diese bösartigen Websites werden in der Regel aufgesetzt, um die Inhaber bekannter Social-Media-Marken in die Irre zu führen, indem ein Problem mit deren Konto vorgetäuscht wird. 

Fazit

Diese Betrugsmaschen sind deshalb so bedeutsam, weil ihre Wirkung über das Abfangen von Login-Daten für ein bestimmtes Unternehmen oder einen bestimmten Service hinausgeht. Sie werden eingesetzt, um der Zielperson oder ihren Kontakten finanzielle Schäden zufügen, weitere Phishing-Kampagnen zu verbreiten und vieles mehr. Betrüger versuchen mit allen Mitteln, Menschen dazu zu bringen, ihre Login-Daten preiszugeben. Deshalb sollten Sie sich vor den hier vorgestellten Betrugsmaschen in Acht nehmen. Dasselbe gilt natürlich für all die Scams, die erst noch ersonnen werden.