«Chain Phishing» – Auch bei Social Media

Soziale Netzwerke wie Facebook, Instagram, X und Snapchat sind für Cyberkriminelle besonders attraktiv, weil Nutzerinnen und Nutzer auf diesen Plattformen sehr aktiv sind. Wenn ein Betrüger Login-Daten stiehlt und Zugang zu einem Social-Media-Konto erhält, kann er Einträge erstellen und Daten einsehen.

Die Möglichkeiten für einen Betrüger sind damit vielfältig: Er kann Werbung veröffentlichen, Unwahrheiten über die betreffende Person oder das Unternehmen verbreiten oder diese sogar erpressen. Häufig nutzen Angreifer eine fremde Identität, um die Freundinnen und Freunde dieser Person in den sozialen Netzwerken gezielt anzugreifen. Diese werden ebenfalls zu Opfern, was eine Kettenreaktion auslöst.

Eine Angriffsmethode, die dem BACS in den letzten Wochen gemeldet worden ist, zeigt, dass sich die Angreifer systematisch von einem Social-Media-Konto zum nächsten hangeln. Mit gestohlenen Login-Daten versenden sie E-Mails im Namen des Opfers, um an weitere Login-Daten zu kommen. Dabei machen sie sich zunutze, dass die Empfänger die Person kennen, von der die Anfrage stammt. Um die Erfolgschancen zu erhöhen, versuchen die Angreifer zudem, die Zugangsdaten von verschiedenen Internetdiensten in einem Schritt abzugreifen. Diese Methode ermöglicht es den Angreifern, schnell und effizient eine grosse Anzahl von Konten zu kompromittieren, was die Ausbreitung des Angriffs beschleunigt und die Chancen erhöht, wertvolle Informationen zu erlangen. Da nicht nur ein Konto, sondern gleich mehrere Konten kompromittiert werden, ist der Schaden für das Opfer somit gross.

Der Wettbewerb

In den aktuellen Varianten kommt eine Anfrage von einem Bekannten. Darin wird vorgegeben, dass der Absender an einem Mode- oder Stilwettbewerb teilnehme und auf jede Stimme angewiesen sei. Er würde sich sehr freuen, wenn die angeschriebene Person für ihn abstimmen würde. Da die Social-Media-Anfrage von einer bekannten Person stammt, macht sich das Opfer keine grossen Gedanken und klickt auf den angegebenen Link. Die Webseite, die sich öffnet, sieht dann tatsächlich auch aus wie eine Voting-Plattform für einen Modewettbewerb.

Neben dem modisch gestalteten Hintergrund finden sich auf der Seite auch die Namen der Personen, für die bereits abgestimmt worden ist bzw. jene, welche bisher die meisten Stimmen erhalten haben. Um abstimmen zu können, muss man sich allerdings einloggen. Neben Instagram kann man sich auch mit Facebook oder mit einem E-Mail-Account anmelden. Schaut man sich die Bilder der Kandidatinnen und Kandidaten genauer an und vergleicht sie mit bereits im Internet vorhandenen Bildern, fällt auf, dass sie alle aus kommerziellen Bilddatenbanken stammen. Dies ist ein klarer Hinweis auf eine betrügerische Website. Die ganze Website wurde nur erstellt, um an die Passwörter der Opfer zu gelangen.

Das perfide Vorgehen

Das Vorgehen der Betrüger ist aber noch perfider. Bei der Anmeldung kann man eingeben, was man will – man erhält immer die Meldung, dass das Passwort falsch sei. Der Grund dafür dürfte folgender sein: Wenn das Login mit dem Instagram-Account nicht funktioniert, vermutet das Opfer einen technischen Fehler und versucht es auch mit dem Facebook-Account. Schliesslich will man der Freundin oder dem Freund einen Gefallen tun und für sie oder ihn abstimmen. Wenn auch das Facebook-Login nicht klappt, versucht man das Login noch mit dem E-Mail-Konto. Auf einen Schlag haben die Angreifer auf diese Weise Zugriff auf zwei Social-Media-Konten und auch das E-Mail-Konto. Mit Letzterem können die Angreifer sogar Zugriff auf weitere Dienstleistungen und Konten mit derselben E-Mail-Adresse erlangen, indem sie die Passwort-Rückstellungsfunktion nutzen.

Und es geht von vorne los

Mit all diesen Daten werden dann nach dem gleichen Prinzip andere Freunde angegriffen und das Spiel beginnt von vorne. Regelmässige Leser des Wochenrückblicks kennen diese Vorgehensweise. Die «Chain Phishing» genannte Methode, mit der sich die Angreifer von Konto zu Konto durchhangeln, findet man vor allem bei geschäftlichen Microsoft-365-Konten. Im privaten Bereich wird die Methode auch auf Social Media angewandt. Daher ist auch im privaten Umfeld Vorsicht geboten.

Empfehlungen

Geben Sie nie persönliche Daten wie Passwörter oder Kreditkartendaten auf einer Webseite ein, die Sie über einen Link in einer E-Mail oder Textnachricht angeklickt haben.
Vergewissern Sie sich immer, dass Sie sich auf der richtigen Seite befinden, wenn Sie zur Eingabe Ihrer Zugangsdaten aufgefordert werden.
Fragen Sie im Zweifelsfall bei Ihrem respektive Ihrer Bekannten nach, ob die Nachricht tatsächlich von ihm oder ihr stammt.
Falls Sie Ihr Passwort angegeben haben, ändern Sie dieses sofort bei allen Diensten, bei welchen Sie dieses einsetzen. Verwenden Sie für jeden Dienst ein separates, starkes Passwort.
Bei Diensten, die eine Zwei-Faktor-Authentifizierung ermöglichen, sollten Sie diese unbedingt aktivieren. Dies erhöht die Sicherheit Ihrer Daten um ein Vielfaches.

< tags >