Laut eigenen Angaben wächst die Nutzerzahl der „Facebook-Familie“ weiter an. Ein jährlicher Zuwachs von 12 Prozent der monatlich aktiven Menschen bedeutet eine absolute Zahl von 3,58 Milliarden Menschen, die in den Sozialen Netzwerken von Meta unterwegs sind. Durch die Brille der Cyberkriminellen heißt das: ebenso viele potenzielle Ziele. Social Media Konten sind lukrativ, die Maschen an diese zu gelangen vielfältig. Das reicht vom Ausnutzen des Vertrauensverhältnisses der Nutzer untereinander zum Verbreiten von Schadcode, über Anmeldungen auf anderen Webseiten und Diensten mit dem Facebook Login-Button bis hin zur Übernahme der Zahlungsinformationen von Facebook Pay und Erpressung. Bei letzterem wird gedroht , die Reputation der Originalinhaber durch falsche Posts zu beschädigen oder deren private Fotos und Postings zu veröffentlichen. Anhand von echten Beispielen zeige ich, wie leicht das gehen kann und man sich bestmöglich schützt.

Was passiert ist – Facebook

Im Herbst des letzten Jahres bekam ich eine eher ungewöhnlichere Anfrage eines Journalisten: ob ich ihm helfen könne, seinen Facebook Account wiederzuerlangen. Normalerweise gehört das nicht unbedingt zu unserem Serviceportfolio, aber meine Neugier war geweckt, also kamen wir ins Gespräch:

Er erzählte mir, dass er kurz nach seiner Rückkehr aus dem Urlaub in der Karibik feststellte, dass er sich nicht mehr bei Facebook mit seiner E-Mail-Adresse und Passwort anmelden konnte. Er erinnerte sich weiter, dass er sich im Urlaub mit dem Hotel WLAN verbunden hat. Dieses bat ihn um die „Installation eines Router-Zertifikats, damit er auf Webseiten außerhalb des Landes zugreifen könne“. Die Urlaubsentspannung konnte nicht größer sein, der Freundeskreis sollte auf Facebook täglich neidisch gemacht werden und alles war schön. Bis zur Rückkehr nach Deutschland.

Nach wenigen Tagen musste besagter Journalist feststellen, dass er sich nicht mehr bei Facebook einloggen konnte. In der Ungewissheit, ob er vielleicht nicht einfach nur das Passwort vergessen hätte, nutzte er die „Passwort vergessen“ Funktion. Groß war sein Erstaunen, als ihm mitgeteilt wurde, dass sich seine E-Mail-Adresse zu einer bei „Hotmail“ geändert hatte. Glücklicherweise bietet Facebook die Option, auch an die vorher verwendete Adresse die Freischaltlinks zu senden und er loggte sich ein und… stand vor der nächsten virtuellen Tür. Die „Anmeldung in zwei Schritten“ – oder auch 2-Faktor-Authentifizierung – war von Unbekannten aktiviert worden. Der Betroffene musste also feststellen, dass Account-Hijacker das nachgeholt hatten, was er bisher versäumt hatte. Und so lief nur bei den Kriminellen jedes Mal ein neuer Freischaltlink in das Postfach. Gleichzeitig waren nur sie im Besitz des zweiten Faktors bzw. Codes, der den Zugang endgültig erlaubt hätte.

Screenshot des Login-Versuchs mit der Hotmail-Adresse der Kriminellen (Quelle: Accountinhaber)

Nach vielen E-Mails an Facebook mit Ausweiskopien, etwas Nachdruck, auch von meiner Seite, und weiteren Anstrengungen ist es schließlich gelungen, dem rechtmäßigen Besitzer seinen Facebook-Account zurückzugeben. Zwischenzeitlich waren allerdings knapp 14 Tage vergangen und der Facebook-Freundeskreis wunderte sich bereits, welche eigenartigen „Angebote“ der Betroffene in seinem Account postete oder per Messenger verschickte.

Was passiert ist – Instagram

Ein anderer Fall bei Instagram. Ein unbekannter Account schreibt mich an und behauptet „Maria“ (Name geändert) zu sein. Ohne Nachnamen, ohne weitere Infos, nur dass der alte Account „gehackt“ (also eher geknackt) wurde. Da das neue Profil unverdächtig, aber neu aussah, bat ich um kurze Nennung des Nachnamens. Es stellte sich heraus, dass es tatsächlich meine Freundin Maria ist und die Geschichte stimmt. Diese befand sich zwar ebenfalls auf einer spannenden Weltreise und hat da sicherlich auch einige offene WLAN benutzt, aber das war in diesem Fall nicht das Problem. Ihr Passwort war nur lediglich 6 Zeichen „lang“ und bestand auch nur aus Zahlen. Sie versicherte mir zwar, dass es sich nicht um ein Geburtsdatum handelte, aber ausreichend sicher ist das natürlich nicht. Durch simples Passwortraten und -probieren sind Unbefugte an den Account gelangt und haben erst einmal nichts weiter getan. Durch meine Recherche konnte ich allerdings feststellen, dass begonnen wurde, einzelne ältere Posts im Beschreibungstext mit Links zu versehen, die auf Webseiten mit angeblichen Sexdates weiterleiten.

Eine Meldung des Accounts bei Instagram hat bisher – auch nach Wochen - leider keine Reaktion erzeugt.

Screenshot der Kontaktaufnahme von „Maria“ (Quelle: selbst)

Warum ist das so leicht?

Die beiden Beispiele aus meinem direkten Erleben stehen beispielhaft für die Einfachheit, mit der Cyberkriminelle Social Media Accounts übernehmen können. Soziale Netzwerke sind für die Nutzer oft „eine Sache zwischendurch“ und für die wenigsten wirklich lebenswichtig – als Einnahmequelle oder fürs Ego. Deswegen werden bei der Verwendung oft einfachste Fehler gemacht.

Das beginnt schon bei der Einrichtung der Accounts. Habe ich vor, Instagram, Facebook & Co. für mich und meine Freunde oder für das Folgen von interessanten Konten zu nutzen, gibt es keinen Grund, selbst ein öffentliches Profil zu betreiben. Cyberkriminelle nutzen automatisierte Tools, um Bilder, Beschreibungen, Verlinkungen und Ortsangaben von öffentlichen Profilen zu sammeln, zu speichern und auszuwerten. Die Bilder werden u.a. dann für Fake-Accounts genutzt, die Ortsangaben und Verlinkungen helfen den Programmen einzuschätzen, wo sich die Personen aufhalten und mit wem sie viel Zeit verbringen und so weiter.

Diese Informationen werden dann zur internen Bewertung des Profils verwendet und anschließend wird versucht, Zugang zum Konto zu erlangen. Die Cybergauner nutzen die gekaperten Konten dann entweder selbst, um ihre eigentlichen Ziele voranzutreiben und auch die Kontakte des Opfers ebenfalls zu übernehmen oder verkaufen die Informationen und Konten in Untergrundforen im Dark Web.

Ich habe zudem vor circa 10 Jahren einen Fall betreut, bei dem ein größeres deutsches Unternehmen über den Facebook-Account der Chef-Sekretärin attackiert wurde, da diese mit den öffentlich auf Facebook geteilten Informationen (z.B. über ihre Kinder) erpressbar wurde. Das nutzten Kriminelle aus, um die Frau zur „Informationsbeschaffung“ zu missbrauchen. Dank eines aufmerksamen Administrators der Firma und der schnellen Reaktion, auch von uns und den Strafverfolgungsbehörden, konnten die Gangster noch vor Verlassen des Landes geschnappt werden.

Tipps & Fazit

Soziale Netzwerkkonten bei Facebook, Instagram, TikTok & Co. sind zwar eine willkommene schnelle Ablenkung für die Nutzer, beinhalten aber teils persönlichste Informationen. Leider werden diese oft nicht ausreichend geschützt. Eine kürzlich von ESET beauftragte Umfrage von YouGov zeigte dramatischen Nachholbedarf bei der Accountsicherheit in Deutschland und der Schweiz. Nur ein Viertel der Befragten nutzt etwa einen Passwortmanager. Mehr als 30 Prozent können sich alle ihre Passwörter merken. Das lässt vermuten, dass entweder einfachste Muster zum Einsatz kommen, wie ein Standard-Passwort, dass jeweils nur ergänzt wird oder Geburtstags- und Namenskombinationen oder schwache Passwörter, die im Zusammenhang mit der Plattform stehen.

Die Frage liegt also auf der Hand: Was sollte man tun?

Generell gelten für alle Social Media Konten folgende Tipps:

  • Handelt es sich um ein privat betriebenes Profil, sollte es auch auf „privat“ gestellt die Posts und Bilder entsprechend nur für Freunde freigegeben werden.
  • Benutzername und Passwort sollten einzigartig für jede Plattform sein.
    Ein Wiederverwenden von Zugangsdaten erleichtert Kriminellen unnötig ihren Aufwand!
  • Verwenden Sie Passwortmanager.
    Diese können Ihnen lange und komplexe Passwörter für die jeweiligen neuen Dienste erstellen und gleichzeitig speichern, sodass Sie sich diese nicht alle merken müssen.
  • Zur Absicherung des Passwortmanagers sollten statt Passwörter Passphrasen verwendet werden.
    Je länger und komplexer ein Passwort ist, desto schwerer fällt es Gangstern und deren Tools, diese zu knacken. Am besten nutzen Sie ganze, leicht zu merkende Sätze mit Zahlen, Satz-, Leer- und Sonderzeichen, die keinen direkten Sinn ergeben oder im Zusammenhang mit dem Manager stehen. So ist ein Satz wie „Jeden Morgen esse ich mit meinen 12 Lamas gegen 10 Uhr ein ausgedehntes Frühstück!“ leicht zu merken, kompletter Nonsens (für die meisten zumindest), lang und komplex. Hinweis: Bitte verwenden Sie NICHT diesen Satz, sondern einen nach diesem Prinzip!
  • Nutzen Sie eine Zwei-Faktor-Authentifizierung (auch „Anmeldung in 2 Schritten“ o.ä. genannt)!
    Selbst wenn Cybergangster an Ihre Zugangsdaten gelangen sollten, kommen sie an dieser Hürde nicht so leicht vorbei. Beim Anmeldevorgang wird hierbei neben Benutzername und Passwort ein Einmalpasswort generiert oder ein anderes, zusätzliches Merkmal abgefragt. Das können Codes über Apps sein, USB-Sticks mit Zertifikaten, die am Rechner des Benutzers angesteckt sind oder der Fingerabdruck über den Sensor des autorisierten Gerätes, wie Smartphone oder privater Laptop. Die Option „SMS-Versand“ gilt als nicht mehr sicher genug und sollte deswegen nicht verwendet werden.
  • Soziale Medien sind kein Platz für Fotos von Ihren Kindern!
    Wollen Sie Freunde und Verwandte am Heranwachsen Ihrer Sprösslinge teilhaben lassen, nutzen Sie stattdessen lieber verschlüsselte Messenger wie Signal. Wie im obenstehenden Beispiel machen Sie sich und auch zukünftig Ihre Kinder erpressbar. Außerdem gelangen Kinderbilder aus Sozialen Netzwerken immer wieder in die Datenbanken von Pädophilen – auch das gilt es zu verhindern!
  • Lesen Sie sich Warnhinweise des Computers oder von Webseiten genau durch.
    Gleiches gilt für E-Mails. Prüfen Sie genau, welche Seite gerade Ihren Facebook-Login verlangt, versuchen Sie zu verstehen, was gerade passiert – vor allem im Urlaub. Können Sie mit den Meldungen nichts anfangen oder sind Sie sich unsicher, kontaktieren Sie entweder die Rezeption des Hotels oder kompetente Bekannte und Freunde, die Ihnen bei der Einschätzung helfen.
  • Erhalten Sie Nachrichten oder sehen Sie Postings von Freunden und Bekannten, die Ihnen Gewinnspiele empfehlen, ein neues Spiel oder ein Tool wie „Finde heraus, wer Dein Profil besucht hat“, seien Sie dennoch misstrauisch. Das Profil des Bekannten könnte geknackt worden sein und es sind in Wahrheit Cyberkriminelle, die nun auch versuchen, Sie hereinzulegen.
  • Speichern Sie keine Zahlungsinformationen bei Facebook & Co.!
    Es ist gerade jetzt in Zeiten, in denen die Menschen in der Ukraine auf unsere Hilfsbereitschaft angewiesen sind, unheimlich einfach, direkt über Facebook zu Spenden aufzurufen. Auch andere gemeinnützige Projekte können so unterstützt werden. Facebook verlangt dafür eine Kreditkarte und andere Bezahlmethoden. Kontaktieren Sie stattdessen lieber die Hilfsorganisation direkt und spenden über diesen Weg. Gelangen Kriminelle an Ihren Account sind im schlimmsten Fall auch die Zahlungsinformationen weg oder werden missbraucht.
  • Nehmen Sie Kontaktanfragen nur nach Prüfung des anfragenden Profils an.
    Gerade in den Lockdown-Zeiten der Pandemie gab es eine Vielzahl an gefälschten Accounts angeblicher junger Damen oder gut betuchter Herren, die Kontakt suchten. Hinter diesen Fake-Accounts lauerten dann Romance-Scams, Malware oder andere kriminelle Maschen.

Bedenken Sie bei allem, was Sie in den Sozialen Medien tun: Meta, Facebook, Instagram & Co. gehören nicht Ihnen und Sie sind auch dort kein Kunde mit entsprechenden Rechten – SIE SIND DAS PRODUKT. Meta verdient mit Ihren Daten Geld, ohne Sie zu beteiligen. Cyberkriminelle sind ebenfalls hinter Daten, Bildern und Kontakten her. Mit den obenstehenden Tipps hoffe ich, dass Sie Social Media sicherer genießen und interessante Informationen erhalten und teilen können.

Haben Sie Fragen, Tipps und Anregungen? Nutzen Sie gern unser Kontaktformular oder die Kommentarfunktion unter diesem Artikel.

Möchten Sie brandaktuell über die neuesten Artikel informiert werden, nutzen Sie gern unser RSS-Feed oder melden sich unter diesem Artikel bei unserem Newsletter an, der Ihnen jeweils die Artikel der letzten 14 Tage ins Postfach liefert.