Täuschend echte Paketzustellungsnachrichten oder dringende E-Mails inklusive Handlungsaufforderung im Namen der Bank – die Betrugsversuche über den E-Mail-Kanal werden immer raffinierter und machen es dem „Otto-Normal-Verbraucher“ immer schwerer, legitime Kommunikation von Phishing-Attacken zu unterscheiden. Doch auch auf Instagram, Linkedin, Facebook und Co. lassen Cyber-Kriminelle nichts unversucht, um persönliche Daten abzufangen oder die Kontrolle über die Social-Media-Konten ihrer potenziellen Opfer zu erlangen.
Als Marketing-Plattform, Kundengewinnungstools oder Informationskanal sind Plattformen wie Instagram oder Linkedin sehr gefragt. Umso attraktiver sind sie daher auch für Betrüger, die in vielen Fällen ihre Netze über Phishing auswerfen. Dabei gehen sie immer perfider vor, wie ein Beispiel der Lazarus-Gruppe aus dem vergangenen Jahr eindrucksvoll zeigte.
Die Hacker gaben sich bei dem Angriff auf ein spanisches Luft- und Raumfahrtunternehmen als Recruiter des Facebook-Mutterkonzerns Meta aus und versprachen eine prestigeträchtige Anstellung, insofern die Aspiranten sich bereit erklärten, zwei Coding Challenges auszuführen. Allerdings wussten die angesprochenen Mitarbeiter nicht, dass sie sich bei dieser Aufgabe, die sich als recht simpel herausstellte, Schadprogramme herunterluden.
Doch es geht auch trivialer: Da das Gros der Nutzer in den sozialen Medien meist weniger Misstrauen an den Tag legt, haben die Cyber-Kriminellen bereits mit gefälschten Online-Rabatten erfolgt. Über augenscheinlich echte Aktionen kostspieliger Marken, die zur Teilnahme die Eingabe persönlicher Informationen erfordern, sammeln sie dann schnell und einfach Nutzerdaten. Prinzipiell können Phishing-Angriffe diverse Formen annehmen.
Da wäre zum einen der Chat: Treten Nutzer über die Plattform in privaten Austausch mit anderen, könnten Hacker die Gelegenheit ergreifen, sich einzuschalten, um an sensible Daten zu gelangen, indem sie etwa eindringlich bitten, einer Aufforderung ihrerseits zu folgen, etwa Informationen preiszugeben oder einem Link zu folgen.
Ein Phishing-Angriff könnte aber auch ein Post sein, der von einem Hacker oder einem Bot veröffentlicht wird und in dem ein dem Nutzer bekanntes Unternehmen erwähnt wird, das auf eine Pressemitteilung oder andere aktuelle Informationen verweist. Gefälschte Malware holen sich viele Nutzer bereits dann auf ihre Rechner, wenn sie gefälschte Kommentare zu beliebten Beiträgen mit Links zu aufmerksamkeitsstarken Schlagzeilen lesen.
Eine häufige Falle ist die Umleitung von einem offiziellen Beitrag zu einem Webinar oder einer Streaming-Veranstaltung mit einer Aufforderung zum Handeln wie “Wir sind jetzt live. Schnell teilnehmen”. Sobald sie diesen anklicken, gelangen sie auf eine Phishing-Webseite oder laden sich direkt die Schadsoftware herunter. Auch mit gefälschten Kundendienstkonten haben Hacker nach wie vor Erfolg.
Um sich vor Phishing-Attacken in den sozialen Medien adäquat zu schützen, sollten sowohl technische Maßnahmen ergriffen als auch Aufklärungsarbeit betrieben werden. Im Hinblick auf die steigende Anzahl gefälschter Konten gilt es, Vorsicht walten zu lassen, bevor Freundschaftsanfragen vermeintlich beruflicher Kontakte angenommen werden. Augenscheinlich legitime Aufforderungen, die die Aktualisierung persönlicher Daten enthalten, gilt es unbedingt zu überprüfen – im Normal verlangen seriöse Social-Media-Plattformen von ihren Nutzern nicht auf diesem Wege, sensible Informationen preiszugeben.
Hier hilft auch ein Blick auf die Support-Seiten. Verdächtige Beiträge, Kommentare oder Links müssen Nutzer an die Betreiber der Plattform bzw. an ihre eigene IT-Abteilung melden. Das Aktivieren der Zwei-Faktor-Authentifizierung, die Installation einer Antiviren-Software und die Verwendung starker Passwörter sowie deren regelmäßiger Wechsel (alphanumerisch, mit Sonderzeichen und mehr als acht Zeichen lang) schützt außerdem vor Phishing und anderen Bedrohungen und kann dazu beitragen, dass unbefugte Dritte keinen Zugang erhalten.
Unternehmen, die mit ihren Kunden und Partnern über Social-Media-Kanäle kommunizieren wollen, sollten die Redakteursberechtigung für ihre Firmenkonten auf Social-Media-Plattformen auf so wenige Personen wie möglich beschränken, um das Sicherheitsrisiko möglichst zu minimieren.
Julia Strykova ist Streaming Media & Social Projects Manager bei Infingate.