Phishing

Die Kunst der Täuschung beim Phishing in sozialen Medien

Adrien Gendre

10. Oktober 2019

4 min

Die Zunahme von Phishing in sozialen Medien lässt sich in großen Teilen auf die wachsende Verbreitung sozialer Medien wie Facebook, Instagram und LinkedIn zurückführen. All diese Netzwerke haben sich beträchtlich entwickelt und bieten erweiterte Funktionen und Integration in Drittanbieter-Apps. Für einen Phisher stellen soziale Medien nicht nur einen großen Pool an Opfern dar, sondern bieten auch eine endlose Menge an Angriffspunkten.

Die Verbindung zwischen Social Engineering und Phishing in sozialen Medien

Social Engineering beschreibt den Einsatz psychologischer Manipulation, um ein Opfer dazu zu bringen, vertrauliche Informationen preiszugeben. Damit Social Engineering effizient funktioniert, muss ein Cyberkrimineller über persönliche Informationen seines Opfers verfügen. Welche Plattform eignet sich hierzu besser als soziale Medien?

3,4 Mrd. Menschen auf der Welt nutzen soziale Medien. Ungeachtet von Warnungen, unsere Konten mit stärkeren Passwörtern zu sichern und die übermäßige Offenlegung persönlicher Daten zu vermeiden, leisten wir weiterhin diesen Tipps keine Folge und setzen uns dem Risiko von Angriffen aus. Wir teilen unseren Standort, unsere politischen Überzeugungen, finanziellen Notlagen, Gesundheitsprobleme sowie beruflichen Erfolge und Misserfolge. Diese Informationen allein benötigt ein Cyberkrimineller zum Social Engineering und um uns empfindlich zu verletzen.

[Infografik] Lernen Sie, eine Phishing-E-Mail zu erkennen

Facebook-Phishing

Es überrascht nicht, dass das größte und einflussreichste soziale Medium der Welt auch dasjenige ist, das am häufigsten von Phishern für ihre Betrügereien verwendet wird. Im zweiten Quartal des Jahres 2019 haben Facebook-Phishing-URLs um mehr als 175 % zugenommen, was Facebook zur am dritthäufigsten genutzten Marke bei Phishing-Angriffen macht.

Dieser Zuwachs folgt auf eine beträchtliche Abnahme zwischen dem zweiten und dem vierten Quartal des Jahres 2018. Um diese drastische Zunahme zu verstehen, gilt es zu bedenken, wie Facebook zu dem Giganten geworden ist, der es heute ist. 2007 hatte Facebook gerade einmal 20 Mio. Nutzer. Nach der Öffnung der Plattform für externe Entwickler wuchs Facebook durchschnittlich um 200 Mio. Nutzer pro Jahr.

Die Apps, welche diese Entwickler mit Facebook integrierten, speicherten jede Menge Daten von Facebook-Nutzern. Schließlich landeten die Daten auf dem Schwarzmarkt und bringen etwa 5,20 $ pro Eintrag ein (Stand: 2017). Mit diesen Daten konnten Cyberkriminelle vollkommen frei alle möglichen Arten von Delikten ihren Opfern gegenüber begehen.

Meldungen über Datenlecks machen Facebook weiterhin zu schaffen. Infolgedessen sind Facebook-Nutzer daran gewöhnt, Aktualisierungen von Facebook über die Datenschutzinitiativen des Unternehmens zu erhalten. In einigen Fällen ist jedoch nicht Facebook der Absender dieser E-Mails, sondern es sind Phisher, die sich als Facebook ausgeben. Nutzer, die auf Grund eines beständigen Stroms an negativen Schlagzeilen, in erhöhte Alarmbereitschaft versetzt sind, reagieren schnell, wenn Phisher sie dazu anweisen, ihre Facebook-Passwörter zu aktualisieren, ohne sich dabei bewusst zu sein, dass sie eben diese Daten verbreiten, die sie zu schützen versuchten.

In anderen Fällen nutzen Phisher direkt die Verbindung mit der Drittanbieter-App aus, um an Nutzerdaten zu gelangen. Mit Hilfe der universellen Anmelde-API von Facebook können Nutzer sich direkt mit Facebook bei Zehntausenden Apps anmelden. Phisher nutzen dies aus, indem sie Phishing-Seiten bauen, die der Anmeldeseite von Facebook ähneln. Ein Nutzer versucht, sich bei einer beliebten App anzumelden, gibt aber tatsächlich seine Anmeldedaten an den Phisher weiter.

Instagram-Phishing

Instagram, das einst nur als Selfie-Datenbank bekannt war, ist zu einem Werberiesen und Karrieresprungbrett für Internetpromis geworden. Instagram-Phishing und -Spear-Phishing-Angriffe haben in den letzten Jahren Fahrt ergriffen, während die Plattform auf 1 Mrd. Nutzer angewachsen ist.

Instagram-Angriffe reichen von Anfragen zur Passwortzurücksetzung über Phishing-Mails bis zumehrstufigen Angriffen, die mit Phishing beginnen und sich in Spear-Phishing-Angriffe verwandeln, die innerhalb von Instagram vonstatten gehen. Bei diesen Angriffen liest ein Cyberkrimineller die Instagram-Anmeldedaten eines Nutzers auf einer gefälschten Instagram-Anmeldeseite aus und betreibt dann bei den Followern des Nutzers Phishing und Spear-Phishing mit Hilfe des kompromittierten Kontos. In anderen Fällen kann der Hacker das Konto mittels Phishing übernehmen und dann ein Lösegeld verlangen, damit er keine kompromittierenden Informationen und Bilder veröffentlicht.

Bei einer höchst effizienten Phishing-Kampagne lauert seinen Opfern auf und macht sich eines der größten Sehnsüchte von nicht nur Schülern, sondern auch Erwachsenen weltweit zunutze: das Bedürfnis nach Bestätigung. Das „Verified“-Kennzeichen von Instagram ist mehr als ein kleines blaues Kästchen: es bestätigt, dass der Nutzer ein echter Promo, Influencer oder eine Marke ist. Cyberkriminelle, die sich als Instagram ausgeben, schicken Phishing-Mails an Opfer und bitten sie darum, sich bei Instagram anzumelden, um ihre„Verified“-Kennzeichen zu aktivieren. Wenn sie das tun, werden ihre Anmeldedaten abgegriffen.

Nicht jeder ist an dem kleinen blauen Kästchen interessiert, aber Sie vertrauen wahrscheinlicher einem Nutzer, wenn er dieses im Profil hat; dies gilt ebenso für andere soziale Medien. Das kleine blaue Kästchen ist mehr als ein Symbol des Einflusses, sondern ein Symbol des Vertrauens, mit Hilfe dessen ein Phisher Opfer manipulieren kann.

[eBook] SC Magazine Expert Focus: Verteidigung des Posteingangs

LinkedIn-Phishing

Recruiter sind stets auf der Suche; es ist also wenig überraschend, dass sie LinkedIn-Nutzer über InMail kontaktieren. Phisher nutzen Arbeitssuchende aus und geben sich als Recruiter aus; sie bitten Opfer darum, entweder persönliche Informationen auf einer Phishing-Seite preiszugeben, Weiterbildungen und/oder Einstellungsdienstleistungen zu zahlen oder sogar eine Stellenbewerbung oder -beschreibung herunterzuladen. Oft liegen diese als PDF- und Word-Dokumente mit Makros vor, welche Malware loslassen. In anderen Fällen führt der Link Sie auf eine Website, welche die Malware freisetzt.

Ein neuer Trend beim LinkedIn-Phishing sind Betrügereien mit gefälschten Kontaktanfragen. Phisher erstellen gefälschte LinkedIn-Mails, in denen sie den Nutzer um Annahme einer Kontaktanfrage bitten; wenn sich das Opfer bei LinkedIn anmeldet, um diese anzunehmen, werden seine Anmeldedaten abgegriffen. Wie bei den Beispielen mit Instagram oben ist dies ein perfekter Schachzug eines Cyberkriminellen zur Übernahme eines LinkedIn-Kontos. Indem er sich als ein anderer Nutzer oder manchmal ein Influencer ausgibt, steht es dem Phisher frei, neue Kontakte einzugehen und mit anderen Nutzern über InMail in Kontakt zu treten, sei es um Phishing oder Spear-Phishing zu betreiben. Ebenso kann er ungehemmt Inhalte teilen und mit Millionen anderen LinkedIn-Nutzern interagieren und dabei den Ruf seiner Opfer schädigen.

Schützen Sie sich gegen Phishing in sozialen Medien

Die meisten Phishing-Mails für soziale Medien werden eher an einzelne Personen als an Firmen-Mailkonten gesendet. Jedoch sind die Betreffzeilen von Phishing-Mails drauf ausgelegt, hinters Licht zu führen (Sicherheitshinweis!), und Phisher haben es auf Firmen-Mailkonten abgesehen. Opfer, die für Phishing anfällig sind, reagieren emotional und schnell und klicken auf den Phishing-Link, ohne etwas Auffälliges zu erkennen.

Hohe Sicherheit bei E-Mails mit Anti-Phishing-Technologie beim Klicken ist grundlegend wichtig, um Ihr Unternehmen und Ihre Kunden gegen Social Engineering und Phishing zu schützen. Und unterschätzen Sie nicht die Wichtigkeit von Schulungen gegen Phishing. Phishing-Angriffe sind höchst ausgeklügelt, und gelegentliche Bedrohungen haben das Potenzial, unerkannt zu bleiben. Geschulte Nutzer fallen weniger Angriffen zum Opfer, und Nutzer, die umgehend alarmiert werden, wenn sie auf einen Phishing-Link klicken, fallen in Zukunft weitaus weniger darauf herein.

Können Sie eine Phishing-E-Mail erkennen? Machen Sie den Phishing-IQ-Test und finden Sie es heraus.