Home » News » Allgemein » Instagram-Verifizierungsprogramm als Phishing-Köder

Instagram-Verifizierungsprogramm als Phishing-Köder

Bei der neuen Betrugsmasche versuchen Cyberkriminelle die Konten von Nutzern der beliebten Social-Media-Plattform zu kompromittieren. Hierbei werden die potenziellen Opfer mit einem Angebot für einen „blauen Haken“ geködert

2 Min. Lesezeit
Foto: ©AdobeStock/calypso77

Dem Phisher ins Netz gehen statt seinen Instagram-Status verbessern: Spearphishing-E-Mails einer kürzlich beobachteten Kampagne informieren die Empfänger darüber, dass Instagram ihre Konten überprüft hat und sie für eine blaue Plakette in Frage kommen. Die in der Mail geforderten persönlichen Informationen und Kontodaten dienen aber nur als Futter für den Bedrohungsakteur.

Bei der neuen Betrugsmasche versuchen Cyberkriminelle die Konten von Nutzern der beliebten Social-Media-Plattform zu kompromittieren. Hierbei werden die potenziellen Opfer mit einem Angebot für einen „blauen Haken“ geködert. Diese Häkchen sind extrem begehrt – werden sie doch nur an Accounts vergeben, die als authentisch verifiziert wurden und die eine öffentliche Person/Prominenten oder eine Marke repräsentieren. Der Bedrohungsakteur setzt bei dieser Kampagne auf die Sorglosigkeit und den Enthusiasmus von Instagram-Nutzern, wenn sie mit der Möglichkeit konfrontiert werden, den Status ihres sozialen Kontos zu verbessern.

„Der Betrug wurde erstmals Ende Juli entdeckt und nutzt das begehrte Verifizierungsprogramm von Instagram aus, um die Opfer dazu zu bringen, persönliche Informationen und Kontodaten preiszugeben“, schreibt Vadesecure. „Die Angriffe zielen auf bestimmte Nutzer der Social-Media-Plattform und sind damit raffinierter als andere Phishing-Kampagnen, die zumeist wahllos Attacken auf eine Vielzahl von Opfern verüben.“

Die Phishing-E-Mails verwenden bei dieser raffinierten Angriffsmethode die Betreffzeile „ig bluebadge info“ und den Namen „ig-badges“. Im Text wird anschließend erläutert, dass das Instagram-Profil des Opfers überprüft wurde und für eine Verifizierung in Frage kommt. Die Instagram- und Facebook-Logos in der Kopf- und Fußzeile der E-Mail erwecken dabei den Anschein von Legitimität. Tatsächlich können aufmerksame Nutzer trotzdem einige Unstimmigkeiten und Merkmale von Social-Engineering-Techniken in den E-Mails erkennen. Diverse Anzeichen deuten klar auf einen klassischen Fall von Phishing hin, so tauchen zum Beispiel vermehrt grammatikalische Fehler und Tippfehler im Text auf – die üblichen Flüchtigkeitsfehler von Betrügern.

Effektive Sicherheitsmaßnahmen

Um die eigene Organisation vor derartigen Gefahren zu schützen, empfehlen die Sicherheitsexperten von KnowBe4, Schulungen zum Sicherheitsbewusstsein anzubieten, damit die Nutzer lernen, die typischen Anzeichen von Social-Engineering-Angriffen zu erkennen. „Die effektivste Maßnahme zur Vorbeugung solcher Angriffe ist, ein umfassendes Security Awareness Training für die Mitarbeiter zu etablieren“, so Jelle Wieringa, Security Awareness Advocate bei KnowBe4. „Grundsätzlich wird hierbei versucht, mithilfe von simulierten Phishing Mails zu testen, wie aufmerksam die Mitarbeiter sind. Das Ziel der Trainings ist, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen. Die Anzahl der erfolgreichen Phishing-Angriffe auf das Unternehmen kann durch ein solches Training sehr stark reduziert werden“.

 

Jelle Wieringa
Foto: KnowBe4

Jelle Wieringa, Security Awareness Advocate bei KnowBe4

 

Andere interessante News

Wie Cyberkriminelle ChatGPT für sich nutzen

Allgemein zugängliche KI-Tools (Künstliche Intelligenz) wirkten bislang oft noch eher unbeholfen. Mit dem OpenAI ChatGPT Chatbot scheint sich das gerade zu ändern. Die Qualität der damit erzeugten Texte erstaunt die gesamte Internet-Community. Das weckt auch bei Cyberkriminellen Begehrlichkeiten. Die Kombi aus freier Zugänglichkeit solcher Tools und krimineller Energie stellt die Cybersicherheit vor völlig neue Herausforderungen.

Cloud-Apps entwickeln sich zu Malware-Schleudern

Bedrohungsakteure haben Cloud-Apps offenbar als ideales Umfeld zum Hosten von Malware entdeckt. So haben 2022 mehr als 400 verschiedene Cloud-Anwendungen Malware verbreitet, nahezu dreimal so viele wie noch 2021. Knapp ein Drittel der Cloud-Malware-Downloads ging von Microsoft OneDrive aus.

Warum ein Verbot von Microsoft 365 eine Luftnummer ist

Warum ein Verbot von Microsoft 365 eine Luftnummer ist

Die Datenschutzkonferenz (DSK) sieht beim Einsatz von Microsoft 365 die Daten deutscher Nutzer in Gefahr und warnt vor dem Einsatz der Microsoft-Software. Daraus entstandene Gerüchte um ein mögliches Verbot von Microsoft 365 haben inzwischen hohe Wellen geschlagen. Rechtsanwalt Wilfried Reiners, Jurist im Umfeld digitaler Themen, CEO der PRW Group und Mitbegründer der PRW Legal Tech, ordnet die Fakten rechtlich ein und entlarvt die DSK-Aussage als „Stammtischspruch“.