Home » News » Allgemein » Instagram-Verifizierungsprogramm als Phishing-Köder

Instagram-Verifizierungsprogramm als Phishing-Köder

Bei der neuen Betrugsmasche versuchen Cyberkriminelle die Konten von Nutzern der beliebten Social-Media-Plattform zu kompromittieren. Hierbei werden die potenziellen Opfer mit einem Angebot für einen „blauen Haken“ geködert

2 Min. Lesezeit
Foto: ©AdobeStock/calypso77

Dem Phisher ins Netz gehen statt seinen Instagram-Status verbessern: Spearphishing-E-Mails einer kürzlich beobachteten Kampagne informieren die Empfänger darüber, dass Instagram ihre Konten überprüft hat und sie für eine blaue Plakette in Frage kommen. Die in der Mail geforderten persönlichen Informationen und Kontodaten dienen aber nur als Futter für den Bedrohungsakteur.

Bei der neuen Betrugsmasche versuchen Cyberkriminelle die Konten von Nutzern der beliebten Social-Media-Plattform zu kompromittieren. Hierbei werden die potenziellen Opfer mit einem Angebot für einen „blauen Haken“ geködert. Diese Häkchen sind extrem begehrt – werden sie doch nur an Accounts vergeben, die als authentisch verifiziert wurden und die eine öffentliche Person/Prominenten oder eine Marke repräsentieren. Der Bedrohungsakteur setzt bei dieser Kampagne auf die Sorglosigkeit und den Enthusiasmus von Instagram-Nutzern, wenn sie mit der Möglichkeit konfrontiert werden, den Status ihres sozialen Kontos zu verbessern.

„Der Betrug wurde erstmals Ende Juli entdeckt und nutzt das begehrte Verifizierungsprogramm von Instagram aus, um die Opfer dazu zu bringen, persönliche Informationen und Kontodaten preiszugeben“, schreibt Vadesecure. „Die Angriffe zielen auf bestimmte Nutzer der Social-Media-Plattform und sind damit raffinierter als andere Phishing-Kampagnen, die zumeist wahllos Attacken auf eine Vielzahl von Opfern verüben.“

Die Phishing-E-Mails verwenden bei dieser raffinierten Angriffsmethode die Betreffzeile „ig bluebadge info“ und den Namen „ig-badges“. Im Text wird anschließend erläutert, dass das Instagram-Profil des Opfers überprüft wurde und für eine Verifizierung in Frage kommt. Die Instagram- und Facebook-Logos in der Kopf- und Fußzeile der E-Mail erwecken dabei den Anschein von Legitimität. Tatsächlich können aufmerksame Nutzer trotzdem einige Unstimmigkeiten und Merkmale von Social-Engineering-Techniken in den E-Mails erkennen. Diverse Anzeichen deuten klar auf einen klassischen Fall von Phishing hin, so tauchen zum Beispiel vermehrt grammatikalische Fehler und Tippfehler im Text auf – die üblichen Flüchtigkeitsfehler von Betrügern.

Effektive Sicherheitsmaßnahmen

Um die eigene Organisation vor derartigen Gefahren zu schützen, empfehlen die Sicherheitsexperten von KnowBe4, Schulungen zum Sicherheitsbewusstsein anzubieten, damit die Nutzer lernen, die typischen Anzeichen von Social-Engineering-Angriffen zu erkennen. „Die effektivste Maßnahme zur Vorbeugung solcher Angriffe ist, ein umfassendes Security Awareness Training für die Mitarbeiter zu etablieren“, so Jelle Wieringa, Security Awareness Advocate bei KnowBe4. „Grundsätzlich wird hierbei versucht, mithilfe von simulierten Phishing Mails zu testen, wie aufmerksam die Mitarbeiter sind. Das Ziel der Trainings ist, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen. Die Anzahl der erfolgreichen Phishing-Angriffe auf das Unternehmen kann durch ein solches Training sehr stark reduziert werden“.

 

Jelle Wieringa
Foto: KnowBe4

Jelle Wieringa, Security Awareness Advocate bei KnowBe4

 

Andere interessante News

Handy Betrug

Vorsicht Abzocke: Hype um iPhone-16-Release lockt Betrüger

Mit dem Hype um den Release des neuen iPhone 16 nutzen Cyberkriminelle die Begeisterung der Apple-Fans schamlos aus: Sie locken ahnungslose Nutzer mit Möglichkeiten für (gefälschte...

Phishing-Mail

Warnung: Mobile Phishing-Angriffe nehmen massiv zu

Vier von fünf Phishing-Seiten zielen speziell auf mobile Geräte ab. Mobile Phishing umfasst Methoden wie SMS-Phishing (Smishing), Voice-Phishing (Vishing), App-, E-Mail- und Social...

Frau bei Videokonferenz

BSI erklärt Videokonferenzdienst Zoom für sicher

Der Videokonferenzanbieter Zoom hat jetzt zwei IT-Sicherheitskennzeichen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten. BSI-Vizepräsident Dr. Gerhard Schab...