Nadja Abd el Farrag, die Ex-Lebensgefährtin des Musikproduzenten Dieter Bohlen, ist Opfer von Internet-Erpressern geworden. Wie zahlreiche Medien berichten, haben Hacker das Passwort für ihren Instagram-Account geraubt und das Konto deaktiviert. Daraufhin verlangten sie 300 Euro für die Wiederherstellung. Frau Abd el Farrag ging auf diese Erpressung nicht ein. Schließlich löschten die Kriminellen den Account endgültig, mitsamt der 12.600 Follower:innen und der 120 Fotos und Videos. Außerdem wurde die Telefonnummer der Prominenten gestohlen, welche im Account hinterlegt war.
Die Tricks der Hacker
Solche Angriffe sind kein Einzelfall. Vermehrt nehmen Kriminelle Instagram und weitere Social-Media-Plattformen ins Visier, um persönliche Daten, insbesondere Passwörter, zu erbeuten. Dabei nutzen sie u.a. diese drei Tricks:
1. Die Betrüger legen eine täuschend echte Fälschung eines Instagram-Kontos an, einen sogenannten Fake-Account. Das Original melden sie dann Instagram als Fälschung und geben ihren Fake-Account als Original aus. Der Account des Opfers wird dann fälschlicherweise von Instagram gelöscht. Die Kriminellen treten dann an das Opfer heran und bitten um Lösegeld für eine Entsperrung. Wird das Lösegeld gezahlt, geschieht in der Regel nichts. Dieser Trick wurde unter dem Begriff „Ban-as-a-Service“ bekannt.
2. Die Kriminellen nutzen das Prinzip "Versuch und Irrtum": Mithilfe von speziellen Programmen werden jegliche Passwörter ausprobiert, zunächst bekannte wie "12345", Geburtstage oder Vornamen, später komplexere. Als grundlegende Datenbank dienen Wörterbücher mit Milliarden von Wörtern in zahlreichen Sprachen. Solche Programme sind sehr ausgereift, sie ersetzen auch Buchstaben mit ähnlichen Sonderzeichen (zum Beispiel "S" mit "$" oder "i" mit "!"). Die Methode nennt man Brute-Force.
3. Darüber hinaus nutzen die Krimnelle bereits gehackte Accounts um Instagram-Direktnachrichten an Follower:innen zu versenden. Sie haben häufig den gleichen Inhalt: „This took me 3 hours to make. I really hope you love it.“ (Übersetzt: „Ich habe hierfür drei Stunden gebraucht. Ich hoffe wirklich, dass es dir gefällt“) und einen Link. Klickt man auf den Link, wird man wird man etnweder aufgefordert, eine App zu installieren, die Schadsoftware enthält und Passwörter abgreift oder man gelangt auf einer Webseite der Betrüger, auf der man seine Passwörter eingeben soll.
So können Sie sich schützen
SiBa rät zu folgenden Maßnahmen:
- Geben Sie möglichst wenige Daten in ihren Social-Media-Accounts an. Geben Sie zum Beispiel ihre Telefonnummer an, welche bei Instagram gar nicht benötigt wird, haben Hacker auch Zugriff auf diese.
- Nutzen Sie sichere Passwörter, bestehend aus Buchstaben, Zahlen und Sonderzeichen in zufälliger Reihenfolge. Wählen SIe keine Wörter aus, die in Wörterbücher stehen. Wählen Sie keine Sonderzeichen, die wie Buchstaben aussehen. Nutzen Sie Passwortmanager, um ihre Passwörter verschlüsselt zu speichern. So brauchen sich diese auch nicht merken.
- Aktiieren Sie die Zwei-Faktor-Authentisierung in den Einstellungen ihres Social-Media-Accounts. Sie werden dann per App oder SMS über jeden Login informiert, welchen sie zusätzlich bestätigen müssen. Ihr Account wurde gehackt, sie haben aber noch Zugriff? Wurde in Ihrem Namen eine Direktnachricht mit schadhaften Links versandt? Dann ändern Sie das Passwort und stellen Sie die Zwei-Faktor-Authentisierung ein. Informieren Sie ihre Follower:innen über den Hack und warnen Sie sie vor Links in Direktnachrichten.
- Klären Sie Ihre Kinder über solche Gefahren auf.