Neue Instagram-Phishing-Kampagne treibt derzeit weltweit ihr Unwesen

Betrüger nutzen Instagram-Verifizierungsprogramm aus

[datensicherheit.de, 13.09.2022] Eine neue „Instagram“-Phishing-Kampagne treibe derzeit weltweit ihr Unwesen. Bei dieser neuen Betrugsmasche versuchten Cyber-Kriminelle, die Konten von Nutzern der beliebten Social-Media-Plattform zu kompromittieren. Jelle Wieringa, „Security Awareness Advocate“ bei KnowBe4, erläutert: „Hierbei werden die potenziellen Opfer mit einem Angebot für einen blauen Haken geködert, welche extrem begehrt sind: Sie werden nur an Accounts vergeben, die als authentisch verifiziert wurden und eine öffentliche Person, einen Prominenten oder eine Marke repräsentieren.“

Foto: KnowBe4

Jelle Wieringa: Umfassendes Security Awareness Training für die Mitarbeiter als effektivste Maßnahme zur Vorbeugung solcher Angriffe…

Köder: Instagram hat angeblich Konto überprüft und stellt blaue Plakette in Aussicht

Die sogenannten Spearphishing-E-Mails der kürzlich beobachteten Kampagne informierten die Empfänger darüber, dass „Instagram“ ihre Konten überprüft habe und sie für eine blaue Plakette in Frage kämen. Der Bedrohungsakteur setzt bei dieser Kampagne auf die Sorglosigkeit und den Enthusiasmus von Instagram-Nutzern, wenn sie mit der Möglichkeit konfrontiert werden, den Status ihres sozialen Kontos zu verbessern.

„Der Betrug wurde erstmals Ende Juli entdeckt und nutzt das begehrte Verifizierungsprogramm von ,Instagram’ aus, um die Opfer dazu zu bringen, persönliche Informationen und Kontodaten preiszugeben“, führt Vadesecure im aktuellen Blog-Artikel „Instagram Phishing Campaign: Hackers Exploit Social Verification“ aus. Die Angriffe zielen demnach auf bestimmte Nutzer der Social-Media-Plattform und seien damit raffinierter als andere Phishing-Kampagnen, welche dagegen zumeist wahllos Attacken auf eine Vielzahl von Opfern verübten.

Hintergrund der Phishing-Kampagne mit Instagram als Aufhänger

Die Phishing-E-Mails verwendeten bei dieser raffinierten Angriffsmethode die Betreffzeile „ig bluebadge info“ und den Namen „ig-badges“. Im Text werde anschließend erläutert, dass das „Instagram“-Profil des Opfers überprüft worden sei und für eine Verifizierung in Frage komme.

Die „Instagram“- und „facebook“-Logos in der Kopf- und Fußzeile der E-Mail erweckten dabei den Anschein von Legitimität. Tatsächlich könnten aufmerksame Nutzer trotzdem einige Unstimmigkeiten und Merkmale von Social-Engineering-Techniken in diesen E-Mails erkennen: Diverse Anzeichen deuteten klar auf einen klassischen Fall von Phishing hin: Wieringa benennt beispielhaft „vermehrt grammatikalische Fehler und Tippfehler im Text“ – die üblichen Flüchtigkeitsfehler von Betrügern.

Effektive Sicherheitsmaßnahmen nicht nur bei Social-Engineering mit Instagram

Wieringa führt weiter aus: „Um die eigene Organisation vor derartigen Gefahren zu schützen, empfehlen die Sicherheitsexperten von KnowBe4, Schulungen zum Sicherheitsbewusstsein anzubieten, damit die Nutzer lernen, die typischen Anzeichen von Social-Engineering-Angriffen zu erkennen.“ Die effektivste Maßnahme zur Vorbeugung solcher Angriffe sei, ein umfassendes „Security Awareness Training“ für die Mitarbeiter zu etablieren.

Grundsätzlich werde damit versucht, mithilfe von simulierten Phishing-Mails zu testen, wie aufmerksam die Mitarbeiter sind. Das Ziel der Trainings sei es, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen. „Die Anzahl der erfolgreichen Phishing-Angriffe auf das Unternehmen kann durch ein solches Training sehr stark reduziert werden“, sagt Wieringa abschließend.

Weitere Informationen zum Thema:

vade, Todd Stansfield, 01.09.2022
Instagram Phishing Campaign: Hackers Exploit Social Verification