12.04.2022 - Beim NCSC blieb der Meldeeingang letzte Woche auf einem ähnlich hohen Niveau wie in der Vorwoche. Wegen einer angeblichen Copyright-Verletzung reagierten die Medienbeauftragen eines Museums umgehend. Doch in der Mail versteckte sich ein Phishing-Link, der es den Angreifern ermöglichte, den Account zu übernehmen und das Museum zu erpressen.
Woche 14: Hinweis zu einer angeblichen Copyright-Verletzung führt zur Übernahme des Social Media-Accounts eines Museums
Um ein möglichst breites Publikum zu erreichen, kommunizieren viele Unternehmen und Kultureinrichtungen über soziale Medien. Die Pflege dieser Informations-Plattformen und das Bereitstellen von neuen Inhalten ist eine wichtige Aufgabe der Kommunikation. Die Bedeutung der Accounts nimmt mit der Anzahl von Followern stetig zu. Dies versuchen Hacker auszunutzen, indem sie solche Accounts kapern und für eine angebliche Rückgabe Lösegeld einfordern.
Um die Social Media-Accounts zu hacken, müssen die Angreifer an das Passwort gelangen. Bei einem dem NCSC vorliegenden Fall ging es um den Instagram-Account eines Museums. Die Angreifer bedienten sich einer Methode, welche seit Anfang 2021 beobachtet wird. Über den Facebook Business Manager erhielt das Museum eine Nachricht der Angreifer, welche vorgab, vom «Instagram Copyright Help Center» zu stammen. Die Nachricht beschuldigte die Verantwortlichen, mit veröffentlichten Inhalten eine Verletzung sowohl von rechtlichen, wie auch von spezifischen Instagram-Vorgaben (copyright and our community guidlines) zu begehen. Um sich dagegen zu wehren, müsse Berufung eingelegt werden.
Ein Link in der Mail führte zu einem entsprechenden Formular. Dabei handelte es sich um einen Phishing-Link, welcher die Anmeldedaten des Instagram-Accounts zu den Angreifern abfliessen liess. Mit diesen Daten gelang es dem Angreifer, den Account zu übernehmen, die Zugangsdaten und den Account-Namen zu verändern und diesen offenbar in die Türkei zu transferieren.
Den Medienverantwortlichen wurde anschliessend per WhatsApp mitgeteilt, dass der gehackte Account gegen ein entsprechendes Lösegeld wieder zurückgegeben werde.
Das NCSC rät davon ab, Lösegeld zu bezahlen, da die Hacker oftmals trotz Bezahlung den Account nicht zurückgeben. In einigen bekannten Fällen forderten die Angreifer stattdessen sogar noch mehr Geld.
Das sicherere Vorgehen, um den Account zurückzugewinnen, ist über die offiziellen Kanäle der jeweiligen Social Media-Dienstleister, auch wenn dies häufig aufwändig und zeitraubend ist. Um die Rechtmässigkeit des Anspruchs zu beweisen müssen den jeweiligen Social Media-Anbietern zahlreiche Beweise erbracht werden.
Am besten ist es, sich vor solchen Angriffen zu schützen:
- Geben Sie niemals ein Passwort auf einer Webseite an, welche Sie über einen Link geöffnet haben. Geben Sie immer die Adresse (URL) zum entsprechenden Online-Dienst manuell in der Adresszeile Ihres Browsers ein;
- Klicken Sie nie auf Links, welche Sie unaufgefordert erhalten;
- Prüfen Sie die Plausibilität von Forderungen auf einem unabhängigen Weg – zum Beispiel, indem Sie direkt beim Absender nachfragen;
- Verwenden Sie zum Schutz Ihrer Social Media-Auftritte wann immer möglich eine Multi-Faktor-Authentisierung;
- Bewahren Sie Informationen zu Ihrem Account auf, beispielsweise die Kommunikation zur Erstellung des Accounts und andere Informationen, welche nur die rechtmässigen Besitzer haben können.
Aktuelle Zahlen und Statistiken
Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:
Letzte Änderung 12.04.2022