Eine neue Instagram-Phishing-Kampagne treibt derzeit weltweit ihr Unwesen. Bei der neuen Betrugsmasche versuchen Cyberkriminelle die Konten von Nutzern der beliebten Social-Media-Plattform zu kompromittieren. Hierbei werden die potenziellen Opfer mit einem Angebot für einen blauen Haken geködert, welche extrem begehrt sind: Sie werden nur an Accounts vergeben, die als authentisch verifiziert wurden und eine öffentliche Person, einen Prominenten oder eine Marke repräsentieren. Die Spearphishing-E-Mails der kürzlich beobachteten Kampagne informieren die Empfänger darüber, dass Instagram ihre Konten überprüft hat und sie für eine blaue Plakette in Frage kommen. Der Bedrohungsakteur setzt bei dieser Kampagne auf die Sorglosigkeit und den Enthusiasmus von Instagram-Nutzern, wenn sie mit der Möglichkeit konfrontiert werden, den Status ihres sozialen Kontos zu verbessern.
„Der Betrug wurde erstmals Ende Juli entdeckt und nutzt das begehrte Verifizierungsprogramm von Instagram aus, um die Opfer dazu zu bringen, persönliche Informationen und Kontodaten preiszugeben“, schreibt Vadesecure. „Die Angriffe zielen auf bestimmte Nutzer der Social-Media-Plattform und sind damit raffinierter als andere Phishing-Kampagnen, die zumeist wahllos Attacken auf eine Vielzahl von Opfern verüben.“
Technischer Hintergrund der Phishing-Kampagne
Die Phishing-E-Mails verwenden bei dieser raffinierten Angriffsmethode die Betreffzeile „ig bluebadge info“ und den Namen „ig-badges“. Im Text wird anschließend erläutert, dass das Instagram-Profil des Opfers überprüft wurde und für eine Verifizierung in Frage kommt. Die Instagram- und Facebook-Logos in der Kopf- und Fußzeile der E-Mail erwecken dabei den Anschein von Legitimität. Tatsächlich können aufmerksame Nutzer trotzdem einige Unstimmigkeiten und Merkmale von Social-Engineering-Techniken in den E-Mails erkennen. Diverse Anzeichen deuten klar auf einen klassischen Fall von Phishing hin, so tauchen z.B. vermehrt grammatikalische Fehler und Tippfehler im Text auf – die üblichen Flüchtigkeitsfehler von Betrügern.
Effektive Sicherheitsmaßnahmen
Um die eigene Organisation vor derartigen Gefahren zu schützen, empfehlen die Sicherheitsexperten von KnowBe4, Schulungen zum Sicherheitsbewusstsein anzubieten, damit die Nutzer lernen, die typischen Anzeichen von Social-Engineering-Angriffen zu erkennen. „Die effektivste Maßnahme zur Vorbeugung solcher Angriffe ist, ein umfassendes Security Awareness Training für die Mitarbeiter zu etablieren“, so Jelle Wieringa, Security Awareness Advocate bei KnowBe4. „Grundsätzlich wird hierbei versucht, mithilfe von simulierten Phishing Mails zu testen, wie aufmerksam die Mitarbeiter sind. Das Ziel der Trainings ist, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen. Die Anzahl der erfolgreichen Phishing-Angriffe auf das Unternehmen kann durch ein solches Training sehr stark reduziert werden“.
KnowBe4