Für diesen Beitrag haben wir alle relevanten Fakten sorgfältig recherchiert. Eine Beeinflussung durch Dritte findet nicht statt.
Zum journalistischen Leitbild von t-online.Masche aufgedeckt So wollen Kriminelle Ihr Instagram-Konto stehlen
Ein echter Social-Media-Account ist auf dem Schwarzmarkt einiges wert. Unser Autor hat die Masche untersucht, mit der Nutzern ihre Konten gestohlen werden – und sogar mit einem der Betrüger gechattet.
Jeder, der auf Instagram aktiv ist, kennt das: früher oder später bekommt man eine Direct Message von einem (angeblichen) Instagram-Dienst, der einen auf einen Copyright-Verstoß hinweist. Um den Fall zu klären, solle man sich unter einem bestimmten Link nochmal einloggen und zu dem Vorwurf Stellung nehmen.
Bei aufmerksamen Nutzerinnen und Nutzern werden in so einem Fall mehrere Alarmglocken gleichzeitig schrillen. Auch ohne das Wissen, dass Instagram solche Mahnungen nicht per Direct Message verschickt, kann man sich bestimmte Punkte anschauen: handelt es sich wirklich um einen offiziellen Instagram-Account? Klingt der Text nach sauberem Englisch oder eher wie von einem Online-Tool notdürftig übersetzt? Ist die Domain, auf die ich geführt werde, wirklich instagram.com oder irgend eine andere Domain?
Fake um Instagram-Accounts zu erbeuten
Kurz gesagt: Es handelt sich dabei um einen Fake. Mit dieser Masche versuchen Betrüger, Instagram-Accounts zu erbeuten. Denn natürlich landet man nach einem Klick auf den Link NICHT auf einer offiziellen Instagram-Domain, auch wenn die Landingpages oft sehr gut nachgebaut sind. Gibt man nun aber seine Zugangsdaten dort ein, haben die Betrüger Zugriff auf den Account und ändern fix das Passwort. Und schon ist der Account weg.
Felix Beilharz ist Berater für Online- und Social Media Marketing. Der Kölner Digitalexperte hat in seinem 10. Buch „#FAKE“ die Welt der Internet Fakes untersucht. Egal, ob Fake Bewertungen, Fake Online Shops, Fake News oder Fake Profile im Social Web – kein Fake ist vor ihm sicher. Das Buch erscheint am 24.06.2021, weitere Infos dazu gibt es hier.
So geschehen zum Beispiel beim Fußball-Profi Mathias Honsak. In diesem Fall war die Beute besonders attraktiv, da das Profil mit einem blauen Haken verifiziert war. Die Betrüger schrieben daraufhin mit diesem Profil unzählige Instagram-Nutzerinnen und -Nutzer an und verschickten eine Warnung. Dass die Warnung nicht von Instagram selbst sondern von einem Account namens "Mathias Honsak" kam, dürfte angesichts der offiziell anmutenden Nachricht und dem blauen Haken viele Opfer nicht aufgefallen sein.
Im Rahmen meiner Recherche zum Buch #FAKE (Erscheinungsdatum 01.07.21) ist es mir gelungen, mit einem der Betrüger zu chatten. Auch dieser nutze einen erbeuteten Account, den er in "Instagram Copyright Manager" umbenannt hatte.
Betrüger gibt Auskunft über seine Masche
Ich fragte ihn, wie er zu diesem "Job" als Instagram-Betrüger gekommen sei. Angeblich sei bei ihm Covid-19 der Grund gewesen, in das Geschäft einzusteigen. Er habe seinen Job verloren und gehört, dass man damit leicht Geld machen könne.
Die Konten, die er über diese Masche erbeutet, verkauft er. Im Darknet gibt es eine ganze Reihe von Foren, in denen nicht nur mit Waffen, gefälschten Ausweisdokumenten oder Drogen gehandelt wird, sondern auch mit realen, erbeuteten Instagram Accounts. Die Preise schwanken dabei enorm, je nach Followerzahl, Verifizierung, Aktivität des Kanals und anderen Faktoren.
Fallen Viele auf diese Masche herein? Der Betrüger behauptete, pro Tag immer mindestens 3-4 Konten übernehmen zu können, mit mehr Einsatz auch mehr. Die Erfolgsquote liege bei 70-80%.
Die Verdienstchancen interessierten mich natürlich enorm. Durchschnittlich seien circa 4.000 bis 5.000 Euro pro Monat realistisch. Größere Accounts werden deutlich besser vergütet, bis zu 15.000 Euro pro Monat seien damit möglich.
Bis zu 15.000 Euro im Monat für größere gestohlene Accounts
Kein Wunder also, dass so viele Accounts mit den Fake-Nachrichten angeschrieben werden. Die meisten der Betrüger sitzen in weniger wohlhabenden Ländern und dürften mit solchen Umsätzen zu den Spitzenverdienern gehören.
Bei "meinem" Betrüger weisen einige Details darauf hin, dass er in der Türkei sitzt. Zum Beispiel verwendete er die Formulierung "Geld werfen", was der türkischen Übersetzung für "Geld überweisen" entspricht. Außerdem sprach er in einer Nachricht von Trendyol, einem türkischen Online-Shop.
Generell war der Betrüger jedoch sehr vorsichtig – sobald das Gespräch auf ihn persönlich und seine Umstände kam, lenkte er das Gespräch schnell ab. Ein gewisses Maß an Misstrauen ist in diesem Berufszweig vermutlich Einstiegsvoraussetzung.
Wie kann man sich schützen?
Was kann man denn nun tun, um sich gegen die Übernahme des eigenen Instagram-Accounts zu schützen? Grundsätzlich ist immer dann Vorsicht angesagt, wenn man via Direct Message aufgefordert wird, einen Link anzuklicken. Und immer dann, wenn man irgendwo seine Zugangsdaten eingeben soll, sollten sämtliche Warnleuchten aufflackern. Die Grundregel "Gib deine Zugangsdaten niemals aus der Hand" gilt auch für das Eintragen auf Websites.
Und schließlich: die von Instagram und fast allen anderen Social Media Kanälen angebotene Zwei-Faktor-Authentifizierung erhöht das Level an Schutz nochmal deutlich. Aber selbst damit gilt – Gesunder Menschenverstand ist der beste Schutz gegen Fakes, Betrüger und Co.
- Eigene Recherche