Miese Facebook-Masche: Wer diese Nachricht erhält, muss aufpassen

Im zweiten Quartal 2023 hatte Facebook weltweit mehr als drei Milliarden aktive Nutzer. Im zweiten Teil unserer Serie "Fiese Internet-Fallen – dreist, aber durchschaubar" klärt Sicherheitsforscherin Anna Lena Fehlhaber über die "Bist das du?"-Masche auf.

"Bist das du in dem Video?" - das klingt eigentlich nach einer unverfänglichen Nachricht. Vor allem auf Facebook, wo Nutzer Bilder und Videos von sich und anderen teilen können. Aber Vorsicht. Solche Nachrichten sollten User lieber ignorieren.

"In der Fachsprache nennt sich das Account-Hijacking", sagt Anna Lena Fehlhaber im Gespräch mit CHIP. Sie arbeitet als Dozentin an der Universität Hannover und gibt unter anderem Seminare zum Thema "Human Factors in Cybersecurity".

Die Masche funktioniert so: Über den Account eines arglosen Facebook-Nutzers werden die "Bist das du?"-Nachrichten verschickt. Um zu sehen, um welches Video es sich handelt, soll der Empfänger den Link öffnen. Da die Nachricht von einem "Freund" stammt, ist das Risiko größer, auf den Betrug hereinzufallen.

Der Link ist in der Regel dazu gedacht, das Facebook-Konto des Empfängers zu übernehmen. "Meistens werden Nutzer auf gefälschte Webseiten umgeleitet und es wirkt, als müssten sie sich nochmal einloggen", sagt Fehlhaber. Die Login-Daten fließen direkt an die Kriminellen.

Gehackt über WLAN? Expertin erklärt, wann Verbraucher aufpassen müssen

Mit Links sollen Facebook-Accounts übernommen werden

Betrüger versuchen, Facebook-Nutzer hereinzulegen.
Betrüger versuchen, Facebook-Nutzer hereinzulegen.

Sie nutzen die gekaperten Accounts "einige Tage oder sogar Wochen später, um über automatisierte Skripte massenweise Freunde anzuschreiben oder Beiträge zu posten", sagt die Sicherheitsforscherin. Das wirkt zunächst sinnlos, hat aber ein klares Ziel.

"Es gibt mehrere Arten, von dieser Masche zu profitieren", erklärt Fehlhaber. Zum einen kommen Angreifer mit geringem Aufwand an relativ viele Accountdaten. "Passwörter werden häufig wiederverwendet, also ist die Chance, dass Betrüger sich damit auch in anderen Konten anmelden können, gegeben."

Eine Umfrage des Portals web.de kam 2022 zu dem Ergebnis, dass 57 Prozent der Deutschen ein und dasselbe Passwort für mehrere oder sogar alle Logins verwenden. Für Angreifer ein gefundenes Fressen.

Zum anderen wird nach dem Abfangen der Facebook-Account-Daten manchmal Werbung eingeblendet. Wie Fehlhaber erklärt, können Kriminelle so Geld verdienen. Fest steht: Die "Bist das du?"-Masche scheint sich auszuzahlen.

Vorsicht, Phishing: Wir haben mit Absicht gefährliche Links und Anhänge geöffnet

Wie sich Verbraucher schützen können

Seit Jahren ist der Trick ein Thema in den sozialen Netzwerken. Zum Beispiel auf Reddit, wo zahlreiche Threads mit Titeln wie "Kann jemand mir diesen Facebook-Video-Scam erklären?" oder "Ist das real oder fake?" zu finden sind. Opfer berichten dort von ihren Erfahrungen.

Damit es gar nicht erst so weit kommt, empfiehlt Fehlhaber Nutzern, die sogenannte 2-Faktor-Authentifizierung einzuschalten. Das ist ein Verfahren, bei dem sich Nutzer zusätzlich zum Passwort mit einem weiteren Faktor identifizieren müssen.

Der zweite Faktor kann ein Code sein, der per SMS oder Authentifizierungs-App an das Smartphone des jeweiligen Nutzers geschickt wird, aber auch ein Fingerabdruck oder ein "Yubikey".

Das ist eine Art USB-Stick, also eine Form der Hardware-Authentifizierung. In jedem Fall können sich Kriminelle so nicht einfach in das Facebook-Konto eines Nutzers einloggen, wenn sie über dessen Passwort verfügen.

"Ich bin kein Roboter": Mit fieser Captcha-Masche locken Kriminelle Nutzer in die Falle

Was tun, wenn Betrüger den Facebook-Account gekapert haben?

Social Engineering ist ein großes Problem im Internet.
Social Engineering ist ein großes Problem im Internet.

Fehlhaber rät Nutzern, die eine "Bist du das?"-Nachrichte erhalten haben und nach dem Klick auf den Link zum erneuten Login aufgefordert werden, die Seite zu schließen und nicht weiter damit zu interagieren.

Wer von Betrügern aus seinem Facebook-Konto ausgesperrt wurde, steht allerdings vor einer Herausforderung. Laut der Sicherheitsforscherin ist es schwer, den eigenen Account zurückzubekommen. Gerade, weil Angreifer oft die zugehörige E-Mail-Adresse ändern.

"Nutzer können eigentlich nur darauf hoffen, dass ein Facebook-Mitarbeiter erreichbar ist, der ihnen bei diesem Problem hilft", sagt sie. Auf Personen, die behaupten, sie könnten bei der Reaktivierung von Social-Media-Accounts helfen, sollten Verbraucher dagegen auf keinen Fall eingehen.

"Das sind in aller Regel Scammer, die sich genau darauf spezialisiert haben und behaupten, Menschen bei der Wiederherstellung ihrer Online-Konten zu helfen. Dabei wollen sie nur Daten abgreifen oder verlangen Geld für ihre vermeintliche Hilfe."

Facebook Support kontaktieren: Diese Möglichkeiten gibt es


Dieser Artikel kann Partnerlinks enthalten, von denen Yahoo und/oder der Herausgeber möglicherweise eine Provision erhält, wenn Sie über diese Links ein Produkt oder eine Dienstleistung erwerben.