Hannah Shaw, besser bekannt als die „Kätzchen-Lady“ bringt Menschen bei, wie man sich um neugeborene Katzen kümmert, und hat mehr als 1 Million US-Dollar für Tierheime und Tierrettungen gesammelt. Ihre Facebook-Seite hat über eine Million Follower gewonnen, seit sie mit der Erstellung von Katzeninhalten begonnen hat, aber sie hätte diese fast vollständig durch einen Social-Engineering-Hack verloren, der den Zugriff auf ihr Meta-Geschäftskonto übernommen hat.
„Ich habe diese Community mehr als ein Jahrzehnt lang aufgebaut. Der Gedanke, dass ich es verlieren könnte, war ziemlich niederschmetternd“, sagte Shaw.
Influencer sind für ihr Einkommen auf Plattformen wie Facebook, Instagram und YouTube angewiesen. Diese Websites haben sich von Nebenprojekten zur einzigen Einnahmequelle für einige Content-Ersteller entwickelt. Allerdings haben schlechte Schauspieler Wege gefunden, auch denjenigen einen Teil davon abzunehmen, die dort ihren Lebensunterhalt ehrlich verdienen. Ja, hochrangige Hacker neigen dazu, Unternehmen mit großen finanziellen Mitteln aufzuspüren und sie mit äußerst komplizierten Angriffen anzugreifen. Doch ein Großteil der heutigen Cyberkriminalität besteht aus Social-Engineering-Jobs, bei denen mittelständische Entwickler mit viel weniger Ressourcen als ein multinationaler Konzern, aber auch deutlich weniger technischem Know-how abgezockt werden.
Ein Schöpfer, der vorbeigeht Hobby-Spulen – die in ihrem Bereich der Restaurierung von Vintage-Kleidung Kultstatus erlangte – erzählte mir, wie ihr das alles passiert ist. Der Angriff erfolgte in fast genau denselben Schritten, die zu Shaws Kontoübernahme führten. Es begann mit einer Interviewanfrage einer Person namens Rex Hall, die behauptete, Manager der Sendung „Podcast and Chill with MacG“ zu sein. Dies scheint ein echter Podcast zu sein, obwohl niemand namens Rex Hall öffentlich damit in Verbindung gebracht zu werden scheint. (Wir haben die Podcaster kontaktiert, um herauszufinden, ob ihnen bewusst ist, dass ihre Marke für ein Social-Engineering-Programm missbraucht wird, und haben noch keine Antwort erhalten.) „Podcast and Chill“ hat seinen Sitz in Südafrika und laut seiner Twitter-Biografie: Sein Zweck besteht zum Teil darin, „schwarze Exzellenz zu dokumentieren“. Es konzentriert sich nicht speziell auf die Themen, die Shaw oder Bobbins behandeln, wie Tiergesundheit oder Vintage-Kleidung. Aber Influencer erhalten diese Anfragen ständig, die Podcast-Moderatoren hatten einen digitalen Fußabdruck und „Rex“ konnte alle Fragen beantworten, die Bobbins hatte.
Der böswillige Akteur bat seine Zielpersonen, an einem Zoom-Anruf teilzunehmen, um sich auf das Vorstellungsgespräch vorzubereiten, einschließlich der Einrichtung von Facebook Live, um Einnahmen zu erzielen. „Zuerst schien alles normal zu sein, das einzig Merkwürdige war, dass seine Kamera nicht eingeschaltet war. Aber selbst das ist nicht allzu seltsam, viele Leute wollen nicht vor der Kamera stehen“, sagte Shaw. Nach einem Labyrinth des Hin und Her über Backend-Einstellungen führt der Betrüger seine Ziele zu einer Backend-Einstellung namens „Datensätze“. Es handelt sich um eine undurchsichtige Seite, die häufig dazu verwendet wird, Personen Administratorzugriff auf ein Geschäftskonto zu gewähren. Die Opfer dachten jedoch, dass dies ein normaler Teil der Einrichtung von Facebook Live sei, da es Optionen zur Ereignisverwaltung umfasst.
Sowohl Shaw als auch Bobbins lehnten die Anfrage nach Zugriff auf Datensätze ab und deaktivierten die Bildschirmfreigabe, um nicht zu viel preiszugeben. Aber die Hacker drangen trotzdem ein, indem sie darauf bestanden, bei der Einrichtung zu helfen, und sagten, sie müssten sich einen scheinbar harmlosen Link ansehen. In Datensätzen generierten die Ersteller eine eindeutige URL, über die die Betrüger auf das Konto zugreifen konnten. „Als er diese direkte URL erfasste, wurde im Grunde diese E-Mail-Einladung für ihn generiert, ohne dass er jemals auf meine E-Mails zugreifen musste, ohne dass er überhaupt ein Passwort oder ähnliches kennen musste“, sagte Bobbins. „Er musste nur den Link einfügen und die Einladung annehmen und dann wurde automatisch sein persönliches Facebook zu meiner Seite hinzugefügt.“
Nachdem „Rex“ Zugriff erhalten hatte, konnte er sich zum Administrator der Seite machen. Mit dieser Macht könnten sie Bobbins die Möglichkeit nehmen, sich anzumelden. Support-Tickets mit Meta ließen sie im Kreis herumlaufen, um ihr Konto zurückzubekommen. Bobbins verlor die Möglichkeit, mit ihren 400.000 Followern zu kommunizieren, und Hacker löschten jahrelange Inhalte, deren Erstellung sie ihre Karriere gewidmet hatte.
Die Betrüger haben die Seite bereinigt, um Platz für gefälschte Links zu schaffen, die zu werbefinanzierten Websites führten, um leicht Einnahmen zu erzielen. Sie haben eine Liste mit etwa 100 gesperrten Wörtern erstellt, damit sich die Follower nicht gegenseitig darauf hinweisen können, dass das Konto gehackt wurde. „Jeder, der auf meiner Seite einen Kommentar mit der Aufschrift ‚gestohlen‘ oder ‚gehackt‘ oder ‚Betrug‘ oder was auch immer abgegeben hat, wird automatisch blockiert. Daher konnte keiner meiner anderen Follower die Leute sehen, die wussten, dass mein Konto gehackt wurde“, sagte Bobbins. Sie verlor an jedem Tag, an dem ihr Konto übernommen wurde, eine unbekannte Anzahl an Aufrufen und Verkäufe im Wert von „Hunderten von Dollar“.
Shaw und Bobbins suchten beide Hilfe bei Meta, aber es blieb erfolglos. „Für ein Problem wie dieses gibt es bei Facebook keinerlei Unterstützung“, sagte Bobbins. Das Zurücksetzen ihres Passworts führte zu nichts, da dadurch die von den Hackern geänderten Administratoreinstellungen nicht geändert werden konnten. Als Bobbins endlich herausfand, wie man mit einem Support-Ticket Kontakt zum Helpdesk von Facebook aufnehmen konnte, wurde das Problem „fast sofort“ geschlossen, ohne dass man Hilfe erhielt, sagte sie. Als Antwort auf unsere Fragen zu diesem Angriffsvektor oder was sie tun, um Erstellern dabei zu helfen, ihre Konten zu schützen, empfahl Meta den Benutzern, die Multifaktor-Authentifizierung zu implementieren und etwaige Probleme zu melden sein Support-Center. Aber Shaw und Bottoms haben beide die Zwei-Faktor-Authentifizierung aktiviert und ihre Konten wurden trotzdem übernommen. Meta hat jedoch Anfang des Jahres einen besseren Kundenservice als Funktion in sein kostenpflichtiges Verifizierungspaket eingeführt, und zwar auf eine andere Art und Weise Social-Media-Plattformen erheben Gebühren für Sicherheitsfunktionen.
Shaw erhielt ihr Konto etwa 72 Stunden nach dem ersten Angriff zurück, indem sie mithilfe ihrer Follower eine Person fand, die ihr helfen konnte, doch Bobbins hatte nicht so viel Glück. Sie hat auch heute noch, mehr als einen Monat nach dem Hack, Probleme mit dem Zugriff. Sie stieg kurz wieder ein und konnte damit beginnen, ihre früheren Inhalte manuell erneut hochzuladen. Darüber hinaus änderten diejenigen, die auf die Konten zugegriffen hatten, die Standortberechtigungen, deaktivierten die Nachrichtenfunktion, entfernten ihren Shop von ihrer Seite, blockierten bestimmte Follower und entzogen ihr 5 US-Dollar pro Monat an Abonnenten. Das Schadensnetz weitete sich so weit aus, dass Bobbins eine Liste der Fußabdrücke erstellte, die der Angreifer hinterlassen hatte, um anderen zu helfen, die Änderungen rückgängig zu machen. Seit der Kontoübernahme kämpft Bobbins darum, den Zugriff auf ihr Konto zu behalten, da ungewöhnliche Meldungen zu scheinbar ungerechtfertigten Urheberrechtsverletzungen und andere Probleme sie rausschmeißen.
„Im Moment kann man keinen zusätzlichen Schritt unternehmen, um jemanden vor dem zu schützen, was ich gerade durchgemacht habe“, sagte Bobbins. Die einzige Vorbeugung gegen ein Verbrechen wie dieses ist die Verbreitung der Nachricht, damit andere nicht auf denselben Social-Engineering-Trick hereinfallen. Aus diesem Grund hilft Shaw dabei, mehr als ein Dutzend anderer Opfer desselben Betrugs zusammenzubringen, um den Schaden zu minimieren und mehr Sicherheit für die Urheber zu fordern.
Dennoch gibt es keine wirkliche Lösung, ohne dass die Plattformen große Veränderungen herbeiführen. Plattformen sollten besser in der Lage sein, Beschwerden von Followern schnell zu untersuchen, denn derzeit liegt die Verantwortung bei den Seiteneigentümern, dies herauszufinden, sagte Eva Velasquez, Präsidentin und CEO des Identity Theft Resource Center. Während es für den traditionellen Identitätsdiebstahl viele vorgeschriebene Prozesse gibt, wie etwa das Einfrieren Ihres Guthabens, gibt es keine klar definierten Praktiken für die Übernahme von Social-Media-Konten, da die Urheber diesen Plattformen ausgeliefert sind.
Wenn Sie als Follower auf etwas stoßen, das wie eine Kontoübernahme aussieht, empfiehlt Velasquez, sich mit dem Ersteller außerhalb dieser spezifischen Plattform in Verbindung zu setzen, um ihn darüber zu informieren, dass ein Hackerangriff stattfindet. Opfer einer Kontoübernahme können auch die Beschwerdestelle für Internetkriminalität über den Vorfall informieren, aber viel mehr können sie nicht tun. Oder YouTuber können die Nutzung der Plattform ganz vermeiden. „Zum jetzigen Zeitpunkt empfehle ich niemandem, Facebook-Live-Interviews anzunehmen“, sagte Shaw.