Facebook-Phishing: Weltweite Attacke missbraucht Sicherheitsfeatures

Eine hochprofessionelle Phishing-Kampagne nutzt Facebooks eigene Sicherheitswarnungen aus, um Millionen Nutzerdaten abzugreifen. Die raffinierte Attacke operiert in vier Sprachen und täuscht selbst vorsichtige User.

Cybersecurity-Experten von Trustwave MailMarshal SpiderLabs schlagen Alarm: Kriminelle haben eine besonders perfide Methode entwickelt, um Facebook-Nutzer weltweit ins Visier zu nehmen. Die Betrüger versenden gefälschte Sicherheitswarnungen mit dramatischen Betreffzeilen wie „Ihr Konto wird ohne Verifizierung gesperrt“ oder „Sicherheitsalarm: Verdächtiger Login-Versuch“.

Das Tückische dabei? Die Attacke missbraucht Facebooks legitime URL-Warnung als Vertrauensanker. Wer auf „Jetzt verifizieren“ klickt, landet zunächst auf der echten Facebook-Seite „Sie verlassen Facebook“. Diese eigentlich schützende Funktion verleiht der nachfolgenden Betrugsseite einen Anschein von Seriosität.

Perfekte Täuschung durch Domain-Manipulation

Die Kriminellen haben ihre Methodik ausgeklügelt perfektioniert. Der schädliche Link versteckt sich hinter einer legitimen Facebook-Weiterleitung. Selbst beim Überfahren mit der Maus zeigt der Browser zunächst „facebook.com“ an – ein falsches Sicherheitsgefühl für arglose Nutzer.

Nach dem Klick folgt die eigentliche Falle: eine täuschend echte Nachbildung der Facebook-Login-Seite. Jede eingegebene Information wandert direkt an die Betrüger-Server. Um Spam-Filter zu umgehen, registrieren die Angreifer täglich neue Domains mit Facebook-ähnlichen Namen.

Die psychologische Komponente ist ebenso raffiniert: Zeitdruck durch angebliche 24-Stunden-Fristen soll überlegtes Handeln verhindern.

Neue Bedrohungen aus verschiedenen Richtungen

Parallel entdeckten Acronis-Forscher eine weitere beunruhigende Entwicklung. Eine zweite Phishing-Welle nutzt die „FileFix“-Technik: Nutzer werden dazu verleitet, schädliche Befehle in Upload-Dialoge zu kopieren. Das Resultat: Installation der „StealC“-Malware, die Passwörter, Browser-Daten und Krypto-Wallets stiehlt.

Diese Angriffe markieren einen Wendepunkt. Check Point Research dokumentierte bereits Anfang 2025 ähnliche Kampagnen gegen Facebook-Business-Accounts mit gefälschten Urheberrechts-Beschwerden. Die Mehrsprachigkeit macht es besonders schwer, kulturelle Ungereimtheiten zu erkennen, die Phishing-Versuche normalerweise verraten.

Anzeige: Phishing trifft Nutzer oft dort, wo sie täglich unterwegs sind: auf dem Smartphone – ob per Messenger, Shopping-App oder vermeintlichen Sicherheitsmails. Der kostenlose Ratgeber „Die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone“ zeigt Schritt für Schritt, wie Sie WhatsApp, Banking und Online-Konten wirksam absichern – ohne teure Zusatz-Apps. Mit Checklisten, geprüften Einstellungen und Warnzeichen, an denen Sie falsche Login-Seiten erkennen. Jetzt das kostenlose Android-Sicherheitspaket anfordern

Plattformen unter Druck

Für Meta bedeuten diese Attacken eine besondere Herausforderung: Die eigenen Sicherheitsfeatures werden gegen das Unternehmen verwendet. Die URL-Warnung, eigentlich zum Schutz der Nutzer entwickelt, wird zur Legitimation von Betrug missbraucht.

Sicherheitsexperten fordern mehrschichtige Verteidigungsstrategien. E-Mail-Filter, Domain-Validierung und vor allem Nutzeraufklärung müssen Hand in Hand arbeiten. Doch der menschliche Faktor bleibt die größte Schwachstelle.

Künstliche Intelligenz verschärft das Problem

Die Zukunft verspricht noch ausgefeiltere Angriffe. KI-generierte Nachrichten werden grammatikalisch perfekter, Deepfake-Technologien könnten bald täuschend echte Identitäten vorgaukeln.

Meta empfiehlt klare Schutzmaßnahmen: Offizielle Kommunikation kommt ausschließlich von @fb.com, @facebook.com, @facebookmail.com oder @meta.com. Zwei-Faktor-Authentifizierung ist Pflicht. Bei verdächtigen Links sollten Nutzer die offizielle Website direkt aufrufen statt E-Mail-Links zu folgen.

Die goldene Regel bleibt: Im Zweifel direkt bei Facebook einloggen und den Account-Status prüfen – niemals über E-Mail-Links.