Instagram: Neue Phishing-Welle klaut Profile für Betrug

Eine aggressive Betrugskampagne zielt derzeit auf Instagram-Nutzer ab. Kriminelle locken mit kostenlosen Followern und speziellen Funktionen, um Zugangsdaten zu stehlen. Sicherheitsexperten warnen vor der professionellen Masche.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verzeichnet einen signifikanten Anstieg von Account-Übernahmen. Die Angreifer nutzen den Wunsch vieler Nutzer nach digitaler Bestätigung und schnellem Wachstum schamlos aus. Ihre Versprechen klingen verlockend: Tausende neue Follower, die begehrte Verifizierung oder der Zugang zu exklusiven Live-Funktionen – angeblich völlig kostenlos.

Der perfekte Köder: Status und Funktionen

Warum funktioniert der Betrug so gut? Die Antwort liegt in den Regeln der Plattform selbst. Viele Funktionen, wie erweiterte Live-Streaming-Optionen oder Monetarisierungstools, schaltet Instagram erst ab einer bestimmten Follower-Zahl frei. Für viele Micro-Influencer wird die 1.000er-Marke zur nervenaufreibenden Hürde.

Genau diesen Druck nutzen die Kriminellen. Sie kontaktieren Nutzer direkt oder schalten Werbeanzeigen, die eine “sofortige Freischaltung” versprechen. Getarnt als “Marketing-Aktion” oder “Beta-Test”, locken sie Opfer in die Falle. Oft wird nur eine angebliche Identitätsbestätigung verlangt – doch dann ist es bereits zu spät.

Passend zum Thema Instagram & Co.: Viele Smartphone-Nutzer übersehen grundlegende Schutzmaßnahmen – von sicheren App-Quellen bis zur Nutzung einer Authenticator-App. Wer SMS-Codes oder fragwürdige Login-Links nutzt, ist besonders gefährdet. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android mit klaren Schritt-für-Schritt-Anleitungen, Tipps zum Erkennen gefälschter Login-Seiten und Empfehlungen zu sicheren 2FA-Methoden. Jetzt kostenloses Sicherheitspaket für Android anfordern

Zwei gefährliche Fallen im Detail

Die technische Umsetzung der aktuellen Angriffe ist alarmierend hochwertig. Sicherheitsexperten identifizieren zwei Hauptmethoden:

• Gefälschte Drittanbieter-Apps: Nutzer werden zu Apps außerhalb der offiziellen Stores gelockt. Diese imitieren das Design legitimer Analyse-Tools. Bei der vermeintlichen Konto-Verbindung landen Benutzername, Passwort und sogar 2FA-Codes direkt bei den Betrügern.
• Perfekt nachgebaute Login-Seiten: Links in Direktnachrichten führen auf Webseiten, die das Meta-Login-Fenster pixelgenau kopieren. Die URLs sind durch Tricks wie “Typosquatting” (z.B. “lnstagram-security-check.com”) kaum vom Original zu unterscheiden.

Ist das Konto einmal gekapert, übernehmen automatisierte Skripte sofort die Kontrolle. Sie ändern Passwörter und sperren den rechtmäßigen Besitzer aus.

Vom Opfer zum Werkzeug: So eskaliert der Betrug

Die Account-Übernahme ist für die Täter oft nur der Anfang. Gekaperte Profile werden sofort als Waffe für weitere Straftaten missbraucht. Da Nachrichten von einem vertrauten Freund zu kommen scheinen, schlagen diese Angriffe besonders häufig ein.

Aktuell dominieren zwei Szenarien:
* Krypto-Fallen: In den Storys des gekaperten Profils tauchen plötzlich gefälschte Investitionsangebote auf (“5.000 Euro in 2 Stunden verdient!”). Freunde und Follower sollen so in finanzielle Fallen gelockt werden.
* Die Code-Masche: Die Betrüger schreiben Freunde des Opfers an. Sie behaupten, sich ausgesperrt zu haben und bitten um die Weitergabe eines Sicherheitscodes per SMS. Wer mitspielt, riskiert den Verlust des eigenen Kontos oder unerwünschte Abbuchungen.

KI macht Betrug kaum noch erkennbar

Hinter der neuen Welle steht eine zunehmende Professionalisierung der Cyberkriminalität. Ein Brandbeschleuniger ist der Einsatz von Künstlicher Intelligenz. Phishing-Nachrichten werden heute oft von KI-Sprachmodellen verfasst, die den Tonfall und Slang der Zielgruppe perfekt imitieren. Grammatikfehler, einst ein sicheres Erkennungszeichen, sind damit Geschichte.

Gleichzeitig ermöglicht Automatisierung Tausende parallele Angriffe. Soziale Netzwerke werden so zum Einfallstor für Betrugsmodelle, die oft im finanziellen Ruin für das soziale Umfeld des eigentlichen Opfers enden.

So schützen Sie sich vor dem Account-Diebstahl

Sicherheitsexperten sind sich einig: Diese Form des “Social Engineering” wird weiter zunehmen. Der beste Schutz ist und bleibt Vorsicht. Das BSI und andere Behörden empfehlen dringend diese Maßnahmen:

• Misstrauen Sie “Geschenken”: Niemand verschenkt Tausende echte Follower. Solche Angebote sind fast immer betrügerisch.
• Aktivieren Sie starke 2FA: Nutzen Sie eine Authentifizierungs-App (wie Google Authenticator) statt SMS-Codes. Diese sind schwerer abzufangen.
• Prüfen Sie Links kritisch: Geben Sie Login-Daten niemals ein, wenn Sie über einen Link in einer Nachricht auf die Seite gelangt sind. Rufen Sie Instagram immer direkt im Browser oder über die offizielle App auf.
• Hinterfragen Sie ungewöhnliche Nachrichten: Schreibt ein Freund plötzlich über Geldanlagen oder bittet “dringend um Hilfe”? Kontaktieren Sie ihn auf einem anderen Weg – per Anruf oder einem anderen Messenger – und fragen Sie nach.

Die Wiedererlangung eines gestohlenen Accounts ist ein langwieriger Kampf gegen die Bürokratie der Plattform. In der digitalen Welt gilt daher mehr denn je: Vorsicht ist besser als Nachsicht.

PS: Diese 5 Maßnahmen machen Ihr Smartphone spürbar sicherer – eine davon stoppt Phishing-Links bereits beim Öffnen. Der Gratis-Ratgeber erklärt Schritt für Schritt, wie Sie Apps, Berechtigungen und die Zwei-Faktor-Authentifizierung richtig konfigurieren, gefälschte Login-Seiten erkennen und Ihr Konto nach einem Angriff schnell sichern. Besonders empfehlenswert für Nutzer von Instagram & Co. Sicherheitspaket herunterladen und Android schützen