Instagram-Konto gehackt: Tipps gegen Phishing und Social Engineering

Instagram-Konten sind beliebte Angriffsziele für Cyberkriminelle. Vor welchen Betrugsmaschen Sie sich in Acht nehmen sollten und wie Sie Ihren Account absichern, lesen Sie hier.

Laptop und Handy auf Tisch
  Foto: Adobe Stock

Immer wieder gelingt es Unberechtigten, fremde Instagram-Konten zu hacken. Um an die Zugangsdaten zu gelangen, greifen Betrügerinnen und Betrüger auf trickreiche Täuschungsmanöver zurück. Unter Vorspiegelung falscher Tatsachen nehmen sie Kontakt mit ihren potenziellen Opfern auf. Dabei geben sich die Angreifenden via E-Mail als ein bekanntes Unternehmen aus (Phishing) oder kontaktieren die Betroffenen direkt mittels integrierter Chat-Funktion auf Instagram („Instagram Direct“).

Hinweis

Im Jahr 2022 verzeichnet die Social-Media-Plattform Instagram über 3,15 Millionen aktive Nutzerinnen und Nutzer in Österreich.

Die gehackten Accounts werden häufig für weitere Angriffe beziehungsweise Spam-Kampagnen (etwa mit Link-Viren) verwendet. Auch Lösegeldforderungen sind nicht selten, insbesondere bei hoher Reichweite und Popularität der rechtmäßigen Inhaberinnen und Inhaber. Weiteres Ungemach droht, wenn Zahlungsdaten für Dienste wie etwa Instagram-Werbung hinterlegt und mit dem Konto verknüpft sind. Diese sind nämlich für jede Person, die sich in das Benutzerkonto einloggen kann, offen einsehbar.

Anzeichen, dass Ihr Instagram-Konto gehackt wurde

Einen kompromittierten Account erkennen Sie meist anhand folgender Hinweise: Über Ihr Konto werden unautorisierte Beiträge und Kommentare gepostet beziehungsweise Nachrichten mit dubiosen Links an Personen aus Ihrer Kontaktliste verschickt. Oder Sie werden von Instagram per E-Mail darüber informiert, dass jemand versucht, Ihre Nutzerdaten (E-Mail-Adresse, Passwort) zu ändern.

Tipp

Weiterführende Informationen zur Absicherung Ihrer Konten in sozialen Netzwerken finden Sie im Beitrag „Ein Social-Media-Profil wurde gehackt – was kann man tun?“.

Betrugsmaschen auf Instagram: Aktuelle Beispiele

Falls Sie für Instagram ein schwaches, unsicheres Passwort verwenden, können Cyberkriminelle dieses mithilfe spezieller Software einfach erraten (Brute-Force-Attacke). Überdies werden Instagram-Konten häufig auch über die Wiederherstellungsfunktion („Passwort vergessen“) gehackt, wenn der für die Registrierung verwendete E-Mail-Account kompromittiert ist. Aber auch das sicherste Passwort bietet keinen Schutz, wenn es mittels Phishing oder Social Engineering freiwillig bekanntgegeben wird. Typische Szenarien sind zum Beispiel:

  • Sicherheitswarnung des Unternehmens. In einer vermeintlichen Kundendienst-E-Mail des Unternehmens werden Sie über „verdächtige Aktivitäten“ informiert und aufgefordert, sich über einen Link mit Ihren Login-Daten bei Instagram anzumelden. Der Link führt aber zu einer gefälschten Website, die Ihre Zugangsdaten abgreift. Überprüfen Sie die Echtheit einer Kundendienst-E-Mail, indem Sie in den Einstellungen der App auf „Sicherheit“ und „E-Mails von Instagram" tippen. Dort sollte ein entsprechender Eintrag zu finden sein, sofern es sich wirklich um eine Nachricht der Social-Media-Plattform handelt.
  • Verifizierung: Blaue Plakette wird vergeben. Sie werden per E-Mail darüber informiert, dass Ihr Konto von Instagram geprüft wurde und Sie nun auf ein „verifiziertes Konto“ mit blauem Häkchen upgraden können. Im Rahmen des vermeintlichen Verifizierungsprozesses werden Sie aufgefordert, persönliche Daten bekanntzugeben.
  • Hilfe bei der Wiederherstellung des Kontos. Jemand aus Ihrer Bekanntenliste gibt vor, Hilfe bei der Wiederherstellung eines Accounts und daher Ihre Telefonnummer zu benötigen. Sobald Sie diese zur Verfügung stellen, können die Angreifenden die Funktion „Passwort zurücksetzen“ für Ihren Account aktivieren. Die Kriminellen fordern Sie dann auf, die Ihnen von Instagram zugesendete SMS oder E-Mail (zum Erstellen eines neuen Kennworts) abzufotografieren und an sie zu senden. Im Glauben, jemandem zu helfen, geben Betroffene damit aber Betrügerinnen und Betrügern die Möglichkeit, die Kontrolle über das Konto zu übernehmen. 

Bei Betrugsmaschen auf Instagram geht es letztlich immer um Geld. Sie zielen daher häufig darauf ab, durch geschickte Manipulation der Opfer diese zur Überweisung von Geldbeträgen zu überreden (zum Beispiel „Love Scams“). Userinnen und User sollten daher Kontaktanfragen unbekannter Personen prinzipiell kritisch hinterfragen. Bedenken Sie auch, dass Social-Media-Unternehmen ihre Userinnen und User niemals per integrierter Chatfunktion („Instagram Direct“) kontaktieren.

Hinweis

Die Zwei-Faktor-Authentifizierung schützt Online-Konten und damit verknüpfte persönliche Daten vor verschiedenen Cyberbedrohungen. Erfahren Sie mehr im Themenschwerpunkt Mehrfaktor-Authentifizierung.

Das Instagram-Konto absichern

Mit den folgenden Tipps lassen sich Instagram-Konten weitgehend gegen unbefugte Zugriffe schützen:

Tipp 1: Aktivieren Sie zur Absicherung Ihres Benutzerkontos die Zwei-Faktor-Authentifizierung. In der Instagram-App finden Sie die entsprechende Funktion im Menü oben rechts unter dem Pfad „Einstellungen“ – „Sicherheit“ – „Zweistufige Authentifizierung". Optional entscheiden Sie sich für die Zusendung des Sicherheitscodes per SMS oder mittels Authenticator-App.

Tipp 2: Erstellen Sie ein sicheres Passwort und berücksichtigen Sie hierfür die aktuellen Empfehlungen hinsichtlich Länge und Komplexität. Passwörter sollten unter keinen Umständen geteilt werden – schon gar nicht auf Anfrage! Verwenden Sie für verschiedene Online-Zugänge (Social-Media, E-Mail Accounts etc.) immer unterschiedliche Passwörter! Zum automatischen Generieren und sicheren Aufbewahren Ihrer Passwörter können Sie einen Passwort-Manager verwenden.

Tipp 3: Ignorieren Sie fragwürdige Nachrichten unbekannter Personen. Blockieren Sie das Profil und melden Sie es den Verantwortlichen der Plattform. Beachten Sie aber, dass potenziell gefährliche Nachrichten auch von Profilen aus Ihrer Kontaktliste versendet werden können, wenn diese zuvor gehackt wurden.

Wenn Sie Ihr Profil auf „Privat“ stellen, können nur noch Kontakte aus der Freundesliste Ihre Storys und Postings sehen. Die Funktion schützt Sie jedoch nicht vor unseriösen Kontaktanfragen, die weiterhin im Ordner „Anfragen“ angezeigt werden.

Hinweis

Der von Saferinternet.at herausgegebene Privatsphäre-Leitfaden Instagram bietet verständliche Schritt-für-Schritt-Anleitungen für Userinnen und User. Über mögliche Gefahren sozialer Medien für Kinder und Jugendliche informiert Sie der Social-Media-Experte Matthias Jax im Interview „TikTok, Instagram und Co: Die Risiken sozialer Netzwerke im Fokus“.

Letzte Aktualisierung: 4. November 2022

Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria