Wie ich mit einem Instagram-Hacker verhandelt habe – und warum wir Menschen oft etwas naiv sind

Instagram ist eine der beliebtesten Social Media Plattformen der Welt. Was 2010 als Bilder Plattform gegründet wurde, hat sich in den letzten 10 Jahre stark gewandelt und immer mehr an Bedeutung gewonnen. Facebook gibt an, dass rund 3,1 Milliarden Menschen einen Dienst von Facebook, zu dem auch Instagram und WhatsApp gehören nutzen, was mehr als einem Drittel der Bevölkerung auf der Erde entspricht.

Als ein so grosser Konzern ist man definitiv Zielscheibe von Hackern, welche versuchen sich Zugriff zum System zu verschaffen. Aber nicht nur das, auch immer mehr Nutzer werden von Hackern angegriffen, welche Unfug mit den Accounts anstellen. Weiter werden damit Daten gesammelt oder für andere Geschäftstätigkeiten gleich der ganze Account verkauft oder als Bots genutzt, welche durch Klicks auf Affiliate-Links von ahnungslosen Nutzern ihr Geld machen.

  1. Wie ich einen Instagram Hacker kennengelernt habe
  2. Wie Hacker sich Zugriff auf einen Account verschaffen
  3. Für einen «Verified Badge» vergessen Nutzer ALLE Sicherheitsregeln
  4. Die Sache mit der Zwei-Faktor-Authentifizierung
  5. Ist Instagram ein sicherer Ort?
  6. So schützt du dich vor Instagram Hackern! – Lesebefehl
  7. Was tun, wenn der Instagram Account gehackt wurde?
  8. Gibt es ein Happy End?
  9. Update 16. Januar 2021 – Hacker Account gelöscht

Wenn ich heute Instagram oder Facebook fragen würde, würde man so ein Problem als Konzern nie zugeben. Man würde mir, wie schon viele Male passiert, erzählen, dass dies Einzelfälle sind und die Systeme immer besser würden. Weiter würde ich wieder zu hören bekommen, dass Accounts, welche gemeldet werden, sehr schnell aus dem Verkehr gezogen würden.

In einigen Fällen mag dies stimmen. Mein persönliches Barometer zeigt mir jedoch eine andere Situation. Im Umfeld werden immer mehr Instagram Accounts gehackt und immer mehr Fake Freundschaftsanfragen erreichen mich.

Ich möchte hier anmerken, dass ich über die Presse Abteilung von Facebook / Instagram an das Sicherheitsteam von Facebook herangetreten bin, wodurch der Konzern die Chance hatte, zu einigen meiner Fragen Stellung zu beziehen.

Mir stellt sich hier die Frage: Ist Instagram und Facebook ein sicherer Ort?

Wie ich einen Instagram Hacker kennengelernt habe

Im November 2020 wurde ich auf einen Instagram Account aufmerksam gemacht, welcher von einem Hacker komplett übernommen wurde. Als ich mir den Account etwas genauer angeschaut habe, stellte ich fest, dass der Hacker nicht gerade subtil mit seinem Erfolg umging. Er machte sich darüber in den Instagram Stories lustig, wie alle „Fans“ der jungen Dame ihn beschimpften und ihm sagten, er solle ihr den Account zurückgeben.

Ich fing daraufhin an, die Aktivitäten des Hackers regelmässig zu beobachten, bis dieser in einer Instagram Story den Account der jungen Dame zum Verkauf anbot. Das Angebot kam rund eine Woche, nachdem das Konto übernommen wurde. Von der jungen Dame konnte ich in Erfahrung bringen, dass sie bereits eine Anzeige bei der Polizei erstattet hatte und deren Fans ihren alten Account bei Instagram gemeldet haben. Erschreckend finde ich, dass Instagram bis heute den Account nicht wieder der Besitzerin zurückgegeben hat. Vielleicht ist der Konzern aus Menlo Park in Kalifornien aber einfach auch überfordert.

Instagram bestätigt bei meiner Anfrage, dass man mehr als 35.000 Mitarbeiter angestellt hat, welche für die Sicherheit der Plattformen zuständig sind.

Um mehr über das Thema zu erfahren und auch mit dem Hacker ein paar Worte wechseln zu können, bin ich auf das Kaufangebot eingegangen. Relativ schnell stellte ich fest, dass der Account der Dame nicht mehr in der Art und Weise existiert. Der Nutzername war anders, alle Bilder waren nicht mehr sichtbar und beim Suchen nach ihrem alten Nutzernamen wurde mir von Instagram mitgeteilt, dass dieser nicht existiert. Der Versuch ihn für einen meiner Accounts zu beanspruchen, klappte auch nicht. Doch durch eine frühere Reaktion meinerseits auf eine ihrer Instagram Stories, konnte ich den gehackten Account noch immer in meinen Nachrichten sehen und landete direkt mit einem Klick auf diesem.

Im Gespräch mit dem Hacker, welcher gemäss eigener Aussage 17 Jahre alt ist und in der Türkei lebt, unterhielten wir uns über den Account. Ich wollte vor einem Kauf gerne eine Bestätigung haben, dass der Account noch existiert. Enis Swexa, wie sich der Hacker nennt, teilte mir mit, dass er den Account für viele Länder blockiert hätte – eine Funktion, welche meiner Kenntnis nach keinem Nutzer zur Verfügung steht, was mich etwas stutzig machte. Er bat mich, 1-2 Minuten zu warten, denn er würde den „Schutz“ deaktivieren. Kurze Zeit später sah der Account etwas anders aus und fing auch an mit mir zu schreiben. Meinen Beweis hatte ich!

Hier freut sich der Account über die 60k Follower in einer Instagram Story
So sieht der Account aus, sobald der Hacker ihn blockiert hat.
Für mich schaltet der Hacker den Account wieder auf, nun sind die Follower und ein paar nicht archivierte Bilder sichtbar
Auf diesem Tab sehe ich noch alle Bildmarkierungen. Auf Bild Nummer 2 waren diese Bilder noch nicht sichtbar.

Ich war mir bis zu diesem Moment sicher zu wissen, wie das mit dem Hacken bei Instagram funktioniert, denn gehört hatte ich schon oft darüber. Doch was ich an dieser Stelle sah, war für mich nicht begreifbar, denn es bedeutete nicht nur, dass ein Hacker sich Zugriff auf einen Username/ E-Mail-Adresse und ein Passwort verschafft hatte, sondern zeigte auch, dass er den ganzen Account verstecken konnte.

Die einfachste Erklärung für mich ist, dass er sich einen Zugriff auf den Server von Instagram verschafft haben muss, wo er diese spezielle Funktion freischalten kann. Wer jetzt viel Fantasie besitzt, mag sich bereits ausdenken, was dies für die Sicherheit der Plattform bedeutet.

Instagram hat eine solche Funktion weder bestätigt noch dementiert. Auch sonst ging Instagram auf diese Thematik nicht ein.

Wie Hacker sich Zugriff auf einen Account verschaffen

Wenn wir uns die gängigen Warnungen von Instagram und Facebook anschauen, heisst es immer „Klick nicht auf jeden Link“ oder „Gibt dein Passwort und deine E-Mail Adresse niemandem“.

Leider hören viele Nutzer nicht auf solche Warnungen, weshalb es zu geklauten Accounts kommt.

Untenstehende Beispiele wurden mir von Kollegen zugesendet. Machen diese Accounts nicht einen vertrauenswürdigen Eindruck? Sie sind verifiziert, haben einen schönen Text in der Bio drinnen und je nach Account auch ein paar Instagram Bilder.

Leider fallen viele Personen auf Nachrichten wie diese rein. Waren die Accounts früher noch normale „nicht verifizierte Accounts“ sind es heute welche, die offiziell und vertrauenswürdig aussehen, wenn man nicht genau hinschaut. Und hier stelle ich mir die Frage: Kann Facebook / Instagram nicht bestimmte Wörter und Sätze blockieren, dass diese nicht von Menschen in einer Bio oder im Namen verwendet werden können?

Instagram ist sich dieser Problematik gemäss eigener Aussage bewusst und sei daran, entgegenwirkende Mechanismen zu entwickeln.

Wie Enis Swexa mir mitteilt, hackt er rund 40 % der Instagram Konten auf diese Art und Weise. Selber hat er mir einige dieser Direktnachrichten Texte gesendet, welche den Nutzer dann auf eine Seite führen, die aussieht als sei sie von Instagram selber. Nutzer sollen dort ihre Daten eingeben, um sich von ihren Copyright Problemen zu befreien oder auch um den begehrten Verifizierungs-Haken zu erhalten.

Instagram Fake Verifikation
Sieht doch auch sehr vertrauenswürdig aus.

Für einen «Verified Badge» vergessen Nutzer ALLE Sicherheitsregeln

Es ist der Heilige Gral im Internet. Alle wollen verifiziert sein und sind dafür bereit, fast alles dafür zu unternehmen. Sucht man auf Google mal nach „Instagram Verification Services“ häufen sich die Seiten, welche den Badge für zwischen 1000 und 5000 Dollar anbieten. Wer nicht bereit ist, so einen Betrag auszugeben, ist sicher froh über eine Nachricht, welche den Badge gratis anbietet. Einmal rasch den Nutzernamen und das Passwort einer fremden Seite anvertraut und der Badge soll innert 24 Stunden da sein.

Aus Erfahrung kann ich euch sagen: Instagram benötigt kein Passwort um euch zu verifizieren, noch schickt euch Instagram eine Nachricht dafür. Entweder ihr habt ihn oder ihr habt ihn halt nicht.

Die Sache mit der Zwei-Faktor-Authentifizierung

Als wir auf die Zwei-Faktor-Authentifizierung zu sprechen kommen, die Nutzer bei Angriffen durch eine zusätzliche SMS Hürde schützen solle, meinte der Hacker, dass ihn diese Hürde 5 Minuten mehr Zeit kosten würde. Hier dürfte auch eine gefälschte Webseite benutzt werden, auf welcher der Nutzer normal seine Daten eingibt, während der Hacker diese auf der richtigen Instagram Seite eintippt und dadurch wohl dann die Zwei-Faktor-Authentifizierung auslöst. Der ahnungslose Nutzer gibt den Code auf der gefälschten Seite ein und übermittelt diesen direkt an den Hacker. Dieser ist nun eingeloggt, während sich der Nutzer ausgesperrt hat.

Eine weitere Methode ist hier gut beschrieben.

Hier gilt «Hirn einschalten»! Egal wie die Zwei-Faktor-Authentifizierung funktioniert, ist diese nur so sicher wie der Ort, wo die Daten eingegeben werden.

Ist Instagram ein sicherer Ort?

Prinzipiell Ja! Vergleichen wir es mit einem Haus und der Haustüre, ist dies auch nur sicher, wenn ihr euren Schlüssel nicht einem Fremden in die Hand drückt oder ihn typischerweise unter dem Stein vor der Haustüre versteckt. Wie so oft ist die grösste Sicherheitslücke der Mensch selber. In allen Fällen, welche mir der Hacker aufgezeigt hat, war es die Leichtgläubigkeit der Menschen, die dazu geführt hat, dass diese ihren Account verloren hatten.

Natürlich muss auch Instagram seinen Teil dazu beitragen und in diesem Bezug hätte ich von der Plattform gerne mehr über die Funktion erfahren, welche der Hacker genutzt hat, um Accounts quasi „unsichtbar“ zu machen. Vielleicht erhalte ich nach Publikation von diesem Beitrag ein Feedback.

So schützt du dich vor Instagram Hackern! – Lesebefehl

Natürlich kennt ihr die Regeln bereits alle, doch würdet ihr mir nicht glauben, wieviele Anfragen ich wöchentlich von Menschen erhalte, die ihren Zugriff zum Account verloren haben. Aus diesen Grund repetieren wir die Sicherheitsregeln noch einmal mit freundlicher Unterstützung von Instagram:

  1. Ein sicheres Passwort durch die Kombination aus mindestens sechs Zahlen, Buchstaben und Satzzeichen (z. B. „!“ und „&“). Ich nutze gerne Spielereien mit Zahlen und Zeichen in einem Satz wie z.B.: «1chw0hne@Zuerich». Das Passwort sollte sich zudem von anderen Passwörtern unterscheiden, die für andere Webseiten genutzt werden.
  2. Regelmässige Änderung des Passworts, vor allem, wenn eine Nachricht von Instagram angezeigt wird, die dazu auffordert. In manchen Fällen stellt Instagram während automatisierter Sicherheitskontrollen Anmeldeinformationen wieder her, die von anderen Seiten gestohlen wurden. Wenn Instagram feststellt, dass ein Passwort möglicherweise gestohlen wurde, trägt das Ändern des Passworts auf Instagram und anderen Seiten zum Schutz des Kontos bei.
  3. Aktivieren der Zwei-Faktor-Authentifizierung für zusätzliche Accountsicherheit. Über eine Telefonnummer oder Apps von Drittanbietern wie DUO Mobile oder Google Authenticator.
  4. Auch das E-Mail-Konto sollte sicher sein. Jeder, der Zugriff auf E-Mails hat, kann wahrscheinlich auch auf das dazugehörige Instagram-Konto zugreifen. 
  5. Der Absender einer E-Mail sollte sorgfältig überprüft werden, insbesondere für Mails, die vermeintlich von Instagram sind. Man kann in der App überprüfen, ob eine Mail tatsächlich von Instagram kommt: Unter Einstellungen > Sicherheit > E-Mails von Instagram wird angezeigt, welche Mails von Instagram stammen. 
  6. Bevor irgendeine Drittanbieter-App autorisiert wird, sollte genau abgewogen werden, ob ihr dieser Vertrauen könnt. Gebt nicht einfach blind euren Usernamen und Passwort ein!
  7. Überprüft regelmässig welche Seiten oder Apps auf euren Account Zugriff haben -> Apps and Websites

Was tun, wenn der Instagram Account gehackt wurde?

Sollte euer Instagram Account gehackt sein oder ihr habt einfach den Zugriff darauf verloren, habt ihr euch wohl nicht ganz an die Regeln oben gehalten. Instagram bietet euch in diesem Fall auf dieser Seite Hilfe an. Bedenkt aber, dass es ruhig mal 1-3 Tage dauern kann, bis ihr euren Account wieder zurückerhalten habt.

Gibt es ein Happy End?

Persönlich hätte ich der Dame mit ihrem Account geholfen, leider hat sie mir nicht vertraut – was ich in ihrer Lage auch verstehen kann. Instagram selber hat bis zum heutigen Tag auch nichts unternommen. Ob die italienische Polizei mit Instagram betreffend des Accounts je in Kontakt getreten ist, ist auch unklar.

Der Hacker ist heute noch sehr aktiv und wollte auch in diesem Artikel nicht anonymisiert werden. Ob Instagram nach diesem Artikel die Welt zu einem etwas sichereren Ort macht, glaube ich leider nicht, denn nach meiner Anfrage betreffend der Dame wurde bisher auch nichts unternommen. Vom Hacker selber weiss ich, dass dieser rund 37 Accounts in seiner “Gewalt” hat.

Update 16. Januar 2021 – Hacker Account gelöscht

Es scheint so, als hätte Instagram nach dem Artikel endlich durchgegriffen und viele Accounts, die der Hacker übernommen hat, gelöscht. Der Hauptaccount vom Hacker selber wurde übrigens auch gelöscht (Kann passieren, wenn man im Artikel genannt werden möchte).

Bisher konnte ich noch nicht feststellen, dass Instagram den Besitzern die Accounts zurückgegeben hat. Vielleicht gibt es doch noch ein Happy End – wenn auch erst, nachdem der Artikel publiziert wurde.

Photo of author

Kevin Kyburz

Kevin Kyburz ist seit einem Jahrzehnt als Blogger unterwegs und darf seine Meinung zu aktuellen Tech-Themen auch mal im Radio oder in Tageszeitungen unterbringen. Als ehemaliger Kolumnist für eine grosse Pendlerzeitung hat er ein Gespür für technische Fragen von Lesern entwickelt und versucht diese so gut wie möglich zu klären. Wenn er nicht gerade mit Technik beschäftigt ist, widmet er sich der Natur und der Fotografie.

Schreibe einen Kommentar

techgarage logo

© 2010–2021 Techgarage | Made with Love in Switzerland.

Kontakt

Wir behalten uns vor E-Mails und deren Absender, welche uns mit Paid Backlink Anfragen belästigen in den Spam Ordner zu schmeissen.

hello@techgarage.email

Firmen Seiten

Apple
OPPO
Facebook
Google