SIMsalabim: Instagram-Account zu gewinnen!

„Ich verschenke 125.000$! Jetzt mitmachen! Den Link zum Projekt findest du in meinem Profil!“ – so kündigte eine beliebte russische Bloggerin eine riesige Verlosung auf Instagram an. Auch in ihren Stories erzählte sie von der Sache – optimistisch und selbstbewusst, alles wie gewohnt. Zu schön, um wahr zu sein …

Ja, wirklich zu schön. Es gab nämlich weder ein Projekt, noch hatte die Bloggerin eine Aktion gestartet. Sondern Ihr Account war gekapert worden. Und die Betrüger übertrafen sich selbst: Sie stahlen nicht nur das Konto und posteten einen Link zu einer Fake-Lotterie. Sie bastelten auch aus alten Clips ein neues Video zusammen und generierten mit KI die passende Stimme. Hier ist die ganze Geschichte, wie Instagram-Konten durch SIM-Kartentausch gestohlen werden – und wie du dich davor schützen kannst.

Die fast perfekte Betrugskampagne

Seit es KI-Tools gibt, werden Betrüger scheinbar immer „schlauer“. Früher hätten Kriminelle einen Blogger gehackt, Phishing-Links gepostet und einfach gehofft, dass die Follower anbeißen. Jetzt können sie über einen gestohlenen Account große PR-Kampagnen fahren. In unserem Beispiel machten es die Betrüger so:

• Ein kurzes Video. Sie dachten sich eine Geschichte aus, schnitten aus früher geposteten Reels einen neuen Clip zusammen und unterlegten ihn mit einer Deepfake-Stimme der Bloggerin.
• Ein Textbeitrag. Sie veröffentlichten ein Foto mit einer herzergreifenden Bildunterschrift darüber, wie schwierig so ein Projekt ist, und ahmten den gewohnten Ton der Bloggerin nach.
• Vier Stories. Sie griffen auf alte Stories zurück, in denen die Bloggerin von einem echten Projekt sprach, gaben einen Link zu einer Phishing-Website dazu und posteten die Stories erneut.

Das Ganze gab dem Fake-Projekt einen legitimen Anstrich, denn häufig verwenden Blogger solche Inhalte in verschiedenen Formaten, um echte Initiativen zu promoten. Die Gauner scheuten keine Mühen und steuerten sogar (gefälschte) Erfahrungsberichte von begeisterten Fans bei.

Falsche Erfahrungsberichte, die andere Follower zur Teilnahme ermuntern sollten

Nehmen wir das Video unter die Lupe. Auf den ersten Blick ist die Qualität überraschend gut. Das Thema (Wohnungsrenovierung), die Voiceover-Erzählung und die Art der Videobearbeitung passen wunderbar in den Blog. Bei näherer Betrachtung bekommt die Illusion jedoch Risse. Schau dir den Screenshot unten an: Nur ein Video hat oben links ein Wasserzeichen – es stammt aus der Gratisversion des Video-Editors CapCut. Das ist eine Fälschung! Die anderen Videos haben kein Wasserzeichen: Die echte Bloggerin verwendet entweder die Premiumversion oder einen anderen Editor.

Das erste Video ist eine Fälschung, die von Betrügern hergestellt wurde

Ein weiterer Anhaltspunkt sind die Untertitel. In den echten Videos schreibt die Bloggerin in weißer Schrift ohne Hintergrund. Nur im Fake-Video ist der Text weiß auf schwarzem Hintergrund. Natürlich können Blogger ihren Stil ändern. Aber normalerweise werden die Einstellungen (z. B. Schriftart und Farbe) in der Bearbeitungssoftware gespeichert und sind einheitlich.

Wohin führt der Link im Profil?

Jetzt wird’s interessant. Was für ein „Projekt“ haben die Betrüger gestartet? Und was passiert, wenn du auf den Link klickst?

Die Bio sieht verdächtig aus

Wenn dein Gerät keinen zuverlässigen Schutz hat (der rechtzeitig vor Phishing-Websites warnt), landest du auf einer ganz einfachen Seite: ein unübersehbares Bild, ein auffälliger Text und die Schaltfläche Preis abholen. Wenn du auf solche Schaltflächen klickst, gibt es gewöhnlich zwei Möglichkeiten: Entweder wirst du aufgefordert, eine Provision zu zahlen, oder du sollst deine Daten eingeben – angeblich, um deinen Preis zu erhalten. In beiden Fällen wirst du aber nach deiner Bankverbindung gefragt. Einen Preis gibt es natürlich nicht – es ist lupenreines Phishing.

Eine Frau mit Dollarnoten und einem Smartphone symbolisiert Reichtum – allerdings nur für die Betrüger, nachdem sie dein Bankkonto gekapert haben

Wie haben die Angreifer den Instagram-Account der Bloggerin gehackt?

Wichtig: Bisher gibt es noch keine offizielle Erklärung dafür, wie der Account kompromittiert wurde. Der Fall sorgte für Aufsehen, und die Bloggerin erstattete Anzeige. Vermutlich war sie Opfer eines SIM-Swapping-Angriffs. Kurz gesagt: Die Betrüger hatten den Mobilfunkanbieter davon überzeugt, die Telefonnummer der Bloggerin auf eine neue SIM-Karte zu übertragen. Dafür gibt es zwei mögliche Szenarien:

• Die alte Methode. Betrüger fälschen eine Vollmacht, gehen persönlich in eine Filiale des Mobilfunkanbieters und besorgen sich eine Ersatz-SIM.
• Die neue Methode. Kriminelle verschaffen sich Zugriff auf das vom Mobilfunkanbieter bereitgestellte Online-Konto des Opfers und lassen sich online eine eSIM ausstellen.

Durch SIM-Swapping konnten Betrüger die Zwei-Faktor-Authentifizierung umgehen und den Instagram-Support davon überzeugen, dass sie die wahren Kontoinhaber seien. Ähnliche Tricks funktionieren bei allen Diensten, die SMS-Bestätigungscodes senden, sogar bei Online-Banken.

Die echte SIM-Karte der Bloggerin war plötzlich nur noch ein nutzloses Stück Kunststoff – kein Internet, keine Anrufe, keine SMS-Nachrichten.

So schützt du deinen Account vor Hackern

Mit den folgenden Regeln kannst du die meisten Arten von Account-Hacks verhindern – egal, ob es um Messaging-Apps, soziale Netzwerke, Foren oder andere Websites geht:

• Verwende die erweiterte Zwei-Faktor-Authentifizierung. Dabei werden die Sicherheitscodes von einer App generiert, nicht per SMS verschickt. Für Instagram empfehlen wir zusätzlich, eine Backup-Methode zu aktivieren: Einstellungen und Aktivität → Kontenübersicht → Passwort und Sicherheit → Zweistufige Authentifizierung → Backup-Methode hinzufügen. Danach musst du noch eine spezielle App herunterladen, um Anmeldecodes zu generieren.
• Installiere einen zuverlässigen Schutz auf allen deinen Geräten. Wenn der Virenschutz rechtzeitig installiert wird, blockiert er Phishing-Links und schützt dich vor Malware.
• Erstelle starke und einmalige Passwörter. Falls du Unterstützung brauchst: Kaspersky Password Manager generiert Passwörter und speichert sie auf sichere Weise.
• Wichtige Faustregel: Jeder Dienst hat ein einzigartiges Passwort. Dadurch wird verhindert, dass Hacker auf einen Streich mehrere Konten knacken.
• Frag bei deinem Mobilfunkanbieter nach: Kann die Fernwartungsoption für deine Nummer vollständig deaktiviert werden? Oder kannst du einen speziellen Code einrichten, der bei jeder Interaktion abgefragt wird – egal, ob online oder bei persönlicher Anwesenheit? Dadurch bist du gegen SIM-Swapping-Angriffe gewappnet.

Weitere Informationen zum Schutz deiner Konten vor Hackerangriffen:

• Telegram-Konto gehackt – was nun?
• Das Messenger-1×1 für Sicherheit und Datenschutz
• Instagram aktualisiert Sicherheits- und Datenschutzeinstellungen
• WhatsApp-Konto gehackt – was nun?