E-Mails von Meta: Wie Fakes von echten E-Mails unterschieden werden können

Melanie am in Online Marketing

Vorsicht, Betrug: „Meta for Business Accounts“ im Visier von Phishing-Attacken

Ping! Eine neue E-Mail von Meta ist im Postfach gelandet. Auf den ersten Blick sieht diese täuschend echt aus, doch der Absender wirkt unseriös? Zumindest verspricht das Bauchgefühl nichts Gutes – Unsicherheit macht sich breit und die Frage nach der Vertrauenswürdigkeit bleibt bestehen.

In der digitalen Welt sind Phishing-Attacken eine weit verbreitete Bedrohung. Insbesondere „Meta for Business Accounts“ geraten wegen ihrer sensiblen Unternehmensdaten oft in das Visier von Betrügern. Als Mutterkonzern der Social-Media-Plattformen Facebook (samt dazugehörigem Messenger), Instagram, Threads und WhatsApp verfügt Meta über Millionen von Nutzern weltweit – und eine Menge persönlicher Daten. In diesem Beitrag werfen wir einen Blick auf Phishing-Attacken im Zusammenhang mit Meta und zeigen auf, was Angreifer damit erreichen wollen. Zudem stellen wir konkrete Tipps zur Verfügung, wie sich Meta Business Accounts vor Phishing-Mails schützen können.

Was ist Phishing?

Phishing ist eine Form von Cyberbetrug. Angreifer geben sich dabei als vertrauenswürdige Quelle aus und versuchen über E-Mails, SMS, Websites oder Anrufe an sensible Informationen wie Benutzernamen, Passwörter oder finanzielle Daten heranzukommen und diese zu stehlen. Erfolgreiche Phishing-Attacken können somit zu Identitätsdiebstahl, Verletzungen der DSGVO, finanziellen Verlusten und vielem mehr führen.

Warum sind Business-Accounts von Meta besonders anfällig für Phishing-Mails?

Warum jedoch Meta? Mit der ständigen Flut von E-Mails, die angeblich von Unternehmen wie Meta stammen, ist es schwierig zu unterscheiden, welche E-Mails nun echt sind und welche nicht. Vor allem diejenigen, die den „Meta Business Manager“ nutzen, sind anfällig für Phishing-Attacken, da sie regelmäßig automatisierte E-Mails von verschiedenen Absendern zu unterschiedlichen Themen in diversen Layouts bekommen. So werden Nutzer unter Vorwänden dazu verleitet, ihre Zugangsdaten einzugeben und damit preiszugeben. Denn sobald dies passiert ist, können Betrüger das Konto hacken und haben dadurch freien Zugriff auf alle sensiblen Daten.

 

Entlarvt: Häufige Betrugsmaschen im Fokus

Um sich vor Phishing-Angriffen zu schützen, ist Vorsicht geboten. Als Betreiber einer Unternehmensseite ist es besonders wichtig, skeptisch gegenüber unerwarteten E-Mails, Nachrichten oder fragwürdigen URLs zu sein. Darüber hinaus ist es ratsam, stets die Authentizität von Meta E-Mails zu überprüfen, um die Sicherheit der geschäftlichen Daten zu gewährleisten. Denn Angreifer wenden verschiedene Taktiken an, um Nutzer zu täuschen, die sie stets weiterentwickeln.

Die Betrugsmaschen können zum Beispiel so aussehen:

Abbildung: Beispiele für Phishing-Attacken

Wie in den vorherigen Beispielen ersichtlich ist, folgen die Betrüger immer einem ähnlichen Schema. Über den blauen Button wird in der E-Mail angeboten, Einspruch zu erheben und eine erneute Überprüfung zu bewirken. Infolgedessen werden Nutzer auf eine Seite weitergeleitet, die ihre Zugangsdaten verlangt und nach der Eingabe bereits Tür und Tor für Angreifer geöffnet hat.

Meta gibt an, dass Betrugsversuche häufig folgende Inhalte haben:

  • Benachrichtigungen über Freundschaftsanfragen, Fotos, Videos, Nachrichten und Veranstaltungen
  • Falsche Behauptungen zur Verletzung der Gemeinschaftsstandards
  • Warnungen, dass etwas mit dem Konto geschehen wird, wenn der Account nicht aktualisiert oder eine bestimmte Handlung vorgenommen wird
  • Behauptungen oder Angebote, die zu verlockend klingen, um wahr zu sein, wie zum Beispiel ein Gewinn in der Lotterie

Fallen aufdecken: Tipps zur Erkennung von Phishing-Versuchen

Um Fakes von echten Meta E-Mails unterscheiden zu können und sich davor zu schützen, sollten im Umgang mit Phishing-Attacken folgende Faktoren beachtet werden:

  • Überprüfung des Absenders: Um die Glaubwürdigkeit zu prüfen, sollte der Absender der E-Mail-Adresse genauer unter die Lupe genommen werden. Dies bedeutet, dass E-Mails von Meta, die das eigene Konto betreffen, nur von folgenden Adressen verschickt werden.
  • Abfrage von persönlichen Daten: Persönliche Daten wie Passwörter, Bank- oder Kreditkartendaten oder die Sozialversicherungsnummer werden von Meta niemals in einer E-Mail abgefragt.
  • Kontrolle von Aufbau und Formatierung: Fake-Mails sind oft schon in puncto Aufbau verdächtig und kommen mit fragwürdigen Formatierungen daher. Ebenso weisen sie oft Rechtschreibfehler auf und sind meistens in einer unpersönlichen Ansprache verfasst. Außerdem sollte beachtet werden, dass E-Mails in englischer Sprache nicht vom deutschen Support stammen können.
  • Misstrauen gegenüber Drohungen: Meta würde Nutzer nie damit drohen, das Konto zu löschen oder zu blockieren. Daher gilt bei entsprechenden Aufforderungen zu dringenden Maßnahmen besondere Vorsicht.
  • Prüfen von Anhängen und Links: Das Herunterladen von Anhängen aus E-Mails, bei denen Unsicherheit besteht, sollte vermieden werden. Zusätzlich sollten Links kontrolliert werden, bevor auf die URL geklickt wird. Das geht ganz einfach: Der Mauszeiger wird über den Link bewegt – ohne zu klicken – und die Quelle der URL überprüft. Hier sollte vor allem auf folgende Kriterien geachtet werden:
    • Domainname: Die URL sollte den Namen einer bekannten und vertrauenswürdigen Website enthalten (und korrekt geschrieben sein), wie zum Beispiel „com“.
    • Subdomains: Vor allem bei Links in E-Mails verwenden Angreifer manchmal Subdomains, um echte Websites zu imitieren. Diese sollte jedoch immer der Hauptdomain entsprechen. Eine Subdomain wird daran erkannt, dass sie vor dem eigentlichen Namen steht und durch einen Punkt abgetrennt wird. So könnte der Angreifer beispielsweise statt auf „facebook.com“ auf diese Seite „www.manage-advertisment-issues.facebook.com“ leiten.
    • Konsistenz: Ungewöhnliche Zeichen oder Buchstaben können ein Hinweis dafür sein, dass es sich um eine mögliche Fälschung handelt. So können zum Beispiel Buchstabenersetzungen wie „rn“ statt „m“ oder „1“ statt „l“ ein Anzeichen dafür sein. Die URL sollte daher immer konsistent sein und keine außergewöhnlichen Zeichen beinhalten.
    • SSL-Zertifikat: Ein weiterer Aspekt ist die Verwendung von „https“ in der URL. Mit diesem Hinweis wird erkannt, ob die Verbindung zur Website verschlüsselt ist und über ein gültiges SSL-Zertifikat verfügt.
  • Aufmerksamkeit und Wachsamkeit: Darüber hinaus ist es wichtig, sich über aktuelle Taktiken der Betrüger zu informieren und bei unerwarteten E-Mails wachsam zu bleiben.

Phishing abwehren: Meldestellen nutzen und Sicherheit stärken

Beim Erhalt von verdächtigen Nachrichten oder als Opfer von Phishing, sollte der Vorfall direkt an Meta per E-Mail gemeldet und umgehend das Passwort geändert werden. Grundsätzlich sollte unbedingt ein starkes, einzigartiges Passwort verwendet werden. Dies bedeutet, dass eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen ideal ist – mit einer Länge von mindestens 12 – 16 Zeichen. Dabei gilt: Je länger und komplexer das Passwort ist, desto schwieriger ist es für Angreifer, es zu erraten oder zu knacken.

Für zusätzliche Sicherheit sollte die Zwei-Faktor-Authentifizierung (2FA) aktiviert werden. Dadurch ist ein zweiter Schritt zur Verifizierung notwendig und eine zusätzliche Sicherheitsebene wird geschaffen, die das eigene Konto vor unbefugtem Zugriff schützt.

 

 

Quellen:
https://www.meisterwerk.media/social-media-blog/facebook-phishing-guide, 06.03.2024
https://www.facebook.com/help/225602007465207?helpref=faq_content, 06.03.2024
https://www.facebook.com/business/help/372703956148310, 06.03.2024

Maßgeschneiderte Updates erhalten!

Abonniere unseren eMAGNETIX-Newsletter und erhalte News zu aktuellen Entwicklungen und Trends im Online Marketing.



Mit dem Absenden dieses Formulars stimme ich der Verarbeitung meiner Daten zum Zweck der Zusendung des
Newsletters gemäß den Datenschutzbestimmungen zu. Ich kann die Einwilligung jederzeit widerrufen.