Brute-Force in dein Instagram

Shownotes

Stell dir vor, dein Instagram-Account ist plötzlich weg. Alle Fotos, alle Follower, alle Nachrichten – einfach weg! Klingt wie ein Albtraum, oder?

In dieser Folge tauchen wir tief in die Welt der sozialen Medien und ich zeige dir, wie Hacker versuchen, in deine Social-Media-Accounts einzudringen.

Wir begleiten Anna, die Besitzerin eines kleinen Blumenladens, und erleben hautnah, wie ein Brute-Force-Angriff ihren Instagram-Account bedroht.

Checkliste downloaden

Links

Instagram: Schutz und Sicherheit auf Instagram

Facebook: Gehacktes Instagram-Konto

Bitwarden: Kostenloser Passwort-Manager 

SoSafe: Wie schnell können Hacker Passwörter knacken

Transkript

Beschreibung Situation und Akteure

Anna ist eine junge, kreative Floristin, die für ihre Arbeit lebt. Ihr kleiner Laden ist ein wahres Blumenmeer und ihre Instagram-Seite ihre digitale Visitenkarte.

Mit jedem neuen Post begeistert sie ihre Follower mit kunstvollen Blumenarrangements und Einblicken in ihren Alltag als Floristin.

Für Anna ist Instagram mehr als nur ein soziales Netzwerk – es ist ihre Leidenschaft und die Verbindung zu einer wachsenden Community.

Doch in den dunklen Ecken des Internets lauert Gefahr. Max, der Hacker unserer Geschichte, hat es auf Annas Account abgesehen. Für ihn ist ein beliebter Instagram-Account wie der Jackpot. Er könnte nicht nur Annas Ruf schädigen, sondern auch die Daten ihrer Follower für gezielte Phishing-Angriffe oder sogar Erpressungsversuche missbrauchen.

Max macht sowas noch nicht so lange, aber das Knacken von Passwörtern hat er gelernt. Als Nächstes wird er es mit Annas Account versuchen.

Hoffentlich hat sie ein einfaches Passwort!

Angriff aus Sicht des Opfers

Wie jeden Morgen wacht Anna voller Tatendrang auf. Ein neuer Tag, ein neuer Strauß, ein neuer Post für ihre Instagram-Follower. Sie greift nach ihrem Handy und öffnet die App, so wie sie es seit Jahren macht.

Doch diesmal erscheint eine andere Meldung als sonst. Sie soll sich erneut anmelden. Nachdem sie ihr Passwort eingegeben hat, erscheint die Meldung “Falsches Passwort. Bitte versuche es erneut.

Sie versucht es erneut, aber auch diesmal ist das Passwort falsch. Nach einigen weiteren Versuchen ist sie sich sicher, dass etwas nicht stimmt. Sie hat das Passwort seit Jahren und es ist nicht schwer. Sie muss es richtig eingegeben haben.

Sie legt das Handy zur Seite und geht ins Badezimmer. Vielleicht stimmt etwas mit der App nicht. Sie versucht es einfach später im Laden noch einmal.

Aber auch ein paar Stunden später kann sie sich nicht einloggen. Jetzt wird sie richtig nervös. Wurde ihr Account vielleicht versehentlich gelöscht? Oder stimmt etwas nicht mit Instagram?

Oh Gott, wurde sie vielleicht gehackt?

Über den Browser ruft sie ihren Account auf. Auf den ersten Blick sieht alles ganz normal aus, alle ihre Bilder sind noch da. Dann fällt ihr auf, dass der Link in ihrem Profil ein anderer ist.

Sie ruft ihn auf und landet auf einer Seite, die wie eine Instagram-Seite aussieht. Dort wird sie aufgefordert, sich mit ihrer Instagram-Email und ihrem Passwort einzuloggen, wenn sie einen kostenlosen Blumenstrauß erhalten möchte.

Anna wurde gehackt.

Jetzt weiß sie wirklich, dass sie gehackt wurde.

Der Gedanke, dass jemand in ihren Account eingedrungen ist, macht ihr Angst. All ihre Erinnerungen, ihre Freunde, ihre Kunden – alles war dort gespeichert. Sie ist erschrocken und fühlt sich hilflos.

Dann stellt sie mit Schrecken fest, dass ihre Follower wahrscheinlich denken, die Seite sei von ihr. Oh nein, und sie hat keine Möglichkeit, sie zu warnen oder es richtig zu stellen.

Sie versucht sich zu beruhigen und atmet tief durch. Vielleicht ist es ja nur ein Missverständnis oder ein technisches Problem. Sie versucht, ihr Passwort zurückzusetzen, aber auch nach mehreren Versuchen erhält sie keine E-Mail von Instagram. Es nützt nichts!

Sie setzt sich an ihren Computer und googelt “Instagram gehackt” und landet auf einer Webseite von Meta/Instagram. Dort wird sie aufgefordert, in ihren E-Mails nachzusehen, ob sie eine Nachricht von Instagram erhalten hat. Tatsächlich findet sie eine E-Mail, die mitten in der Nacht verschickt wurde. Ihre E-Mail-Adresse und ihr Passwort sind geändert worden.

Sie folgt den Schritten auf der Website und teilt Instagram mit, dass die Änderung rückgängig gemacht werden soll. Und es passiert nichts. Sie wartet, erhält aber keine E-Mail von Instagram und kann sich immer noch nicht einloggen.

Sie googelt weiter und stößt auf zahlreiche Webseiten, Foren und Communities, die sich mit dem Thema beschäftigen. Das Problem scheint also weit verbreitet zu sein. Sie probiert einige der Tipps aus, die sie findet, aber nichts hilft.

Annas Frustration wächst. Nichts scheint zu helfen. Und jetzt sieht sie auch noch, dass immer mehr Bilder auf ihrem Kanal verschwinden. Sie möchte weinen.

Nachdem sie noch einmal alle Wiederherstellungsoptionen ausprobiert und erneut den Support kontaktiert hat, gibt sie auf. Sie muss wohl warten, bis sie von Instagram etwas hört.

Mehr kann sie nicht tun.

Angriff aus Sicht des Hackers

Ganz woanders lehnt sich Max in seinem Bürostuhl zurück und starrt auf das Programm, das auf seinem Bildschirm geöffnet ist. Seine Finger tanzen über die Tastatur, während er eine neue Variable einstellt und eine andere Funktion optimiert. Er ist in seinem Element.

Seit er vor einigen Jahren das Hacken für sich entdeckt hat, verbringt er seine ganze Zeit vor dem Computer. Damals hatte er überlegt, Informatik zu studieren und auf der richtigen Seite zu arbeiten, bei den Ethical Hackern. Aber ein Studium kostet viel Geld und dauert lange. Also nutzt er seine Fähigkeiten, um mit Betrügereien seinen Lebensunterhalt zu verdienen.

Seine Beute ist heute eine junge Frau, Anna, eine Floristin. Er hat sie zufällig in einem Online-Forum entdeckt, in dem sie über ihre Leidenschaft für Blumen schrieb. Ihre Instagram-Seite ist ein wahres Kunstwerk, jedes Bild sorgfältig arrangiert und mit liebevollen Details versehen.

Max verliebte sich in ihre Arbeit. Aber nicht aus ästhetischen Gründen, für ihn war Anna ein vielversprechendes Ziel.

Anna ist das perfekte Ziel. Sie ist beliebt, ihre Followerzahl wächst ständig. Das bedeutet, dass eine Kompromittierung ihres Accounts ihm eine große Reichweite verschaffen könnte. Er könnte ihre Identität stehlen und in ihrem Namen Phishing-Kampagnen starten. Oder er könnte ihre Follower erpressen, um an Geld zu kommen. Es gibt viele Möglichkeiten. Und er braucht das Geld.

Mit Brute-Force zum Passwort

Um an Annas Passwort zu kommen, hat Max eine Brute-Force-Attacke geplant. Dabei werden systematisch alle möglichen Zeichenkombinationen durchprobiert, bis das richtige Passwort gefunden ist.

Das funktioniert leider sehr viel einfacher als viele denken.

Als erstes braucht er eine Liste mit möglichen Passwörtern. Das ist kein Problem. Die gibt es überall im Internet. Meistens stammen sie aus Datenlecks, bei denen Passwörter gestohlen wurden. Da viele Menschen ihre Passwörter immer wieder verwenden und bei der Erstellung von Passwörtern auch nicht besonders kreativ sind, ist die Wahrscheinlichkeit groß, dass Annas Passwort hier schon zu finden ist.

Um seine Chancen weiter zu erhöhen, hat Max zusätzlich Annas Social-Media-Profile nach Interessen, Hobbys und Beziehungen durchsucht. Passende Begriffe hat er seiner Liste hinzugefügt. Außerdem hat er eine Liste mit Blumennamen von einer Website heruntergeladen. Sehr gut möglich, dass Anna als Blumenliebhaberin ein passendes Passwort hat, oder?

Und während das Programm im Hintergrund seine Arbeit verrichtet, setzt er sich an seine neueste Phishing-Seite. Er kopiert die Login-Seite von Instagram und veröffentlicht sie unter einer seiner Webadressen.

Und während er so arbeitet, überlegt er, was er mit Annas Account machen könnte.

Zum Beispiel könnte er einfach Chaos anrichten und in Annas Namen gefälschte Posts veröffentlichen, in denen sie zum Beispiel eine extreme politische Meinung vertritt. Der Shitstorm unter solchen Posts ist einfach immer zu lustig. Er könnte aber auch Annas Follower kontaktieren und ihnen mitteilen, dass er persönliche Daten über sie hat und sie ihm Geld zahlen müssen, wenn sie diese Daten nicht veröffentlicht haben wollen. Er könnte Anna auch erpressen. Gegen eine größere Summe könnte sie ihren Account zurückbekommen.

Nein, denkt er sich. Zuerst sollte er seinen neuesten Phishing-Trick ausprobieren.

Der erfolgreiche Hack

Nach einiger Zeit ist es soweit. Max‘ Brute-Force-Angriff war erfolgreich und er hat Annas Passwort geknackt.

Das Passwort war eigentlich ganz einfach zu knacken. Annas Lieblingsblumen mit dem Geburtsdatum ihrer Nichte. Lilie2012. Nicht besonders originell und auch nicht besonders lang. Dafür braucht Max Computer nicht lange.

In ihrem Account ändert Max zunächst ihr Passwort und ihre E-Mail-Adresse. Das macht er am liebsten nachts, denn dann fällt die Änderung wahrscheinlich erst einmal nicht auf. Mit etwas Glück liest Anna sowieso keine E-Mails von Instagram, wie die meisten Nutzer.

Nachdem er den Account übernommen hat, ändert er als erstes den Link in ihrem Profil. Dieser führt nun auf seine neue Phishing-Seite. Er verspricht den Leuten einen kostenlosen Blumenstrauß, wenn sie sich mit ihren Instagram-Daten einloggen. Selbst er ist überrascht, wie viele von Annas Followern das tun.

Nach und nach löscht er auch Bilder und private Nachrichten. Die DMs nutzt er übrigens auch, um seine Phishing-Links zu verschicken. Die Zahl der Follower sinkt schon nach wenigen Tagen und viele der alten Follower haben den Kanal mittlerweile blockiert.

Wirklich lukrativ für ihn ist der Kanal jetzt nicht mehr. Aber er hat viele weitere Instagram-Zugänge bekommen. Bevor er Annas Kanal verliert, kontaktiert er sie per E-Mail. Für 900€ kann sie ihren Kanal zurückkaufen.

Ausgang der Geschichte

Nach ein paar Tagen hörte Anna endlich von Instagram. Sie soll ihre Identität nachweisen, indem sie ihren Personalausweis fotografiert und an Instagram schickt. Seitdem wartet sie auf eine Antwort.

Es tut ihr in der Seele weh zu sehen, was mit ihrem Kanal passiert. Sie sieht in Echtzeit, wie ihre Inhalte verschwinden und ihre Follower sie verlassen.

Und es macht sie so wütend, dass sich alles, wofür sie so hart gearbeitet hat, vor ihren Augen in Luft auflöst.

Nachdem sie sich mehrere Wochen lang erfolglos an den Instagram-Support gewandt hat, beschließt sie, einen neuen Account zu eröffnen.

Kurz darauf erhält sie eine E-Mail von dem Hacker, der ihr anbietet, den Account zurückzukaufen. Sie überlegt ein paar Tage. Aber 900 Euro sind viel Geld und der Instagram-Kanal ist nicht mehr ihrer. Unter ihren Fotos findet sie viele Kommentare von ehemaligen Followern, die nun vor ihrem Account warnen. Es handele sich um Betrug und sie hätten Phishing-Nachrichten von diesem Kanal erhalten.

Schließlich beschließt Anna, mit ihrem neuen Kanal einen Neuanfang zu wagen.

Einige Wochen später, als sie nicht mehr damit rechnet, erhält sie eine unerwartete Nachricht von Instagram. Sie hatten ihren alten Account gesperrt, nachdem sich mehrere Nutzer über verdächtige Aktivitäten beschwert hatten. Ihre verlorenen Daten konnten nicht wiederhergestellt werden, aber sie hat ihren Account wieder. Inzwischen ist er gelöscht und sie konzentriert sich auf ihren neuen Instagram-Kanal.

Und der ist jetzt super gegen Hacker wie Max geschützt!

Learnings

Das ist wirklich ein Horror-Szenario für jeden, der einen Instagram-Kanal hat, den er mit viel Liebe und Aufwand pflegt.

Also wie kann man seinen Instagram-Account vor solchen Angriffen schützen?

Ganz einfach: mit einem starken Passwort und einer Zwei-Faktor-Authentifizierung.

Passwörter

Annas Geschichte zeigt, wie wichtig es ist, starke und einzigartige Passwörter zu verwenden. Hätte Anna ein wirklich kompliziertes und langes Passwort gehabt, wäre es Max nicht gelungen, ihr Konto zu hacken.

Ein wirklich gutes Passwort besteht aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Und am besten keine Wörter, die leicht zu erraten sind. Hunde!55 ist zwar besser als 12345, aber bei Max‘ Programm, das alle Zeichen ausprobiert, auch nicht besonders sicher!

Besser ist es, sich ein Passwort generieren zu lassen. Am einfachsten geht das mit einem Passwort-Manager. Es gibt aber auch viele Internetseiten mit solchen Passwortgeneratoren. Damit bekommt man wirklich sinnlose und individuelle Kombinationen, die sehr schwer zu knacken sind.

Und damit kommen wir zum zweiten, viel wichtigeren Punkt bei Passwörtern: der Länge. Ein gutes Passwort ist möglichst lang!

Eine bekannte Sicherheitsfirma überprüft jedes Jahr, wie lange der durchschnittliche Hacker braucht, um ein Passwort mit Brute-Force zu knacken.

Und, wow, das Ergebnis für 2023 hat mich überrascht. Selbst wenn man Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen verwendet, braucht ein halbwegs versierter Hacker für ein 7-stelliges Passwort: 4 Sekunden. Alle Passwörter, die kürzer als 7 Zeichen sind, sind sofort geknackt. Krass, oder?

Für 8 Zeichen braucht ein Hacker 5 Minuten. Für 9 Stellen schon 9 Stunden. Für 10 Stellen braucht ein Hacker 2 Wochen. Hier wird es schon sicherer.

Da die Zeit zum Knacken mit jeder Stelle exponentiell ansteigt, sind die Sprünge wirklich krass.

Ein 11-stelliges Passwort: 3 Jahre. Bei 13 Stellen sind wir schon bei 15.000 Jahren. Das ist dann wirklich sicher!

Aber man muss bedenken, das sind Zahlen für 2023. Die Technik entwickelt sich weiter, Cloud-Ressourcen werden immer günstiger. Und Hacker mieten gerne Cloud-Speicher, um schneller ans Ziel zu kommen. Was also 2023 noch 3 Jahre gedauert hat, funktioniert 2025 vielleicht schon in 2 Wochen.

Meine Empfehlung ist also ein Passwort, am besten mit einem Passwortgenerator erstellt, damit es völlig zufällig ist, mit mindestens 13 Stellen. Dann ist man so sicher wie möglich.

Und mit einem Passwortmanager sind solche Passwörter überhaupt kein Problem. Schau dir doch mal Bitwarden an. Den Link findest du wie immer auf der Episodenseite auf meiner Website und den Link hierzu wie immer in den Shownotes. Bitwarden ist kostenlos, du kannst ihn auf all deinen Geräten installieren und brauchst dir so nur noch ein einziges Passwort zu merken. Das sollte dann natürlich nicht Lilie2020 sein, sondern etwas kompliziertes. Auf dem Handy oder Tablet brauchst du nicht mal ein Passwort, sondern kannst es über deinen Fingerabdruck oder den Gesichtsscan entsperren.

Also lege dir auf jeden Fall einen Passwort-Manager zu, denn solche Passwort-Angriffe finden nicht nur auf Instagram statt, sondern überall, wo du Passwörter nutzt.

Zwei-Faktor-Authentifizierung.

Und vergesse nicht, auch bei Instagram die Zwei-Faktor-Authentifizierung zu aktivieren. Diese findet du, wie auch die Änderung deines Passworts, in deinen Kontoeinstellungen unter Passwort und Sicherheit.

Am sichersten ist es, sich per App zu authentifizieren. Lade dazu zum Beispiel die Google Authenticator App aus dem App Store herunter. Instagram führt dich dann durch den Prozess, diese App mit deinem Insta-Account zu verknüpfen.

Selbst wenn ein Hacker jetzt an dein Passwort kommt, muss er dein Handy mit der App haben, um auf dein Konto zugreifen zu können.

So kannst du dein Konto wirklich vor Brute-Force und anderen Passwortangriffen schützen.

Fazit

Ein gutes Passwort und eine Zwei-Faktor-Authentifizierung sind unerlässlich, wenn du deinen Instagram-Account oder ein anderes Online-Konto absichern möchtest.

Oben findest du übrigens auch wieder den Link zu einem kleines PDF, dass ich für dich zusammengestellt habe, in dem ich dir alles wichtige über Passwörter verrate – aus Sicht eines Hackers. Mit diesen Tipps bist du bestens geschützt gegen Hacker wie Max.

Und wenn du mehr darüber erfahren möchtest, wie du dein Instagram-Konto schützen kannst: Ich überlege momentan ein Online-Seminar zu genau diesem Thema zu machen. Wir alle stecken so viel Zeit und Herzblut in den Instagram-Kanal unseres Unternehmens, dass dieser unbedingt geschützt werden muss.

Wenn du also Interesse an einem solchen Seminar hast, dann schreibe mir doch gerne eine Email oder Instagram-Nachricht. Ich habe übrigens einen Instagram-Sicherheits-Test erstellt. Hier kannst du einfach und natürlich kostenlos überprüfen, wie sicher dein Instagram-Kanal wirklich ist.

Auf meiner Angebots-Seite findest du auch weitere Infos zum Seminar und eine Warteliste, auf der du dich eintragen kannst, um direkt informiert zu werden, wenn es losgeht.

Abschluss

Damit sind wir am Ende unserer heutigen Geschichte angelangt. Ich hoffe, du hattest Spaß beim Zuhören und machst dir jetzt ein wenig Gedanken über deine Instagram-Sicherheit.

Wenn du generell mehr für deine Online-Sicherheit tun möchtest, dann melde dich doch zu meinem Newsletter an. Jeden Freitag bekommst du dann von mir einen kleinen 5-Minuten-Tipp, der deine Sicherheit verbessert und dir hilft HackerFrei zu bleiben.

Und zum Schluss noch eine kleine Bitte: Wenn dir der Podcast gefallen hat, abonniere ihn und gib mir eine Bewertung. Und teile ihn gerne mit deinen Freunden.

IT-Sicherheit ist leider immer noch ein Thema, mit dem die meisten Menschen Berührungsängste haben und es deshalb meiden. Es ist ihnen zu abstrakt. Doch solange sie nicht wissen, worauf sie beim Surfen, Online-Shopping oder bei der Nutzung von Online-Diensten und Apps achten müssen, haben Hacker und Betrüger leichtes Spiel.

Hilf mit, das Internet ein wenig sicherer zu machen und so dich und dein Unternehmen besser zu schützen.

In diesem Sinne wünsche ich dir einen schönen Tag und hoffe, wir hören uns nächste Woche wieder.

Hey, ich bin Frida, dein Podcast-Host bei den Hacker-Geschichten.

Wenn du Fragen oder Anregungen hast, schreibe mir gerne eine Nachricht!

Weiterhören

Weitere Folgen

Music

Happy Summer Indie Acoustic Folk – Stock_Music

Acoustic Indie Folk – Ddrummer