Hacker-Angriffe auf Feuerwehren → Facebookseiten im Visier / falsche Geldanweisungen

ÖSTERREICH: Feuerwehren und Feuerwehrverbände werden immer wieder Opfer von Hacker-Angriffen. Viele oberflächliche Betrugs-Versuche sind heutzutage weithin bekannt und können rasch entlarvt werden. Andere Angriffe hingegen richten sich gegen gezielt ausgewählte Firmen / Organisationen und können hohen Schaden anrichten. In den hier beschriebenen Fällen geht es um gehackte Facebook-Seiten sowie um gefälschte E-Mails von Vorgesetzten mit Zahlungsanweisungen.

Text: Mathias Seyfert|FEUERWEHR.AT (Österreichischer Bundesfeuerwehrverband)

Facebook-Seiten werden von Hackern übernommen

Per Spätherbst 2022 schwappt wieder eine Welle an Angriffen über diverse Facebook-Seiten im deutschsprachigen Raum, von der auch Feuerwehren betroffen sind. Sind Profil und Seite einmal in der Hand von Hackern, ist es meist schwierig und langwierig, wieder die Kontrolle über die eigenen Daten zu bekommen.

Zuletzt war auch die Facebook-Seite „Feuerwehrjugend Österreich“ des Österreichischen Bundesfeuerwehrverbandes davon betroffen. Nun ist das Problem behoben und die Seite wird wieder normal betrieben.

Triviale Vorgehensweise

Die Vorgehensweise bei den Angriffen ist meist ähnlich und trivial: Die Seiten-Administratoren werden von gefälschten Profilen mit offiziell klingenden Namen (z.B. „Network Protection Service“) benachrichtigt, dass ein Problem mit der Seite vorliege. Um das Problem zu lösen, solle man einem Link folgen, der auf eine gefälschte Login-Seite führt.

Wer nun dort seine Facebook-Zugangsdaten eingibt (obwohl in der Adresszeile des Browsers nicht „facebook.com“ steht), ist rasch seinen Account und alle zugehörigen Facebook-Seiten los. Die Hacker verwenden die Accounts, um weitere Opfer zu schädigen – und die Facebook-Seiten, um bezahlte Werbung zu schalten oder andere Werbe-Inhalte zu verbreiten. Besonders beliebt sind dabei Seiten / Profile mit vielen Abonnenten / Followern.

Wie man sich vor dem Hack schützt

• keine verdächtigen Links in E-Mails oder Nachrichten anklicken
• Zugangsdaten nur auf der offiziellen Login-Seite („https://www.facebook.com/login/“) oder der offiziellen App (aus dem App-Store) eingeben
• Zugangsdaten zu Facebook niemals weitergeben (auch nicht per Chat, E-Mail etc.)
• Frag einen Experten: Bei Meldungen, E-Mails oder Nachrichten, die nicht eindeutig unbedenklich sind
• Screenshot machen und Hilfe bei IT-Experten / Sachbearbeiter EDV suchen
• Zugangsdaten zu Facebook nur auf vertrauenswürdigen Geräten verwenden (und niemals auf öffentlichen Computern wie z.B. in einer Bibliothek, Hotel-Lobby etc.)
• Zugangsdaten nicht auf fremden Geräten speichern
• bei öffentlichen WiFi-Netzwerken nach Möglichkeit VPN-Zugänge verwenden, um auf das Internet zuzugreifen
• alle Administratoren einer Facebook-Seite sollten eine zweistufige Authentifizierung aktiviert haben (bei jedem Login wird z.B. ein Code per SMS zugeschickt)
• Facebook-Seiten und Instagram-Kanäle sollten im Facebook-Business-Manager verwaltet werden, dort gibt es eigene Administrator-Accounts, die als Eigentümer des „Unternehmens“ auftreten
• alle Administratoren müssen über diese Regeln Bescheid wissen

Was ist zu tun, wenn man trotzdem gehackt wurde?

Wurde das eigene Facebook-Profil oder die Facebook-Seite gehackt, sollte man diesem Leitfaden folgen: „facebook.com/hacked“. Hier findet man verschiedene Schritte, um das Kennwort zurückzusetzen bzw. das eigene Konto zu sichern.

Es dauerte DREI Wochen, die gehackte ÖBFV-Feuerwehrjugendseite wieder unter Kontrolle zu haben. Trotz intensiver Bemühungen.

Matthias Seyfert

Grundsätzlich empfiehlt es sich, rasch alle Passwörter zu eigenen Accounts bei Facebook, Instagram und den damit verknüpften E-Mail-Accounts zu ändern. Zusätzlich kann man bei gehackten Seiten den Facebook-Business-Support kontaktieren (facebook.com/business/help/support) und den Sachverhalt schildern. „Im Nachhinein ist man immer schlauer“, so können wir auch den Hack der Facebook-Seite „Feuerwehrjugend Österreich“ nachträglich betrachten.

Trotz intensiver Bemühungen wenige Minuten nach dem Hack dauerte es drei Wochen, um die Kontrolle über die Seite zurückzubekommen. Laut dem Facebook-Support sind die Techniker des Unternehmens derzeit mit einer sehr hohen Anzahl von gehackten Seiten beschäftigt.

Steiermark: Identitätsbetrug aufgeflogen

Nach Hacker-Angriffen gegen Feuerwehren warnt der Landesfeuerwehrverband Steiermark in seinem Newsletter vom September: Bei den Betrugs-Versuchen wurden die Identitäten der Kommandanten gefälscht und die Kassiere um die Überweisung hoher Geldbeträge gebeten. Aufgrund der besonderen Vorsicht durch die Funktionäre wurden diese Attacken jedoch entdeckt und es kam zu keinen Schäden für die Feuerwehren.

Vermeintlich echte E-Mails vom Vorgesetzten

In der Fachsprache werden diese Angriffe „Spear Phishing“ (gezieltes „Angeln“ von Zugangsdaten) bzw. „CEO Fraud“ (Geschäftsführer-Betrug) genannt, die Angreifer nehmen dabei vorher ausgekundschaftete Opfer ins Visier. Bei der Betrugs-Masche erhalten Mitarbeiter von Firmen oder Organisationen gefälschte E-Mails, die vermeintlich von einem Vorgesetzten oder von der Geschäftsführung stammen.

In den Nachrichten werden sie aufgefordert, Überweisungen rasch und diskret durchzuführen. Auch im Fall der steirischen Feuerwehren wurden gezielt Namen von Personen recherchiert (z.B. von Feuerwehr-Websites), die für den Bereich Finanzen zuständig sind. Der LFV Steiermark geht davon aus, dass es zu weiteren Betrugsversuchen kommen könnte.

E-Mails prüfen und hinterfragen

E-Mails mit Zahlungsaufforderungen sollten genau geprüft werden:

• Stimmt die genaue Schreibweise der Absender-E-Mail-Adresse inkl. Domain? (Achtung: auch diese kann gefälscht sein bzw. kann das Postfach gehackt sein)
• Ist der Inhalt der E-Mail plausibel? (IBAN, Betrag, Empfänger, Begleittext)
• Fragen Sie im Zweifelsfall nach! (z.B. telefonische Kontaktaufnahme mit dem Kommandanten / Vorgesetzten)