Telegram-Nutzer wurden in letzter Zeit mit diversen Hijacking-Methoden konfrontiert. In der Regel beginnt alles mit einer Nachricht von einem ihrer „Kontakte“, die einen Link zu einer bestimmten Website enthält. Der Köder kann eine Einladung zur Teilnahme an einer Online-Abstimmung oder einem Wettbewerb, ein Telegram Premium-Geschenk oder eine Testversion, eine Anfrage zur Unterzeichnung einer Petition oder etwas anderes sein. Was all diese Maschen gemeinsam haben, ist die Notwendigkeit, sich über Telegram zu authentifizieren – entweder durch Eingabe der eigenen Handynummer und eines Messenger-Verifizierungscodes oder durch Scannen eines QR-Codes. Doch genau das sollten Sie nicht tun, wenn Sie Ihr Konto nicht verlieren möchten.
So arbeiten die Hijacker
Selbstverständlich gibt es weder irgendwelche Gewinnspiele oder Petitionen noch Geschenke. Und die Nachricht stammt auch nicht von einem Ihrer Kontakte, sondern von einem Angreifer, der bereits das Konto das Absenders gehijackt hat.
Die von den Cyberkriminellen verschickten Links werden für gewöhnlich unter Einsatz eines URL-Shortners erstellt. Solche Tools werden oft genutzt, wenn der Absender nicht möchte, dass die authentische Adresse der verlinkten Website gesehen wird. Für Anti-Phishing-Tools ist es zudem schwerer, diese Links aufzuspüren.
In den meisten Fällen sieht die eingesetzte Website recht bescheiden aus. Auf der ersten Seite erscheint eine Nachricht wie „Anmelden und abstimmen“ oder „Kostenloser Zugang zur Testversion von Telegram Premium“ – je nachdem, welche Masche sich dahinter verbirgt. Im Anschluss erscheint der Anmeldebildschirm des Messengers. Hier gibt es zwei Varianten: Wer die Seite auf einem Desktop geöffnet hat, wird aufgefordert, sich mit einem QR-Code anzumelden, während diejenigen, die ein mobiles Gerät nutzen, nach ihrem Land und ihrer Telefonnummer gefragt werden. Manchmal (wie in den Screenshots zu sehen ist) überlassen die Angreifer ihren Opfer auch die Wahl.
Geben Sie Ihre Telefonnummer preis, loggt sich das Skript der Angreifer über ein neues Gerät in Ihr Konto ein. Der Sicherheitsmechanismus des Messengers erfordert dafür Ihre Bestätigung und sendet dafür einen Verifizierungscode an Ihr Telefon oder Ihren Computer, auf dem Telegram bereits autorisiert ist. Ist die Zwei-Faktor-Authentifizierung (2FA) des Messengers deaktiviert, ist dieser Code neben der Telefonnummer alles, was die Angreifer benötigen, um sich in Ihr Konto einzuloggen. Wenn Sie den Code auf der Website der Betrüger eingeben, erhalten diese die vollständige Kontrolle über Ihren Account, einschließlich der Möglichkeit, es mit einem anderen Gerät zu verknüpfen.
Mit einem QR-Code ist all das noch einfacher – denn ein Verifizierungscode ist nicht notwendig. Das Problem ist, dass der QR-Code nicht dazu dient, sich von Ihrem Handy aus anzumelden. Stattdessen handelt es sich hierbei um einen Code mit dem ein zusätzliches Gerät oder eine Web-Sitzung zu Ihrem Konto hinzugefügt werden kann. Wenn Sie diesen Code gemäß den Anweisungen scannen, melden sich die Angreifer automatisch bei Ihrem Konto an und übernehmen die Kontrolle darüber.
Wenn Sie sich für weitere gängige Phishing-Tricks interessieren, werfen Sie einen Blick auf unseren Spam- und Phishing-Bericht 2022.
Deshalb sind Cyberkriminelle an Ihrem Konto interessiert
Ihr gestohlenes Konto kann auf verschiedene Weise verwendet werden. Am naheliegendsten ist es, weitere betrügerische Links an Ihre Kontakte zu senden, aber es gibt noch andere Möglichkeiten.
Ihr Konto ist voller wertvoller Daten, die für andere kriminelle Machenschaften genutzt werden könnten. Über die Desktop-Version von Telegram können die Kriminellen Ihre Kontaktliste, persönlichen Daten, Chat-Verläufe oder Daten, die Sie verschickt und erhalten haben, exportieren. Es gibt beispielsweise Nutzer, die Kopien wichtiger Dokumente in Ihren Favoriten speichern, um schnell darauf zugreifen zu können.
Nach einiger Zeit könnten die Hijacker sich sogar mit Ihnen in Kontakt setzten, um Ihnen anzubieten, Ihr Konto gegen eine Gebühr zurückzugewinnen.
So schützen Sie sich
Regel Nr. 1: Öffnen Sie keine verdächtigen Links! Auch Telegram-Verifizierungscodes sollten ausschließlich in der App selbst eingegeben werden.
Um einen Konto-Diebstahl zu erschweren, empfehlen wir Ihnen, die 2FA im Messenger zu aktivieren. Dies stört Ihre alltägliche Kommunikation in keinster Weise, schützt aber vor Anmeldeversuchen von anderen Geräten, indem ein zusätzliches Passwort abgefragt wird, was eine weitere Schutzebene darstellt.
Um die 2FA im Messenger auf Ihrem Smartphone zu aktivieren, gehen Sie zu Einstellungen à Privatsphäre & Sicherheit à Zweistufige Bestätigung. Danach müssen Sie nur noch ein Passwort festlegen, einen optionalen Hinweis für den Fall, dass Sie es vergessen, eine Wiederherstellungs-E-Mail einrichten und einen Bestätigungscode eingeben, den Sie in Ihrer Mailbox erhalten.
Was, wenn Sie in die Falle getappt sind?
Sind Sie bereits auf die Betrugsmasche hereingefallen und haben einen Code auf einer Fake-Website eingegeben, gibt es dennoch Hoffnung. Wenn Sie schnell reagieren, können Sie die Kontrolle über Ihr Konto zurückgewinnen. Gehen Sie zu Einstellungen à Geräte und wählen Sie Alle anderen Sitzungen schließen.