Instagram scam warnung?

Pinguingottin  09.12.2023, 21:25

Naja, was hattest du denn vor?

Leonidas15029 
Beitragsersteller
 09.12.2023, 21:31

Interesse, weil mich das ganze einfach Interessiert. Was es so für Möglichkeiten gibt usw.. Ich hab keine ahnung vom scripten und programmieren

1 Antwort

Wäre so etwas möglich?

Ja, selbstredend. Wenn du bereits eingeloggt bist, lassen sich auch bestimmte Informationen über die Browser-Konsole abfragen; bei Instagram bzw. Meta u. a. Access Token.

Bei einer solchen Attacke handelt es sich um eine Kombination aus Social-Engineering und Cross-Site-Scripting; man bringt durch eine falsche Behauptung (bspw. "du musst das dort eingeben, um die private Story von Person XY sehen zu können, ohne ihm zu folgen") einen Nutzer dazu, selbst XSS anzuwenden.

https://de.wikipedia.org/wiki/Cross-Site-Scripting#Reflektiert_oder_nicht-persistent

https://portswigger.net/web-security/cross-site-scripting/reflected

LG


Leonidas15029 
Beitragsersteller
 09.12.2023, 21:44

Sehr Interessant, danke für deine Antwort. Denkst du das es dennoch hackbar wäre?

ruhrgur  09.12.2023, 21:48
@Leonidas15029

Kein System ist absolut sicher. Reflektiertes XSS (bzw. self XSS) ist aber eigentlich nicht mehr sonderlich verbreitet; wenn Leute den Zugriff auf ihren Instagram-Account, dann liegt das meist eher an Phishing.

Leonidas15029 
Beitragsersteller
 09.12.2023, 21:57
@ruhrgur

Ich habe deine antwort nochmal durchgelesen und ich hab mich etwas falsch ausgedrückt befürchte ich. Was ich meinte ob das möglich wäre, wenn ich versuchen würde mich mit einen script in ein anderes konto zu hacken und daten zu stehlen oder sonstiges und instagram meine Daten durch den von mir ausgeführten angriff an jemand anderes weitergeben oder mein Gerät zurück hacken. Tut mir leid das vorhin so schlecht beschrieben habe

ruhrgur  09.12.2023, 22:14
@Leonidas15029

Nein, das würde Instagram nicht machen. Weder ist dies vom Aufwand her möglich, noch ist Selbstjustiz erlaubt.

In den meisten Fällen wird der Angreifer auch für Opfer und Plattform überhaupt nicht zu identifizieren sein, da bei Self-XSS eben das Opfer selbst den Angriff durchführt; der Angreifer meldet sich auf andere Weise (bspw. per Telefon, E-Mail oder auch ganz simpel über ein gefälschtes Tutorial auf einer Webseite) bei dem späteren Opfer.

Leonidas15029 
Beitragsersteller
 09.12.2023, 22:24
@ruhrgur

Aber es gibt zb scripte die eine bestimmte Anzahl an Passwörtern ausprobiert bis das richtige gefunden wurde. Wie ist dann das ganze geregelt?

ruhrgur  09.12.2023, 22:34
@Leonidas15029

Das wäre dann eine Wörterbuch-Attacke und kein XSS oder Self-XSS mehr. Bei einem solchen Angriff hat die betroffene Seite natürlich die Verbindungsdaten des Angreifers – sofern dieser denn überhaupt von seinem eigenen Gerät aus agiert.

Auch hier sind die Chancen, dass man im Nachhinein als Opfer die Angreifer identifizieren, strafrechtlich verfolgen und ggf. auch zivilrechtliche Ansprüche geltend machen kann, gering. Der beste Schutz von derartigen Angriffen ist es, einfach sichere Passwörter zu nutzen, kein Passwort mehrfach zu verwenden und überall wo es geht ein Login mit 2-Faktor-Authentifizierung zu wählen.

Leonidas15029 
Beitragsersteller
 09.12.2023, 22:37
@ruhrgur

Vielen dank für deine Hilfreichen antworten!! Jetzt bin ich auf der Sicheren Seite.