Instagram scam warnung?
Hallo, wenn man in die URL in instagram reingeht und auf die console geht, kommt folgende warnung: This is a browser feature intended for
developers. If someone told you to copy-paste
something here to enable an Instagram
feature or "hack" someone's account,
it is a scam and will give them access
to your Instagram account.
Dazu kommt noch das sie sich zugriff auf mein Gerät verschaffen würden und das mein account gehackt werden würde WENN ich irgendwelche kriminellen aktivitäten nachgehen würde auf ihrer Seite...
Wäre so etwas möglich? Für mich klingt das nach absoluten blödsinn, als wäre es nur da um Kinder angst ein zu Jagen damit sie davon fern bleiben.
Ich habe nicht vor mich in accounts zu hacken oder phishing angriffe durchzuführen
aber interessieren würde mich es dennoch.
Naja, was hattest du denn vor?
Interesse, weil mich das ganze einfach Interessiert. Was es so für Möglichkeiten gibt usw.. Ich hab keine ahnung vom scripten und programmieren
1 Antwort
Wäre so etwas möglich?
Ja, selbstredend. Wenn du bereits eingeloggt bist, lassen sich auch bestimmte Informationen über die Browser-Konsole abfragen; bei Instagram bzw. Meta u. a. Access Token.
Bei einer solchen Attacke handelt es sich um eine Kombination aus Social-Engineering und Cross-Site-Scripting; man bringt durch eine falsche Behauptung (bspw. "du musst das dort eingeben, um die private Story von Person XY sehen zu können, ohne ihm zu folgen") einen Nutzer dazu, selbst XSS anzuwenden.
https://de.wikipedia.org/wiki/Cross-Site-Scripting#Reflektiert_oder_nicht-persistent
https://portswigger.net/web-security/cross-site-scripting/reflected
LG
Kein System ist absolut sicher. Reflektiertes XSS (bzw. self XSS) ist aber eigentlich nicht mehr sonderlich verbreitet; wenn Leute den Zugriff auf ihren Instagram-Account, dann liegt das meist eher an Phishing.
Ich habe deine antwort nochmal durchgelesen und ich hab mich etwas falsch ausgedrückt befürchte ich. Was ich meinte ob das möglich wäre, wenn ich versuchen würde mich mit einen script in ein anderes konto zu hacken und daten zu stehlen oder sonstiges und instagram meine Daten durch den von mir ausgeführten angriff an jemand anderes weitergeben oder mein Gerät zurück hacken. Tut mir leid das vorhin so schlecht beschrieben habe
Nein, das würde Instagram nicht machen. Weder ist dies vom Aufwand her möglich, noch ist Selbstjustiz erlaubt.
In den meisten Fällen wird der Angreifer auch für Opfer und Plattform überhaupt nicht zu identifizieren sein, da bei Self-XSS eben das Opfer selbst den Angriff durchführt; der Angreifer meldet sich auf andere Weise (bspw. per Telefon, E-Mail oder auch ganz simpel über ein gefälschtes Tutorial auf einer Webseite) bei dem späteren Opfer.
Aber es gibt zb scripte die eine bestimmte Anzahl an Passwörtern ausprobiert bis das richtige gefunden wurde. Wie ist dann das ganze geregelt?
Das wäre dann eine Wörterbuch-Attacke und kein XSS oder Self-XSS mehr. Bei einem solchen Angriff hat die betroffene Seite natürlich die Verbindungsdaten des Angreifers – sofern dieser denn überhaupt von seinem eigenen Gerät aus agiert.
Auch hier sind die Chancen, dass man im Nachhinein als Opfer die Angreifer identifizieren, strafrechtlich verfolgen und ggf. auch zivilrechtliche Ansprüche geltend machen kann, gering. Der beste Schutz von derartigen Angriffen ist es, einfach sichere Passwörter zu nutzen, kein Passwort mehrfach zu verwenden und überall wo es geht ein Login mit 2-Faktor-Authentifizierung zu wählen.
Vielen dank für deine Hilfreichen antworten!! Jetzt bin ich auf der Sicheren Seite.
Sehr Interessant, danke für deine Antwort. Denkst du das es dennoch hackbar wäre?