Direkt zum Inhalt
UCC Pro GmbH Logo
Kontakt

Identitätsdiebstahl auf Social Media: Wenn der beste Freund plötzlich Krypto-Tipps gibt

Mail-Postfach mit verdaechtigen Nachrichten und versteckter Bank-Mitteilung

Du bekommst eine WhatsApp-Nachricht von einer guten Freundin: «Hey, hast Du auch in diesen Kryptofonds investiert? Habe in zwei Wochen 8’000 Franken Gewinn gemacht, sollst Du auch machen, hier ist der Link.» Du wunderst Dich kurz – sie hat noch nie über Investitionen geredet – aber es ist ihr Profilbild, ihr Name, sogar ein altes Bild aus dem letzten Sommerurlaub auf dem Profil. Du klickst.

Das BACS warnt aktuell vor genau dieser Masche. Cyberkriminelle übernehmen Social-Media-Konten – Facebook, Instagram, WhatsApp, manchmal auch LinkedIn – und schreiben dann von diesen vertrauenswürdigen Accounts aus an die Kontaktliste. Die Erfolgsquote ist hoch. Wenn der vermeintliche Absender ein Familienmitglied oder enger Freund ist, fragt kaum jemand nach.

Wie das Konto kapern überhaupt klappt

Drei Wege sind häufig:

Phishing. Du bekommst eine Mail «Ihr Instagram-Konto wurde gemeldet, hier können Sie Einspruch einlegen.» Du klickst, gibst Deine Login-Daten ein. Damit hat der Angreifer Vollzugriff. Das ist mit Abstand der häufigste Fall.

Wiederverwendete Passwörter. Dein Passwort wird in einem Datenleak bei einem ganz anderen Dienst veröffentlicht. Der Angreifer probiert es bei Facebook, Instagram, WhatsApp Web durch. Wenn Du dasselbe Passwort genutzt hast: Bingo. Ein Grund, warum Passwort-Manager keine Geek-Empfehlung mehr sind.

SIM-Swapping. Bei Konten, die per SMS abgesichert sind, ruft der Angreifer beim Mobilfunkanbieter an, gibt sich als Du aus, behauptet das Handy verloren zu haben, lässt eine neue SIM-Karte auf seine Adresse senden. Dann bekommt er die SMS-Codes für Passwort-Reset. Schwierig, aber passiert in der Schweiz vereinzelt.

Was Du sofort tun solltest

Zwei-Faktor-Authentifizierung in der App, nicht per SMS. Bei Facebook, Instagram, WhatsApp und Co. unter «Einstellungen → Sicherheit → Zweistufige Authentifizierung». Wähle die App-Variante (Google Authenticator, Authy, Microsoft Authenticator) statt SMS. App-basierte 2FA ist gegen SIM-Swapping immun.

Eindeutige Passwörter pro Dienst. Wenn das Linkedin-Passwort in einem Leak war, sollte das nicht auch Dein Instagram-Passwort sein. Passwort-Manager macht das automatisch. Wenn Du noch keinen hast: Bitwarden ist gratis und gut.

Login-Aktivität prüfen. Alle grossen Plattformen zeigen, wo Du gerade eingeloggt bist. Bei Facebook unter «Einstellungen → Sicherheit → Aktive Anmeldungen». Wenn da ein Gerät auftaucht, das Du nicht kennst – sofort abmelden, Passwort ändern, 2FA neu setzen.

Was Du tun kannst, wenn ein Bekannter komische Nachrichten schickt

Faustregel: bei jeder ungewöhnlichen Nachricht – Bitte um Geld, Krypto-Tipp, «ich brauche kurz Deine Telefonnummer für eine Bestätigung», «ich habe ein Problem und brauche Hilfe» – kurz innehalten. Auch wenn der Absender vertraut aussieht.

Was hilft: kurz auf einem anderen Kanal nachfragen. Ruf die Person an. Schreibt eine SMS an die alte Nummer, die Du eh kennst. Sprich sie persönlich. Wer beim Antworten in der App bleibt, redet möglicherweise nicht mit dem echten Bekannten – sondern mit dem Angreifer, der das Konto übernommen hat.

Spezifisch verdächtig:

  • Ungewöhnliche Bitten um Geld, Krypto-Investitionen, «leihst Du mir kurz dein Konto»
  • Bitte, eine SMS-Bestätigung weiterzuleiten (klassischer Account-Übernahme-Versuch)
  • Sprache, die irgendwie nicht stimmt – andere Wortwahl, andere Anrede
  • Sehr eilige Bitten, die keinen Aufschub dulden

Falls Dein eigenes Konto schon übernommen wurde

Wenn Freunde Dir melden, dass komische Nachrichten von Deinem Account kommen, oder Du selbst nicht mehr einloggen kannst:

  1. Passwort-Reset versuchen über die offizielle Recovery-Funktion der Plattform. Wenn die hinterlegte E-Mail noch unter Deiner Kontrolle ist, kannst Du den Account meistens zurückholen.
  2. Falls die E-Mail-Adresse vom Angreifer geändert wurde: Plattform-Support kontaktieren mit Identitätsnachweis. Bei den grossen Anbietern gibt es Verifikations-Prozesse für genau diesen Fall.
  3. Kontakte warnen – am besten über einen anderen Kanal, der nicht kompromittiert ist. SMS, Anruf, andere Plattform.
  4. Bei der Plattform Konto-Wiederherstellung beantragen – die Anbieter haben Erfahrung mit dem Szenario, der Prozess ist meist klar dokumentiert.
  5. Zur Polizei gehen, wenn finanzieller Schaden entstanden ist (bei Dir oder bei Deinen Kontakten, die auf den Krypto-Tipp reingefallen sind).

Drei Sätze zum Mitnehmen

Konto-Übernahmen passieren häufiger, als Du denkst. App-basierte 2FA und unterschiedliche Passwörter machen es Angreifern deutlich schwerer. Bei verdächtigen Nachrichten von Bekannten: einmal auf einem anderen Kanal nachfragen, bevor Du klickst oder zahlst.

Quelle: NCSC – BACS Bundesamt für Cybersicherheit, Warnung vom 13.01.2026: «Wenn der beste Freund plötzlich Krypto-Tipps gibt – Identitätsdiebstahl auf Social Media» (ncsc.admin.ch).

Brauchst Du Beratung dazu?

Schreib uns kurz, was bei Dir konkret ansteht. Wir melden uns persönlich zurück.

Kontakt aufnehmen
Nach oben scrollen