000 Facebook-Nutzerkonten geknackt – mit einer perfiden Masche. Die als „AccountDumpling“ bekannte Operation zielt gezielt auf Geschäftsprofile und Werbekonten ab. Das Besondere: Die Täter nutzen Googles AppSheet-Plattform, um herkömmliche Sicherheitsfilter zu umgehen, und verdienen anschließend sogar noch an den Opfern, indem sie ihnen gefälschte „Account-Wiederherstellungsdienste“ verkaufen.
Angriffe wie „AccountDumpling“ zeigen, wie leicht herkömmliche Sicherheitsfilter umgangen werden können. Dieser kostenlose Ratgeber bietet Ihnen 5 konkrete Schutzmaßnahmen, um Ihre digitalen Konten und Ihr Smartphone effektiv vor Hackern und Datenmissbrauch zu schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Wie die Hacker Googles Vertrauensbonus ausnutzen
Sicherheitsforscher von Malwarebytes und Guardio enthüllten am 4. Mai 2026 die technischen Details der Kampagne. Die Angreifer verschicken E-Mails von der Adresse „noreply@appsheet.com“ – einer legitimen Google-Domain. Weil Googles Server bei E-Mail-Anbietern höchstes Vertrauen genießen, umgehen die Nachrichten mühelos Spam-Filter und technische Prüfverfahren wie SPF, DKIM und DMARC.
Die Phishing-Mails setzen auf Panikmache. Typische Betreffzeilen warnen vor drohender Kontosperrung, angeblichen Urheberrechtsverstößen oder fingierten Einloggversuchen. Ein Klick auf den beigefügten Link führt zu einer täuschend echten Facebook-Loginseite. Sobald das Opfer seine Zugangsdaten eingibt, werden diese in Echtzeit abgegriffen – samt Zwei-Faktor-Authentifizierungscodes und Wiederherstellungsinformationen.
Die Infrastruktur dahinter ist hochgradig automatisiert. Telegram-Bots und spezielle Bedienerpanels verarbeiten die gestohlenen Daten innerhalb von Minuten. Die Angreifer sperren die eigentlichen Kontoinhaber aus, indem sie hinterlegte E-Mail-Adressen und Telefonnummern austauschen. Der ursprüngliche Besitzer steht dann vor verschlossener Tür.
Der perfide Kreislauf: Hacken und Lösegeld kassieren
Was „AccountDumpling“ von gewöhnlichem Passwortdiebstahl unterscheidet, ist das Geschäftsmodell dahinter. Die Täter betreiben einen illegalen Marktplatz, auf dem sie gekaperte Konten mehrfach verwerten. Sie verkaufen den Zugang zu Markenseiten für betrügerische Werbeanzeigen – und bieten gleichzeitig „Wiederherstellungsdienste“ für genau die Opfer an, die sie selbst ausgesperrt haben.
Dieser räuberische Ansatz nutzt eine eklatante Schwäche der großen Social-Media-Plattformen aus: den Mangel an persönlichem Kundensupport. Verzweifelte Geschäftsinhaber, deren Firmenseiten ihre Existenzgrundlage darstellen, werden gezielt mit Werbung der Täter konfrontiert, die eine garantierte Lösung verspricht – gegen eine Gebühr.
Die Sicherheitsexperten warnen: Diese angeblichen Hilfsangebote führen selten zur echten Wiederherstellung. Stattdessen beginnt oft eine zweite Erpressungsrunde, bei der die Täter weitere Zahlungen oder persönliche Ausweisdokumente fordern. Führerscheine und Reisepässe landen dann im Darknet und werden für Identitätsdiebstahl genutzt.
Die erschreckende Dimension des Social-Media-Verbrechens
Die „AccountDumpling“-Kampagne ist kein Einzelfall – sie ist Teil einer dramatischen Entwicklung. Laut aktuellen Statistiken vom 3. Mai 2026 wurden 2025 weltweit 429 Millionen Social-Media-Konten geknackt. Für das laufende Jahr prognostizieren Experten 580 Millionen kompromittierte Profile – ein Anstieg um 34 Prozent. Die finanziellen Schäden belaufen sich auf rund 3,5 Milliarden Euro.
Instagram führt die Statistik mit 31 Prozent aller gemeldeten Hacks an, dicht gefolgt von Facebook mit 27 Prozent. Die häufigste Angriffsmethode bleibt das sogenannte Credential Stuffing – also das automatisierte Ausprobieren gestohlener Zugangsdaten auf verschiedenen Plattformen. Rund 94 Prozent aller Nutzer verwenden dasselbe Passwort auf mehreren Diensten, was diese Angriffe erst möglich macht.
Für Unternehmen sind die Risiken besonders hoch. Ein einziger kompromittierter Mitarbeiterzugang kann Angreifern die Kontrolle über das gesamte Werbebudget und die Markenreputation eines Unternehmens geben.
Da Millionen von Konten durch Passwortdiebstahl gefährdet sind, empfehlen Experten dringend den Umstieg auf modernere Sicherheitsverfahren. Erfahren Sie in diesem kostenlosen Report, wie Sie Passkeys einrichten und sich bei Diensten wie Amazon oder WhatsApp ohne klassisches Passwort absolut sicher anmelden. Kostenlosen Report zur passwortlosen Anmeldung anfordern
Wenn der Feind im eigenen Haus sitzt
Nicht nur externe Hacker bedrohen Facebook-Nutzer. Im April 2026 wurde bekannt, dass ein ehemaliger Meta-Mitarbeiter aus London unter Verdacht steht, mit einem eigenen Skript 30.000 private Bilder von Facebook-Nutzern heruntergeladen zu haben. Die Cybercrime-Einheit der Metropolitan Police ermittelt in dem Fall – ein alarmierendes Beispiel für die Gefahr durch Insider.
Auf technischer Seite arbeitet Meta an der Schließung von Sicherheitslücken. Erst am 5. Mai 2026 veröffentlichte das Unternehmen Updates für WhatsApp, die zwei neue Schwachstellen behoben. Bereits Anfang des Jahres hatte Meta eine kritische „Zero-Click“-Sicherheitslücke im Passwort-Reset-Prozess geschlossen, die es Angreifern ermöglicht hätte, Identitätsprüfcodes innerhalb eines zweistündigen Zeitfensters zu erraten.
Ausblick: Der Kampf eskaliert
Die „AccountDumpling“-Operation zeigt, wie professionell die Cyberkriminalität inzwischen agiert. Die Täter bauen „Phishing-as-a-Service“-Plattformen, die vertrauenswürdige Dienste wie Google AppSheet als Waffe einsetzen. Für Sicherheitsanbieter entsteht dadurch ein Dilemma: Würden sie legitime Google-Domains blockieren, würde das den Geschäftsbetrieb massiv stören.
Der Trend zu „Wiederherstellungsbetrug“ offenbart zudem ein systemisches Problem: Weil Plattformen mit Milliarden Nutzern keinen persönlichen Kundenservice bieten können, entsteht ein Vakuum, das Kriminelle bereitwillig füllen. Experten fordern daher strengere Regulierungen, die Social-Media-Unternehmen zu schnelleren Reaktionen bei Account-Übernahmen zwingen – insbesondere wenn finanzielle Schäden drohen.
Meta setzt im Kampf gegen die Flut von Account-Diebstählen auf biometrische Wiederherstellungsverfahren. Video-Selfies und Gesichtserkennung sollen künftig eine sicherere Alternative zu herkömmlichen Dokument-Uploads bieten. Bis diese Maßnahmen flächendeckend wirken, bleibt die Verantwortung jedoch bei den Nutzern. Sicherheitsexperten raten dringend, über einfache Zwei-Faktor-Authentifizierung hinauszugehen und auf Hardware-Sicherheitsschlüssel oder App-basierte Authentifikatoren zu setzen. Und eines gilt unbedingt: Niemals „Wiederherstellungsdienste“ außerhalb der offiziellen Plattform-Kanäle in Anspruch nehmen.
