Was steckt dahinter?
E-Mails mit diesem Betreff wirken auf den ersten Blick wie normale Benachrichtigungen aus dem Meta Business Manager. Genau deshalb sind sie problematisch. Wer Facebook-Seiten, Werbekonten oder Unternehmenszugänge verwaltet, kennt solche Anfragen grundsätzlich aus dem Arbeitsalltag.
Die Redaktion von Mimikama hat die beschriebene Masche geprüft. Das Ergebnis: Nicht automatisch die E-Mail ist das Problem. Entscheidend ist, wer Zugriff verlangt und ob diese Anfrage erwartet wurde. Nehmen Sie eine Partneranfrage nur an, wenn Sie das anfragende Unternehmen kennen, die Anfrage erwartet haben und die angeforderten Berechtigungen nachvollziehbar sind
Die eigentliche Falle: Wer will Zugriff?
Bei dieser Masche ist nicht immer die E-Mail selbst gefälscht. Teilweise führen die Links tatsächlich zu business.facebook.com. Das kann verunsichern, bedeutet aber nicht automatisch Entwarnung.
Entscheidend ist nicht nur, ob der Link echt ist, sondern auch, wer die Partneranfrage stellt und welche Berechtigungen verlangt werden. In dem geprüften Beispiel erscheint als angeblicher Partner etwa:
„Partner Up with Meta Meta Partner Access“
Solche Bezeichnungen sind ein Warnsignal. Ein seriöser Partner sollte als erkennbares Unternehmen auftreten, nicht wie eine Meta-Warnung, eine Verifizierungsaufforderung oder ein Systemhinweis.
Wer eine solche Anfrage annimmt, kann einem fremden Business Zugriff auf Facebook-Seiten, Werbekonten, Pixel oder andere Business-Assets geben. Deshalb gilt: Partneranfragen nur annehmen, wenn das Unternehmen bekannt ist und die Anfrage erwartet wurde.
So sollte geprüft werden
Eine solche E-Mail sollte nicht allein anhand des Absenders bewertet werden. Auch ein echter Absender und ein echter Facebook-Link reichen nicht aus. Entscheidend ist die Prüfung der Anfrage.
Empfohlen ist folgendes Vorgehen:
- Meta Business Suite direkt im Browser öffnen.
- Nicht blind über den Mail-Link entscheiden.
- Den Namen des anfragenden Unternehmens prüfen.
- Prüfen, ob die Anfrage erwartet wurde.
- Den angeblichen Partner über bekannte offizielle Kontaktdaten kontaktieren.
- Die angeforderten Berechtigungen genau kontrollieren.
- Unbekannte oder unklare Anfragen ablehnen.
Wer bereits geklickt hat, sollte prüfen, ob tatsächlich eine Anfrage angenommen wurde. Ein Klick allein bedeutet nicht automatisch, dass ein Konto übernommen wurde. Kritisch wird es, wenn Zugangsdaten eingegeben oder Berechtigungen erteilt wurden.
Was nach einer Annahme zu tun ist
Wurde eine verdächtige Partneranfrage angenommen, sollte der fremde Partnerzugriff sofort entfernt werden. Danach sollten alle betroffenen Bereiche kontrolliert werden: Seitenrollen, Business-Zugänge, Werbekonten, Zahlungsmethoden, Pixel, Kampagnen und aktive Sitzungen.
Wurden Zugangsdaten auf einer externen Seite eingegeben, sollte das Passwort sofort geändert werden. Zusätzlich sollte die Zwei-Faktor-Authentifizierung aktiviert oder überprüft werden.
Auch andere Administratoren sollten informiert werden, damit keine weiteren Freigaben erteilt werden. Bei Agenturen ist das besonders wichtig, weil ein kompromittierter Business-Zugang mehrere Kundenkonten betreffen kann.
Fazit
Die Warnung vor E-Mails mit dem Betreff „You’ve received a Business Manager partner request“ ist berechtigt. Die Besonderheit dieser Masche liegt darin, dass sie nicht immer wie klassisches Phishing aussieht. Eine Nachricht kann echt wirken und sogar zu business.facebook.com führen, während die Anfrage selbst betrügerisch ist.
Entscheidend ist deshalb immer die Frage: Wer verlangt Zugriff, wurde diese Anfrage erwartet und welche Berechtigungen sollen freigegeben werden?
FAQ zum Thema: Meta Business Manager Partneranfragen und Phishing
Hinweis: Stand zum Veröffentlichungsdatum.
Verwendete Bilder, Screenshots und Medien dienen ausschließlich der sachlichen Auseinandersetzung im Sinne des Zitatrechts (§ 51 UrhG).
Teile dieses Beitrags können KI-gestützt erstellt und redaktionell geprüft worden sein.
(Mehr zur Arbeitsweise)
