Warnung: Direkte Erpressermails im Umlauf (Sept. 2018)

Kurzer Hinweis: Es scheinen momentan Kampagnen mit Spam-Mails zu laufen, die auf direktem Wege versuchen, potentielle Opfer mit vorgegaukelten Sachverhalten (wir kennen deine schmutzigen Geheimnisse im Web) zu erpressen. Hier einige Informationen.


Anzeige

Ransomware ist eine Geschichte, um Gelder zu erpressen, setzt aber die Entwicklung entsprechender Software samt deren Verteilung voraus. Einige Kriminelle machen sich es aber einfacher. Sie versuchen über Social Engineering potentielle Opfer zu erpressen. Dazu werden Spam-Mails mit entsprechendem Inhalt breit verschickt. Der Inhalt der Mail ist geeignet, bei manchen Empfängern Panik zu verursachen.

Erpresser-Mail die Erste

Es sind sehr viele Varianten dieser Erpressunger-Mails in Umlauf. Ich bin bei administrator.de auf Beispiele solcher Mails gestoßen. Hier ein Textauszug:

Hallo!
Wie Sie es Ihnen schon denken können, ist Ihr Benutzerkonto (kontakt@meinefirma.de) aufgeknackt, denn ich Ihnen diese Mitteilung von verschickt habe.

Ich bin der Vertreter einer bedeutenden übernationalen Gruppe von Info-Piraten In der Zeit vom 23.07.2018 bis zum 16.09.2018 wurden Sie mit dem Virus den wir erstellen haben auf der Webseite für Erwachsene die Sie besucht haben angesteckt.

Derzeit haben wir Zugriff auf alle Ihre Korrespondenz, Konten in sozialen Netzwerken und Messengerdienste.

Außerdem, haben wir volle Speicherabzüge von diesen Daten.
Wir sind uns Ihrer „kleinen und großen Geheimnisse" bewusst, o, ja… Sie haben das ganze heimliche Leben.

Wir haben gesehen und aufgenommen, wie Sie Spaß auf Webseiten für Erwachsene hatten. Lieber Himmel, was für Geschmack und Leidenshaften haben Sie…

Aber die interessanteste Sache ist, dass wir Sie zeitweise auf der Web-Kamera Ihres Gerät aufgenommen haben. Die Web-Kamera wurde mit dem synchronisiert, was Sie gerade sich angesehen haben!

Ich bin der Meinung, dass Sie nicht wollen, dass Ihre Kameraden und Verwandten alle Ihre Heimlichkeiten sehen, und freilich die Person, die Ihnen am nächsten ist.

Überweisen Sie $300 auf unsere Kryptowährung Bitcoin Wallet: 16yJ########YhW7
Ich gewährleiste, dass wir dann alle Ihre Heimlichkeiten entfernen werden!
Ab dem Moment, in dem dieser Bericht gelesen wird, funktioniert der Timer!
Sie haben 48 Stunden, um den obernannten Betrag einzuzuahlen.
Sobald dieses Geld auf unserem Konto ist, werden Ihre Daten sofort vernichtet!

Wenn Geld nicht ankommt, werden alle Ihre Korrespondenz und das von uns aufgenommene Video vollautomatisch an alle Kontakte abgesandt, die in der Zeit der Infektion in Ihrem System erreichbar waren!

Leider, Sie müssen über ihre Sicherheit denken!
Hoffentlich, diese Situation lehr Ihnen, mehr um Ihre Sicherheit kümmern.
Passen Sie auf sich auf!

Gut, der Text ist doch in arg stoppeligem Deutsch. Aber der Sachverhalt könnte ja theoretisch zutreffen – und der Kriminelle ist halt kein deutscher Muttersprachler. Daher bin ich mir sicher, dass so einige Leute in Panik geraten – im administrator.de-Thread gibt es die Meldung, dass ein Dienstleister bereits mehrere Kundenanfragen diesbezüglich hatte. Zudem kann die Mail auch eine anderen Wortlaut haben. Beispielsweise findet sich bei administrator.de ein Beispiel, in der behauptet wird, dass ein Trojaner oder eine RAT-Software alle Daten abgefangen habe.

Erpresser-Mail die Zweite

Ich hatte den Text dieses Beitrags bereits verfasst und zur Veröffentlichung eingeplant. Da trudelte eine weitere Variante in meinem eigenen Postfach ein.

Hi, unser guter Freund.
Wir verfügen über eine Porno Webseite, die du kürzlich gescrollt hast.

Dein Internet Browser hat einen Computer Virus hochgeladen. Zu unserem Bedauern…

Der Proggi fixiert alles, was du auf dem PC erledigst und speichert die Cookies der angesehenen Internet Seiten.

Ganz wichtig!
Dieser Virus aktiviert die Webkamera und kopiert gesamte Kontakt- aus deiner Mail.

Momentan besitze ich den Zugriff zu
Ihrem Mailpostfach und auch zu deinen sozialen Netzen.

Zum jetzigen Zeitpunkt zu meiner Verfügung steht ein Video, wo Sie ohne Kleidung sind und wo Sie abrubbeln.

Wenn Sie nicht wollen, dass ich dieses Video an deine Freunde, deine Berufskollegen verschicke und dass es im Internet und auf den populärsten Internet-Seiten und Veröffentlichungen auftaucht, kann ich diese Lösung des vorhandenen Problems anbieten.

Du sendest 450 EUR an meine Börse bitcoin
1F6####6zdFai9.

Nachdem ich den Asch in Empfang nehme, lösche ich alle aktuellen kompromittierende Materialien, nie mehr hörst du über mich in Ihrem Leben.

Wenn ich doch keine Mäuse in 24 Stunden ab dem Moment der Erhaltung dieser email erhalte, sende ich jegliche unreine Videos an Ihre Angehörigen, Ihre Freunde, Ihre Berufskollegen.

Und dazu schaffe ich ein Gif Mem aus Ihrem Video und werde die Sozial-Netzen mit Ihrem Face ausfüllen.

Beischrift. Ich habe diese Adresse gestriezt.
Gib mir keine Antwort auf vorhandene E-mail-Nachricht.
Es handelt um eine zeitweilige Mail Adresse!

Also auch hier der angebliche Besitz kompromittierender Daten zu meiner Person, mit deren Veröffentlichung geworben wird. Der Text strotzt nicht nur vor Schreibfehlern, sondern ist an einigen Stellen auch ungewollt komisch – da hat ein Auto-Übersetzungsprogramm ganze Arbeit geleistet. Und ich rätsele nun, was eine 'gestriezte Adresse' sein könnte.


In obigem Screenshot der Nachricht im Thunderbird wird übrigens ersichtlich, dass der Mail-Client diese Mail als Junk klassifiziert.

Die Mail erinnert mich erneut daran, dass der 1&1-Spamfilter für deren Mail-Postfächer mal wieder schwächelt und so gut wie alles durchlässt. Ich hatte Anfang diesen Jahres im Beitrag Spamfilter patzt beim 1&1 E-Mail-Postfach über das Thema berichtet. Kurz nach diesem Artikel besserte sich die Leistung des Spamfilters erheblich, um seit ca. einer Woche wieder jeden möglichen Mist, vom ungefragten Sonderangebot windiger Geschäftemacher über Lotteriebenachrichtigungen aus Spanien bis zu obiger Erpressungsmail alles durchzulassen.

Was tun bei solchen Mails?

Generell gilt: Ist ein Anhang bei einer solchen Mail, diesen keinesfalls öffnen – der Anhang enthält höchstwahrscheinlich Schadsoftware. Solche Mails sofort löschen und keinesfalls zahlen. Die bisher bekannt gewordenen Versionen der Erpressungsmasche sind so stümperhaft, dass eigentlich jeder Empfänger dies erkennen muss. Aber es gibt keine Gewähr, dass nicht ein Muttersprachler solche Erpressungsschreiben aufsetzt und Leute darauf hereinfallen (klassisches Social Engineering). Daher veröffentliche ich auch solche E-Mails.

Eine Anzeige bei der Polizei lohnt sich nicht – es sei denn, man ist Geschädigter. Der Hintergrund: Die Spam-Mails werden einfach zu breit gestreut und eine vorsorglich Anzeige verursacht in meinen Augen nur unnötige Arbeit. Aber ich habe das Thema mal hier im Blog mit aufgenommen – vielleicht wird ein entsprechender Merker bei dem einen oder anderen Leser/in gesetzt.


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

22 Antworten zu Warnung: Direkte Erpressermails im Umlauf (Sept. 2018)

  1. oli sagt:

    Wer seinen Spamfilter im Thunderbird trainieren will, sollte die Email in den Spam-Ordner verschieben und nicht einfach löschen (muss natürlich in den TB-Optionen entsprechend aktiviert sein). Das macht dann bei IMAP-Abruf sogar noch mehr Sinn, wenn man noch einen zweiten Trainingsfilter auf seinem Emailserver laufen hat und die Spam-Ordner von Thunderbird und IMAP-Ordner auf dem Server gemapped hat. Mein Thunderbird-Profil geht jetzt auf die 10Jahre zu und hat mit der Methode extrem hohe Erkennungsraten. Wichtig ist nur, dass man die Emails verschiebt (und nicht löscht, bzw. das Löschen dem zu aktivierenden Löschautomatismus von TB überlässt), also Spam-Mails vom Posteingang in den Spam-Ordner und (mindestens genauso wichtig) korrekte Emails in den Posteingang.

  2. Ja Ja, ich bekam heute auch mal wieder eine dieser Mails…

    …habe ich leider schon gelöscht, selbstverständlich mit einem Trojaner im Anhang, mein Antivirus Programm hats leider gelöscht, hab mit den Trojaner aber noch mal unter Linux angesehen scheint wohl ein neuer Verschlüsselungstrojaner zu sein der selbstverständlich unter Linux nicht funktioniert. Wohl aber muss ich anmerken das es mittlerweile Schadsoftware gibt die sowohl unter Android als auch Windows Funktioniert, habe ich gerade neulich gelesen das so etwas funktioniert, Android Smartphone, Tablett wird infiziert und wartet darauf das es im Netzwerk oder per USB mit Windows verbunden wird und zieht dann Daten übers Internet ab.
    Alles sehr interessant, da Linux nur ungefähr 2,5% aller Geräte ausmacht ist Linux eher uninteressant für Trojaner Hersteller und Verteiler.

  3. Lothar sagt:

    Habe vor paar Wochen auch so eine Mail erhalten, allerdings in englisch.
    Mail war ohne Anhang, nur Geldforderung.

    Habe mal auf dem Bitcoin-Konto nachgeschaut, und siehe da es sind tatsächlich 2 Zahlungen dort eingegangen.

  4. Ralph D. Kärner sagt:

    Also, wenn die Erpresser mir vorher noch eine Webcam meiner Wahl zusenden, bin ich gern auch bereit, deren Mails zumindest zu lesen. Ansonsten haben sie schlechte Karten, denn eine Webcam gibt es nicht einmal in meinen Notebooks. Das war seinerzeit nämlich der Kaufgrund: keine eigenbaute Webcam.

  5. Christian59 sagt:

    …grööööl… ;-)

    "…steht ein Video, wo Sie ohne Kleidung sind und wo Sie abrubbeln."

    So ein Mist aber auch, hätte ich das Rubbel-Los doch besser im Anzug
    abgerubbelt…Mist, Mist, Mist!

    "Wenn ich doch keine Mäuse in 24 Stunden ab dem Moment der
    Erhaltung dieser email erhalte…"

    Kann ich auch ein paar Ratten senden???

    Nein im Ernst, aber können die sich nicht endlich mal was Besseres
    einfallen lassen?

    Gruss, Christian

  6. Nobody sagt:

    Vielen Dank für den Screenshot der Mail.
    Amüsant, das Teil zu lesen.
    Etwas Ähnliches habe ich noch nicht erhalten.

  7. Phadda sagt:

    Besonders Super wenn hinter der E-Mail kein Postfach steht, sondern nur ein Forwarder :-D

  8. Rolf sagt:

    Cool…..

    Ob die mir wohl verraten wie sie meine nicht vorhandene Webcam am Desktop PC für Aufnahmen genutzt haben …..

  9. Dekre sagt:

    Ja, ja – Es geht wieder los. Es endet dann nach Weihnachten/ Neujahr schlagartig.
    Eine von meinen E-mail-Adressen ist auch dran und so kriege ich jetzt mal wieder von meiner "E-mail-Adresse" Spam-Mails als Absender. Das wird aber im Vorfeld schon gelöscht. Ich bekomme täglich den Bericht. Witzig ist, dass ich diese E-Mail-Adresse seit 5 Jahren nicht bediene und auch mangels Programmverweigerung meinerseits auch nicht nutzen kann. Es ist aber schon interessant, was so ein Spambericht aussagt. In 365 Tagen im Jahr habe ich jeden Tag diesen Bericht über abgewiesene E-Mails und das über 10 Jahren (!). Immer zu/vor Weihnachten habe ich auf dieser eine Spam-Mail-Invasion von mindestes 500 pro Tag. Es waren auch schon mal über 4 Tausend pro Tag. Das ebbt dann wieder ab.

  10. Schwarzes_Einhorn sagt:

    Das ist jetzt zwar gänzlich off topic, aber… Laptops ohne Kamera? Wo gibt es denn sowas? Ich hab gesucht, aber nicht mal gebrauchte Geräte waren ohne das verdammte Ding zu kriegen. Mein steinaltes Laptop (etwa 20 Jahre alt) hatte noch keine, ist aber vor kurzem leider kaputt gegangen. Das Fujitsu Lifebook, das ich schon geraume Zeit habe, hat eine – die ist deaktiviert und zugeklebt.

    Und die gestriezte Adresse gehört natürlich zu Striezies, also… öhm… *hüstel*:
    Gauner, Herumtreiber, Strolch und – Zuhälter.
    Quelle: Bairisches Wörterbuch, siehe https://www.bayrisches-woerterbuch.de/striezi-der/

    • Uwe Bieser sagt:

      "Laptops ohne Kamera? Wo gibt es denn sowas? Ich hab gesucht, aber nicht mal gebrauchte Geräte waren ohne das verdammte Ding zu kriegen."

      Gibt es von TESA. Im BIOS lassen sich Kamera und Mikro auch deaktivieren. Ein schwarzer Klebestreifen verspricht aber 100%-igen Erfolg.

    • Dekre sagt:

      aus der Mottenkiste – ich habe noch ein Sony Vaio PCG-F403 mit Windows 98. Das Gerät hat keine Kamera. Es hat auch noch ein Diskettenlaufwerk und ein DVD-Laufwerk. Darum lebt der eigentlich noch, um Disketten durchzuschauen und dann die Dateien auf USB-Stick zu kopieren. Die Bedienungsanleitung für das Gerät kann man sich noch bei Sony runterladen. Das ist mal ein Service. Der ist 100%-virenfrei. Das Gerät funktioniert fehlerfrei. Nur die beiden Akkus (mit Ersatz) haben die Grätsche gemacht.

  11. Uwe Bieser sagt:

    Seit dem 08.09 sind Mails im Umlauf, die eine angebliche Unterlassungserklärung aufgrund einer Urheberrechtsverletzung im Anhang haben. In dieser Zip-Datei ist ein natürlich Virus enthalten. Bei Unterlassungserklärungen werden viele Empfänger sich genötigt sehen zu reagieren, auch wenn ihnen sofort klar ist, dass Sie für den fraglichen Vorwurf gar nicht in Frage kommen.

    Es geht dabei immer um den Vorwurf pornografische Dateien gestreamt zu haben. Ich habe auch so eine E-Mail erhalten. Der Header enthielt eine Adresse mit der Endung .ru

    Das perfide dabei. Die Angreifer verwenden fachlich sauber ausformulierte Texte von echten Kanzleien, wirken also alles andere als holprig. Die Kanzleien sind aber selbst Opfer der Betrugskampagnie, weil Sie mit Anrufen bombardiert werden.

  12. Han sagt:

    Hallo, habe heute auch so eine Email bekommen: Nur, der Absender, so sieht es auch, bin angeblich ich selber (info ät xxx.de). Blöde Frage: Wie geht sowas?

  13. H.H. sagt:

    Spannend ist aber, dass die Mails zumindest in meinem Fall scheinbar sogar über einen t-online-server verschickt wurden – natürlich mit meiner E-Mailadresse als Absender – weil, bin ja gehackt und auch ohne Webcam gefilmt worden.
    Das steht im zumindest im Header:
    Received: from mailin80.aul.t-online.de ([172.20.26.79]) by ehead20a09.aul.t-online.de (Dovecot) with LMTP id xy5…7jaxy; Mon, 03 Dec 2018 05:10:33 +0100
    Received: from weeb.de ([185.120.59.80]) by mailin80.aul.t-online.de
    with (TLSv1.2: xyEC…84xy encrypted)
    esmtp id xy…U0; Mon, 3 Dec 2018 05:10:30 +0100
    Message-ID:

  14. Fabian sagt:

    Das hatte ich die letzten 2 Tage auch bekommen. Alles als Absender von meiner eigenen Email Adresse. Also nicht drauf reagieren? Einfach löschen?

Schreibe einen Kommentar zu Nobody Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.