Nicht zahlen: Wie Erpresser mit geklauten Uralt-Passwörtern Kasse machen

0

Schon seit einigen Jahren nutzen Cyberkriminelle unterschiedliche Varianten der Erpressung, um an das Geld ihrer Opfer zu gelangen. In der Vergangenheit haben sie ihren Opfern dazu meist den Zugang zu deren Rechner oder den darauf gespeicherten Daten versperrt. Inzwischen nutzen die Erpresser noch perfidere Wege.

Eine Erpressung begeht, wer einen anderen „… durch Drohung mit einem empfindlichen Übel zu einer Handlung, Duldung oder Unterlassung nötigt und dadurch dem Vermögen des Genötigten oder eines anderen Nachteil zufügt“, so der Wortlaut von Paragraph 253 des deutschen Strafgesetzbuches.

Im Bereich der Computerkriminalität bestand dieses „empfindliche Übel“ bis vor kurzem meist in einem Totalverlust der Daten, wenn diese auf einem mit Schadsoftware infizierten Rechner gespeichert waren. Die Hemmschwelle, diese Art von Erpressung anzuzeigen, war niedrig, mitunter gelang es Sicherheitsfirmen, die Sperre oder Verschlüsselung aufzuheben, und wer seine Daten regelmäßig auf externen Datenträgern gesichert hatte, verlor meist nur etwas Zeit, wenn er sich weigerte, die geforderte Summe zu bezahlen.

Erpresser setzen jetzt auf Scham

Seit einiger Zeit drohen Erpresser deshalb mit einem anderen „empfindlichen Übel“. In einer E-Mail behaupten sie, sie hätten verschiedene Websites mit pornografischen Inhalten infiltriert. Der Nutzer, so heißt es in den Erpresserschreiben dann meist, habe eine dieser Websites besucht und die Erpresser hätten dabei ein zweigeteiltes Video aufgezeichnet, das zum einen den Nutzer – heimlich aufgenommen mit der eigenen Webcam – zeige, zum anderen das Pornovideo, dass er sich angesehen habe. Diese Aufnahme werde gelöscht, wenn der Nutzer die geforderte Summe per Bitcoin an die Verbrecher zahle, anderenfalls werde der Erpresser das Video an alle Freunde, Verwandten und Bekannten des Nutzers weiterleiten.

Wer dem Glauben schenkt, dürfte größere Hemmungen haben, die Erpressung anzuzeigen und ein möglicherweise beschädigter Ruf ließe sich auch nicht einfach per Backup wiederherstellen. Die Kriminellen drängen in ihrem Schreiben außerdem zur Eile: Mit Hilfe eines Tracking-Pixels hätten sie davon erfahren, dass der Erpresste die E-Mail inzwischen geöffnet habe, und jetzt blieben ihm noch vierundzwanzig Stunden, bevor das Erpresservideo an all seine Kontakte geschickt werde.

Wer sich noch nie pornografische Inhalte an einem seiner Rechner angesehen hat – oder kein Gerät mit einer Webcam besitzt – , wird diese E-Mail entspannt löschen, alle übrigen dürfte zumindest ein unangenehmes Gefühl beschleichen. Technisch möglich wäre eine solche Aufzeichnung durchaus.

Geklaute Passwörter als „Beweis“

„Viele Nutzer sind der Meinung, Passwörter könnten uns nicht wirklich schützen und seien nur eine lästige Erfindung von IT-Fachleuten. In Wahrheit investieren Cyberkriminelle aber viel Zeit und Geld, um an genau diese Passwörter und die dahinter verborgenen vertrauliche Informationen zu gelangen. So sind Passwörter eben nicht dafür gemacht, weitergegeben zu werden und sollten wie Unterwäsche regelmäßig gewechselt werden!“

Holger Suhl, General Manager DACH bei Kaspersky Lab

Um ihren Forderungen Nachdruck zu verleihen, nennen die Erpresser in ihren E-Mails manchmal auch noch Passwörter, die sie angeblich von den Rechnern der Opfer erbeutet haben. Wer ein von ihm verwendetes Passwort wiedererkennt, könnte leicht zu der Überzeugung gelangen, sein Computer sei tatsächlich gehackt worden.

Das Landeskriminalamt Rheinland-Pfalz gibt in einer Mitteilung allerdings Entwarnung:

„Bei den Drohmails handelt es sich um einen Massenversand an beliebig ausgewählte Adressaten. Bisher liegen keine Hinweise vor, dass die Computer der Empfänger dieser Drohmails tatsächlich gehackt wurden, oder dass die Videos der Geschädigten tatsächlich existieren.“ (https://www.presseportal.de/blaulicht/pm/29763/3938598)

Die Passwörter könnten die Kriminellen auch auf anderen Wegen erhalten haben: Immer wieder haben in der Vergangenheit spektakuläre Passwort-Hacks Schlagzeilen gemacht. So sollen aus dem Business-Netzwerk LinkedIn beispielsweise über 100 Millionen Nutzer-Datensätze gestohlen worden und auf den Schwarzmarkt gelangt sein (https://blog.esmt.org/dsi/dsi-incident-monitor/erfolgreiche-passwort-hacks-anbieter-riskieren-geldbusen-und-schadensersatzleistungen/). Auch etliche andere oft genutzte Dienste waren schon Opfer solcher Passwort-Hacks, und sehr häufig bestehen die erbeuteten Datensätze aus E-Mail-Adressen und Passwörtern. Die Kriminellen haben also wenig Mühe, hunderttausende solcher E-Mails automatisiert zu erstellen und zu verschicken.

Die Kriminalpolizei rät…

Aktuell ist kein Fall bekannt, in dem die Erpresser tatsächlich ein rufschädigendes Video versandt hätten. Die Beamten des zitierten LKA raten deshalb, auf solche Droh-E-Mails gar nicht erst zu reagieren, und auf keinen Fall auf die Forderung der Erpresser einzugehen. Allerdings raten sie auch dazu, die Webcam, so vorhanden, im Normalfall verdeckt zu halten und die Abdeckung nur bei Bedarf zu entfernen.

Wer über einer solche E-Mail davon erfährt, dass jemand eines seiner Passwörter gestohlen hat, tut außerdem gut daran, dieses Passwort auf allen zugehörigen Plattformen zu ersetzen. (dme)

Artikel kommentieren