Offensive Services

Erpressungsmails mit echten Passwörtern im Umlauf? Keine Panik!

Aktualisiert am

Im ersten Augenblick ganz schön erschreckend: Woher kommen Kriminelle an die nötigen Daten um die Erpressungsmails mit echten Passwörtern zu versenden? Eigentlich nichts neues – doch woher hat der Betrüger das Passwort? Stimmt der rest der E-Mail vielleicht auch? Diese oder ähnliche Fragen schwirren einem im Kopf herum, wenn man so eine Erpressungsmail erhält. Zuerst aber: Keine Panik. So funktioniert die Masche.

Alte Datendiebstähle sind verantwortlich und machen den Weg frei für Erpressungsmails.

In regelmäßigen Abständen finden Datendiebstähle statt. Mal werden Firmen gehackt, mal räumen sie selber den Weg frei. Mittlerweile gibt es selbst den Weltpassworttag. In der Vergangenheit gab es schon zahlreiche Websites, die um Ihr Daten erleichtert worden sind. Und genau das wird nun mehr und mehr zum Problem.

Die Angreifer fangen an die Informationen mit einem Szenario zu verknüpfen, welches auf viele Menschen zutrifft. In dem Fall wird das Erwachsenen Entertainment ausgewählt. In naher Vergangenheit gab es in Bochum einen ähnliches Schreiben. Dort jedoch als Brief und ohne Passwort. Das sind aber genau die Geheimzutaten der amerikanischen Variante, die die Erpressung so erfolgreich machen.

Im Original (übersetzt) lesen sich die Erpressungsmails mit echten Passwörtern wie folgt:

Mir ist bewusst, dass X Ihr Passwort ist.

Sie kennen mich nicht und denken darüber nach, warum Sie diese E-Mail erhalten haben, richtig?
Nun, ich habe tatsächlich eine Malware auf der Porno-Website platziert und rate mal was, du hast diese Website besucht, um Spaß zu haben (du weißt, was ich meine). Während Sie das Video sahen, fungierte Ihr Webbrowser als RDP (Remote Desktop) und ein Keylogger, der mir den Zugriff auf Ihren Bildschirm und Ihre Webcam ermöglichte. Direkt danach sammelte meine Software alle Ihre Kontakte aus Ihrem Messenger-, Facebook- und E-Mail-Konto.

Was genau habe ich getan?
Ich habe ein Split-Screen-Video gemacht. Erster Teil nahm das Video auf, das Sie sich angesehen haben (Sie haben einen guten Geschmack haha), und der nächste Teil nahm Ihre Webcam auf (Yep! Es ist Sie tun böse Dinge!).

Was sollen Sie tun?
Nun, ich glaube, $1400 ist ein fairer Preis für unser kleines Geheimnis. Die Zahlung erfolgt über Bitcoin an die untenstehende Adresse (wenn Sie dies nicht wissen, suchen Sie in Google nach “how to buy bitcoin”).

BTC-Adresse: 1Dvd7Wb72JBTbAcfTrxSJCZZZuf4tsT8V72
(Es ist cAsE-sensitiv, also kopieren und einfügen)

Wichtig:
Sie haben 24 Stunden Zeit, um die Zahlung vorzunehmen. (Ich habe ein eindeutiges Pixel in dieser E-Mail-Nachricht, und im Moment weiß ich, dass Sie diese E-Mail gelesen haben). Wenn ich die Zahlung nicht erhalte, schicke ich Ihr Video an alle Ihre Kontakte, einschließlich Verwandte, Mitarbeiter und so weiter. Wenn ich trotzdem bezahlt werde, werde ich das Video sofort löschen. Wenn Sie Beweise wollen, antworten Sie mit “Ja” und ich schicke Ihre Videoaufnahme an Ihre 5 Freunde. Dies ist ein nicht verhandelbares Angebot, also verschwenden Sie nicht meine und Ihre Zeit, indem Sie auf diese E-Mail antworten.

 

In der E-Mail steht anstelle von X ein tatsächlich genutztes Passwort. Das soll hier als “Beweis” herhalten, dass das Gesagte auch wirklich der Wahrheit entspricht. Tut es jedoch nicht. Das Problem sind die zahlreichen Websites die schon gehackt worden sind. Teilweise vor mehr als zehn Jahren.

Betrüger bedienen sich für Epressungsmails mit echten Passwörtern an gestohlenen Daten.

Und hier liegt die Krux. Nicht immer kommt ein Datendiebstahl ans Tageslicht. Manchmal auch erst Jahre später. Empfehlenswert an der Stelle ist die Website haveibeenpwnd.com. Dort werden nicht nur die aktuellsten Datenlecks dargestellt ..

Databreach fuer Erpressungsmail mit echtem Passwort
Die aktuellsten Datendiebstähle (Quelle: haveibeenpwnd.com)

Mal sind es nur ca. 30.000 Accounts die gestohlen werden, manchmal mehr als eine halbe Million. Doch manchmal sind es auch gut 26 Millionen Accounts. Und von diesen Ereignissen gibt es zum Zeitpunkt des Artikels ca. 293 Stück. Die Erpressungsmails mit echtem Passwort setzen genau auf diesen Datensatz auf. Teilweise stehen diese nämlich zum Download im Netz bereit. E-Mail-Adresse und das Passwort, teilweise sogar im Klartext.

Betroffene Datenlecks und grundlage fuer Erpressungsmail mit echtem Passwort
Ihr könnt eure E-Mail bei haveibeenpwnd.com eingeben und erfahrt dann, ob ihr bei den aufgelisteten Vorfällen mit eurer E-Mail auftaucht. Screenshot: haveibeenpwnd.com

Und jetzt werden die E-Mails verschickt. Die Adresse steht im Netz, das Passwort steht im Netz – also steht der Kampagne nichts mehr im Wege. Auch der Firefox Monitor greift übrigens auf Haveibeendpwnd zurück.

Bist du von den Erpressungsmails mit echten Passwörtern betroffen? Das solltest du tun!

Wenn du betroffen bist, solltest du darüber nachdenken deine E-Mail-Adresse zu wechseln. Auch die Verwendung von sogenannten Trashmailern macht in manchen Situationen Sinn. Die Stiftung Warentest hat in einem umfangreichen Test bestätigt, dass die  besten E-Mail Anbieter kostenpflichtig sind.

Ein richtig großes Problem existiert jedoch, wenn das Passwort in der Mail ein aktuell genutztes ist. Das ist nämlich ein viel größeres Problem als die E-Mail. Fremde haben dein Passwort. Dein Passwort, welches du noch auf anderen Plattformen verwendet. Automatisierte Tools erleichtern es dann den Kriminellen, auch diese Accounts zu übernehmen. Deshalb sollten alle exakten und ähnlichen Passwörter schnellstmöglich geändert werden. Um dir ein sicheres Passwort ausdenken zu können, hilft die Verwendung eines sogenannten Kryptonizers. Am Ende sieht man einem Passwort seine Sicherheit nicht an! Also, bitte keine Namen und Geburtsdaten nehmen.

Es wird spätestens jetzt höchste Zeit das zu ändern! So viele Accounts wie nötig – so wenige wie möglich. Zwischendurch lohnt es sich auch einen zu löschen – dann kann er nämlich nicht mehr gestohlen werden. Wenn die nächste Runde an Erpressungsmails mit echten Passwörtern rumgeht – bist du hoffentlich nicht dabei.

Foto des Autors

Vincent Reckendrees

Hallo, ich bin Vincent Reckendrees und leite das Team Offensive Services bei der AWARE7 GmbH. In meinem Bachelor und Master Studium habe ich mich auf IT-Sicherheit spezialisiert und BSI zertifizierter IS-Penetrationstester. Meine Leidenschaft gilt Reverse Engineering, Hardware- und Web-Sicherheit. Als Experte für Penetrationstests finde ich Schwachstellen in Systemen und Netzwerken und nutze sie, um realistische Cyberangriffe zu simulieren und Sicherheitsmaßnahmen zu verbessern. Durch Reverse Engineering entdecke ich Fehler und Verbesserungsmöglichkeiten in Software und Hardware. Meine Fähigkeiten in Hardware- und Web-Sicherheit ermöglichen es mir, physische Geräte und Online-Plattformen vor einer Vielzahl von Cyberbedrohungen zu schützen und ihre Integrität und Zuverlässigkeit zu gewährleisten.