Bitcoin-Erpressung per Mail: „Ich bin ein Hacker…“

Ein „Hacker“ behauptet in einer Mail, er habe kompromittierende Aufnahmen per Webcam gemacht.

Seit bald einem Jahr kursieren jene Erpressermail, über die wir schon häufig berichteten. Konkret geht es dabei um Mails, in denen behauptet wird, dass der Nutzer beim Pornokonsum heimlich durch die Webcam gefilmt wurde. Das Material werde man an alle Kontakte schicken, wenn nicht eine bestimmte Summe im Rahmen von einigen Hundert Euro per Bitcoin überwiesen werde.

Dies steht in der aktuellen Version jener Mail, die gerade oft versandt wird:

„Sie fragen sich wahrscheinlich, warum Sie eine E-Mail von Ihrer eigenen Adresse erhalten, oder? Ich werde dir alles erklären.

Ich bin ein Hacker, und ich habe Ihre Geräte vor einigen Monaten gehackt. Ich habe einen Virus auf einer Website für Erwachsene eingerichtet, die Sie besucht haben, und ich habe Ihr Gerät gefunden.
Nur fiel mir auf, dass Sie einen ganz besonderen Geschmack in Bezug auf „Pornografie“ hatten.

Also habe ich Ihr Gerät missbraucht, um es in Server-RDP (Remote Control) umzuwandeln und zu raten, was ich tun könnte?

Ich habe einfach ein Split-Screen-Video mit einer Seite Ihres Browsers auf der „Website“ aufgenommen und die andere Ihre Webcam, die Sie aufnimmt … Sie haben Spaß. So konnte ich Ihnen diese E-Mail von Ihrer kompromittierten Adresse senden.
Im Anschluss habe ich eine Kopie Ihrer Kontakte, Fotos, Passwörter, Bankverbindung und vieles mehr erstellt.

Ich verspreche Ihnen, dass ich Sie nach Ihrer Bezahlung nicht stören werde, weil Sie nicht mein einziges Opfer sind. Dies ist der Ehrenkodex für Hacker. Gib mir nicht die Schuld, alle arbeiten doch …
Möchten Sie wissen, was Sie tun können?

Ich denke, 750 Euro sind ein guter Preis für unser kleines Geheimnis. Sie zahlen per Bitcoin (wenn Sie noch nicht davon gehört haben, suchen Sie nach „Wie kaufe ich Bitcoins“ bei Google).
Die Adresse meiner Bitcoin-Brieftasche:

1Dc6BXz1Tcxnnu6EWgjm8wQwiqRcZBNPrN

(Groß- und Kleinschreibung beachten, Kopieren / Einfügen ist besser)
Wichtig Sie haben 72 Stunden Zeit, um die Zahlung vorzunehmen. (Ich habe einen Tracker in dieser Mail und ich weiß, dass Sie ihn geöffnet haben.)
Das Video und die Kopie all dieser Daten sind bereits auf meiner Seite und wenn Sie nicht kooperieren, bin ich verpflichtet, das Video an Ihre wichtigsten Ansprechpartner, Ihre Familie, Ihre Kollegen, auf Facebook zu senden , twitter und vieles mehr …
Um meinen guten Glauben zu beweisen, ist hier eines Ihrer vielen kompromittierten Passwörter:**“

„Ich bekam auch so eine Mail! Woher wissen die mein Passwort?“

In den letzten Jahren wurden immer wieder Datenbanken verschiedener Unternehmen gehackt, die Inhalte der Datenbanken wurden auf diversen einschlägigen Webseiten und im Darknet veröffentlicht. Oftmals enthielten diese Datenbanken „nur“ den vollen Namen und die Mail-Adresse, die Passwörter manchmal verschlüsselt, manchmal aber sogar unverschlüsselt.
Jene Erpresser bedienen sich nun an diesen Datenbanken: Sie schreiben reihenweise Nutzer an, die sie in den Datenbanken finden können, und versuchen sie quasi „auf gut Glück“ zu erpressen.

So berichtete uns ein Nutzer, dass das Passwort zwar richtig sei, jedoch er dieses schon vor Monaten änderte. Damit kann man den Erpressern und Möchtegern-Hackern ein Bein stellen, denn die geleakten Datenbanken sind meist mehrere Monate alt.

Was haben all diese Mails gemeinsam?

Die Mails variieren im Text zwar immer wieder, doch haben sie alle bestimmte Gemeinsamkeiten:

• Jemand behauptet, Zugriff auf den Rechner zu haben
• Es wurden vom Nutzer angeblich Pornoseiten aufgerufen
• Der Erpresser habe Webcam-Aufnahmen davon
• Der Nutzer soll eine bestimmte Summe in Bitcoins zahlen

Einer der schönsten Beweise dazu, dass dies nur eine Betrugsmasche ist:
Viele Nutzer gaben an, überhaupt gar keine Webcam zu haben!

Faktencheck

Neu sind diese Erpressungsversuche nicht. Ähnliche E-Mails tauchten bereits im letzten Jahr auf und die Polizei warnte ebenfalls vor dieser Masche.

Bitcoins sind nach wie vor hoch im Kurs – auch bei Cyberkriminellen. Zumeist werden solche E-Mails wahllos an verschiedene Personen (mit persönlicher Anrede, aber auch ohne) gemailt. Ein Beweis für die Existenz des angeblich mitgefilmten Materials wird nicht mitgeliefert. So kann nicht eindeutig bewiesen werden, ob die Erpresser wirklich im Besitz von Videomaterial der Opfer sind oder nicht.

Bis jetzt gibt es nur einen ähnlichen Fall, in dem ein Nutzer auch wirklich erpresst wurde.

Eine Infizierung mit Schadsoftware kann man jedoch nie ausschließen. Denn beim Besuch von unseriösen Seiten kann es immer passieren, dass man sich Malware einfängt. Ein guter Virenschutz schützt Nutzer vor dieser potentiellen Gefahr.

„Sollte ich den Erpresser bezahlen?“

Es ist davon abzuraten, den Erpresser zu bezahlen. Abgesehen davon, dass man sich auf das Wort eines Kriminellen nicht verlassen sollte, qualifiziert sich jeder Nutzer, der einer solchen Forderung nachgibt, als potentielles “Daueropfer”. Sinnvoller ist es, derartige E-Mails und andere Erpressungsversuche umgehend bei der nächsten Polizeidienststelle oder online zu melden.

Das LKA Niedersachen hat auch einige Links veröffentlicht, unter denen man selbst checken kann, ob die eigene Mailadresse in geleakten Datenbanken auftaucht:

• Identity Leak Checker
• Have I been Pwned

Doch Vorsicht: Die Seiten erheben keinen Anspruch auf Vollständigkeit, auch werden geleakte Datenbanken oftmals erst Monate oder sogar Jahre später bekannt, so dass man sich leider nicht komplett in Sicherheit wiegen kann, wenn die eigene Mailadresse nicht in den Datenbanken auftaucht.

Ergebnis:

Es handelt sich bei solchen E-Mails um reine Betrugsversuche, und der Erpresser befindet sich nicht im Besitz pikanten Videomaterials seines Opfers.

Allerdings kann man diese Möglichkeit nie komplett ausschließen, so dass es sinnvoll ist, die Erpressung auf jeden Fall der Polizei zu melden!