Erpresser-Mail mit Bitcoin-Adresse: Auf Porno-Webseite erwischt oder „nur“ Betrug?

Vor einigen Tagen erreichte mich eine Mail, die mich erst einmal stutzig machte: In der ersten Zeile stand „Ich habe dein Passwort – password123“ (tatsächliches Passwort geändert), wobei dort auch wirklich ein Passwort genannt war, das ich vermutlich irgendwann mal verwendet habe. Allerdings erkannte ich schnell, dass es sich hier um ein sehr lang nicht mehr genutztes Passwort handelt. Trotzdem hatte der Schreiber erst einmal meine Aufmerksamkeit gewonnen. Zum Umgang mit solchen E-Mails oder einer anderen Erpresser-Mail mit Zahlungsaufforderung (in Bitcoin, kurz BTC) habe ich diesen Ratgeber geschrieben.

Betrüger versuchen mit vermeintlichen Aufnahmen Geld zu erpressen

Spam-Mails kennen wohl die meisten. Hier kann man in der Stunde 10.000 Dollar verdienen, dort bekommt man ein Vermögen von einem weit entfernt lebenden Prinzen oder es wird ein nie zuvor gesehenes Produkt beworben… Aber manchmal wollen die Betrüger hinter der E-Mail auch direkt und ohne Umschweife Geld erpressen. Der Empfänger der Erpresser-Mail mit Bitcoin-Adresse muss sich dann fragen: Wurde er auf einer Porno-Webseite erwischt und mit seiner eigenen Webcam aufgenommen oder ist er „nur“ Opfer eines Datenraubs?

Hier mal die in Englisch verfasste Mail, die mich vor einigen Tagen erreichte, damit ihr einen Einblick ins Thema erhaltet:

Absender war meine eigene E-Mail-Adresse
Betreff: disgrace – password123 [tatsächliches PW geändert]

Mail-Inhalt:

Hello!

I have your password – password123

I hacked your PC through porno website which you visited some time ago with tro jan.

I’ve movie of you masturbating from webcam.

I have all of your personal data, contacts and friends lists.

2 options: either you pay me 625$ in BTC(you can google how to buy it), or I am sending your movie to all your kins and friends.

It is going to be full disgrace/life ruine.

BTC Wallet: 1JGnxrXhyTRKGwX29oNYdNYJby9UpUqvVf

  

After payment is made, all your private information will be removed automatically.

You’ve twenty four hours, I am aware you just read this mail, clock is ticking.

Sincerely!

Wie kommen die Betrüger an Mail-Adresse und Passwort?

An der obigen Mail gibt es kaum ein Indiz dafür, dass die Erpresser tatsächlich etwas gegen den Empfänger in der Hand haben – außer die E-Mail-Adresse und das erwähnte Passwort, das tatsächlich genutzt wurde. Falls ihr eine solche Erpresser-E-Mail erhaltet, dann erkennt ihr im Idealfall, woher die Betrüger die Daten haben, da ihr für jeden Online-Dienst, der gehackt werden könnte, ein anderes Passwort verwendet. Denn so sieht wahrscheinlich das Vorgehen der Bitcoin-Erpresser aus:

1. Datenbank eines Online-Dienstes hacken, um Nutzerdaten auszulesen
2. Alternativ: Bereits geklaute Nutzerdaten von anderen Hackern aufkaufen
3. Die E-Mail-Adressen mit dem damit verknüpften Passwort als „Beweis“ anschreiben
4. In der Mail kompromittierende Aussagen tätigen und mit Veröffentlichung von peinlichen / schädlichen Inhalten drohen
5. Teilweise wird sogar mit gefälschtem Material gedroht, das den Empfänger bei nie tatsächlich begangenen Straftaten zeigt und bei ausbleibender Zahlung in Umlauf gebracht werden soll

Lesetipp: Top 10 Passworte, die ihr nicht benutzen solltet

Porn Blackmail – Reale Bedrohung oder „nur“ Betrug?

Natürlich ist es für jeden Empfänger und jede Empfängerin der Mail erst einmal ein Schreck, wenn tatsächlich verwendete Passwörter aufgezeigt werden. Jedoch haben die Erpresser keine anderen Beweise aufgezeigt. Wollten sie tatsächlich so viele Leute wie möglich zur Zahlung bewegen, dann würden sie doch jeweils ein Webcam-Bild oder einen Screenshot des Festplattenordners (oder ähnliches) in die Mail einbauen (so wie in der Netflix-Serie „Black Mirror“ in Staffel 3, Episode 3). Wenn nichts dergleichen gesendet wird, dann haben sie auch zu 99,99% nichts gegen den oder die vermeintlich gehackte Nutzer/in in der Hand.

Deshalb solltet ihr auch nie eine Zahlung tätigen, auch wenn euch der in der Erpresser-E-Mail genannte Betrag zahlbar und für den Schutz eures Rufs „vernünftig“ erscheint. Denn ist erst einmal eine Zahlung getätigt, wissen die Betrüger, dass ihre Masche bei euch funktioniert. Bald kommen dann weitere Mails mit neuen Drohungen und höheren Beträgen. Der Ruin, den sie durch die Veröffentlichung vermeintlicher Webcam-Aufnahmen androhen, ergibt sich dann nur aus eurer Angst und den Gegenmaßnahmen, die ihr versucht. Um gar nicht erst da hinein zu geraten, solltet ihr nicht einen einzigen Cent bezahlen – weder in Euro noch in Dollar noch in einer Kryptowährung wie Bitcoin (BTC). 

Erpresser-Mail mit Bitcoin-Adresse erhalten – Was tun?

Es gibt allerdings einige Schritte, die ihr gehen könnt und solltet, wenn ihr eine Erpresser-Mail mit Bitcoin-Adresse erhaltet, in der es heißt, dass ihr auf einer Porno-Seite, auf einer anderen peinlichen (oder gar strafbaren) Webseite erwischt wurdet – oder in der angedroht wird, dass Bilder von euch per Photoshop o. ä. in Aufnahmen von strafbaren Handlungen eingefügt werden. Selbst wenn die Erpresser drohen, eure Stimme zu nutzen, um verfängliche Telefonate zu fälschen, überweist nichts, sondern geht erst einmal folgendermaßen vor:

1. Klickt auf keinen Fall Links in der Mail oder Anhänge der Mail an
2. Ihr kennt das Passwort? Ändert es überall, wo ihr es einsetzt!
3. Scannt eure Festplatte auf Malware (bspw. mit Malwarebytes)
4. Klebt zur Sicherheit vielleicht auch eure Webcam ab (bspw. mit Webcam-Abdeckung oder Camsticker®) – dagegen kann aus der Ferne niemand etwas machen
5. Bleibt ruhig und löscht die Mail einfach ;)

Fazit zur Betrugsmail mit Bitcoin-Zahlungsaufforderung

Das einzige, was solche Mails aufzeigen, ist, dass die Daten des Empfängers bei irgendeinem Online-Dienst, einem Forum, einem Online Game oder sonstwo geklaut wurden. Das heißt, man sollte schleunigst an betreffender Stelle sein Passwort ändern oder den Account löschen. Ansonsten haben, falls nicht anders aufgezeigt, die Betrüger nichts gegen einen in der Hand und man sollte auf keinen Fall Geld überweisen, einen Link anklicken oder einen Anhang öffnen. Checkt einfach die Accounts mit dem Passwort, scannt eure Festplatte auf Malware, klebt eure Webcam ab und löscht die E-Mail.

Habt ihr auch schon einmal eine Erpresser-Mail mit Bitcoin-Adresse bekommen, deren Schreiber auch angeblich auf einer Porno-Webseite erwischt haben bzw. Material von euch besitzen, dass sie zu eurem Nachteil bearbeiten wollen? Lasst gern einen Kommentar mit euren Erfahrungen da; so kann allen geholfen werden, die ebenfalls eine solche Quatsch-Mail bekommen haben!

Update 11.11.2018: Neue Mailvorlage mit “Security Scam Warning”

Heute kam bei mir eine Mail an, die ähnlich aufgebaut ist, wie die vorherige. Auch hierbei geht es wieder um eine Erpressung mit angeblichem Webcam-Material, das aufgenommen worden sein sollte. Der Hack wäre hierbei jedoch mit einem Cisco-Router beim Provider durchgeführt worden. Die genannte Cisco-Bug-ID “CVE-2018-0296” gibt es tatsächlich, aber alles andere dürfte Quatsch sein.

Hier der Inhalt der Mail, damit ihr sie eventuell wiedererkennt:

Betreff: Security Scam Warning. (your password:PASSWORD123)

Dear user of icloud.com!

I am a spyware software developer.
Your account has been hacked by me in the summer of 2018.

I understand that it is hard to believe, but here is my evidence:
– I sent you this email from your account.
– Password from account emailadresse@icloud.com: PASSWORD123 (on moment of hack).

The hacking was carried out using a hardware vulnerability through which you went online (Cisco router, vulnerability CVE-2018-0296).

I went around the security system in the router, installed an exploit there.
When you went online, my exploit downloaded my malicious code (rootkit) to your device.
This is driver software, I constantly updated it, so your antivirus is silent all time.

Since then I have been following you (I can connect to your device via the VNC protocol).
That is, I can see absolutely everything that you do, view and download your files and any data to yourself.
I also have access to the camera on your device, and I periodically take photos and videos with you.

At the moment, I have harvested a solid dirt… on you…
I saved all your email and chats from your messangers. I also saved the entire history of the sites you visit.

I note that it is useless to change the passwords. My malware update passwords from your accounts every times.

I know what you like hard funs (adult sites).
Oh, yes .. I’m know your secret life, which you are hiding from everyone.
Oh my God, what are your like… I saw THIS … Oh, you dirty naughty person … :)

I took photos and videos of your most passionate funs with adult content, and synchronized them in real time with the image of your camera.
Believe it turned out very high quality!

So, to the business!
I’m sure you don’t want to show these files and visiting history to all your contacts.

Transfer $823 to my Bitcoin cryptocurrency wallet: 1Bt4psBJmjfVTcW6eYiJZ6HEbpFgKkBSX4
Just copy and paste the wallet number when transferring.
If you do not know how to do this – ask Google.

My system automatically recognizes the translation.
As soon as the specified amount is received, all your data will be destroyed from my server, and the rootkit will be automatically removed from your system.
Do not worry, I really will delete everything, since I am “working” with many people who have fallen into your position.
You will only have to inform your provider about the vulnerabilities in the router so that other hackers will not use it.

Since opening this letter you have 48 hours.
If funds not will be received, after the specified time has elapsed, the disk of your device will be formatted,
and from my server will automatically send email and sms to all your contacts with compromising material.

I advise you to remain prudent and not engage in nonsense (all files on my server).

Good luck!

Weitere Beispiele (englisch): Hier

Jens Kleinholz( Gründer & Sir Apfelot )

Jens betreibt das Blog seit 2012. Er tritt für seine Leser als Sir Apfelot auf und hilft ihnen bei Problemen technischer Natur. Er fährt in seiner Freizeit elektrische Einräder, fotografiert (natürlich am liebsten mit dem iPhone), klettert in den hessischen Bergen rum oder wandert mit der Familie. Seine Artikel beschäftigen sich mit Apple Produkten, Neuigkeiten aus der Welt der Drohnen oder mit Lösungen für aktuelle Bugs.