Erpresser-Mails mit Porno-Scam (“Beim Masturbieren aufgenommen” – Update, 18.10.2019)

Seit einiger Zeit kursieren Mails, mit denen Empfänger zu einer Zahlung gebracht werden sollen mit einer fiesen Masche. Ursprünglich wurde behauptet, man hätte den Rechner “gehackt” und Videos über die Rechner-interne Cam erstellt, auf denen man sieht wie der Betrachter sich Pornos ansieht.

Lassen Sie sich nicht einschüchtern, ich beschreibe im Folgenden einige Szenarien, auch um Ihnen zu zeigen, dass die bei Ihnen eingetroffene Mail massenhaft versendet wurde. Das LKA NRW weist auch darauf hin, dass kein Fall mit vorhandenen Aufnahmen bekannt geworden ist.

Ursprüngliche Variante der Porno-Erpressung

Jedenfalls bei mir fingen diese Mail an mit einer Variante, in der man die behaupteten Umstände untermauern wollte, indem ein reales Passwort des Benutzers angezeigt wird:

I’m aware, ___________ is your password. You don’t know me and you’re probably thinking why you are getting this mail, right?

Well, I actually placed a malware on the adult video clips (porno) web site and guess what, you visited this website to experience fun (you know what I mean). While you were watching video clips, your internet browser started out working as a RDP (Remote Desktop) with a key logger which gave me access to your display screen as well as web camera. Just after that, my software program gathered every one of your contacts from your Messenger, Facebook, and email.

Dieses Video soll dann am Ende an die ergaunerten privaten Kontakte gesendet werden, wenn man nicht zahlt. Mich haben auf älteren Mail-Adressen derartige Nachrichten auch erreicht, durch die Verwendung von Passwörtern die es wirklich zumindest einmal gab wirkt es für viele sehr realistisch und tatsächlich wurden wohl erhebliche Summen gezahlt. Die Angst ist einfach zu gross.

Die Mails haben regelmäßig Updates erhalten, die bei mir eingetroffenen Texte waren bereits abgewandelt, inzwischen gibt es auch weitere Mails ohne Passwort aber mit einer realen Handynummer. Abgerundet wird es dadurch, dass in der Mail noch der Satz vorkommt

The email claims to have a tracking pixel so the hackers know you’ve read it

Jedenfalls bei mir findet sich dazu nichts, einen Zählpixel fand ich in der Mail nicht.

Weitere (spätere) Varianten der Porno-Erpressung

In den folgenden Monaten tauchten immer wieder weitere Varianten auf, die mit zunehmender Menge auch zunehmend plump wurden. Im August 2019 erhielt ich auf mehreren Mail-Accounts wieder parallel solche Nachrichten, hier machte man sich schon nicht mehr die Mühe ein Passwort einzusetzen – allerdings wurde zumindest das Präfix der Mailadresse für ein angeblich erstelltes Video als Dateiname genutzt:

Lassen wir meine angesprochenen “eigenen Perversionen” außen vor, fällt schnell auf, dass hier offensichtlich kyrillische Buchstaben verwendet wurden – und es führt zu etwas abstrusen Ergebnissen, wenn etwa die Sammel-Mail einer Redaktion betroffen ist. Direkt danach erhielt ich dann auf meiner privaten Mailadresse ein weiteres Anschreiben, leider wieder recht plump:

Niederländische Porno-Scam-Variante

Inzwischen erreichen mich – wieder einmal massenhaft – solch Mails auch auf meinen niederländischen Kontaktmöglichkeiten. Hier zeigt sich besonders schnell, dass ein wirklicher Angriff gar nicht möglich sein kann – weil die benannten Mailadressen bzw. die betroffenen Mailserver in dieser Form gar nicht existieren (es sind nur Mailweiterleitungen). Hier möchte man nun immerhin 2000 Euro haben, Wiedermals per Bitcoin:

Ik ben een vertegenwoordiger van de Chaos-hackgroep.
In de periode van 26/06/2019 tot 24/09/2019 hebben we toegang tot uw account mail@ferner.nl verkregen door een van de FERNER.NL-mailservers te hacken.

Heb je je wachtwoord al gewijzigd? Is goed! Maar ons programma onderschept het elke keer. En elke keer als ik
je nieuwe wachtwoord! Door toegang te krijgen tot uw e-mailaccount was het eenvoudig om verbinding te maken met het besturingssysteem van uw apparaat.

Op dit moment zijn al uw contacten bij ons bekend. We hebben ook toegang tot uw boodschappers en uw correspondentie. Al deze informatie is al opgeslagen op mijn pendrive. We zijn ons ook bewust van uw intieme avonturen op internet. We weten dat je van sites voor volwassenen houdt en dat we op de hoogte zijn van je seksverslavingen.
Je hebt een zeer interessante en unieke smaak (begrijp je wat ik bedoel?).

Wanneer u door deze pagina’s bladert, wordt de camera van uw apparaat
automatisch ingeschakeld. Wat u bekijkt, wordt vastgelegd en opgeslagen op onze server. Op dit moment zijn verschillende compromitterende video-opnamen verzameld. Vanaf het moment dat u deze brief na 120 uur leest, ontvangen al uw contacten in deze e-mailinbox en in berichten deze clips en bestanden samen met correspondentie.

Auch hier gilt: Keine Angst haben und nicht einschüchtern lassen. Ich versuche es auf holprigem Niederländisch: Als u een mail heeft ontvangen waarin wordt beweerd dat u tijdens het masturberen bent opgenomen: Dit is een poging tot oplichting, geen echte hackersaanval. Maak je geen zorgen. Als u deze mails verwijdert, stuur dan geen geld.

Muss ich Angst haben?

Nein, aber das Passwort sollte sofort überall geändert werden, wo es noch im Einsatz ist. Die Mails sind gut gemacht, die Masche ist auf psychologischer Ebene äusserst anspruchsvoll gemacht und erwischt gerade ungeübte Laien sicherlich eiskalt. Gleichwohl ist es simpler Scam, eine Mail die versucht Angst zu machen und dadurch den Opfern das Geld aus der Tasche zu ziehen.

Auch das LKA NRW hat in seinem Cybercrime Lagebericht 2018 betont: “Bislang ist in NRW kein Fall bekannt, in welchem tatsächlich eine Videoaufzeichnung angefertigt wurde oder das IT-System der Betroffenen kompromittiert wurde. Dennoch konnten auf Wallets Zahlungseingänge festgestellt werden.”

Wo kommen meine Daten her?

Es gibt eine Unmenge erfolgreicher Hack-Angriffe auf Webseiten in der vergangenen Jahren, wobei auch Passwörter samt zugehörigen Mails entwendet wurden. Die Daten sind teilweise mehr als 5 Jahre alt – man kann dies auf der Webseite https://haveibeenpwned.com selber nachprüfen und nachsehen, ob die eigene Mailadresse bereits irgendwo von einem Hack betroffen war und welche Daten dort abhanden gekommen sind:

Bitte richtig verstehen: Es geht nicht um Login-Daten zum eigenen Mail-Account sondern um die Frage, welche Plattformen betroffen waren auf denen die angegebene Mail-Adresse als Login verwendet wurde. Die Webseite zeigt dabei an, welche Daten abhanden gekommen sind, wie etwas Passwords, Usernames etc. Bei Passwörtern gibt es dazu Hinweise, ob diese codiert waren und ob ein Decodieren zu erwarten ist bzw. mit welcher Sicherheit diese abgesichert waren.

Wenn man Pech hat war man von einem Hack betroffen, bei dem Passwörter und Mail-Adressen abhanden gekommen sind:

Und wer richtig viel Pech hatte, der war von einem Hack betroffen, bei dem noch viel mehr Daten abhanden gekommen sind, mit denen sich hochgradig personalisierte Mails erstellen lassen können:

Was kann ich tun?

Die Mail um die es hier geht: Löschen. Ansonsten: Passwörter ändern und etwa ein Tool wie 1Password nutzen oder ein eigenes brauchbares Passwortsystem verwenden. Nutzen Sie die Gelegenheit um ihren Passwort-Schutz zu überdenken.

Auch deutschsprachige Mails sind unterwegs

Zwischenzeitlich erreichte mich übrigens auch eine erste deutschsprachige Variante, die allerdings kein Passwort beinhaltet, dafür eine Hilfestellung zur Zahlung mit Bitcoins beinhaltet und immerhin mit 250 Euro auskommt:

Es gibt Dinge, die jeden in Verlegenheit bringen. Und das wird gravierende Folgen für Ihr persönliches Leben und Ihr Wohlbefinden haben. Eine Zeitlang überwachen wir Ihren Computer mit einem Trojaner, der selbst installiert wurde und Ihren Computer infiziert hat. Sie haben sich infiziert, indem Sie auf der pornografishen Webseite infiziert von uns auf die Ankündigung klickten.

Dank dem Trojaner-Virus haben wir den Zugang zu Ihrem Computer und allen Geräten die mit dem über Wi-Fi oder Bluetooth verbunden sind. Durch den Live-Kanal haben wir Ihren Bildschirm und alles, was Sie auf Ihrem Computer gemacht haben, gesehen. Wir haben auch die Kontrolle über Ihre Kamera und Ihr Mikrofon, die wir jederzeit ein- und ausschalten können. Alle Informationen, an denen wir interessiert sind, wurden vertraulich behandelt.

Zum Beispiel: Kontakte, soziale Netzwerke, E-Mails, etc.

Wir haben ein Video aufgenommen, in dem Sie onanieren, und wir haben ein Video hinzugefügt, das Sie gesehen haben, als Bildfelder mit einem geteilten Bildschirm. Durch Drücken einer Taste können wir dieses Video an alle Ihre Kontakte, sozialen Netzwerke usw. weiterleiten. Falls Sie diese Situation verhindern wollen, übertragen Sie eine Summe von 250 Euro an die folgende Bitcoin-Adresse.

Am Ende findet sich auch der Kontrollhinweis – der aber tatsächlich mal Hand- und Fuß hat: “Kaum dass dieser Brief geöffnet wird, werden wir eine Nachrichtung darüber bekommen, und ab sofort fängt der Zeitzähler zu arbeiten.” Und tatsächlich beinhaltet die HTML-Variante der Mail eine Bilddatei, mit der die verwendete Mailadresse zurückgepingt wird an eine Adresse nach dem Muster “http://olegovroman .000webhostapp.com/img11.php?sub=3D66&mail=(…)” – die Adresse funktionierte jedenfalls zu meinem Zeitpunkt des Erhalts bereits nicht mehr. Ich sehe hier letztlich die gleichen Überlegungen wie oben, die Mail habe ich hier Auszugsweise aufgenommen damit Betroffene den Text finden und sich nicht erschrecken lassen.