Derzeit tauchen E-Mails aller Art auf, die auf Sextortion abzielen. Dieser Betrug ist kostengünstig, lässt sich leicht automatisieren und ist offenbar so profitabel, dass Cyberkriminelle ihn immer wieder anwenden. Manche Täter investieren mehr Aufwand in ihre Nachrichten als andere.
In E-Mails zur sexuellen Erpressung wird behauptet, Betrüger hätten Sie über Ihre Webcam dabei gefilmt, wie Sie sich Pornografie angesehen haben, und fordern nun Geld. Diese E-Mails gibt es schon seit Jahren, und sie entwickeln sich ständig weiter – mit kleinen Änderungen im Wortlaut und gefälschten technischen Details.
Was sich nicht geändert hat, ist die grundlegende Tatsache: Es gibt weder Malware noch Aufzeichnungen und auch keine glaubwürdigen Beweise für diese Drohung. Obwohl ich im Laufe der Jahre unzählige Varianten dieser E-Mails gesehen habe, ist mir bisher noch keine begegnet, die durch die Beweise untermauert war, die der Absender angeblich hatte.
Im Folgenden gehen wir die E-Mail Zeile für Zeile durch und unterbrechen die Geschichte des Betrügers mit Erläuterungen, die aufzeigen, woher die Behauptungen stammen und warum sie einer genauen Prüfung nicht standhalten.
„Hallo!
Ich muss Ihnen leider eine traurige Nachricht überbringen. Vor etwa ein oder zwei Monaten ist es mir gelungen, vollständigen Zugriff auf alle Ihre Geräte zu erlangen, die Sie zum Surfen im Internet nutzen. Seitdem beobachte ich Ihre Internetaktivitäten kontinuierlich.“
Die Einleitung gibt den Ton an.Total auf alle Ihre Geräte“ ist ein sofortiges Warnsignal, da dies äußerst unwahrscheinlich und technisch vage ist. Echte Angreifer geben in der Regel genauer an, worauf sie zugegriffen haben (welches Gerät, welches Betriebssystem, welche App), während Betrüger die Angaben bewusst allgemein halten, damit jeder glauben kann, dass dies auf ihn zutrifft.
“Go ahead and take a look at the sequence of events provided below for your reference: Initially I bought an exclusive access from hackers to a long list of email accounts (in today’s world, that is really a common thing, which can arranged via internet). Evidently, it wasn’t hard for me to proceed with logging in your email account (<REDACTED_EMAIL>). “
Hier behauptet der Betrüger, sich Zugang zu einer „langen Liste von E-Mail-Konten“ verschafft zu haben. Das ist eine verzerrte Anspielung auf echte Initial Access Broker (IABs) und Märkte für Zugangsdaten, auf denen Kriminelle mit gestohlenen Passwörtern oder Sitzungstoken handeln. In dieser E-Mail werden jedoch weder Passwörter noch Anmeldezeiten noch IP-Adressen genannt – lediglich eine E-Mail-Adresse, die der Betrüger bereits kannte. Es gibt also keinen tatsächlichen Beweis für eine Kontoübernahme oder einen Sicherheitsverstoß.
„Noch in derselben Woche habe ich damit fortgefahren, einen Trojaner auf allen Geräten zu installieren, die du zum Einloggen in dein E-Mail-Konto nutzt. Ehrlich gesagt war das für mich überhaupt keine große Herausforderung (da du so freundlich warst, zuvor auf einige der Links in deinen E-Mails zu klicken). Ja, es gibt Genies unter uns.“
Die Behauptung bezüglich des „Trojaners“ erinnert an andere Sextortion-Kampagnen, in denen willkürlich Malware-Familien oder Exploits genannt werden, um glaubwürdig zu wirken. Auch hier werden weder ein konkreter Malware-Name noch ein Dateipfad oder ein Exploit genannt – es handelt sich lediglich um eine allgemeine Geschichte, die darauf abzielt, jeden zu verunsichern, der schon einmal auf einen Link geklickt hat.
„Dank dieses Trojaners kann ich auf alle Steuerelemente in Ihren Geräten zugreifen (z. B. Ihre Videokamera, Tastatur, Ihr Mikrofon und andere). Dadurch konnte ich mühelos alle Daten, einschließlich Fotos, den Web-Browser-Verlauf und andere Arten von Daten, auf meine Server herunterladen. Darüber hinaus habe ich Zugriff auf alle Konten in sozialen Netzwerken, die Sie regelmäßig nutzen, einschließlich E-Mails, Chat-Verlauf, Messenger, Kontaktliste usw. Mein einzigartiger Virus aktualisiert seine Signaturen ständig (da er von einem Treiber gesteuert wird) und bleibt daher von jeglicher Art von Antivirenprogrammen unentdeckt.“
Dieser Abschnitt versucht, technisch zu klingen, indem Begriffe wie „Controller“, „Treiber“ und „Signaturaktualisierung“ erwähnt werden. Doch so funktionieren Sicherheitsprodukte oder Malware in Wirklichkeit überhaupt nicht. Moderne Trojaner und Spyware nutzen zwar möglicherweise Treiber, Persistenzmechanismen oder Verschlüsselung, doch Behauptungen wie„jede Art von Antivirenprogrammen“und „unaufhörliche Aktualisierung der Signaturen“ sind reine Bluffversuche, die sich an nicht-technisch versierte Leser richten.
„Daher kannst du dir wohl inzwischen schon vorstellen, warum ich bis zu diesem Brief immer unentdeckt geblieben bin…“
Mit dieser Aussage wird versucht, eine gravierende Unstimmigkeit wegzuerklären. Wenn der Angreifer tatsächlich die volle Kontrolle hatte und das Opfer „ein oder zwei Monate lang“ überwacht hat, warum besteht der einzige Beweis dann aus einer E-Mail ohne Protokolle, Screenshots oder Beispielvideos? Wenn jemand wirklich kompromittierendes Material besitzt, wird er zumindest einige Beweise vorlegen, denn nur so werden die Opfer dazu gebracht, die Sache ernst zu nehmen.
„Beim Zusammenstellen aller Materialien, die mit dir in Verbindung stehen, ist mir außerdem aufgefallen, dass du ein großer Fan und regelmäßiger Nutzer von Websites mit versauten Erwachseneninhalten bist. Wie sich herausstellt, liebst du es wirklich, Porno-Websites zu besuchen, spannende Videos anzuschauen und unvergessliche Lustmomente zu erleben. Tatsächlich konnte ich der Versuchung nicht widerstehen, bestimmte anzügliche Solo-Szenen mit dir in der Hauptrolle aufzunehmen, und habe später einige Videos produziert, die deine Masturbations- und Orgasmus-Szenen zeigen.“
Hier kommt der klassische Sextortion-Satz: „Ich habe dich dabei gefilmt, wie du dir Pornos angesehen hast.“ Varianten dieser Formulierung tauchen spätestens seit 2018 auf und werden oft wortwörtlich in groß angelegten Spam-Kampagnen wiederverwendet. Der Betrug setzt eher auf Scham und Angst als auf technische Glaubwürdigkeit. Das Ziel ist es, die Opfer in Panik zu versetzen, damit sie zahlen.
„Wenn du mir bis jetzt noch nicht glaubst, brauche ich nur ein oder zwei Mausklicks, um all diese Videos mit allen zu erstellen, die du kennst – einschließlich deiner Freunde, Kollegen, Verwandten und anderer. Außerdem kann ich all diese Videoinhalte online hochladen, damit jeder sie sehen kann.“
Auch hier ist wieder zu beachten, dass es keinerlei Beweise gibt. Es gibt kein Vorschaubild, kein Beispielvideo, keinen Hinweis auf einen bestimmten Social-Media-Account – nur die Drohung, es an „alle, die du kennst“ zu schicken. Die Nachricht ist bewusst vage gehalten. Dieselbe Nachricht muss bei Millionen von Empfängern mit völlig unterschiedlichen sozialen Netzwerken wirken.
„Ich bin fest davon überzeugt, dass Sie solche Vorfälle sicherlich nicht wünschen würden, angesichts der anzüglichen Inhalte in Ihren häufig angesehenen Videos (Sie wissen ganz genau, was ich damit meine) – das würde Ihnen großen Schaden zufügen. Es gibt jedoch noch eine Lösung für dieses Problem, und hier ist, was Sie tun müssen: Sie überweisen 1.490 US-Dollar auf mein Konto (oder den entsprechenden Gegenwert in Bitcoins, der sich nach dem Wechselkurs zum Zeitpunkt der Überweisung richtet). Sobald ich die Überweisung erhalten habe, werde ich all diese anzüglichen Videos unverzüglich löschen. Danach können wir so tun, als wäre zuvor nichts geschehen. Zudem kann ich dir versichern, dass die gesamte Trojaner-Software deaktiviert und von allen Geräten, die du nutzt, gelöscht wird. Du musst dir keine Sorgen machen, denn ich halte mein Wort stets ein.“
Der Preis und die Zahlungsmethode – knapp 1.500 Dollar, bezahlt in Bitcoin – sind typisch für diese Art von Betrug. Kryptowährungen sind bei Betrügern beliebt, da Zahlungen nur schwer rückgängig gemacht werden können und schnell transferiert werden können. Trotz seines Rufs ist Bitcoin nicht anonym, und die Strafverfolgungsbehörden konnten bereits viele kriminelle Transaktionen erfolgreich zurückverfolgen.
“That is indeed a beneficial bargain that comes with a relatively reduced price, taking into consideration that your profile and traffic were under close monitoring during a long time frame. If you are still unclear regarding how to buy and perform transactions with bitcoins – everything is available online. Below is my bitcoin wallet for your further reference: <REDACTED_ACCOUNT> All you have is 48 hours and the countdown begins once this email is opened (in other words 2 days).”
Kurze Fristen und Countdown-Formulierungen sind psychologische Druckmittel, keine technischen Gegebenheiten. Betrüger wollen, dass Sie in Panik geraten und nicht nachdenken, denn ein ruhiger Leser erkennt die Lücken in der Geschichte eher.
„Die folgende Liste enthält Dinge, die du beachten und vermeiden solltest:
> Es hat keinen Sinn, auf meine E-Mail zu antworten (da diese E-Mail und die Absenderadresse in deinem Posteingang erstellt wurden).
> Es hat auch keinen Sinn, die Polizei oder andere Sicherheitsdienste zu verständigen. Außerdem wage es ja nicht, diese Informationen an deine Freunde weiterzugeben. Sollte ich das herausfinden (was angesichts meiner Fähigkeiten wirklich einfach sein wird, da ich alle Ihre Systeme kontrolliere und ständig überwache) – wird Ihr unanständiges Video sofort öffentlich geteilt.
> Es hat auch keinen Sinn, nach mir zu suchen – das wird zu keinem Erfolg führen. Transaktionen mit Kryptowährung sind vollkommen anonym und nicht zurückverfolgbar.
> Es hat keinen Sinn, das Betriebssystem auf deinen Geräten neu zu installieren oder zu versuchen, sie wegzuwerfen. Das löst das Problem nicht, da alle Clips, in denen du die Hauptrolle spielst, bereits auf Remote-Servern hochgeladen wurden.“
In diesem Abschnitt geht es im Wesentlichen um den Umgang mit Einwänden. Der Betrüger rechnet mit typischen Reaktionen – mit jemandem sprechen, die Polizei rufen, das System neu installieren – und versucht, diese zu unterbinden. Besonders aufschlussreich ist die Behauptung, die E-Mail-Adresse sei „in Ihrem Posteingang erstellt worden“. Damit soll eine allgemeine Absenderadresse als Beweis für einen Hackerangriff erscheinen.
„Dinge, die dir vielleicht Sorgen bereiten:
> Dass die Überweisung nicht bei mir ankommt. Atme tief durch, ich kann alles sofort nachverfolgen. Sobald die Überweisung abgeschlossen ist, werde ich es mit Sicherheit wissen, da ich alle von dir durchgeführten Aktivitäten lückenlos nachverfolge (mein Trojaner steuert alle Prozesse aus der Ferne, genau wie TeamViewer).“
Der Verweis auf TeamViewer, ein legitimes Fernzugriffstool, ist eine weitere Taktik, die wir in den jüngsten Sextortion-E-Mails beobachtet haben. Damit kann der Betrüger seine Geschichte an etwas knüpfen, von dem die Nutzer vielleicht schon einmal gehört oder das sie bei der Arbeit genutzt haben. Es gibt jedoch nach wie vor keine Anzeichen für einen Fernzugriff, und die Behauptung, die Malware „kontrolliere alle Prozesse“, ignoriert die Funktionsweise echter Betriebssysteme und Sicherheitskontrollen.
“> Dass Ihre Videos verbreitet werden, obwohl Sie die Überweisung an meine Wallet bereits abgeschlossen haben. Glauben Sie mir, es hat für mich keinen Sinn, Sie nach einer erfolgreichen Überweisung weiterhin zu belästigen. Außerdem: Wenn das jemals Teil meines Plans gewesen wäre, hätte ich das schon viel früher in die Tat umgesetzt! Wir werden die Sache klar und deutlich angehen und regeln! Abschließend möchte ich dir noch einen Rat geben … Du musst danach sicherstellen, dass du nicht mehr in ähnliche unangenehme Vorfälle verwickelt wirst! Meine Empfehlung: Achte darauf, dass du alle deine Passwörter regelmäßig durch neue ersetzt.“
Mit Sicherheitshinweisen abzuschließen, ist ein manipulativer Schachzug. Indem er hilfreiche Empfehlungen gibt, versucht der Betrüger, glaubwürdig und vertrauenswürdig zu wirken, anstatt wie ein Krimineller. Das ändert jedoch nichts an der Tatsache, dass die E-Mail keinerlei Beweise dafür enthält, dass die Behauptungen wahr sind.
Wie man auf E-Mails mit Erpressungsversuchen reagiert
Dieses Beispiel ist ungewöhnlich schlecht formuliert, doch viele E-Mails mit Sextortion-Inhalten sind weitaus ausgefeilter und überzeugender. Unabhängig davon, wie professionell sie wirken, sollten sie alle gleich behandelt werden: als unbegründete Drohungen, die darauf abzielen, die Opfer einzuschüchtern, damit sie zahlen.
- Zuallererst: Antworten Sie niemals auf E-Mails dieser Art. Eine Antwort bestätigt, dass jemand die an diese Adresse gesendeten Nachrichten aktiv liest, und könnte zu weiteren Betrugsversuchen ermutigen.
- Lassen Sie sich nicht zu überstürzten Handlungen oder Entscheidungen drängen. Betrüger setzen darauf, dass Sie sich nicht die Zeit nehmen, die Sache gründlich zu überdenken, und dadurch Fehler machen. Fragen Sie um Rat, wenn Sie sich unsicher sind.
- Ein Anhang ist kein Beweis. Die meisten E-Mails mit Sextortion-Inhalten enthalten überhaupt keine Beweise, und Cyberkriminelle nutzen Anhänge oft dazu, Malware zu verbreiten oder ihre Drohungen überzeugender wirken zu lassen.
- Falls die E-Mail ein Passwort enthält, das Sie bereits verwendet haben, ändern Sie es umgehend überall dort, wo es noch im Einsatz ist. Aktivieren Sie anschließend, wo immer möglich, die Zwei-Faktor-Authentifizierung. Wenn Sie Schwierigkeiten haben, Ihre Passwörter zu verwalten, sollten Sie die Verwendung einesPasswort-Managers in Betracht ziehen.
- Lösche die Nachricht, melde sie als Spam und mach weiter.
Auch wenn es sich bei diesen Sextortion-E-Mails fast immer um leere Drohungen handelt: Falls Sie Bedenken hinsichtlich der Überwachung Ihrer Webcam haben, kann Sie Malwarebytes Monitoring“ benachrichtigen, sobald Anwendungen versuchen, auf Ihre Kamera zuzugreifen.
