Bitcoin Erpresser durch Passwort-Klau

Bitcoin-Erpressung per E-Mail – das kennen wir. Doch nun hat der Bitcoin-Spam eine neue, beunruhigende Qualität erreicht. Erfahren Sie, wie die Cyberkriminellen vorgehen und welche Maßnahmen Sie ergreifen müssen.

Der Bitcoin als Zahlungsmittel für Erpressung

Attacken auf den Webserver oder Verschlüsselung des Computers: Diese beiden Formen sind bekannt, und die zugehörige E-Mail-Schwemme ist wohl (beinahe) vorbei. Durch Zahlung von Bitcoin würde man dieser Bedrohung entkommen, so schrieben die Spammer. Siehe auch: DDoS-Attacke gegen Zahlung von Bitcoins abwenden?

Meistens ein Bluff, doch gibt es genügend Cyber-Opfer, deren Erpresser ihre Drohung wahr gemacht haben. Wenn das Malware-Programm auf dem Monitor ausgibt: Oops, your files have been encrypted, dann ist es zu spät gewesen. Hätte man diesen Vorgang mit einer Zahlung verhindern können? Leider gibt es keine richtige Antwort darauf, denn es sind zu viele Trittbrettfahrer unterwegs.

Bitcoin bleibt wohl Nummer 1 bei Cyber-Erpressern

Die Erpresser denken sich immer wieder neue Dinge aus. Das einzige, das bleibt, ist die beliebte Kryptowährung beim Zahlungswunsch.

Am besten bei einer Erpressung wirkt scheinbar eine Kombination aus „Verifizierung der Echtheit, die Erwähnung eines suggerierten In-Flagranti-Moments und die Bedrohung der eigenen Reputation“. Beginnen wir mit der Verifizierung durch ein echtes Passwort. Da nimmt man solche Mails schon viel ernster.

Geklaute Passwörter von gehackten Plattformen

Wer aktiv im Internet unterwegs ist, legt sich Accounts bei diversen Plattformen an. Man möchte vielleicht eine Dienstleistung (Webservice mit Registrierung) in Anspruch nehmen oder einen Download erhalten, die Gründe sind vielfältig.

Der Fall Adobe im Jahre 2013 mag schon in Vergessenheit geraten sein. Zur Erinnerung: Es wurden E-Mail-Adressen und unverschlüsselte Passwörter aus Datenbanken und Backups geklaut. Man schätzte damals, dass es über 150 Millionen Datensätze sein müssten. Das war beileibe nicht der einzige Fall von Datenklau. Nun wird der Fall indirekt wieder aktuell, denn erstaunlicherweise ist genau dieses „Adobe-Passwort“, das vor dem Datenklau genutzt wurde, aufgetaucht. In einer Erpressungsmail an die Autorin fand sie dieses.

Bitcoin Erpressung E-Mail Screenshot
E-Mail-Adresse und Passwort sind hier (rot) unkenntlich gemacht.

Bitcoin-Erpressung: Die E-Mail im Detail

  • Der Betreff lautete E-Mail-Adresse, Doppelpunkt, Passwort. Aus Datenschutzgründen veröffentlichen wir diese beiden Daten nicht. Stellen Sie es sich in etwa so vor: info@domain.de:passwort. Schon allein, wenn man das eigene Passwort im Betreff liest, wird der Puls ein bisschen schneller.
  • Der In-flagranti-Moment in der E-Mail ist gemein! Der Erpresser schreibt, dass er einen „Double-Screen Video Clip“ aufgenommen hätte. Es wären also Videos von der besuchten Video-Website und der Webcam verfügbar. Nun wird es vielleicht bei einigen Mailempfängern im Kopf rotieren und sie fragen sich: „Wann, was, wo, wie?“ Beruhigend war für die Autorin jedoch die Tatsache, dass die Webcam immer abgeklebt war. So waren besagte Aufnahmen auf den erwähnten „Erwachsenen-Websites“ komplett auszuschließen.
  • Als dritter Punkt wird eine Zahlung gefordert: Bitcoins, und zwar umgerechnet in Höhe von $ 1300. Wenn man nicht wisse, wie der Zahlungsvorgang funktioniere, solle man doch googeln: „How to buy bitcoin“.
  • Zahlungsziel: Es werden 5 Tage gewährt. Dabei verzichtet man auf die Angabe eines Datums. Man spielt vor, dass eine Pixelgrafik in der Mail mitgesendet worden sei. Der Erpresser wisse daher, dass und wann man die E-Mail geöffnet habe.
  • Zum fatalen Finale der E-Mail kommt es zur Drohung, was man tun würde, wenn keine Zahlung erfolgte: Alle Kontakte, inklusive der Familie und Kollegen bekämen dann dieses Video zugesendet.

Fazit zur Bitcoin-Erpressung mit realem Passwort und Video-Beweis

Die Autorin hat knapp 50 E-Mails dieser Art erhalten. Immer an dieselbe E-Mail-Adresse. Somit könnten wir vermuten, dass ein Klau von echten Nutzerdaten erfolgt ist und diese Daten zum Aussenden der Bitcoin-Erpressung genutzt wurden. Das Passwort wurde jedoch nur in ungefähr 30 Prozent der ersten Spammails verwendet.

Die weiteren E-Mails (nach circa einer Woche) waren dann ohne Passwort-Angabe. Die Syntax vom Betreff und der Textinhalte waren ansonsten identisch. Nur einmal kam eine inhaltlich kürzer formulierte, die Kernaussagen beibehaltende E-Mail mit dem Betreff „Tiскеt#992133215: <info@domain.de> 11.08.2018 07:08:42 Ƒootage with you“. Jedoch auch ohne die Passwort-Angabe. Es könnte sich hier um Trittbrettfahrer handeln.

Passiert ist glücklicherweise nichts, denn hier handelt es sich zwar um echte Nutzerdaten, aber die Bedrohung war ein Fake. Es sollte einen jedoch zum Nachdenken anregen, wie man – ebenso entspannt – auf die nächste Bedrohung reagieren könnte.

Erzielt haben die Erpresser – mit der Angst der Mailempfänger – wohl schon weit über eine Viertelmillion US-Dollar. Ein Twitter-Nutzer hat die Bitcoin-Adressen überprüft, die ihm vorliegen (Quelle: Twitter).

Die Bitcoin-Erpressung ist eine Aufforderung zum Check

Bei der ersten Zahlungsaufforderung mit Bitcoin schaute die Autorin (obwohl sie sich sicher war, dass keine Webcam-Videos erstellt wurden) in Ihrem Passwort-Manager. Sie überprüfte besonders alte Accounts daraufhin, ob sie versehentlich noch dieses Passwort beinhalten. Das Ergebnis war glücklicherweise negativ. Der zweite Blick gilt den alten gespeicherten Passwörtern im Browser. Diese Altlasten entdeckt man meistens eher zufällig.

Auf dem iPhone gibt es in den Einstellungen den Menüpunkt „Accounts und Passwörter“, dort wird man eventuell fündig. Ansonsten speichert der Chrome-Browser auf den Smartphones die Passwörter. Informationen dazu gibt es bei Google auf den Support-Seiten.

Sicherheitsmaßnahmen-Liste – auch ohne Bitcoin-Bedrohung

  • Passwörter überprüfen, ob sie (zu) lange nicht geändert wurden -> Änderung der Passwörter
  • Speicherung der Passwörter nicht im Browser zulassen (Einstellungen prüfen und gegebenenfalls ändern)
  • Für jeden Account ein anderes Passwort vergeben – keine „General-Passwörter“ mehr benutzen
  • Passwort-Manager benutzen (Wer soll sich das sonst alles merken?)
  • Zweifaktor-Authentifizierung – wenn angeboten – nutzen
  • Webcam bei Nichtbenutzung abkleben (ganz gleich, was man macht)
  • Check der Browser-Einstellungen, dass bei Webcam-Nutzung immer vorher eine Abfrage erscheinen soll (zum Beispiel im Chrome-Browser mit Eingabe von „chrome://settings/content/camera“ in die Browserzeile)
  • E-Mails nicht automatisch im HTML-Modus lesen, sondern in reinem Text
  • Das automatische Laden von Bildern in E-Mails deaktivieren
  • E-Mails, die fraglich sind, nur im Quelltext anzeigen lassen und dort anschauen
  • Keine Anhänge „einfach so“ öffnen (das war hier nicht der Fall, gehört aber zu den Sicherheitsmaßnahmen dazu)

Der Tipp von Hiscox:
Sichern Sie sich deshalb als Unternehmer oder Freelancer ab, zum Beispiel mit einer Cyber-Versicherung. Sie springt bei Hackerangriffen ein und bietet im Schadenfall für Sie Sofort-Hilfe.