Woche 15: Neue Variante von Fake-Sextortion E-Mails im Umlauf, bei der gleichzeitig E-Mail-Konten und Social Media-Accounts gehackt werden

20.04.2022 - Der Meldeeingang beim NCSC bewegte sich auf einem ähnlich hohen Niveau wie in der Vorwoche. Es dominieren noch immer die angeblichen Drohmails von Strafverfolgungsbehörden. Derzeit häufen sich zudem Meldungen zu Fake-Sextortion E-Mails, die mit einem gehackten Webmail oder Social-Media-Konto einhergehen. Es handelt sich dabei um eine neue Variante.

Nachdem der Meldeeingang zu Fake-Sextortion in den letzten fünf Wochen sehr tief war, steigen die Zahlen seit letzter Woche wieder an. Bei Fake-Sextortion behaupten die Betrüger in einer E-Mail, dass sie Foto- oder Videomaterial gesammelt haben, welches den E-Mail-Empfänger während eines angeblichen Besuchs auf pornografischen Websites zeigen soll. Die Erpresser drohen mit der Veröffentlichung des Bild- oder Videomaterials, wenn die geforderte Lösegeldzahlung nicht innerhalb einer bestimmten Frist bezahlt wird. Um der Drohung Nachdruck zu verleihen, erwähnen die Angreifer in einigen Drohmails auch Passwörter, die der Empfänger verwendet. Bislang stammten diese Passwörter aus Datenabflüssen, die mehrere Jahre alt sind und, sofern man sein Passwort regelmässig wechselt, nicht mehr gültig sind.

Beispiel einer Fake-Sextortion E-Mail mit Passwortangabe
Beispiel einer Fake-Sextortion E-Mail mit Passwortangabe

Bei der aktuellen Welle gehen die Angreifer noch einen Schritt weiter. Es häufen sich Meldungen, dass die in der E-Mail angegebenen Passwörter aktuell und korrekt sind und dass die Angreifer mit diesen Zugangsdaten auch gleichzeitig versuchen, das E-Mail-Konto zu hacken. In einigen Fällen haben sich die Angreifer sogar zusätzlich Zugriff auf Social Media-Konten der Opfer, wie Facebook oder Instagram, verschafft. Eine mögliche Vorgehensweise der Angreifer könnte sein, dass sie die Funktion zum Zurücksetzen des Passwortes missbrauchen. Bei vielen Internetdiensten kann eine Rückstellungsanfrage ausgelöst werden, wenn das Passwort vergessen wurde. Dabei wird ein Link an die registrierte E-Mail-Adresse gesendet. Mit diesem Link ist es dann möglich ein neues Passwort zu setzen. Hat ein Angreifer Zugang zum E-Mail-Konto, hat er deshalb potentiell auch die Zugriffmöglichkeit auf andere Internetdienste. Die E-Mail-Adresse ist aufgrund dieser Funktion zum Dreh- und Angelpunkt diverser Internetdienste geworden. Die Zugangsdaten dieses zentralen E-Mail-Kontos sollten deshalb mit entsprechender Sorgfalt behandelt werden.

Passwortrückstellungsfunktion bei Facebook
Passwortrückstellungsfunktion bei Facebook

Eine weitere häufig angewandte Variante ist auch, dass Angreifer bei einem gehackten E-Mail-Konto eine sogenannte Forward-Regel installieren. Damit werden alle E-Mails, welche das Opfer erhält, automatisch auch an eine vom Angreifer definierte E-Mail-Adresse weitergeleitet - und das auch, wenn das E-Mail-Passwort geändert wurde. Die Angreifer behalten auf diese Weise vollen Zugriff auf alle Passwortrückstellungsanfragen.

Woher die Angreifer im aktuellen Fall die verwendeten Passwörter haben, konnte noch nicht geklärt werden. Da E-Mail-Adressen von verschiedenen Providern betroffen sind, geht das NCSC zurzeit nicht von einem Datenabfluss aus. Wahrscheinlicher ist es, dass die Daten von kürzlich durchgeführten Phishing-Angriffen stammen. Alternativ wäre auch denkbar, dass die Daten durch eine Schadsoftware, beispielsweise auf dem Mobiltelefon, gestohlen wurden.

  • Wenn in einer Fake-Sextortion-E-Mail ein Passwort erwähnt wird, das von Ihnen verwendet wird, sollten Sie es dringend ändern. Zusätzlich sollten Sie das E-Mail-Konto auf allfällige Weiterleitungsregeln überprüfen;
  • Ändern Sie auch die Passwörter sämtlicher anderer Dienste, die mit dem E-Mail-Konto verknüpft sind;
  • Wenn ein Internetdienstleister eine Zweifach-Authentifizierung anbietet, nutzen Sie diese unbedingt. Sie erhöhen damit den Schutz um ein Vielfaches;
  • Auch wenn die Angreifer in diesen Fällen Zugriff auf das E-Mail-Konto hatten, sind dem NCSC bisher keine Fälle bekannt, in denen kompromittierendes Bildmaterial vorhanden oder der Computer gehackt gewesen wäre;
  • Die in den E-Mails vorhandenen Bitcoin-Adressen können Hinweise auf die unbekannte Täterschaft liefern. Mit der Weiterleitung solcher Erpressungs-Mails an reports[at]stop-sextortion.ch helfen Sie mit, die Ermittlungen zu unterstützen.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 20.04.2022

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2022/wochenrueckblick_15.html