BACS warnt vor neuartigen Erpressermethoden

BACS,
Linkedin
Bumblebee: Cyber extortionists rely on new malware to spread ransomware

Unterschiedliche Datenabflüsse bei Online-Diensten lassen sich zu neuen Datensätzen verknüpfen und betrügerisch verwerten.

Mehrere dem Bundesamt für Cybersicherheit (BACS) gemeldete Fake-Sextortion-Fälle zeigen, wie Datensätze aus Datenabflüssen von den Betrügern benutzt werden. Wie dies in der Praxis funktioniert, erklärt das BACS in folgendem Beitrag.

Worum geht es?

Fake-Sextortion-E-Mails sind schon seit langer Zeit im Umlauf. In den meisten Fällen sehen diese E-Mails ähnlich aus, mit nur kleinen Variationen. Prinzipiell geht es darum, den Empfängern vorzugaukeln, ihr Computer sei mit einer Malware infiziert, über welche man nun die Person bei sexuellen Handlungen hätte filmen können. Das Videomaterial würde bald veröffentlicht, wenn man nicht ein Lösegeld bezahle. Da diese Geschichte erfunden ist (also «fake»), eine Erpressung dabei ist (engl. «extortion») und die Geschichte eine sexuelle Komponente hat, spricht man von Fake-Sextortion.

In den letzten Tagen wurden dem BACS mehrere Fälle von Fake-Sextortion-Nachrichten gemeldet, in denen dem Empfänger ein Teil seiner Telefonnummer gezeigt wird. In anderen Fällen wird ein Passwort mitgegeben, welches vom Empfänger tatsächlich verwendet wird, oder zumindest in der Vergangenheit verwendet wurde.

All diese Angaben dienen der Einschüchterung: Die Betrüger wollen dem Empfänger vermitteln, dass man vieles über ihn wisse, um so den Geldforderungen Nachdruck zu verleihen. Solche Nachrichten sollten immer ignoriert werden, und keinesfalls sollte auf Forderungen eingegangen werden.

Datenabflüsse

Es stellt sich nun die Frage, woher die Betrüger die verwendeten Daten (Passwort, Telefonnummer, usw.) haben. Eines ist klar: Sie stammen nicht direkt von den Geräten des Benutzers. Sie wurden vielmehr bei verschiedenen Online-Dienstleistern und sozialen Medien entwendet. Durch Infektionen mit Malware auf Systemen des Dienstleisters oder (häufiger) über ungenügend geschützte Zugänge konnten die Daten abgezogen werden.

Die Daten aus den verschiedensten Datenabflüssen werden meist im Darknet gehandelt oder sogar frei angeboten. Betrüger haben somit leichtes Spiel, an verschiedene Datensätze zu kommen.

Ist eine Person möglicherweise von einem Datenabfluss betroffen, kann sie dies zum Beispiel auf dem bekannten Portal «Have I Been Pwned» prüfen. Dort werden die bekannten Datenabflüsse (engl. «Breaches» oder «Leaks») aufgeführt. Jede und jeder kann auf dem Portal selber prüfen, ob die eigene E-Mail-Adresse vorkommt, und in welchen Abflüssen sie teil war. Dabei dürfen Sie nicht erstaunt sein, wenn auch Ihre E-Mail-Adresse betroffen ist: Mit der Zeit landen fast alle E-Mail-Adressen, die in aktiver Verwendung sind, auf irgendeinem «Leak».

Entscheidend ist unter Umständen, welche weiteren Daten im selben Zusammenhang auch verloren gingen. Bei «Have I Been Pwned» ist dies meistens ersichtlich. Das können zum Beispiel Adressen oder Telefonnummern sein, in schlimmeren Fällen aber auch Kreditkartendaten oder Passwörter. Schon deshalb ist es wichtig, dass für verschiedenen Online-Dienste und soziale Medien unterschiedliche Passwörter verwendet werden.

Aus den verschiedenen Datensätzen lassen sich mit etwas Aufwand neue, qualitativ bessere Daten erstellen. Stellen Sie sich folgendes vor: Aus dem Leak A ist Ihre E-Mail-Adresse zusammen mit Ihrer Wohnadresse abgeflossen. Im Leak B ist es dieselbe E-Mail-Adresse mit Ihrer Telefonnummer, und im Leak C erneut diese E-Mail-Adresse mit einem Passwort. Über die gemeinsame E-Mail-Adresse lassen sich all diese Daten einer Person zuordnen. Die daraus resultierenden Betrugsszenarien sind vielfältig: Bestellbetrug, Übernahme der E-Mail-Konten, Identitätsdiebstahl, und so weiter.

Empfehlungen

Um persönliche Daten zu schützen und Betrugsversuchen vorzubeugen, empfiehlt das BACS folgende Massnahmen:

  • Seien Sie vorsichtig im Umgang mit Ihren Daten. Teilen Sie Informationen nur dort, wo es nötig ist und die Daten entsprechend geschützt sind.
  • Verwenden Sie einen Passwortmanager, und konfigurieren Sie für unterschiedliche Konten auch unterschiedliche Passwörter.
  • Verwenden Sie nach Möglichkeit mehrere E-Mail-Adressen. Wenn Sie für E-Banking und andere eher sensible Dienste eine eigene Adresse verwenden, können Sie z. B. auch Phishing-Nachrichten einfacher durchschauen.
  • Lassen Sie sich nicht unter Druck setzen von Mails, die eine rasche Aktion von Ihnen fordern. Im Zweifelsfall können Sie dem BACS eine Meldung machen und nachfragen, ob es sich um eine legitime Nachricht handelt oder nicht.