Barracuda full logo

Threat Spotlight: Laufender Sextortion-Betrug nutzt Daten aus Sicherheitsverletzungen

Themen:
31. Okt.. 2018
|
Jonathan Tanner

Cyberkriminelle sind äußerst kreativ und opportunistisch. Große Weltereignisse wurden in der Vergangenheit unzählige Male als Grundlage für Spam- und Phishing-Versuche genutzt. Internationale Geldbetrügereien bedienen sich Vorwänden von millionenschweren Erbschaften bis hin zu gestrandeten Reisenden, um leichtgläubige und weniger sicherheitsbewusste Internetnutzer zu betrügen. Fügt man einige persönliche Informationen und (vorgespielte) Erpressung hinzu, erhält man eine der jüngsten großen Phishing-Kampagnen und das Thema des diesmonatigen Threat Spotlight.

Hervorgehobene Bedrohung:


Sextortion-Betrug – Angreifer nutzen Passwörter, die bei früheren Datenverletzungen gestohlen wurden, um Benutzer zu täuschen und sie dazu zu bringen, Bitcoin zu zahlen. Dies soll angeblich verhindern, dass ein kompromittierendes Video, das der Angreifer angeblich auf dem Computer des Opfers aufgenommen hat, mit allen seinen Kontakten geteilt wird.

In this Threat Spotlight, @Barracuda examines sextortion scams where attackers use passwords stolen in a past #databreach to trick users into paying to avoid having a compromising video released
Click To Tweet



Sextortion-Betrugs-E-Mail

Die Details:


Zumindest für englischsprachige Benutzer wird die E-Mail wahrscheinlich mit einem Betreff eintreffen, der nur aus einem Wort besteht. Es handelt sich jedoch nicht um irgendein Wort, sondern um etwas äußerst Vertrautes: eines Ihrer Passwörter. Einige E-Mails können auch die Phrase „Ihr Passwort lautet“ vor dem Passwort enthalten. In jedem Fall ist das Ziel, den Benutzer sofort darauf aufmerksam zu machen, dass er möglicherweise gehackt wurde. Die schlecht formulierte E-Mail behauptet weiter, dass der Computer des Benutzers mit einem Remote Access Trojaner (in der E-Mail als „Remote Desktop“ bezeichnet) von einer Pornografie-Website infiziert wurde und Videos des Benutzers beim Ansehen expliziter Inhalte aufgezeichnet wurden. In der E-Mail wird auch behauptet, dass die Kontakte des Nutzers aus E-Mails und sozialen Netzwerken gesammelt wurden und dass, wenn keine Geldsumme gezahlt wird (natürlich in Bitcoin), das Video des Nutzers, der Pornos schaut, an diese Kontakte gesendet wird. Wir haben auch Beispiele dafür gesehen, dass die Angreifer dieselbe Adresse mehrfach per E-Mail kontaktieren, um die Einschüchterungstaktik zu verstärken – ein Ansatz, den sie wahrscheinlich bei den meisten, wenn nicht sogar bei allen ihrer beabsichtigten Opfer anwenden.

Die gute Nachricht ist, dass es weder ein Video noch eine Kontaktliste gibt, an die etwas gesendet werden könnte. Der Angreifer verfügt zwar über ein legitimes Passwort, doch dieses wurde höchstwahrscheinlich aus der AntiPublic Combo List – einer Liste von mehr als 500 Millionen durch Sicherheitsverletzungen geleakten Passwörtern, die bereits 2016 veröffentlicht wurde – erlangt und nicht durch Malware auf dem Computer des Benutzers. Obwohl Remote Access Trojaner (RATs) heutzutage allzu häufig vorkommen, wurde der Computer des Benutzers in diesem speziellen Fall glücklicherweise nicht infiziert. Ob der Benutzer pornografische Websites besucht hat oder nicht, weiß nur er selbst, aber da diese E-Mails größtenteils auf geschäftliche E-Mails abzielen, ist es unwahrscheinlich, dass dies von einem Arbeitscomputer aus geschieht. Aus offensichtlichen Gründen haben wir keine Umfrage dazu verschickt, aber es scheint sicher anzunehmen, dass auch die anderen Behauptungen in der E-Mail falsch sein müssen.

Umfang des Sextortion-Betrugs


Diese Kampagne begann im Juli, läuft aber weiterhin. Barracuda Labs hat innerhalb weniger Tage mehr als 1.000 Beispiele dieser Bedrohung untersucht und seit September etwa 24.000 E-Mails gefunden, die dieselbe Gruppe von Absender-E-Mails wie die beobachteten Muster verwenden, was ein besserer Indikator für das Volumen dieses Angriffs ist. Die von uns untersuchten Proben stammen von Kunden, die sie manuell gemeldet haben. Es ist wahrscheinlich, dass es viele weitere gibt, die uns nicht gemeldet wurden.

Der Angriff taucht sogar in verschiedenen Sprachen wie Spanisch und Deutsch auf, allerdings ohne dass das Passwort explizit genannt wird oder dem Angreifer möglicherweise überhaupt bekannt ist. (Es scheint, dass Kampagnen in anderen Sprachen Spam-Listen anstelle der Passwortliste verwenden, die in der englischen Version genutzt wird.) In unserem Stichprobenset wurden die folgenden Länder angegriffen: Australien, Belgien, Kanada, China, Tschechien, Spanien, Guatemala, Ungarn, Irland, Island, Japan, Sri Lanka, die Niederlande, das Vereinigte Königreich und die Vereinigten Staaten.

Unter den etwa 1.000 Bitcoin-Wallets des Angreifers wurden nur vier Transaktionen durchgeführt. Aber bei Erpressungsbeträgen zwischen 1.000 und 7.000 US-Dollar ist leicht zu verstehen, warum diese Kampagne so beliebt ist – insbesondere, da der Aufwand so gering ist. Die Cyberkriminellen müssen lediglich E-Mails an Adressen auf öffentlich zugänglichen Listen senden. Es ist auch möglich, dass der Angriff zu Beginn effektiver war, bevor Artikel auftauchten, die bestätigten, dass es sich nur um eine Betrugsmasche handelte.

With extortion amounts at anywhere from $1,000 to $7,000, it's easy to see why the #sextortion scam is popular with cyber criminals, especially given that the overhead is so low.
Click To Tweet


Die Perspektive eines potenziellen Opfers


Eine Frau, mit der wir gesprochen haben, hat seit Anfang Oktober dreimal eine Variante der Sextortion-Betrugs-E-Mail erhalten. Jede E-Mail, die sie erhielt, kam im Abstand von etwa einer Woche, und die Drohungen änderten sich jedes Mal leicht, indem sie etwas anderes behaupteten. Die erste E-Mail enthielt den standardmäßigen Text über ein angebliches Video von ihr beim Besuch einer pornografischen Website und verwendete in der Betreffzeile ein sehr altes Passwort zusammen mit der Behauptung, ihre E-Mail-Adresse sei gehackt worden. Die zweite E-Mail verwendete ein noch älteres Passwort und versuchte, mögliche Gründe zu entkräften, warum die erste E-Mail ignoriert wurde. Es wurde behauptet, dass selbst wenn sie ihre Passwörter geändert hätte, dies irrelevant sei, da der Computer angeblich schon seit Jahren unter der Kontrolle der Angreifer stünde. Es wurden auch weniger spezifische Behauptungen darüber aufgestellt, was aufgezeichnet worden war, nur dass die Kamera gehackt worden sei und Videoaufnahmen von „merkwürdigen Vorgängen“ in ihrem Büro existierten. Alle drei E-Mails stammten von einer gefälschten Version ihrer eigenen E-Mail-Adresse und wurden im Spam-Ordner abgefangen.

Nachdem sie die erste E-Mail erhalten hatte, kontaktierte sie ihren ISP, der keine bösartigen Aktivitäten feststellen konnte. Angesichts des Alters des Passworts und der Tatsache, dass sie bewährte Verfahren für das Passwortmanagement befolgt, aktualisierte sie einfach die Passwörter all ihrer Anwendungen und Konten und ignorierte die E-Mail. Nachdem sie die zweite Drohung erhalten hatte, recherchierte sie online und entdeckte, was wirklich vor sich ging.

„Obwohl ich weiß, dass es sich um eine Betrugsmasche handelt, ist es dennoch beunruhigend“, sagt sie. „Es ist sehr realistisch.“

Taktiken einer effektiven Kampagne


Unabhängig von der tatsächlichen Effektivität der Kampagne setzt der Sextortion-Betrug mehrere Taktiken ein, die für eine effektive Kampagne sprechen. Die Bereitstellung von etwas, das geheim gehalten werden soll (z. B. das Passwort des Benutzers), verursacht nicht nur Sorgen oder Ängste, sondern kann auch dazu führen, dass die Benutzer annehmen, die Behauptungen, andere geheime Informationen zu kennen (z. B. ihre „Internet-Browsing-Gewohnheiten“) seien ebenfalls legitim. Der Widerspruch, dass Pornografie einerseits weit verbreitet und andererseits in vielen Bereichen tabu ist, erhöht sicherlich auch die Erfolgsaussichten dieser Kampagne. Schließlich nutzt die Erklärung des (falschen) Angriffs auf den Benutzer beliebte Angriffsmethoden, um sicherzustellen, dass eine Internetsuche eine Vielzahl aktueller Ergebnisse für andere (echte) Malware-Angriffe liefert.

Die Schwächen des Angriffs liegen jedoch hauptsächlich in der schlechten Grammatik (was ein häufiges Merkmal für jeden Phishing-Betrug ist), dem Alter der verwendeten Passwortliste (da das angegebene Passwort möglicherweise nicht mehr in Gebrauch ist) und der Annahme, dass der Benutzer kürzlich tatsächlich eine Pornoseite besucht hat.

Don't react to a #sextortion email out of fear. Always pay close attention to the details and do not assume that a breached password or spoofed email means that you are currently compromised. #emailsec #phishing #cybercrime
Click To Tweet

 

 

So schützen Sie sich


Echtzeit-Spear-Phishing und Abwehr von Cyber-Fraud – Barracuda Sentinel ist die einzige Lösung auf dem Markt, die den E-Mail-Account Takeover automatisch verhindern kann.  Es kombiniert drei leistungsstarke Ebenen: eine KI-Engine, die Spear-Phishing-Angriffe in Echtzeit stoppt, einschließlich E-Mails, die aus dem Unternehmen stammen; Transparenz bei Domain-Fraud durch DMARC-Authentifizierung zum Schutz vor Domain-Spoofing und Marken-Hijacking; und ein Betrugssimulationstraining für Personen mit hohem Risiko.

Benutzerschulung und Sensibilisierung – Mitarbeiter sollten regelmäßig geschult und getestet werden, um ihr Sicherheitsbewusstsein für verschiedene gezielte Angriffe zu erhöhen. Training mit simulierten Angriffen ist mit Abstand die effektivste Form der Schulung.  Barracuda PhishLine bietet umfassende, SCORM-konforme Benutzerschulungen und -tests sowie Phishing-Simulation für E-Mails, Voicemail und SMS sowie andere hilfreiche Tools, um Benutzer in der Erkennung von Cyberangriffen zu schulen.

Weitere bewährte Verfahren:

 

  •  

    •  
    • Überprüfen Sie regelmäßig E-Mail-Adressen und Passwörter auf ihre Verwicklung in Sicherheitsverletzungen und ändern Sie die Passwörter, wenn dies der Fall ist. Websites wie haveibeenpwned.com machen es einfach, dies zu überprüfen.
    •  
    • Erstellen Sie komplexe Passwörter, die lang, nicht vorhersehbar sind und Groß- und Kleinschreibung, Zahlen und Sonderzeichen enthalten. Dies sind wichtige Schritte, um sicher zu bleiben. Anhand der von uns vorgenommenen Analyse von Stichproben konnten wir feststellen, dass viele der durchgesickerten Passwörter ebenfalls weniger als optimal waren.
    •  
    • Verwenden Sie einen Passwort-Manager, der Ihnen hilft, komplexe Passwörter zu generieren und den Überblick darüber zu behalten. Einige bieten sogar Benachrichtigungen, wenn Passwörter möglicherweise kompromittiert wurden, damit Sie diese sofort ändern können.
    •  
    • Planen Sie regelmäßige IT-Sicherheitsüberprüfungen. Es ist eine gute Angewohnheit, regelmäßig zu überprüfen, ob Ihre Passwörter komplex genug sind, Ihre Backups ordnungsgemäß funktionieren und Ihre Systeme auf dem neuesten Stand sind. Erinnern Sie sich durch Kalendereinträge daran, diese Prüfungen durchzuführen.
    •  
    • Stellen Sie sicher, dass Browser und Betriebssysteme auf dem neuesten Stand sind, um zu verhindern, dass Exploits Computer infizieren. Vorsicht beim Öffnen von E-Mail-Anhängen und Links ist ebenso wichtig. Obwohl der Angreifer hier keine Benutzer mit Malware infiziert hat, sind RATs weit verbreitet, und Benutzer sollten Maßnahmen ergreifen, wie z. B. Browser und Betriebssysteme auf dem neuesten Stand zu halten, um eine Infektion durch diese und andere Malware zu verhindern.
    •  
    • Bleiben Sie auf dem Laufenden. Sie können unsere anderen aktuellen Threat Spotlights lesen, um mehr über andere E-Mail-Bedrohungen zu erfahren und wie Sie diese vermeiden können.
    •  
    • Besorgen Sie sich eine Kameraabdeckung oder deaktivieren Sie die Kamera Ihres Computers. Auch wenn dies eine Betrugsmasche ist und kein Video existiert, könnten Sie, wenn eine solche Bedrohung Sie verunsichert, Maßnahmen wie diese ergreifen, um Ihre Privatsphäre zu schützen.
    •  
    • Reagieren Sie nicht aus Angst. Durchsuchen Sie das Internet nach Schlüsselphrasen in verdächtigen E-Mails, um zu überprüfen, ob es sich um einen Betrug handelt, oder um das Bewusstsein für den Angriff zu erhöhen. Achten Sie stets genau auf die Details und gehen Sie nicht davon aus, dass ein kompromittiertes Passwort oder eine gespoofte E-Mail automatisch bedeutet, dass Sie derzeit kompromittiert sind.  Wenden Sie sich an Ihren Internetanbieter oder den technischen Support, wenn Sie Fragen haben.
    •  

  •  

 

Barracuda bietet umfassende E-Mail-Sicherheit, die Ihr Unternehmen vor Spear-Phishing und anderen E-Mail-basierten Angriffen schützt. Besuchen Sie hier unsere Unternehmenswebsite für weitere Informationen.

 

 

Lesen Sie hier alle Barracuda Threat Spotlight-Artikel.

Jonathan Tanner

Jonathan ist ein Senior Security Researcher bei Barracuda Networks. Hier können Sie ihn auf LinkedIn kontaktieren.

Verwandte Beiträge:
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.