Aus meiner lockeren Reihe Phishing-Mails erkennen hier mal wieder ein interessantes Exemplar und dessen Analyse. Es geht um einen angeblichen Angriff auf mein Mail-Konto.
In meinem Spamfilter blieb kürzlich eine Mail hängen, die so begann (farbige Hervorhebung und Auslassungen von mir):
Hallo!
Wie Sie vielleicht bemerkt haben, habe ich Ihnen eine E-Mail von Ihrem Konto aus gesendet. Dies bedeutet, dass ich vollen Zugriff auf Ihr Konto habe.
Ich habe dich jetzt seit ein paar Monaten beobachtet. Tatsache ist, dass Sie über eine von Ihnen besuchte Website für Erwachsene mit Malware infiziert wurden.
(…)
Warum hat Ihr Antivirus keine Malware entdeckt?
Antwort: Meine Malware verwendet den Treiber.
Ich aktualisiere alle vier Stunden die Signaturen, damit Ihr Antivirus nicht verwendet wird.(…)
Wenn ich es heraus finde, dass Sie diese Nachricht mit einer anderen Person geteilt haben, wird das Video sofort verteilt.
In diesem Artikel
Form
Auffällig ist die weitgehend korrekte und eloquente deutsche Sprache nach neuer Rechtschreibung (“dass” statt “daß”, und überhaupt “dass” statt fälschlich “das”) sowie die korrekte Interpunktion. Es wird sogar die Großschreibung der Anrede, wie sie in der Briefform üblich war und ist, verwendet. Das macht heute kaum noch jemand (vor allem nicht in eMails), was auf einen nicht allzu jungen Absender hindeuten könnte. Das soll nur ein Hinweis sein, dass solche Leute keineswegs zwangsläufig langhaarige asoziale dumme jugendliche pizzakartonsstapelnde Kettenraucher-Scriptkiddies sein müssen. Es ist nicht einfach, alle Klischees in einem Satz unterzubringen :-)
Allerdings fällt auch auf, dass der Absender oft zwischen dem vertraulichen “Du” und dem unpersönlichen “Sie” hin und her wechselt, teilweise sogar in einem Satz. Das kann einem Muttersprachler natürlich ebenfalls passieren, aber ich vermute, dass die Mail aus verschiedenen Textbausteinen zusammen gesetzt wurde.
Inhalt
Inhaltlich interessant ist jedoch die komplette Falschaussage am Anfang, “… habe ich Ihnen eine E-Mail von Ihrem Konto aus gesendet. Dies bedeutet, dass ich vollen Zugriff auf Ihr Konto habe.” Denn das ist keineswegs logisch, wie der Absender uns vermitteln möchte. Ich kann in meinem eMail-Programm eine völlig beliebige Absenderadresse einstellen. Jeder kann das, das ist kein Hexenwerk. Einen toleranten Mailserver vorausgesetzt landet diese Mail mit dem gefälschten Absender dann auch beim Empfänger. Es wäre also ein leichtes, eine Situation herzustellen, in der Absender und Empfänger identisch sind. Das bedeutet aber keineswegs, dass irgend ein Konto gehackt wurde. Also bitte, keine Panik!
Grober inhaltlicher Unsinn ist auch die Behauptung, das Antivirus-Programm habe die Malware deshalb nicht entdeckt, weil diese “den Treiber” verwende. Ein “Treiber” ist eine Bezeichnung für eine bestimmte Art Software, die z.B. den Zugriff auf eine spezifische Hardware ermöglicht. Es gibt also nicht “den einen Treiber”, sondern deren zahlreiche!
Auch behauptet der Angreifer, er (oder sie) wechsle aus dem gleichen Grund “alle 4 Stunden die Signaturen”. Als ob das eine simple Nummer wäre, die man einfach mal eben ändern könnte! Hier hat jemand ziemlich willkürlich eine Reihe von Fachbegriffen zusammengewürfelt, was dem Laien wohl Professionalität vorgaukeln soll.
Ziel der Erpressung
Im weiteren Verlauf der Mail wird eine Überweisung von 383 € in Bitcoins auf eine angegebene Bitcoin-Adresse verlangt, damit das Video gelöscht wird. Dieser krumme Betrag basiert sicher auf dem aktuellen Kurs und entspricht ziemlich genau 0,1 BTC.
Im Blockchain-Explorer kann man sehen, dass zum Zeitpunkt dieses Artikels bereits fünf Überweisungen in etwa der geforderten Höhe eingegangen sind, und zwar zwischen Freitag Nachmittag und Samstag Abend. Von diesen haben die beiden ältesten Überweisungen noch keine einzige Bestätigung!
Da ich die Mail erst heute Nacht (Sonntag) erhalten habe, liegt der Schluss nahe, dass die Bitcoin-Adresse für mehrere Adressaten verwendet wurde. Das macht es für den Erpresser im Grunde unmöglich, allein aufgrund der Zahlung das Opfer zu identifizieren. In der Erpressermail wird jedoch keine weitere Kontaktaufnahme gefordert. Es liegt also nahe, dass die Löschung des Videos gar nicht in der Absicht des Erpressers liegt. Oder dass überhaupt kein Video existiert.
Empfehlungen
- Überprüfe die Behauptungen in der Mail.
- Stimmt die Schreibweise der Absenderadresse exakt (also auch der Name, nicht nur die Adresse!) mit der überein, die dein eMail-Programm aktuell eingestellt hat? Falls du z.B. sprachspezifische Sonderzeichen (Umlaute) in deinem Namen hast, sind diese korrekt geschrieben und nicht als “ae” statt “ä” oder in einer codierten Schreibweise abgefasst?
- Hast du dich überhaupt in letzter Zeit (oder jemals) auf “Erwachsenenseiten” herumgetrieben?
- Hat dein Rechner überhaupt eine Webcam, d.h. kann so ein Video aus technischer Sicht überhaupt existieren?
Neueste Kommentare