Scammer, jetzt versuchen die es auch bei mir — Aber vergeblich —

Wie mit der Angst der Menschen versucht wird, Geld zu machen.

In den letzten Tagen habe ich dutzende E-Mails mit dem folgenden Inhalten erhalten.

It appears that, (????????), is your password. May very well not know me and you are probably wondering why you’re getting this e-mail, right?

actually, I setup a malware over the adult vids (adult) website and you know what, you visited this web site to have fun (you really know what What i’m saying is). While you were watching videos, your internet browser started off functioning like a RDP (Remote Desktop) which provided me accessibility to your screen and web camera. after that, my software program obtained all your contacts from your Messenger, Microsoft outlook, FB, along with emails.

What did I do?

I produced a double-screen video recording. First part shows the recording you were watching (you’ve got a good taste haha . . .), and 2nd part shows the recording of your web cam.
what exactly should you do?

Well, in my opinion, $1100 is really a fair price for your little secret. You will make the payment by Bitcoin (if you do not know this, search “how to buy bitcoin” search engines like google).

BTC Address: <bitcoin adresse gelöscht>

(It’s case sensitive, so copy and paste it)

Important:

You have some days in order to make the payment. (I’ve a special pixel within this e mail, and at this moment I know that you’ve read this email message). If I don’t get the BitCoins, I will certainly send out your videos to all of your contacts including family, coworkers, and so on. Having said that, if I receive the payment, I’ll destroy the recording immidiately. If you’d like evidence, reply with “Yes!” and I will undoubtedly send your video recording to your 6 contacts. It is a non-negotiable offer, that being said don’t waste my personal time and yours by answering this message.

Wenn man die Masche nicht kennt, dann könnte es die Menschen erstmal erschrecken und verängstigen.

Aber schauen wir uns das ganze mal genauer an.
Gleich am Anfang der wird uns ein Passwort angezeigt. In vielen Fällen könnte es ein aktuell gültiges Passwort sein. Aber woher wissen die unsere Passwörter .

Im Darknet (ja ich weiß, das gefährliche versteckte Web mal wieder) kursieren Datenbanken aus verschiedenen Hacks. Wenn man wissen möchte , ob die eigenen E-Mails Adressen und und Passwörter muss man jetzt ins Darknet abtauchen. Es gibt Anbieter wie Have I Been pawed auf der man seine E-Mail eintragen kann und man bekommt angezeigt, ob die E-Mail Adresse in einem Hack aufgetaucht ist.

Dieses habe ich mal für die beiden E-Mail Adressen, die diese Scam Nachrichten erhalten, gemacht und hier die Ergebnisse:

Adresse 1 (Schon seit mehreren Jahren nur für online Shopping genutzt) :

2,844 Separate Data Breaches (unverified): In February 2018, a massive collection of almost 3,000 alleged data breaches was found online. Whilst some of the data had previously been seen in Have I Been Pwned, 2,844 of the files consisting of more than 80 million unique email addresses had not previously been seen. Each file contained both an email address and plain text password and were consequently loaded as a single “unverified” data breach.

Compromised data: Email addresses, Passwords

Anti Public Combo List (unverified): In December 2016, a huge list of email address and password pairs appeared in a “combo list” referred to as “Anti Public”. The list contained 458 million unique email addresses, many with multiple different passwords hacked from various online systems. The list was broadly circulated and used for “credential stuffing”, that is attackers employ it in an attempt to identify other online systems where the account owner had reused their password. For detailed background on this incident, read Password reuse, credential stuffing and another billion records in Have I been pwned.

Compromised data: Email addresses, Passwords

Adobe: In October 2013, 153 million Adobe accounts were breached with each containing an internal ID, username, email, encrypted password and a password hint in plain text. The password cryptography was poorly done and many were quickly resolved back to plain text. The unencrypted hints also disclosed much about the passwords adding further to the risk that hundreds of millions of Adobe customers already faced.

Compromised data: Email addresses, Password hints, Passwords, Usernames

Nexus Mods: In December 2015, the game modding site Nexus Mods released a statement notifying users that they had been hacked. They subsequently dated the hack as having occurred in July 2013 although there is evidence to suggest the data was being traded months in advance of that. The breach contained usernames, email addresses and passwords stored as a salted hashes.

Compromised data: Email addresses, Passwords, Usernames

Trillian: In December 2015, the instant messaging application Trillian suffered a data breach. The breach became known in July 2016 and exposed various personal data attributes including names, email addresses and passwords stored as salted MD5 hashes.

Compromised data: Dates of birth, Email addresses, IP addresses, Names, Passwords, Usernames

Adresse 2 letztes Jahr eingerichtet und auch nur für Shopping genutzt:

2,844 Separate Data Breaches (unverified): In February 2018, a massive collection of almost 3,000 alleged data breaches was found online. Whilst some of the data had previously been seen in Have I Been Pwned, 2,844 of the files consisting of more than 80 million unique email addresses had not previously been seen. Each file contained both an email address and plain text password and were consequently loaded as a single “unverified” data breach.

Compromised data: Email addresses, Passwords

Anti Public Combo List (unverified): In December 2016, a huge list of email address and password pairs appeared in a “combo list” referred to as “Anti Public”. The list contained 458 million unique email addresses, many with multiple different passwords hacked from various online systems. The list was broadly circulated and used for “credential stuffing”, that is attackers employ it in an attempt to identify other online systems where the account owner had reused their password. For detailed background on this incident, read Password reuse, credential stuffing and another billion records in Have I been pwned.

Compromised data: Email addresses, Passwords

Beide Adressen waren also in mehreren Listen.

Das erklärt also woher die Passwörter kamen. Zwar speichern die wenigsten Anbieter die Passwörter in Klartext , sondern als Hash. Dieses ist aber nur eine Frage der Zeit bis die Standard-Hashes  wie MD5 oder SHA-1 über Verzeichnisse dekodiert werden können. Nur eine Frage der Rechenpower und so eine Datenbank zu erzeugen.

Danach wird uns verkauft, dass der Angreifer über eine Schadsoftware eine Aufzeichnung des Desktop Inhaltes und der Webcam gemacht hat. Tendenziell ist es möglich über einen Trojaner Zugriff auf den Desktop Inhalt und Webcam zu erhalten. Aber so leicht wie es im Text sich anhört ist es dann doch nicht.

Hat man einen Rechner mit aktuellem Betriebssystem macht man es dem Angreifer schon schwer überhaupt ohne Mithilfe des Anwenders ins System zu kommen. Wenn jetzt jemand sagt, dass er einen guten Virenscanner hat, muss ich Ihn leider enttäuschen. Meiner Meinung nach nur zu 50% Effektiv.

Warum ? Ganz einfach. Ein Virenscannner sucht nach bekannten Signaturen bzw. speziellen Verhaltensweisen. Das heißt eine Schadsoftware muss erst in der Datenbank enthalten sein , um effektiv erkannt zu werden.
Meiner Meinung nach ist eine Firewall , die neue Verbindungen anzeigt oder nicht genutzte Ports  anzeigt besser. Hier stellt man sich die Frage, warum versucht der Rechner jetzt eine Verbindung aufzubauen ? Und man blockt eher eine Verbindung ab.

In den Mail die ich bekommen habe , ist die Sprache von RDP (Remote Desktop) bzw. Teamviewer.
Dieses hat aber nicht mit Schadsoftware zu tun. Hierbei handelt es sich um übliche Fernwartung und Supporttools. Wenn man auf seinem Rechner nicht gerade diese Software für den unbeaufsichtigtem Zugriff eingerichtet hat , bekommt man als Anwender in den meisten Fällen eine Sicherheitsabfrage angezeigt. Würde es sich wirklich um Schadsoftware handeln , würde man dieses nicht auf diese Art machen.Kommen wir nun zum letzten Teil der Nachricht , der Teil mit der Erpressung.
Wir sollen den Betrag x in Bitcoins innerhalb von x Tagen zahlen. Ich bekomme diese Mails alle 3 Stunden mit unterschiedlichen Beträgen und Zeitspannen. Wirkt wirklich sehr professionell, oder ?
Auch die Bedrohnung, dass das heimliche Video an Freunde und Kollegen geschickt wird , soll nochmal richtig angst machen, in der Hoffnung dass hierdurch die Zahlungsbereitschaft angeregt wird.
Auch das Versprechen, dass die Videos nach der Zahlung gelöscht werden, ist nur zur Anregung der Zahlungsmoral gedacht. Mal ehrlich , eine gemolkene Kuh , kann man doch immer öfter melken, oder ?

 

Wo kommen diese Mails nun her :

Hierzu schauen wir uns erstmal die Header Daten der E-Mail Adresse genauer an.
Der Absender der angezeigt wird, muss nicht der Absender einer E-Mail sein. Mit weniger als 5 Min Aufwand kann man diese Angabe ändern, ohne dass es auffällt.

Hier ist ein Auszug des Headers einer dieserEmails :

Delivery-date: Tue, 14 Aug 2018 16:33:37 +0200

(envelope-from <info@candicemanning.com>)
id 1fpaO9-0001OO-4p; Tue, 14 Aug 2018 16:33:37 +0200
Return-path: <info@candicemanning.com>
X-Envelope-to: <empfänger>
Received: from [46.161.42.101] (helo=mail.candicemanning.com)

Interessant ist die markierte Zeile , in der die IP Adresse und der Mailserver angegeben ist.
Über eine Whois Abfrage könnte man theoretisch die Person ermitteln , die die Domain registriert hat. Hier hat sich aber seit Jahren eingebürgert, dass die Daten zu schützen und diese über den Dienst WhoisGuard zu verstecken. Dann sieht das ganze so aus:
Registrant Name: WhoisGuard Protected
Registrant Organization: WhoisGuard, Inc.
Registrant Street: P.O. Box 0823-03411
Registrant City: Panama
Registrant State/Province: Panama
Registrant Postal Code:
Registrant Country: PA
Registrant Phone: 507.8365503
Registrant Phone Ext:
Registrant Fax: 51.17057182
Registrant Fax Ext:

Zwar kann man auf deren Seite Spam melden und dann wird sich drum gekümmert und ggf die Daten freigegeben werden , aber das dauert, wenn man überhaupt eine Antwort erhält.
Meine Security Software  stuft deren Seite schon als Phishing Seite ein , das erklärt vieles.

Aber wir haben noch die IP Adresse :
Hier kann man entweder eine Whoisabfrage machen oder einfach nach der Ip Adresse z.b. bei Google suchen. Ich persönliche schaue unter www.abuseipdb.com nach. Hier sieht man auch gleich , ob die IP schon auffällig geworden ist , und wenn nicht , kann man diese gleich melden.

Und wie ich schon erwartet habe, stammt die Mail aus St. Petersburg Russland. Nun könnte man sich die Arbeit machen , den ISP anzuschreiben und diesen Vorgang zu melden, aber dass dürfte nichts bringen, außer dass die Domain sich ändert und eine andere IP genommen wird.
Ich habe mir eine Mail Regel zur automatischen Löschung erstellt und gut ist.

Einigen stellt sich jetzt die Frage : Soll ich eine anzeige erstatten ? Da ich hier keine Rechtsberatung mache,
kann ich nur sagen: Das muss jeder selber entscheiden.  Sollte man bezahlt haben , dann auf jeden Fall.
Ich mache mir die Arbeit bei dieser Art von Scam nicht und zwar aus dem Grund: Die Menge an unterschiedlichen Mails (vollgepamme) ist für mich ein sicheres Zeichen , dass hierbei nichts dran ist und die Tatsache , dass die Webcam seit dem ersten Tag, seitdem ich das Notebook habe, abgeklebt ist und deaktiviert ist. Das Video möchte ich dann mal echt sehen ;).

Die IP und die Server-Adresse  welchseln von Zeit zu zeit , und beim Serverwechsel scheint es auch nicht immer glatt zu gehen. Die letzten Mails waren ohne Anzeige des Passworts.

Neben diesen Mails gibt es aber noch weitere Erpressungen: Man chattet mit einer super süßen Frau  (zu mindest glaubt man das) , macht dann einen Video Chat mit wenig Kleidung und hält sein Schniedelwutz  in die Kamera und schon wird man erpresst. Hier kann man sicher sein , dass hier Videomaterial existiert. Und da man sich vorher über Social Media Portale verknüpft hat, gibt es viele Adressen , an die das Video geschickt werden kann. Dieses ist definitiv ein anderes Level an Kriminalität.

Ein schönes Aufklärungsvideo ist unter https://youtu.be/jbhz49GfoZ8  zu sehen.