Noch im April hatte SophosLabs darüber berichtet, dass eine große Welle an ‘Sextortion‘ Scam-Mails hauptsächlich auf private Internetnutzer zurollt. Internetganoven sendeten E-Mails an beliebige Empfänger und versuchten diese mit angeblich aufgenommenem Bild- und Filmmaterial zu erpressen, das die Opfer beim Ansehen pornografischer Internetseiten zeigen sollte. In den meisten Fällen hatten die Erpresser keinerlei Beweismaterial und bauten schlicht auf den Schrecken derer, die sich ertappt fühlten und dann bis zu 2.000 US-Dollar in Bitcoin überwiesen. SophosLabs gehen davon aus, dass mit diesen Erpressungsversuchen rund 100.000 Dollar pro Monat ergaunert wurden.
Doch mittlerweile scheint diese Masche nicht mehr so richtig zu ziehen. Zu viele potenzielle Opfer wissen inzwischen, dass es sich in den allermeisten Fällen um inhaltslose Erpressungsversuche handelt. Die Cyberkriminellen haben sich deswegen direkt die nächste Gaunerei ausgedacht, um weiterhin mit Lösegeldern Kasse zu machen: Aus Sextortion wird Breachstortion.
Breachstortion – der neueste Coup der Cyberkriminellen-Gang
Die neue Strategie setzt wie bei Sextortion auf die Angst ihrer Opfer vor peinlicher, rufschädigender Enthüllung sowie auf das Fehlen irgendeines Beweises dafür, dass überhaupt ein Angriff erfolgt ist. Der große Unterschied: Breachstortion zielt nicht mehr nur auf vermeintliche, rein private Liebhaber von Schmuddelseiten ab. Diesmal sind es vor allem Unternehmen, die ins Visier geraten. Die Erpresser behaupten in ihren erpresserischen E-Mails, die Website des Opfers gehackt und sich mit den Daten davongemacht zu haben. Nun droht man, die Daten öffentlich zu machen und damit den guten Ruf des Website-Inhabers empfindlich zu schädigen – zur Wahrung seiner Reputation möge das betroffene Unternehmen (oder das private Opfer) doch nun bitte Summe X an die Erpresser bezahlen. Was an sich schon eine ungute Vorstellung ist, stellt besonders vor dem Hintergrund der EU-DSGVO ein absolutes Schreckensszenario für viele Unternehmen dar. Denn im schlimmsten Fall kommen die Behörden ins Spiel.
Eines dürfte also gewiss sein: Der eine oder andere wird genauso wie bei Sextortion vor lauter Schreck und Furcht bezahlen. Und die Erpresser hätten wieder einmal ihr Ziel mit minimalem Aufwand erreicht.
Eine typische Breachstortion-Mail
Im Grunde ähneln sich Erpresser-E-Mails, ganz gleich welches Thema die Gangster als Schreckmoment nutzen. Eine typische Breachstortion-Mail, welche die SophosLabs untersucht haben, klingt so (übersetzt aus einer englischen Breachstortion-Mail):
Betreff: Ihre Website wurde gehackt
BITTE LEITEN SIE DIESE E-MAIL AN JEMANDEN IN IHREM UNTERNEHMEN WEITER, DER IN DER LAGE IST, WICHTIGE ENTSCHEIDUNGEN ZU TREFFEN!
Wir haben Ihre Website gehackt und Ihre Datenbanken extrahiert.
Wie ist dies geschehen?
Unser Team hat eine Schwachstelle in Ihrer Website gefunden, die wir ausnutzen konnten. Nachdem wir die Schwachstelle gefunden hatten, konnten wir uns Ihre Datenbank-Anmeldedaten besorgen und Ihre gesamte Datenbank extrahieren und die Informationen auf einen Offshore-Server verschieben.
Was bedeutet das?
Wir werden systematisch eine Reihe von Schritten durchlaufen, die Ihren Ruf nachhaltig schädigen. Zuerst wird Ihre Datenbank veröffentlicht oder an den Meistbietenden verkauft, der sie dann mit welchen Absichten auch immer nutzen wird. Wenn E-Mail-Adressdaten gefunden werden, wird diesen per E-Mail mitgeteilt, dass ihre Informationen verkauft oder veröffentlicht wurden und dass Ihre fehlerhaft war. Dadurch wird Ihr Ruf geschädigt und sie werden mit verärgerten Kunden/Partnern konfrontiert sein. Darüber hinaus werden alle Links auf Ihre Webseite, die in den Indizes der Suchmaschinen zu finden sind, durch Nutzung von Blackhat-Techniken, die wir in der Vergangenheit zur De-Indizierung unserer Ziele verwendet haben, de-indexiert.
……..
Im weiteren Verlauf dieser E-Mails werden meist Erpressungssummen zwischen 1.500 und 2.000 Dollar in Bitcoin verlangt. Die Nachricht enthält keine E-Mail- oder Website-Kontaktdaten. Die Gauner weisen lediglich darauf hin, dass man sich nicht die Mühe machen braucht, auf die E-Mail zu antworten. Zudem gibt es keine Website, auf der man die Zahlung zurückverfolgen oder sehen kann, ob die Kriminellen das Geld erhalten haben.
Mit anderen Worten: Die Opfer sollen auf das gute Wort von Gaunern vertrauen, dass nach der Lösegeldzahlung aus den angeblich erbeuteten Daten kein weiteres Kapital geschlagen wird. Ziemlich dreist.
Was kann man tun?
Unternehmen, die solche Erpresser-E-Mails erhalten, sollten im ersten Schritt klären, ob die Behauptung überhaupt sein kann. Denn ein Unternehmen, das keine Datenbanken oder Adressdaten auf seiner Internetseite speichert, kann mit diesen auch nicht erpresst werden. Dennoch gilt es, die eigenen Datenbanken und Daten, die man im Internet oder auf Webseiten gespeichert hat, sehr genau im Blick zu behalten. Auch wenn die überwiegende Mehrzahl solcher Mails schlicht Fake sind, kann potenziell auch mal eine echte und ernst gemeinte kriminelle E-Mail dabei sein, die auf einen tatsächlichen Datenklau hinweist.
Michael Veit, Technology Evangelist bei Sophos gibt Unternehmen (und Privatpersonen) folgende Tipps:
1. Niemals unnötig sensible Daten auf öffentlich zugänglichen Systemen speichern. Sollte aus technischen Gründen eine Speicherung sensibler Daten auf solchen Systemen unumgänglich sein – etwa Kundendaten in Webshops – dann sollten diese unbedingt in besonders geschützten Umgebungen gespeichert werden.
2. Zu den technischen Schutzmaßnahmen auf Netzwerkebene zählen Web Application Firewalls und Intrusion-Prevention-Systeme. Die Server selbst müssen mit aktuellen Endpoint/Server-Protection-Lösungen mit zusätzlichen EDR-Funktionen geschützt werden und immer auf dem aktuellen Patch-Stand gehalten werden.
3. Für sensible Daten, die auf öffentlich zugänglichen Systemen gespeichert werden müssen (inklusive in der Public Cloud) gilt, dass diese verschlüsselt werden sollten. Selbst wenn Cyber-Kriminelle es schaffen, die Daten aus einem besonders geschützten Bereich zu entwenden, können sie mit den verschlüsselten Informationen absolut nichts anfangen.
4. Auf keinen Fall Erpressungsgelder bezahlen! Erstens kann man sich durch die Zahlung von Erpressungsgeldern selbst strafbar machen und zweitens öffnet man damit den Kriminellen Tür und Tor für weitere Forderungen.
5. Sollte es eine begründete Annahme geben, dass der Erpressungsversuch tatsächlich echt ist und auf einem realen Datendiebstahl beruht, gilt es, die entsprechenden Behörden zu informieren, die aufgrund ihrer Erfahrung die bestmöglichen Schritte mit Unternehmen und Betroffenen besprechen.
6. Security-Hygiene: Bei der Vielzahl an durchaus raffinierten Hacking-, Diebstahl- und Erpressungsversuchen der Cyberkriminellen, ist es notwendig, die eigene Security kontinuierlich auf die Probe zu stellen. Synchronisierte, vernetzte und durch Künstliche Intelligenz unterstütze Security ist heute das beste Mittel, den Internetkriminellen einen wirksamen Schutz entgegen zu stellen.
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
TC Communications
Telefon: +1 (724) 536839
E-Mail: sophos@tc-communications.de
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de