In den letzten Tagen melden sich mehrere verunsicherte Kunden bei uns, weil Sie eine Mail erhalten haben mit einem Betreff wie z.B. “Wir haben Ihre Website gehackt” oder “Ihre Site wurde gehackt”.
Dies ist wohl eine abgewandelte Form der bereits bekannten “Sextortion” Scam-Mails. Diese wurden an beliebige E-Mail Adressen gesendet, mit der Drohung angeblich aufgenommenes Bild- bzw. Filmaufnahmen zu veröffentlichen, die das Opfer beim ansehen pornografischer Inhalte zeigt.
Anscheinend ist diese Form der Scam-Mails mittlerweile zu bekannt geworden, dass die Opfer darauf nicht mehr reinfallen – daher wohl jetzt die abgewandelte Form an Webseitenbetreiber bzw. Unternehmen.
Auch hier wird auf die Angst der Opfer gesetzt, dass der Ruf geschädigt oder Daten veröffentlicht werden könnten. Einen Beweis für einen angeblichen Angriff gibt es aber nicht.
Beispiel Scam-Mail “Wir haben Ihre Website gehackt”
Bitte leiten Sie diese E-Mail an jemanden in Ihrem Unternehmen weiter, der wichtige Entscheidungen treffen darf!
Wir haben Ihre Website http://www.***.de gehackt und Ihre Datenbanken extrahiert.
Wie ist es passiert?
Unser Team hat auf Ihrer Website eine Sicherheitslücke gefunden, die wir ausnutzen konnten. Nachdem wir die Sicherheitsanfälligkeit festgestellt hatten, konnten wir Ihre Datenbankanmeldeinformationen abrufen, Ihre gesamte Datenbank extrahieren und die Informationen auf einen Offshore-Server verschieben.
Was bedeutet das?
Wir werden systematisch eine Reihe von Schritten durchlaufen, um Ihren Ruf vollständig zu schädigen. Zuerst wird Ihre Datenbank durchgesickert oder an den Höchstbietenden verkauft, den er mit seinen Absichten verwendet. Wenn E-Mails gefunden werden, werden sie per E-Mail darüber informiert, dass ihre Informationen verkauft oder durchgesickert sind und Ihre Website http: //www.***.de einen Fehler begangen hat, wodurch Ihr Ruf geschädigt und verärgerte Kunden / Mitarbeiter mit allen verärgerten Personen konfrontiert wurden Kunden / Mitarbeiter tun. Schließlich werden alle Links, die Sie in den Suchmaschinen indiziert haben, basierend auf Blackhat-Techniken, die wir in der Vergangenheit verwendet haben, um unsere Ziele zu deindizieren, deindiziert.
Wie höre ich damit auf?
Wir sind bereit, den Ruf Ihrer Website gegen eine geringe Gebühr nicht zu zerstören. Die aktuelle Gebühr beträgt .322 BTC in Bitcoins (3000 USD).
Senden Sie das Bitcoin an die folgende Bitcoin-Adresse (Kopieren und Einfügen, da zwischen Groß- und Kleinschreibung unterschieden wird):
1FjMYuEXXRSPbey42fRkHwLgH1yohE2PZF
Sobald Sie bezahlt haben, werden wir automatisch darüber informiert, dass es Ihre Zahlung war. Bitte beachten Sie, dass Sie die Zahlung innerhalb von 5 Tagen nach Erhalt dieser Mitteilung leisten müssen, da sonst das Datenbankleck, die versendeten E-Mails und die De-Indexierung Ihrer Website beginnen!
Wie bekomme ich Bitcoins?
Sie können Bitcoins ganz einfach über mehrere Websites oder sogar offline an einem Bitcoin-Geldautomaten kaufen. Wir empfehlen Ihnen *** für den Kauf von Bitcoins.
Was ist, wenn ich nicht bezahle?
Wenn Sie sich entscheiden, nicht zu zahlen, starten wir den Angriff zum angegebenen Datum und halten ihn aufrecht, bis Sie dies tun. Es gibt keine Gegenmaßnahme dazu. Sie werden am Ende nur mehr Geld verschwenden, um eine Lösung zu finden. Wir werden Ihren Ruf bei Google und Ihren Kunden vollständig zerstören.
Dies ist kein Scherz. Antworten Sie nicht auf diese E-Mail. Versuchen Sie nicht, zu argumentieren oder zu verhandeln. Wir werden keine Antworten lesen. Sobald Sie bezahlt haben, werden wir aufhören, was wir getan haben und Sie werden nie wieder von uns hören!
Bitte beachten Sie, dass Bitcoin anonym ist und niemand herausfinden wird, dass Sie die Anforderungen erfüllt haben.
Was kann man tun?
Hat man eine solche Mail erhalten sollte man nicht direkt in Panik verfallen und prüfen, ob die Behauptungen überhaupt stimmen könnten. Sind auf der Unternehmensseiten überhaupt Adressdaten oder ähnliches gespeichert?
Weiterhin kann man einfach mal die Bitcoin-Adresse googlen. Dann erhält man im oben genannten Fall z.B. direkt einen Treffer bei bitcoinabuse.com.
Dort sind Stand heute bereits 47 Berichte eingetragen die Mails in dieser Art erhalten haben – sowohl in Englisch als auch in Deutsch. Auch die Absender-Adressen sind hier angegeben.
Haben die Ergebnisse nicht überzeugt oder die Suche nach der Adresse war erfolglos kann man auch nach verschiedenen Textabschnitten aus der Mail googeln. So lässt sich rausfinden, ob bereits andere betroffen sind.
Wenn man jetzt unsicher ist, ob die eigene Webseite oder Daten gut geschützt sind oder eventuell doch eine Sicherheitslücke vorliegt sollte man folgende Punkte prüfen:
- Niemals sensible Daten auf öffentlichen System speichern. Sollte dies aus irgeneinem Grund zwingend nötig sein, sollte das System entsprechend geschützt sein
- Sensible Daten verschlüsselt speichert
- Sichere und einmalige Passwörter verwenden
- 2 Faktor Authentifizierung einschalten wenn möglich
- Systeme und CMS wie z.B. WordPress aktuell halten. Sicherheitslücken in Plugins und WordPress können Angriffspunkte sein.
- Regelmäßig Backups erstellen
Insbesondere aber gilt, auf keinen fall bezahlen! Dadurch könnte man sich selber strafbar machen und der Angreifer sieht eventuell die Chance weitere Gelder zu erpressen. Sollte also der Verdacht bestehen, dass es sich um einen echten Erpressungsversuch handelt, sollte man sich an die entsprechenden Behörden wenden.
Beitragsbild: madartzgraphics & TheDigitalArtis/ pixabay.com
