Woche 27: Gefälschte E-Mail-Absender und gehackte E-Mail-Konten

12.07.2022 - Beim NCSC war letzte Woche der Meldeeingang nochmals tiefer. Aktuell erwecken Fake-Sextortion-E-Mails den Anschein, vom eignen E-Mail-Account abgesendet worden zu sein. Zugleich verwenden die Betrüger Login-Daten aus einem Datenabfluss und hacken E-Mail- und Social-Media-Konten, um ihrer Forderung Nachdruck zu verleihen. Auch erhielt das NCSC letzten Dienstag die Meldung, dass die Domäne ncscs.ch für eine betrügerische E-Mail missbraucht wurde.

Fake-Sextortion - scheinbar vom eignen E-Mail-Account

Personen, welche das erste Mal eine sogenannte Fake-Sextortion-E-Mail in ihrem Postfach finden, erschrecken erst einmal gewaltig. In der E-Mail wird meist behauptet, dass ein Hacker den Computer übernommen habe und mit der Kamera den Besitzer in intimen Momenten gefilmt habe. Um zu verhindern, dass die Aufnahmen veröffentlicht würden, soll die gehackte Person eine gewisse Summe auf ein Konto in Krypto-Währung übermitteln.

Als Beweis wird manchmal das angeblich dazu verwendete E-Mail-Passwort aufgeführt. Die angegebenen Passwörter stammen zumeist aus einem alten Datenabfluss und sind nicht mehr aktuell. Manchmal wird auch als angeblicher Beweis die Nachricht mit der eigenen E-Mail-Adresse versendet. In Tat und Wahrheit ist der Absender jedoch gefälscht. Dies kann sehr einfach und ohne grosse Kenntnisse gemacht werden.

Bei den aktuell beim NCSC eingegangenen Meldungen haben die Betrüger nun aber offenbar Daten aus einem neuen Datenabfluss verwendet. Die «zum Beweis» aufgeführten Passwörter sind aktuell. Zusätzlich versuchen die Betrüger sich mit der E-Mail-Adresse und dem Passwort in die E-Mail- und Social-Media-Konten einzuloggen. Wo dies gelingt, hinterlassen sie pornografische Inhalte.

Fake-Sextorsion mit gefälschtem Absender [1], aktuellem Passwort [2] und dem Krypto-Konto [3].
Fake-Sextorsion mit gefälschtem Absender [1], aktuellem Passwort [2] und dem Krypto-Konto [3].

Dass es sich nicht um eine richtige Erpressung handelt, zeigt sich an der angegebenen Krypto-Adresse. Diese wird mehrfach verwendet, also kann der Betrüger nicht zurückverfolgen, welche «gehackte» Person die Erpressungssumme bezahlt hat und welche nicht. Dies bedeutet, dass allenfalls gehackte E-Mail- und Social-Media-Konten nicht wieder zurückgegeben werden.

Leider scheinen bei dem hier genannten Beispiel bereits neun Personen die geforderte Summe überwiesen zu haben – bei einem Krypto-Konto ist der Kontostand und die Anzahl Transaktionen offen einsehbar.

  • Lassen Sie sich nicht einschüchtern;
  • Leiten Sie die E-Mail an reports@stop-sextortion.ch weiter;
  • Verwenden Sie grundsätzlich für alle Online-Dienste ein separates Passwort;
  • Falls möglich, verwenden Sie eine Multi-Faktor-Authentisierung.

E-Mail mit verfälschtem NCSC-Absender

Bekannte Organisationen und Firmen werden von Cyberkriminellen in gefälschten E-Mails als Absender missbraucht, um vertrauenswürdiger zu erscheinen. So auch das NCSC. Am vergangenen Dienstag erhielt das NCSC eine Anfrage, ob das NCSC tatsächlich Absender  einer E-Mail sei, welche angeblich beschlagnahmte Finanzwerte zurückerstatten würde. Die E-Mail war in eigenartigem Deutsch verfasst und stammte angeblich von einem «Michael Pearson» des NCSC, seines Zeichens «Head of Defensive Cyber operations and Financial Departement». Das NCSC hatte also überraschenderweise einen «neuen» Mitarbeiter erhalten.

Aufhorchen liess das NCSC aber die für den Betrugsversuch verwendete E-Mail-Adresse: ncscs.ch – also die Domäne «ncsc» mit einem zusätzlichen «s», etwas, was leicht überlesen werden kann. In Wochenrückblick 8 wurde bereits ausführlich über diese Masche mit ähnlichen Domänen berichtet.

Die Betrüger verwenden eine dem NSCS verwechselnd ähnlich aussehende Domäne.
Die Betrüger verwenden eine dem NSCS verwechselnd ähnlich aussehende Domäne.

Die für diese betrügerischen Zwecke reservierte Domäne konnte glücklicherweise rasch deaktiviert werden, so dass der von den Betrügern geplante Vorschussbetrug wohl vereitelt werden konnte.

  • Melden Sie betrügerische Domänen dem NCSC;
  • Betrüger denken sich immer neue Szenarien aus, um die Opfer zu bewegen, unbedacht zu reagieren. Lassen Sie sich deshalb nicht überrumpeln, sondern denken Sie in Ruhe darüber nach und fragen Sie im Zweifelsfalle Freunde, Arbeitskollegen oder das NCSC, wie sie einen Sachverhalt beurteilen.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 11.07.2022

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2022/wochenrueckblick_27.html