01.10.2024 - Bereits vor einigen Wochen berichtete das BACS über die Verwendung von Daten aus Datenlecks in Zusammenhang mit Fake-Sextortion-E-Mails. Damals wurden Telefonnummern verwendet, um dem Opfer vorzugaukeln, sein Computer sei gehackt worden und die Täter hätten Zugriff auf die Daten. Inzwischen haben die Betrüger ihre Vorgehensweise angepasst und nutzen auch Wohnadressen, um den Druck auf das Opfer zu erhöhen. Auch diese Daten stammen aus Datenlecks, wie Recherchen des BACS zeigen.
Fake-Sextortion-E-Mails sind ein seit langem bekanntes Phänomen. In diesen E-Mails wird behauptet, dass der Computer des Empfängers mit einer Schadsoftware infiziert worden sei, über welche angeblich intime Videos aufgenommen wurden. Die Betrüger drohen, das Material zu veröffentlichen, wenn kein Lösegeld gezahlt werde. Bei diesen E-Mails handelt es sich um einen Bluff. Um das Opfer dennoch zu überzeugen und zu verunsichern, wenden die Täter verschiedene Tricks an. So wird z. B. vorgetäuscht, dass die Erpresser-E-Mail vom eigenen gehackten Account versendet worden ist, oder es wird ein Passwort angegeben, das tatsächlich vom Opfer aktuell verwendet wird oder früher verwendet worden ist. Diese Methoden sollen das Opfer dazu bringen, den Forderungen nachzukommen (siehe Wochenrückblick Nr. 39/2023).
In den letzten Wochen werden immer wieder neue Varianten beobachtet. So berichtete das BACS bereits vor einigen Wochen, dass Betrüger in ihren Fake-Sextortion-Nachrichten Teile der Telefonnummern der Empfänger verwenden, um ihre Drohungen glaubwürdiger erscheinen zu lassen (siehe Wochenrückblick Nr. 33/2024). Die Betrüger wollen dem Opfer weismachen, dass sie tatsächlich Zugang zu persönlichen Informationen haben und über weitreichende Informationen über das Opfer verfügen.
Neu verwenden Betrüger auch Wohnadressen, die sie ebenfalls aus Datenlecks erhalten und so mit der E-Mail-Adresse des Opfers verknüpfen können. Nachdem solche Fälle zuerst in den USA beobachtet worden sind, sind beim BACS nun auch erste Meldungen aus der Schweiz eingegangen. Im Gegensatz zu früheren Varianten gehen die Betrüger aber noch einen Schritt weiter und erwähnen in der Erpresser-E-Mail nicht nur die Wohnadresse des Opfers, sondern suchen auf Google Maps nach Bildern der Wohnadresse oder der näheren Umgebung und fügen diese der Erpresser-E-Mail an. Damit wollen die Betrüger das Opfer überzeugen, dass sie die volle Kontrolle über den Computer hätten und auch das persönliche Umfeld des Opfers kennen würden. Diese Kombination von digitalen und physischen Informationen verstärkt die Drohung erheblich und kann das Opfer dazu verleiten, den Forderungen der Betrüger nachzukommen.
Das Vorgehen und die rasche Entwicklung der Fake-Sextortion-Varianten lassen vermuten, dass die Betrüger systematisch Datenlecks nach verwertbaren Informationen durchsuchen, um ihren Droh-E-Mails mehr Gewicht zu verleihen. Sie nutzen alle verfügbaren Informationen vornehmlich aus bekannten Datenlecks, um ihre Opfer zu manipulieren und einzuschüchtern.
Aufgrund der Meldungen, die beim BACS eingegangen sind, konnte auch diesmal der Ursprung der Daten herausgefunden werden. Eine Suche auf dem Portal «Have I Been Pwned» zeigt, dass die Daten aus dem Datenabfluss von Eye4Fraud stammen. Alle gemeldeten E-Mail-Adressen waren in diesem Datenabfluss vorhanden. Zudem sind in diesem Datenleck auch Wohnadressen enthalten.
Empfehlungen
Um persönliche Daten zu schützen und Betrugsversuchen vorzubeugen, empfiehlt das BACS folgende Massnahmen:
- Ignorieren Sie solche E-Mails und gehen Sie keinesfalls auf die Lösegeldforderungen ein;
- Seien Sie vorsichtig im Umgang mit Ihren Daten. Teilen Sie Informationen nur dort, wo es nötig ist und die Daten entsprechend geschützt sind;
- Lassen Sie sich durch E-Mails , die eine rasche Aktion von Ihnen fordern, nicht unter Druck setzen. Im Zweifelsfall können Sie sich beim BACS melden und nachfragen, ob es sich um eine legitime Nachricht handelt oder nicht.
Aktuelle Zahlen und Statistiken
Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:
Letzte Änderung 01.10.2024