Bei uns im Team trudeln sie fast bei allen täglich ein: E-Mails, die Caschy, Sascha, Benny, Olli oder mich darauf hinweisen, dass unsere Rechner angeblich gehackt und unser ach so ausufernder Porno-Konsum mitgeschnitten worden sei. Bald werde der gewitzte E-Mail-Versender, der angeblich auch auf unsere Webcam zugregriffen habe, nun ein Video hochladen und an alle unsere Kontakte senden. Der heimliche Mitschnitt zeige uns nun wenig vorteilhaft beim Videogenuss. Verhindern ließe sich das durch Zahlung einer mal drei- mal vierstelligen Summe via Bitcoin. Laut Check Point Research sind wir nicht die einzigen, die mit derartigen Erpesser-E-Mails geradezu bombardiert werden.
Check Point Research hat dabei ein großes Botnet aufgedeckt, das an der Versendung derartiger E-Mails beteiligt ist. Tausende infizierte Rechner hauen also, von ihren Besitzern unbemerkt, derartige Mails raus. Das Phorpiex- bzw. Trik-Botnet soll seit fast 10 Jahren bestehen und mit mehr als 500.000 infizierten PCs operieren. Das Botnet trug in der Vergangenheit etwa auch zur Verbreitung von Malware wie GandCrab, Pony oder Pushdo bei. Nun gibt man sich aber weitgehend der „Sextortion“ hin, also der eingangs erwähnten Erpressungsmasche, die sich um den vermeintlich mitgeschnittenen Porno-Konsum dreht.
Laut den Sicherheitsforschern habe man innerhalb von 5 Monaten Transaktionen von mehr als 14 Bitcoins an die Phorpiex-Wallets nachweisen können – das entspricht mehr als 110.000 US-Dollar. Das klingt zwar, gemessen an den millionenfach versendeten E-Mails nicht viel, da der Aufwand sich für die Kriminellen arg in Grenzen hält, ist das aber eine gute Ausbeute. An die Adressen kommt man dabei, indem man sie einfach aus Datenbanken von C&C-Servern bezieht. Dann geht es los und bis zu 30.000 Spam-E-Mails rauschen stündlich raus.
Dabei hat man in letzter Zeit sogar aufgestockt und würzt die Mails mit zu den E-Mail-Adressen passenden, durchgesickerten Passwörtern – da empfehle ich euch mal wieder bei Have I Been Pwned nachzushauen, ob ihr generell betroffen seid. Über den Hinweis auf das vermeintlich selbst gehackte Passwort will man natürlich den Druck verstärken. Die Summen, die dann vom Empfänger der E-Mail verlangt werden, variieren – genau wie der als Ultimatum gesetzte Zeitrahmen. Oft trudeln nach der ersten E-Mail bei Inaktivtät des Empfängers dann auch weitere Erinnerungen ein, die zur Zahlung auffordern.
Der Clou für die Spammer ist dabei, dass sie einen Weg gefunden haben mit E-Mail-Adressen und dazu passenden, durchgesickerten Passwörtern, die sonst für Kriminelle in dieser Form nur einen geringen Wert haben, verhältnismäßig viel Geld zu ergaunern.
Für euch da der Hinweis: Solltet ihr derartige E-Mails erhalten, dann macht euch keine allzu großen Sorgen. Selbst wenn ihr den lieben langen Tag online „nette“ Videos schaut – aufgezeichnet haben euch die Versender jener E-Mails dabei nicht. Gebt dabei vielleicht auch einen Hinweis an nicht so technikversierte Bekannte heraus – lieber einmal zu viel aufklären, als einmal zu wenig.