Sie sind hier: Startseite Inhalte Kriminelles Mash-up

Kriminelles Mash-up

erstellt von Jan Leendertse Veröffentlicht 24.07.2018 09:35, zuletzt verändert: 21.11.2018 14:26
Eine neue Welle von Spam-Mails rollt in die Eingangsboxen von Mitarbeiter*innen der Universität. Auch der Leiter des Rechenzentrums, Prof. Gerhard Schneider, erhielt eine Erpressermail mit der Aufforderung, 1000 Dollar als Bitcoin an die Absender*in zu schicken, weil anderenfalls kompromittierende Videos an Bekannte verschickt werden.

Neue Qualität

Einen gewissen Bodensatz an Spams, die es durch die Filter schaffen, ist man gewöhnt. Doch diese Mails schaffen es, neue Aufmerksamkeit und auch Beunruhigung hervorzurufen. Offensichtlich ist es den Dichtern des Erpresserbriefs gelungen, neues Bedrohungspotenzial aufzubauen. Und das, obwohl von mehreren einschlägigen Newsletterdiensten erläutert wird, dass der Erpressungsversuch keinerlei Substanz hat. In einer Meldung des Heise-Newsletters vom 13. Juli wird der Text zum Vergleich veröffentlicht. Auch das BSI verweist in seinem Newsletterdienst „Bürger-CERT“ vom 19.07. auf eine Pressemeldung der niedersächsischen Polizei, wo davor gewarnt wird, auf solche Mails einzugehen.

Analysiert man den Text, bleibt an Drohkulisse nichts übrig. Das Passwort, das als Beispiel zugeschickt wird, ist seit längerem bekannt, zum Beispiel aus dem LinkedIn-Hack von 2012. Listen mit diesem Passwort werden in einschlägigen Kreisen seit Jahren weiterverkauft. Das Deutsche Forschungsnetz (DFN) weist regelmäßig auf die Existenz dieser Listen hin. Das Rechenzentrum hat die Besitzer von Mailboxen mit veröffentlichten Passwörtern unterrichtet, so weit sie dem Rechenzentrum bekannt waren. Das kompromittierte Passwort jedenfalls sollte sofort geändert werden.

Die Nutzer*innen aus der Universität haben dem Rechenzentrum durch die Bank zurückgemeldet, dass sie alt waren und seit langem nicht mehr genutzt wurden und vor allem nicht im Umfeld von Uni-Accounts. Aus diesem Grund kommt das Rechenzentrum zur Einschätzung, dass von den Passwörtern keine akute Gefahr ausgeht.

Weitere Elemente, mit denen Druck aufgebaut wird, sind die angeblich kopierten Adresslisten und die Webcam-Videos, die beim Betrachten von Porno-Webseiten angeblich aufgenommen sein sollen, sowie ein Tracking-Pixel. Dieser Pixel soll dem Absender anzeigen, wann eine Mail geöffnet wurde, denn ab diesem Zeitpunkt liefe die Uhr für das Zahlen der Erpressungssumme. IT-Fachleute des Heise-Verlags haben die Mail nach diesem Pixel durchsucht und keines gefunden. Und Adresslisten abzugreifen und Webcam beim Betrachten bestimmter Webseiten zu aktivieren ist sehr schwierig. Die Schlussfolgerung daraus ist: Diese Mail ist heiße Luft, nur das Passwort ist von lange bekannten Listen übernommen, die aus anderen Hacks generiert wurden.

Geklaut

Die Schreiber*innen der Mail haben sich nicht nur bei alten Listen bedient, sondern sogar die Idee für die Erpressermail woanders besorgt. Kollegen aus dem Rechenzentrum fühlten sich sofort an den Plot einer Folge der englischen Fernsehserie „Black Mirror“ erinnert.

Womit wir bei der Frage angekommen sind, was realer ist: Internet, Fernsehen oder das Büro. Die Spammail jedenfalls kann man getrost löschen.

Jan Leendertse

abgelegt unter: