Das Landeskriminalamt (LKA) Niedersachsen warnt vor einer alten Betrugsmasche, die aktuell wohl wieder um sich greift. Die Kriminellen versenden Mails, die dem Empfänger vorgaukeln, dass er an seinem PC mit der Webcam bei kompromittierenden Sexualhandlungen oder Pornokonsum gefilmt worden sei. Ist natürlich Schall und Rauch, aber es scheinen immer noch Leute darauf hereinzufallen. Daher greife ich es erneut auf.
Anzeige
Sextortion – mein letzter Blog-Beitrag
Ich habe mal nachgesehen, es ist fast genau einen Monat her, dass ich den Blog-Beitrag Sextortion-Betrugsversuch I: Aufzeichnung des Porno-Konsums; und "Rechnungszahlung" veröffentlicht habe. Die altbekannte Masche stirbt wohl nie aus. Die Opfer erhalten Erpresser-E-Mails, die mit dem Thema Sextortion operieren. Der Empfänger wird mit angeblich kompromittierenden Aufnahmen in seiner häuslichen Umgebung erpresst. Nachfolgend ist eine solche Erpressermail zu sehen, die ich Anfang September 2024 erhielt.
In der Mail versichert mir der Absender, dass mein Gerät vor einige Zeit mit einem privaten Trojaner infiziert wurde. Dieser habe den Verlauf meiner Dateien und Inhalte von Konten aufgezeichnet sowie die Kamera meines Systems angezapft. Ich habe dann doch gestaunt, was für ein Typ ich doch bin, der eine "Menge kinky Spaß hat". Die Details der Vorwürfe lassen sich im Screenshot der Nachricht, die vordergründig von meinem E-Mail-Konto verschickt wurde, entnehmen. Die Drohung: Das alles soll nun öffentlich gemacht werden, das Opfer soll an den Pranger, wenn es nicht zahlt.
Das LKA warnt vor der Masche
Die in der obigen Mail enthaltenen Vorwürfe sind natürlich alle aus der Luft gegriffen. Am Desktop habe ich nicht mal eine Kamera und am Smartphone werden Apps in ihren Rechten zum Zugriff auf die Kamera beschnitten.
Anzeige
Aber es scheinen doch immer noch Opfer auf diese Masche hereinzufallen. Das Landeskriminalamt (LKA) Niedersachsen sah sich die Tage dazu veranlasst, vor dieser alten Betrugsmasche zu warnen (heise hatte es hier aufgegriffen).
Die Betrugsmasche soll laut BKA seit mindestens 2018 existieren,. Es werden massenhaft Mails verschickt, die den Empfänger auf verschiedene Art erpressen wollen.
- Mal wird behauptet, der Absender der E-Mail hätte den Mailaccount der angeschriebenen Person oder sogar den Rechner mit Spyware infiziert. Dabei hätte der Erpresser gesehen und aufgezeichnet, welche Webseiten (insbesondere mit pornografischem Inhalt) besucht wurden.
- Ein anderes Mal wird sogar ein korrektes Passwort oder eine tatsächlich existierende Postanschrift mitgeschickt. Sogar Fotos der Wohnanschrift haben einige Empfänger bekommen.
In allen Fällen versuchen die Täter dem Empfänger der Mail mit die Behauptungen Angst zu machen, in der Hoffnung, dass das Opfer den geforderten Betrag (meist in Bitcoins oder anderen Krypto-Währungen) bezahlt.
Die E-Mail-Adressen der Opfer, sowie weitere Angaben wie Wohnadresse, stammen jedoch in der Regel aus gehackten Datenbanken bei z.B. Onlineshops oder anderen Firmen bzw. aus Datenlecks. Auch das Abgreifen nach z.B. Fake-SMS (gefälschte Paket-/Zoll-Benachrichtigungen) und der daraus erfolgten Eingabe von Echtdaten durch den Empfänger, könnte eine Quelle sein, schreibt das LKA. Die Daten werden dann wie bei einem Serienbrief oder Newsletter-Generator automatisiert in die Erpressermails eingefügt und im Anschluss verschickt.
Da diese Masche auch heute immer noch so massiv im Umlauf ist, haben die Beamten des LKA dieser Thematik einen dauerhaften Link auf der Startseite verpasst. Dort geben die Beamten interessierten Nutzern Tipps und zeigen die Mailbespiele inklusiv einer der aktuellen Versionen.
Meine 2 Cents
Das Groß der Blog-Leserschaft aus dem IT- und Admin-Umfeld wird nicht auf diese Art der Erpresser-Mails hereinfallen. Aber darum geht es nicht – ich verfolge natürlich die Kommentare der Leserschaft zu diversen Blog-Themen. Dabei fallen mir auch Beiträge der Art "wer fällt auf so was herein" (wie hier, oder auch hier) auf.
Kann man zwar alles hinterfragen, aber der Tenor "wer fällt auf so etwas herein" geht deutlich an der Lebenswirklichkeit vorbei. Wenn selbst das LKA sich bemüßigt fühlt, vor der obigen Masche zu warnen, gibt es offensichtlich genügend Opfer da draußen. Daher verfolge ich auch weiterhin den Ansatz, solche Themen hier im Blog einzustellen.
Wenn ich ein Opfer verhindern kann, hat der Beitrag gewirkt. Und schade finde ich, wenn ich im Nachgang zu höre bekomme "hätte ich den Beitrag nur früher gelesen, ich bin – oder mein … ist – Opfer geworden".
Anzeige
"Wenn ich ein Opfer verhindern kann, hat der Beitrag gewirkt. Und schade finde ich, wenn ich im Nachgang zu höre bekomme "hätte ich den Beitrag nur früher gelesen, ich bin – oder mein … ist – Opfer geworden"."
Problematisch ist nur, daß das so nicht passieren wird. Bei keinem einzigen Menschen. Es ist einfach frustrierend.
Es läuft eine Kategorie an Menschen auf dem Planeten herum, die einfach völlig merkbefreit sind. Siehe Enkeltrick.
Seit JAHREN betreibt die Polizei und die Medien an meinem Wohnort Präventivarbeit. Man kommt da gar nicht um Infos drum herum. Und dennoch: JEDE WOCHE findet man im Presseportal Meldungen der POL-XXX, daß mal wieder ein Enkeltrick erfolgreich durchgeführt worden sei.
Ich habe keine Ahnung, wie man solche Menschen erreichen kann. Sind sie notorisch lernresistent? Hoffnungslos gutmütig? Rennen sie mit Scheuklappen durch die Welt?
Offenbar ist "Dat Bundesferkel" nicht wirklich in der Lage die Menschen zu erreichen. Nicht nur ich schaffe es aber zunehmend, die Anwender durch Schulungen etc. zu sensibilisieren und solche Fakes zu erkennen. Sicher gibt es einige wenige, bei denen das partout nicht geht. "Bei keinem einzigen Menschen." ist aber lebensfremd und lediglich ein subjektiver, wenn auch falscher Eindruck. Aus einem solchen Allgemeingültigkeit ableiten zu wollen, ist schon ziemlich schwach…
Offenbar fehlt Dir einfach nur Lesekompetenz. Man sollte einen Kommentar vollständig lesen, bevor man diesen kommentiert.
Deine Belehrungen scheinen ja wirklich zu fruchten. Darum werden diese Enkeltricks auch von Jahr zu Jahr erfolgreicher. Glückwunsch hierzu. Hauptsache, Du konntest Deinen 5-Sekunden-Fame im Netz genießen…
"Bundesweit mehr als 117 Millionen Euro Schaden: Trickbetrüger immer erfolgreicher
Enkeltrick, falsche Amtsträger, Schockanrufe – knapp 99.000 Betrugsversuche 2023"
https://www.presseportal.de/pm/58964/5875459
https://www.presseportal.de/suche/enkeltrick/storys
Es vergeht an meinem Wohnort keine einzige Woche OHNE erfolgreiche Enkeltricks.
Trotz allgemein medialer Sensibilisierung (TV/Radio/Internet). Trotz Sensibilisierung in Printmedien.
Trotz Sensibilisierung im Internet.
Trotz Sensibilisierung durch Nachbarn und Bekannte.
Also plustere Dich nicht so auf. Gäbe es hier eine Registrierungsoption mit Ignore-Funktion: Du wärest Kandidat #1 dafür.
Ganz einfach: muss man nicht! Jeder bekommt genau das was er verdient!
Ich hab da jemanden im Bekanntenkreis der ist bereits m-e-h-r-m-a-l-s auf so Maschen reingefallen, einfach lernresisdent, was soll man da machen? Der lies sich auch an der Haustüre nen gedruckte Erweiterung zum Berteslmann Lexikon andrehen (in 2019)
Ich sag da immer sei froh das du kein Pferd bist, dem würde man den Gnadenschuss setzen.
Die Leute wollen es so… Dummheit gepaart mit Gier ist da besonders schlimm.
Who cares!
Zumindest in D haben wir Zwangsbildung (sprich Schulpflicht), wer da nicht aufpasst… selber Schuld.
Nun ja, Schulpflicht. Kann man auch kritisieren. Dort legt man den Schwerpunkt seit Jahrzehnten auf dieselben Inhalte. Grundrechenarten, Sprache, Religion, Erdkunde, Biologie, Physik, Chemie. Zweifelsfrei interessante und wichtige Fächer.
Aber es scheitert KLÄGLICH an Bildung zum täglichen Leben.
Umgang mit Behörden, Finanzämtern. Vernünftige Bildung zur StVO (es wird erwartet, diese zu kennen, aber nur in der Grundschule einmal kurz angedeutet für den "Fahrrad-Führerschein").
Einige Schulen experimentieren gerade mit "Medienkompetenz", nutzen diese allerdings in erster Linie für Propaganda-Zwecke zur Wah-Beeinflussung.
Meines Erachtens muß, insbesondere in punkto Heimsuchung durch Klinkenputzer und medialen Betrügern, noch viel mehr getan werden. Die Menschen müssen dazu gebracht werden, ALLES kritisch zu hinterfragen – das ist aber nicht gewollt, da sie dann politisch nicht mehr benutzbar sind.
Menschen wie "Dat Bundesferkel" kommen anscheinend nicht viel unter die Leute. Zumindest nicht unter die Älteren. Ich habe selbst schon Anrufe von Microsoft, der Polizei usw. erlebt und auch SMS "Mutti ich hab eine neue Nummer …". Da oft sehr gut geschulte Verbrecher, die sehr genau wissen was sie tun. Ältere Menschen lassen sich sehr schnell aufregen und so emotional aufgeladen funktioniert das rationale Denken nicht mehr. Da kenne ich Leute, die meinten "das kann mir nie passieren" und dann ist es doch passiert. Also bitte nicht immer diese Menschen als verblödet hinstellen.
Die Leser hier im Blog sind auch nicht die Zielgruppe dieser Angriffe. Wir kennen die Technik und haben Hintergrundwissen. Manchmal mache ich mir einen Spas daraus, die Anrufer möglichst lange in der Leitung zu halten. Ich würde aber nicht beschwören, dass mir das mir 80 immer noch gelingt oder dass ich sogar auf so etwas reinfalle.
Deine Mutmaßung ist falsch. Dein Zitat übrigens an falscher Stelle.
Du brauchst die Leute gar nicht lange "hin zu halten" (zu viel Callcenter Fun auf YT gesehen?).
Oldschool-Kommunikation: Anonyme Anrufer blocken, Unbekannte Nummern auf den AB sprechen lassen.
Moderne Medien: "Hallo Papa/Mama/Oma/Opa, ich habe eine neue Nummer und es ist eine Katastrophe passiert!" – nicht direkt reagieren, sondern die altbekannte Nummer kontaktieren und nachfragen.
Wenn Du Dir nicht sicher bist, ob Du das mit 80 noch kannst, dann mache Dir JETZT so einen Zettel fertig und hänge ihn übers Telefon. Kurz. Prägnant. Verständlich.
Es ist oft genau diese Überheblichkeit, die hier einige Poster wieder an den Tag legen. "Auf so etwas fallen doch nur Deppen rein." – "Ich bin schlau und merke sofort, wenn jemand versucht, mich zu verarschen." – "Mir würde so etwas niemals passieren."
Genau deshalb (!) kommen solche Leute in der konkreten Situation gar nicht auf die Idee, dass sie gerade verarscht werden. Viele Opfer kennen diese Maschen sogar schon aus Presse und Warnungen – und fallen trotzdem darauf herein, weil sie in der konkreten Situation einfach vollkommen überfordert ist. Das passiert in der Regel nicht, während man entspannt am Schreibtisch ist und über solche Betrugsmaschen nachdenkt, sondern in einer Situation, in der man überhaupt nicht damit rechnet und in der man ohnehin schon sehr unter Stress steht.
Wir (kleinerer Mittelständler) haben vor einigen Tagen eine Phishing-Mail bekommen: Adressiert gezielt an zwei Mitarbeiter unserer Buchhaltung, Absender scheinbar unser GF, der um Übermittlung der aktuellen OP-Listen bat. Mail war optisch unseren Mails nachempfunden, inklusive vollständiger und korrekter Signatur. Die einzigen Auffälligkeiten waren der leicht holprige Text und der Buchstabendreher in der Domain des Absenders (max.mustermann@musterfirma-gmhb.de) – ganz ehrlich: Ich weiß nicht einmal, ob MIR das im Tagesgeschäft direkt aufgefallen wäre. Die Domain war korrekt registriert, einliefernde IP aus Deutschland. Letztlich hat Microsofts "impersonation protection" erkannt, dass hier eine interne Mailadresse vorgetäuscht wird und Alarm geschlagen.
Kann ich nur unterstreichen. Bin selbst mal auf eine Phishing-Masche hereingefallen: Ich hatte gerade über Probleme mit dem 1&1-IONOS-Mail-System gebloggt (ein Leser hatte mir die Info geschickt), dann kam ein Problem im Blog und mit dem Mail-Versand über 1&1 hinzu … und dann kam eine Mail "Einige Nachrichten konnten nicht zugestellt werden" vermeintlich von 1&1. Ich im Bras hab es nicht geschnackelt, bis die Anmeldedaten eingetippt waren.
Kurze Zeit später dämmerte mir was und ein Blick offenbarte "war eine Phishing Mail (hab so eine übrigens nie wieder erhalten). Da ich mein Admin für den 1&1-Vertrag bin, habe ich schnell die Zugangsdaten geändert und gut war. Die Episode zeigte mir: "Du kannst dir nie sicher sein, nicht auf so was hereinzufallen". Eine Ausnahmesituation und etwas "erwartetes", schon schlägt die Falle zu.
Ich hatte hier im Blog über SMS-Phishing mit DHL-Versand und Trojaner berichtet und gewarnt. Eine Woche später meldete sich eine Bekannte "mein Mann ist drauf hereingefallen" – studierter Ingenieur, erwartete ein Päckchen und dachte "toller DLH-Service, bieten eine App zum Paket-Tracking" – und wunderte sich, dass das Prepaid-Guthaben des Handys sofort leer war. Frau hat das dann wieder hingebogen.
Das ist die Welt da draußen – und weil die Welt mal so ist, wie sie ist, bringe ich die Fälle und Warnungen hier im Blog. Und wenn es nicht hilft, schaden tut es auch nicht.
Naja sorry es ist etwas vollkommen anderes ob man als Firmenmitarbeiter von einer Spearphishing Mail getroffen wird oder der üblich Scam im Web/am Telefon! Wobei da auch gilt: wenn das bei dir als Mitarbeiter aufschlägt hat bereits die IT auf ganzer Strecke versagt!
Wenn deine Enkelin plötzlich mit ner neuen Nummer anruft und um Geld bittet wegen einer Notlage, dann ruft man zuerst unter der alten /bekannten Nummer zurück, das beherrscht sogar meine 92Jährige Oma, das ist gesunder Menschenverstand. Die weis auch das sie Ihre Wertsachen nicht einfach so an der Türe irgendwelchen uniformierten Personen übergibt, weil in der Nachbarschaft gerade Raubserien stattfinden. Internet nutzt sie nicht wirklich, aber auch da hab ich ihr beigebracht das sie nicht einfach auf alles klickt und auf keinen Fall ihre Bankdaten außer auf der hinterlegten Bankseite eingibt.
Spearphishing kann tückisch sein, Phishing ist es nicht, das lässt sich zu 100% vermeiden! Das schaffen sogar Ü90 wenn man es ihnen mal zeigt.
Meiner Oma hab ich klar gesagt pass auf wenn dich jemand um Geld bittet, dann frag vorher an bekannter Stelle nach! Oder informier zuerst die Familie.
Meistens trifft es aber soweiso Leute die über Geld nicht nachdenken, meine Oma wäre gar nicht in der Lage bei Ihrer Rente überhaupt mehrere Tausend € mal eben locker zu machen.
Das hat auch nix mit überrumpeln zu tun das ist einfach Dummheit, da sind Sachen die macht man einfach nicht. Nicht im Reallife nicht an der Haustüre, nicht am Telfon und nicht im Web.
Leichtgläubigkeit, hohes Alter, Unerfahrenheit, etc sind ein eigenes Kapitel. Ich kann, auch ohne jemals in Facebook und ähnlichen (a)sozialen Medien gepostet zu haben, Opfer eines dieser (bspw) "Schockanrufe" werden. Bedauernswert, doch in bestimmten Situationen werden sämtliche eigenen Warnmechanismen ignoriert und die Leute fallen auf die Betrüger herein. Da kann man noch so sensibilisiert und informiert sein.
Wenn ich jedoch hemmungslos alle meine Daten in soziale Medien pumpe, dann darf ich mich nicht wundern, dass sich Phisher & Co daran bedienen und mich entsprechend mit ihren Produkten "versorgen".
Zum letzten Satz: Du hast also niemals nicht ein Preisvergleichsportal genutzt, bist bezüglich E-Mail-Konten, Anmeldungen auf irgendwelchen Service-Seiten deiner Energieversorger, Kommunen, Banken, Versicherungen etc. abstinent geblieben. Glückwunsch, zähle dich zur Gruppe der letzten Mohikaner. Der Rest muss davon ausgehen, dass seine Daten bei einem der Online-Angebote, bei denen er sich in den letzten 20 Jahren mal angemeldet hat, abgeflossen sind.
Du kannst Dich nur davor schützen, wenn Du…
… keinerlei Freunde/Bekannte/Verwandte hast
… keinerlei geschäftliche Verbindungen hast
… keinerlei dienstliche Leistungen in Anspruch nimmst
Irgendwer wird Dich immer verkaufen. Ständig. Ich sehe es an meinen vergebenen Mail-Aliasen, wie viele "renommierte" Unternehmen ständig Datenverlust haben und es nicht melden (O&O Software, mal wieder gratis im Weihnachtskalender, ui toll – NICHT! ALLE verwendeten Aliase wurden mittlerweile mißbraucht. Alle. Zweistellige Anzahl.).
Und da man seinen Bekannten auch nicht beibringen kann, nicht überall blöd rauf zu klicken und das Adreßbuch des Telefons NICHT für WhatsApp freizugeben (ist btw. rechtswidrig, nur mal so nebenbei erwähnt – es muß von JEDEM Kontakt ausdrücklich schriftlich die Erlaubnis hierfür vorliegen!), muß man damit rechnen, früher oder später Ziel solcher Angriffe zu werden.
Wichtig ist halt die Einstellung hierfür. Grundsätzlich ablehnend bei unbekannten Kontakten. Lieber 2x, 3x, 4x hinschauen. Suchmaschine benutzen, ob da was bekannt ist.
Schwierig wird es nur bei bekannten Sachen (Bank, Vermieter, Arbeitgeber, Versandhaus etc.). Da steigt der Schwierigkeitsgrad zur Erkennung.
Die haben dazugelernt.
Sextortion 2.0: «Zwinge uns nicht, dich hier zu besuchen»
Seit Anfang Oktober gibt es wieder eine grosse Welle an E-Mails mit Erpressungsversuchen. Auch Schweizer Userinnen und User sind Opfer davon. Und die Verunsicherung ist grösser denn je: Die Täter besitzen korrekte Handynummern, Wohnadressen und Bilder der Häuser. Dennoch gilt: Bezahle gar nichts!
https://www.galaxus.ch/de/page/sextortion-20-zwinge-uns-nicht-dich-hier-zu-besuchen-35081