Anzeige wegen Erpressung prüfen
Erpresser-Mails mit echtem Passwort: LKA warnt und rät zur Anzeige
Bei den per E-Mail versandten Passwörtern handelt es sich meist um zutreffende Login-Bestandteile der angeschriebenen Nutzer, was den Inhalt der E-Mails selbst angeht, so sollte diesen jedoch nicht all zu viel Bedeutung beigemessen werden. So in etwa lässt sich die Warnung des Landeskriminalamt Niedersachsen zusammenfassen, die heute auf dem Online-Portal zur Internetkriminalität, polizei-praevention.de, veröffentlicht wurde.
Mails wollen Krypto-Überweisungen erpressen
Echte Passwörter im Klartext
Hier rollen die Strafverfolger eine schon länger kursierende Erpresser-Methode auf, bei denen echte Passwörter der angeschriebenen Nutzer zum Einsatz kommen. Mit diesen wollen die Versender der Erpresser-E-Mails einen persönlichen Bezug herstellen, der das Vorhandensein weiterer persönlicher Daten auf Seiten der Versender implizieren soll. Ein Auszug:
Betreff: Ihr Konto wurde gehackt
Ich habe schlechte Nachrichten für dich.
11/04/2022-an diesem Tag habe ich Ihr Betriebssystem gehackt und vollen Zugriff auf Ihr Konto erhalten!
Ihr Passwort: _________ !Es ist nutzlos, das Passwort zu ändern, meine malware fängt es jedes mal ab […]
Nach Angaben des Landeskriminalamtes Niedersachsen fordern die aktuellen Drohschreiben häufig zur Überweisung von Kryptowährungen auf, allerdings kann diese Forderung durch die Bank weg ignoriert werden. Zwar scheinen die angezeigten Passwörter in vielen Fällen wirklich zuzutreffen, allerdings sind nach Angaben der Polizei ausschließlich einfache Passwörter betroffen und Kombinationen aus bekannten Wörtern, Namen und Zahlen.
Komplizierte Passwörter seien bisher nicht in den E-Mail-Kampagnen aufgetaucht. Dies scheint darauf hinzudeuten, dass die Angreifer auf Wortlisten setzen, die mit im Internet kursierenden Datenlecks abgeglichen werden und als Datenbasis für die Spam-Lawinen mit erpresserischer Konnotation dienen.
Anzeige wegen Erpressung prüfen
Durch den Einsatz von Mail-Spoofing suggerieren die E-Mails zudem von bekannten Absender-Adressen aus zugestellt worden zu sein, auch dies ist lediglich eine Trick der Sicherheitslücken bei der E-Mail-Zustellung ausnutzt.
Da es im geschilderten Fall der Erpresser-Emails jedoch um strafrechtlich relevante Inhalte geht rät das Landeskriminalamt Niedersachsen dazu Anzeige zu erstatten und verweist betroffene Anwender auf Sicherheitsportale haveibeenpwned.com, auf dem sich einfach prüfen lässt ob eigene Passwörter in online verfügbaren Datenlecks aufgespürt wurden.
Frag mich, ob es den Aufwand wirklich wert ist, Anzeige zu erstatten. Hatte selber so ne Mail bekommen und erst mal einen Riesen Schreck bekommen. Nicht, dass sie wirklich einen Trojaner bei mir eingepflanzt hätten, weil das nur ein webmail Account ist, aber trotzdem. Auch das Mail spoofing war wirklich gut gemacht.
Aber da mich jetzt mit der Polizei auseinander zu setzen, dafür hab ich die Zeit wohl nicht.
Die Masse der Anzeigen bringt es.
Wird doch eh nicht bearbeitet. Tatütata.fail
Anzeigen kann man auch direkt schriftlich bei der Staatsanwaltschaft einreichen.
Es gibt in jedem Bundesland eine Internetwache!
Einfach online die Anzeige aufgeben und fertig.
Die Mail natürlich nicht löschen, falls es Nachfragen gibt.
Böhmi hat ja gezeigt wie einfach das geht. ;)
Wird doch eh fast nirgends bearbeitet. Wofür also der Aufwand?
Genau deswegen geht es auch immer weiter mit solchen Mails und Erpressungen weil immer nur geheult wird. Aber nimmt sich nicht die5 Minuten für die online Anzeige. Lieber schreibt ihr hier stundenlang Kommentare. Die bringen übrigens auch nix.
Wurde doch letztens erst bei den ÖR behandelt wie sinnvoll es ist. Da ist es tatsächlich sinnvoller sich hier darüber auszulassen (und ja, das hier ist fast maximal sinnfrei, das einzige was sinnfreie ist, ist etwas anzuzeigen was online geschieht)
Ich frage mich nur eins: woher haben sie die Passwörter?
Ach Mensch, das steht ja im Text.
Na ja. Passwort aus einer Liste rauszusuchen und an passende Person zu verschicken ist wohl kein Zufall oder ? Mein Bekannter hat auch schon sowas bekommen und das Passwort war nicht grad einfach.
Dann bin ich mal gespannt, ob ich so etwas auch bekomme – bei Passwörtern mit 27–40 Stellen.
Ich tippe mal auf gehackte Webshops und Foren, bei denen dann die Datenbank kopiert wurde. Die Passwörter werden zwar in der Regel nur als Hash-Wert gespeichert. Die Hacker können im Voraus eine Datenbank mit Hashwerten aller möglichen Wort-Zahlen-Kombinationen erstellen. Dann müssen sie nicht bei jedem User einzeln das Passwort erraten, sondern müssen nur in Ihrer Datenbank nach einem passenden Hash suchen.
sollten heutzutage nicht die passwörter zusätzlich mit einem salt verschlüsselt werden?
Was ich nicht verstehe: Wenn die Passwörter mit geleakten Listen abgeglichen werden… warum dann nicht direkt e-mail + passwort aus geleakten Listen verwenden? und warum sollten dann keine komplexen Passwörter auftauchen – die stehen ziemlich sicher in den selben Listen…
…und wenn in den Leaks keine Mail-Adressen stehen sollten, wie soll dann das korrekte Passwort gefunden werden für die Mails? Oder umgekehrt?
Der Text bzw. die Annahme die dort geschildert wird, ergibt für mich keinen Sinn.