ifun.de — Apple News seit 2001. 37 680 Artikel

Anzeige wegen Erpressung prüfen

Erpresser-Mails mit echtem Passwort: LKA warnt und rät zur Anzeige

Artikel auf Mastodon teilen.
16 Kommentare 16

Bei den per E-Mail versandten Passwörtern handelt es sich meist um zutreffende Login-Bestandteile der angeschriebenen Nutzer, was den Inhalt der E-Mails selbst angeht, so sollte diesen jedoch nicht all zu viel Bedeutung beigemessen werden. So in etwa lässt sich die Warnung des Landeskriminalamt Niedersachsen zusammenfassen, die heute auf dem Online-Portal zur Internetkriminalität, polizei-praevention.de, veröffentlicht wurde.

Bitcoin Kanchanara 5ixVD22x22o Unsplash 1400

Mails wollen Krypto-Überweisungen erpressen

Echte Passwörter im Klartext

Hier rollen die Strafverfolger eine schon länger kursierende Erpresser-Methode auf, bei denen echte Passwörter der angeschriebenen Nutzer zum Einsatz kommen. Mit diesen wollen die Versender der Erpresser-E-Mails einen persönlichen Bezug herstellen, der das Vorhandensein weiterer persönlicher Daten auf Seiten der Versender implizieren soll. Ein Auszug:

Betreff: Ihr Konto wurde gehackt

Ich habe schlechte Nachrichten für dich.
11/04/2022-an diesem Tag habe ich Ihr Betriebssystem gehackt und vollen Zugriff auf Ihr Konto erhalten!
Ihr Passwort: _________ !

Es ist nutzlos, das Passwort zu ändern, meine malware fängt es jedes mal ab […]

Nach Angaben des Landeskriminalamtes Niedersachsen fordern die aktuellen Drohschreiben häufig zur Überweisung von Kryptowährungen auf, allerdings kann diese Forderung durch die Bank weg ignoriert werden. Zwar scheinen die angezeigten Passwörter in vielen Fällen wirklich zuzutreffen, allerdings sind nach Angaben der Polizei ausschließlich einfache Passwörter betroffen und Kombinationen aus bekannten Wörtern, Namen und Zahlen.

Komplizierte Passwörter seien bisher nicht in den E-Mail-Kampagnen aufgetaucht. Dies scheint darauf hinzudeuten, dass die Angreifer auf Wortlisten setzen, die mit im Internet kursierenden Datenlecks abgeglichen werden und als Datenbasis für die Spam-Lawinen mit erpresserischer Konnotation dienen.

Anzeige wegen Erpressung prüfen

Durch den Einsatz von Mail-Spoofing suggerieren die E-Mails zudem von bekannten Absender-Adressen aus zugestellt worden zu sein, auch dies ist lediglich eine Trick der Sicherheitslücken bei der E-Mail-Zustellung ausnutzt.

Da es im geschilderten Fall der Erpresser-Emails jedoch um strafrechtlich relevante Inhalte geht rät das Landeskriminalamt Niedersachsen dazu Anzeige zu erstatten und verweist betroffene Anwender auf Sicherheitsportale haveibeenpwned.com, auf dem sich einfach prüfen lässt ob eigene Passwörter in online verfügbaren Datenlecks aufgespürt wurden.

21. Jun 2022 um 16:01 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    16 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Frag mich, ob es den Aufwand wirklich wert ist, Anzeige zu erstatten. Hatte selber so ne Mail bekommen und erst mal einen Riesen Schreck bekommen. Nicht, dass sie wirklich einen Trojaner bei mir eingepflanzt hätten, weil das nur ein webmail Account ist, aber trotzdem. Auch das Mail spoofing war wirklich gut gemacht.
    Aber da mich jetzt mit der Polizei auseinander zu setzen, dafür hab ich die Zeit wohl nicht.

  • Es gibt in jedem Bundesland eine Internetwache!
    Einfach online die Anzeige aufgeben und fertig.
    Die Mail natürlich nicht löschen, falls es Nachfragen gibt.

    • Wird doch eh fast nirgends bearbeitet. Wofür also der Aufwand?

      • Genau deswegen geht es auch immer weiter mit solchen Mails und Erpressungen weil immer nur geheult wird. Aber nimmt sich nicht die5 Minuten für die online Anzeige. Lieber schreibt ihr hier stundenlang Kommentare. Die bringen übrigens auch nix.

      • Wurde doch letztens erst bei den ÖR behandelt wie sinnvoll es ist. Da ist es tatsächlich sinnvoller sich hier darüber auszulassen (und ja, das hier ist fast maximal sinnfrei, das einzige was sinnfreie ist, ist etwas anzuzeigen was online geschieht)

  • Ich frage mich nur eins: woher haben sie die Passwörter?

      • Na ja. Passwort aus einer Liste rauszusuchen und an passende Person zu verschicken ist wohl kein Zufall oder ? Mein Bekannter hat auch schon sowas bekommen und das Passwort war nicht grad einfach.

      • Dann bin ich mal gespannt, ob ich so etwas auch bekomme – bei Passwörtern mit 27–40 Stellen.

    • Ich tippe mal auf gehackte Webshops und Foren, bei denen dann die Datenbank kopiert wurde. Die Passwörter werden zwar in der Regel nur als Hash-Wert gespeichert. Die Hacker können im Voraus eine Datenbank mit Hashwerten aller möglichen Wort-Zahlen-Kombinationen erstellen. Dann müssen sie nicht bei jedem User einzeln das Passwort erraten, sondern müssen nur in Ihrer Datenbank nach einem passenden Hash suchen.

      • sollten heutzutage nicht die passwörter zusätzlich mit einem salt verschlüsselt werden?

  • Was ich nicht verstehe: Wenn die Passwörter mit geleakten Listen abgeglichen werden… warum dann nicht direkt e-mail + passwort aus geleakten Listen verwenden? und warum sollten dann keine komplexen Passwörter auftauchen – die stehen ziemlich sicher in den selben Listen…

    …und wenn in den Leaks keine Mail-Adressen stehen sollten, wie soll dann das korrekte Passwort gefunden werden für die Mails? Oder umgekehrt?

    Der Text bzw. die Annahme die dort geschildert wird, ergibt für mich keinen Sinn.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 37680 Artikel in den vergangenen 8159 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven