Erpres­se­ri­sche E‑Mails an Web­sei­ten­be­trei­ber häu­fen sich: “Ihre Sei­te wur­de gehackt”

Täter for­dern Bit­coins

Seit unge­fähr einem Monat kom­men – meist über die Kon­takt­for­mu­la­re auf der jewei­li­gen Web­site – erpres­se­ri­sche E‑Mails an Unter­neh­men und Orga­ni­sa­tio­nen auch im Raum Ober­fran­ken – unse­rer Redak­ti­on sind bereits vier Fäl­le in den letz­ten zwei Wochen bekannt gewor­den. Der Text der Erpres­ser-Mail ist mit gerin­gen Abwei­chun­gen immer der­sel­be (sie­he wei­ter unten). Es wird behaup­tet, man hät­te die Web­sei­te der ange­schrie­be­nen Per­son gehackt, nach­dem “eine Sicher­heits­lücke gefun­den” wor­den sei. Anschlie­ßend hät­te man “die Daten­ban­ken extra­hiert” und “die Infor­ma­tio­nen” auf einen “Off­shore-Ser­ver” ver­scho­ben. Wei­ter­hin wird gedroht man wer­de nun den Ruf der betref­fen­den Firma/​Organisation “syste­ma­tisch” zer­stö­ren, wenn nicht ein gewis­ser Betrag – mei­stens 3000 USD – in Bit­coins über­wie­sen wer­de.

Reagie­ren Sie auf kei­nen Fall auf eine der­ar­ti­ge Mail!

Es sind Mas­sen-Erpres­ser-Mails die wahl­los ver­schickt wer­den in der Hoff­nung dass die Ange­schrie­be­nen dar­auf her­ein­fal­len und bezah­len. Wenn Sie unsi­cher sind, wen­den Sie sich an die Poli­zei und las­sen Sie sich bera­ten. Wen­den Sie sich auf jeden Fall an die Poli­zei falls Sie oder einer Ihrer Mit­ar­bei­ter bereits bezahlt hat – in die­sem Fall soll­ten Sie Anzei­ge erstat­ten.

Hin­weis der Zen­tral­stel­le Cybercrime in Bay­ern

Auf Nach­fra­ge gab die Zen­tral­stel­le Cybercrime in Bam­berg fol­gen­den Hin­weis:

“Die­se EMails mit erpres­se­ri­schen Inhalt gibt es zwi­schen­zeit­lich natür­lich in ver­schie­de­nen Vari­an­ten. In allen Fäl­len hal­ten wir eine Anzei­ge­er­stat­tung für sinn­voll, da nur dann die Straf­ver­fol­gungs­be­hör­den prü­fen kön­nen, ob Ermitt­lungs­an­sät­ze, etwa anhand der Details der EMail­ver­sen­dung oder den in der Mail ange­ge­be­nen Kryp­to­wäh­rungs­adres­sen bestehen.

Anzei­ge kann bei der Zen­tral­stel­le Cybercrime Bay­ern oder bei der ört­lich zustän­di­gen Poli­zei­dienst­stel­le erstat­tet wer­den, die in der Regel auch von der Zen­tral­stel­le Cybercrime Bay­ern dann auch mit den wei­te­ren Ermitt­lun­gen betraut wird. Falls Anzei­ge erstat­tet wer­den soll, ist es natür­lich wich­tig, dass die EMail noch vor­han­den ist und nicht bereits gelöscht wur­de.”

Wie sieht so eine Erpres­ser-Mail aus?

Hier ein Ori­gi­nal-Text der unse­rer Redak­ti­on vor­liegt. Namen wur­den, da offen­sicht­lich falsch, ent­fernt:


Name: Abc Xyz
E‑Mail Adres­se: Abc.​Xyz@​gmail.​com
Betreff:: Ihre Site wur­de gehackt
Ihre Anfra­ge:: Bit­te lei­ten Sie die­se E‑Mail an jeman­den in Ihrem Unter­neh­men wei­ter, der wich­ti­ge Ent­schei­dun­gen tref­fen darf!
Wir haben Ihre Web­site http://​www​.irgend​ei​ne​do​main​.de gehackt und Ihre Daten­ban­ken extra­hiert.
Wie ist es pas­siert?
Unser Team hat auf Ihrer Web­site eine Sicher­heits­lücke gefun­den, die wir aus­nut­zen konn­ten. Nach­dem wir die Sicher­heits­an­fäl­lig­keit fest­ge­stellt hat­ten, konn­ten wir Ihre Daten­bank­an­mel­de­in­for­ma­tio­nen abru­fen, Ihre gesam­te Daten­bank extra­hie­ren und die Infor­ma­tio­nen auf einen Off­shore-Ser­ver ver­schie­ben.
Was bedeu­tet das?
Wir wer­den syste­ma­tisch eine Rei­he von Schrit­ten durch­lau­fen, um Ihren Ruf voll­stän­dig zu schä­di­gen. Zuerst wird Ihre Daten­bank durch­ge­sickert oder an den Höchst­bie­ten­den ver­kauft, den er mit sei­nen Absich­ten ver­wen­det. Wenn E‑Mails gefun­den wer­den, wer­den sie per E‑Mail dar­über infor­miert, dass ihre Infor­ma­tio­nen ver­kauft oder durch­ge­sickert sind und Ihre Web­site http: //www.irgendeinedomain.de einen Feh­ler began­gen hat, wodurch Ihr Ruf geschä­digt und ver­är­ger­te Kun­den / Mit­ar­bei­ter mit allen ver­är­ger­ten Per­so­nen kon­fron­tiert wur­den Kun­den / Mit­ar­bei­ter tun. Schließ­lich wer­den alle Links, die Sie in den Such­ma­schi­nen indi­ziert haben, basie­rend auf Black­hat-Tech­ni­ken, die wir in der Ver­gan­gen­heit ver­wen­det haben, um unse­re Zie­le zu deindi­zie­ren, deindi­ziert.
Wie höre ich damit auf?
Wir sind bereit, den Ruf Ihrer Web­site gegen eine gerin­ge Gebühr nicht zu zer­stö­ren. Die aktu­el­le Gebühr beträgt .322 BTC in Bit­coins (3000 USD).
Sen­den Sie das Bit­coin an die fol­gen­de Bit­coin-Adres­se (Kopie­ren und Ein­fü­gen, da zwi­schen Groß- und Klein­schrei­bung unter­schie­den wird):
1HPTGdcnRDcQtfAeE8GPdMQT2NPczHZ6EW
Sobald Sie bezahlt haben, wer­den wir auto­ma­tisch dar­über infor­miert, dass es Ihre Zahlu ng war. Bit­te beach­ten Sie, dass Sie die Zah­lung inner­halb von 5 Tagen nach Erhalt die­ser Mit­tei­lung lei­sten müs­sen, da sonst das Daten­bankleck, die ver­sen­de­ten E‑Mails und die De-Inde­xie­rung Ihrer Web­site begin­nen!
Wie bekom­me ich Bit­coins?
Sie kön­nen Bit­coins ganz ein­fach über meh­re­re Web­sites oder sogar off­line an einem Bit­coin-Geld­au­to­ma­ten kau­fen. Wir emp­feh­len Ihnen https://​cex​.io/ für den Kauf von Bit­coins.
Was ist, wenn ich nicht bezah­le?
Wenn Sie sich ent­schei­den, nicht zu zah­len, star­ten wir den Angriff zum ange­ge­be­nen Datum und hal­ten ihn auf­recht, bis Sie dies tun. Es gibt kei­ne Gegen­maß­nah­me dazu. Sie wer­den am Ende nur mehr Geld ver­schwen­den, um eine Lösung zu fin­den. Wir wer­den Ihren Ruf bei Goog­le und Ihren Kun­den voll­stän­dig zer­stö­ren.
Dies ist kein Scherz. Ant­wor­ten Sie nicht auf die­se E‑Mail. Ver­su­chen Sie nicht, zu argu­men­tie­ren oder zu ver­han­deln. Wir wer­den kei­ne Ant­wor­ten lesen. Sobald Sie bezahlt haben, wer­den wir auf­hö­ren, w as wir getan haben und Sie wer­den nie wie­der von uns hören!
Bit­te beach­ten Sie, dass Bit­coin anonym ist und nie­mand her­aus­fin­den wird, dass Sie die Anfor­de­run­gen erfüllt haben.