Hacker personalisieren Sextortion-Angriffe

‘Zahlen, sonst werden die heimlich gemachten Fotos veröffentlicht’. Den vermeintlichen Schmuddel-Content mag es nicht geben, aber die in der Erpresser-Mail erwähnten persönlichen Informationen verunsichern dann doch. Genau das sollen sie auch. Was Unternehmen tun können, um ihren Mitarbeiter peinliches Sextortion am Arbeitsplatz zu ersparen.

Fast 2.000 Dollar per Bitcoin fordern die Hacker dieser von Barracuda untersuchten Erpresser-Mail

Als Threat-Analyst bei einem Security-Hersteller hat man es bisweilen mit unappetitlichen Inhalten zu tun. Dennoch muss das Spam untersucht werden, um Muster zu erkennen, die den aktuellen Modus Operandi der Hacker entlarven. Dann kann man Abwehrmaßnahmen treffen oder Nutzer vor einer neuen Bedrohungswelle warnen. So wie es jetzt Security-Experten von Barracuda Networks tun und vor raffiniertem Sextortion warnen. Also der digitalen Erpressung mit angeblich heimlich erlangtem Material, das sexuelle Handlungen eines Opfers zeigen soll. Die Hacker drohen mit Veröffentlichung.

Um ihrer Forderung Nachdruck zu verleihen, wird es nun sehr persönlich. Sprich, mit durchaus echten Fakten angereicherte E-Mails, die den Adressaten im ersten Moment irritieren oder auch schockieren können – je nachdem, ob man sich beim Besuch einschlägiger "Adult only Webseiten" ertappt fühlt oder sich ganz und gar sicher ist, Schmuddelkram nie konsumiert zu haben. Dass ein Trojaner im Smartphone unbemerkt Bilder oder Videos macht und sie an einen Server der Hacker schickt, ist jedenfalls technisch kein Hexenwerk.

Nun haben die Experten bei Barracuda festgestellt, dass Angreifer zunehmend Namen, Adressen und sogar Fotos der Häuser ihrer Opfer von Google nutzen, um Erpressungsversuche zu personalisieren und größeren Druck aufzubauen. Bisweilen nennen sie auch die korrekte Telefonnummer des Opfers oder manipulieren die E-Mail so, dass die Adresse des Absenders mit der des Empfängers identisch ist.

"Sextortion-E-Mails werden in der Regel im Rahmen größer angelegter Spam-Kampagnen an Tausende potenzielle Opfern gleichzeitig versendet, aber die finanziellen und emotionalen Folgen für die einzelne Person können sehr ernst sein", sagt Kyle Blanker, Manager Software Engineering bei Barracuda.

Denn die Summe ist meist happig, die von den Cyberkriminellen verlangt wird: einigen Hundert bis mehrere Tausend US-Dollar, die in Kryptowährung zu bezahlen ist – und zwar ganz bequem zu begleichen, indem man per mitgeschicktem QR-Code die Zahlung abwickelt. In den entsprechenden E-Mails tauchen diese QR-Codes direkt unter der Bitcoin-Adresse auf. So viel Kundenservice darf man schon verlangen.

"Um sicherzustellen, dass die E-Mails nicht von Sicherheits-Tools und Spam-Filtern erfasst werden, und um die Erfolgschancen zu steigern, variieren und personalisieren Angreifer ihre Nachrichten, damit diese überzeugender wirken und die Opfer die Zahlungsforderungen aus Angst eher erfüllen", erläutert Blanker ferner.

Was also tun? Barracuda empfiehlt, Postfächer und Mitarbeitende in Unternehmen mithilfe von KI-basiertem E-Mail-Schutz vor Sextortion-Spam, sowie Kontoübernahmen zu schützen, in Kombination mit proaktivem Monitoring und Schulungen, um das Sicherheitsbewusstsein im Unternehmen zu steigern. Unternehmen sollten es ihren Mitarbeitern möglichst einfach machen, sensible und potenziell für sie peinliche Angriffsversuche zu melden. Außerdem sollte es für Mitarbeiter einfach sein, Browser und Betriebssysteme auf dem neuesten Stand zu halten, um zu verhindern, dass Sextortion-E-Mails die Endgeräte ihrer Mitarbeiter mit Malware infizieren.