Home  Kontakt  Impressum  Datenschutz 

Erpressermail von NOCET droht mit Videoveröffentlichung und mehr  vom 30.08.2018

Täter fordern Bitcoins um größtmöglichsten Schaden abzuwehren.

© H.-J. Henschel/LKA NI

Aktuell wird in den Medien von Erpressermails berichtet, in denen die Täter Bitcoins fordern, damit Videomaterial, welches angeblich beim Besuch von Erotikseiten aufgezeichnet wurde, nicht veröffentlicht werde.
Nun gibt es eine weitere Variante von Erpressermails, die im Umlauf ist. Hier wird ein Empfänger mit Namen angeschrieben. Angeblich hätte "jemand Drittes" die Täter beauftragt. Man würde über "Material (Audio, Foto bzw. Video, Information)" verfügen. Ziel sei es "Sie größtmöglichst zu schädigen [...] Sowohl finanziell, physisch, als auch speziell emotional und sozial."

Die Täter, die sich NOCET nennen,  versenden hierzu eine sehr ausführliche Beschreibung auf deutsch in der Mail, wie der weitere Ablauf nun wäre. Es werden einem die Möglichkeiten der Bitcoinzahlung aufgezeigt, aber auch die Folgen, wenn keine Zahlung eingehen würde. Gegen einen Aufpreis würde man sogar den Namen des Auftraggebers bekommen.

Als Konsequenz werden u.a. sogenannte "DeepVideoFakes" angedroht. Hier soll dann das Bild des Opfers in bestehenede Videos eingearbeitet werden. Dass diese Videos eine Fälschung sind, sei nur schwer zu erkennen. Weiterhin wird mit Terrorandrohungen, Kinderpornografie und vielem mehr im Namen des Opfers gedroht (siehe Mailbeispiel weiter unten). Im Namen des Opfers hätte man zahlreiche Mailaccounts eingerichtet, über die dann strafrechtliches und sensibles Material (z.B. Tauschwunsch für Hardcore-Bilder oder Kinderpornografie) bei einer Nichtzahlung (z.B. an Freunde, Arbeitskollegen, Kirchen usw.) verschickt werden soll.

In Niedersachsen können wir bisher lediglich einen angezeigten Fall verzeichnen. Bundesweit gibt es schon mehrere Anzeigen von Empfängern dieser Mail. Online ist diese Masche aktuell nur wenig bekannt. Einen Beitrag finden Sie hier bei Opens external link in new windowWatchlist Internet.

Die Mails enthalten lediglich die Namen der Empfänger. Ggf. sind daraus noch ein Arbeitgeber zu erkennen (z.B. anhand der Domain-Endung). Ein Beleg, dass tatsächlich Material (Bilder, Gesprächsmitschnitte, Videos usw.) des Opfers bei den Tätern vorliegen, wird nicht mitgeschickt.

Wie die Täter an die Opfer kommen, ist uns aktuell nicht bekannt.

Sollten Sie solche Mails bekommen haben, haben Sie die Möglichkeit, dieses bei Ihrer örtlichen Polizei anzuzeigen. Eine Anzeige sollte unbedingt erfolgen, wenn Sie auf die Erpressung eingegangen sind und gezahlt haben. Zudem bieten wir Ihnen die Möglichkeit an, uns generell über solche Mails in Kenntnis zu setzen. Opens internal link in current windowDie Anleitung dazu finden Sie hier.

Beispieltext der Mail (anonymisiert):

"Betreff: Anstehende Zivil- und Strafverfahren - Herrn XYZ

Mailtext: Sehr geehrter Herr XYZ,

am 2X.08.18, um 16.00 Uhr läuft eine Frist ab, welche über Ihr weiteres Schicksal, sowie das Ihrer Familie und Ihrer Firma entscheidet. Wir kontaktieren Sie lediglich um sie zu warnen. Sofern sie bis zum Fristende den entsprechenden Betrag in Bitcoin (BTC) an die angegebene Adresse anweisen, können Sie dies noch rechtzeitig abwenden.

Sollten der Betrag nicht rechtzeitig eingehen, oder Sie diese Nachricht ignorieren, so werden direkt nach Fristablauf die in der Anlage beigelegten Emails in Ihrem Namen an mehrere hundert Empfänger gesendet: Bekannte/ Verwandte aus Ihren Kontakten, Arbeitskollegen, Kunden, kirchliche und soziale Organisationen, Justiz,...

Dies wird enorme straf- und zivilrechtliche Folgen für Sie haben – noch können Sie diese jedoch abwenden. Und dies stellt lediglich den Anfang dar. Weitaus mehr wurde bereits initiiert. Weitere Informationen finden Sie in der Anlage.

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Fristende:

2X.08.18 um 16.00 Uhr

Bitcoin-Address:

1LahsZgNNyUR4PrmMAXeTMwBrmGK88QsS9

Bitcoin-Amount:

0,18 BTC (entspricht circa EUR 986,4)

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"

Im weiteren Verlauf des Mailtextes wird konket auf die einzelnen Phasen der Vorgehensweise und die Hintergründe eingegangen:

1 Vorbemerkung
Bitte lesen Sie sich die folgenden Abschnitte sorgfältigst durch. Dies – und Ihre Reaktion hierauf – entscheidet buchstäblich über Ihr/ Ihrer Firma/ Familie Wohl und Wehe.

2 Intro/ Kurzfassung
Wer sind wir? Wir sind NOCET! Ein Kollektiv, spezialisiert auf Data-Akquisition, Modifikation und Manipulation.

Warum Sie? Es gibt mehrere mögliche Gründe warum jemand (Sie! (XYZ )) ausgewählt worden sein kann: In ihrem Fall hat jemand Drittes uns beauftragt, sowie Material (Audio, Foto bzw. Video, Informationen) über Sie bereitgestellt und dafür bezahlt.

Um was geht es genau?
Wir wurden von dritter Seite her damit beauftragt, ein Programm zu erarbeiten, um Sie größtmöglich zu schädigen (siehe 5.). Sowohl finanziell, physisch, als auch und speziell emotional und sozial. Nach reiflicher interner Überlegung und Abschätzung aller Folgen für Sie und ihre Familie – die als Sekundärziele ausgewählt worden sind – haben wir diese jedoch als weitaus zu extrem angesehen. Daher bieten wir Ihnen an - gegen Erstattung unserer bisher angefallenen Ausgaben - die erstellten Programme und Daten (mehr unter 5.) löschen zu lassen bzw. an Sie, statt an unseren Auftraggeber heraus zu geben.
Uns entgeht dadurch ein sechsstelliger Betrag, da wir erst nach Fertigstellung und Übergabe bezahlt werden und wir die bisher angefallenen Ausgaben vorgelegt haben. Uns reicht jedoch die Erstattung der physischen Ausgaben (ein gerade mal dreistelliger EUR-Betrag), 3 Monate Arbeits- bzw. Vorbereitungszeit nicht eingerechnet.
Wir haben hierzu einen Fail-Safe bzw. eine Notabschaltung eingebaut, die – sollte bis zu einem bestimmten ZeitpunktX ein bestimmter Betrag auf einem bestimmten Konto eingehen – sämtliche Server- Daten löscht und die Ausführung stoppt. Dies erlaubt es uns, unseren Auftrag vollumfänglich auszuführen, da wir uns immer (!) an Absprachen halten. Ebenso erlaubt es Ihnen selbst über Ihr Schicksal zu entscheiden.
Nach diesem ZeitpunktX ist keinerlei externes eingreifen mehr möglich, und die Abarbeitung des Programms beginnt am 2X.08.18 um 12:05 Uhr mit dem Versand der Emails in Anlage an 500 Empfänger.

Wie ist der Ablauf (Kurzfassung)?

Sie zahlen an die übermittelte Adresse 1LahsZgNNyUR4PrmMAXeTMwBrmGK88QsS9 den genanten Betrag 0,18 Bitcoin (BTC) Dies sorgt dafür, dass alle Daten gelöscht werden und Sie und Ihre Familie unbehelligt bleiben.

Wie ist der weitere Ablauf (Kurzfassung)?

Sie zahlen den Betrag rechtzeitig in Bitcoin auf das angegebene „Konto“ (Bitcoin-Adresse): Diese Bitcoin-Adresse wird durch ein Computerprogramm überwacht. Bei rechtzeitigem Eingang löscht ein Programm alle vorhanden Daten, vorgefertigten Abläufe und Aktionen (siehe 5.).
Sie zahlen zu spät/ nicht: Ein 48 Stunden Countdown startet. Nach Ablauf des Countdowns: Eine Serie vorgefertigter Aktionen wird gestartet, deren Ausmaß unter 5. näher spezifiziert ist."

Die Langfassung enthält zudem Beispielbilder aus dem Internet und Links zu möglichen Bildern (Pornografie, usw.). Da hier verschiedene Varianten im Umlauf sein können, können wir über die Darstellungen auf den Bildern keine konkreten Angaben machen. So könnte u.a. Kinder- oder Jugendpornografie (z.B. Opens external link in new window§ 184b StGB ff.) enthalten sein. Verbreitung, Erwerb und Besitz sind strafbar. Vermeiden Sie einen Ausdruck/Abfotografieren dieser Bereiche für eine Anzeigenerstattung.