Mit Erpressungen per Mail versuchen es Cyberkriminelle bereits seit mehreren Jahren. Angeblich sei der Computer gehackt. Man habe den Angeschriebenen beim Besuch erotischer Webseiten gefilmt oder man werde sensibles Material an alle Freunde senden. Manchmal wird ein Passwort des Angeschriebenen angezeigt oder die Mail scheint vom Mailkonto der Person selbst zu kommen.
Nun gibt es eine weitere Variante, die deutlich mehr persönliche Daten beinhaltet.
Bisher sind in den letzten Tagen bei uns nur wenige Beispiele über unseren Dienst hier eingegangen. Diese waren aber im Prizip ähnlich aufgebaut, wie unser nachfolgendes Muster. Die Mail ist (bisher noch) auf englisch verfasst und enthält Name, Anschrift, Telefon, Kreditkartenummer (lediglich die letzten vier Ziffern) und ein Passwort.

Die Art der Erpressung gleicht dieser Masche hier. Es scheint, als hätten sich die Täter einem Hack bedient und hoffen durch die Nennung dieser persönlichen Daten darauf, dass die Opfer zahlen. Der geforderte Beitrag ist mit 100€ derzeit auch noch gering. Vielleicht sind viele Empfänger somit auch schneller bereit, die geforderte Summe zu zahlen. Auch die Platzhalter, die im Text mit „Null“ und die mit xxxx bei der Kreditkartennummer angezeigt werden, sprechen dafür, dass es sich um einen mehrfach und automatisierten Versand dieser Mail handelt. Der angebliche Absender (in unserem Beispiel ein „guenter…“) ändert sich ebenfalls ständig. Der Bezug zur FAZ bzw. zu FAZ.net ist uns bisher noch ein Rätsel. Ein Link zu einem angeblichen Artikel existiert nicht, bzw. wird mit „null“ also einem Platzhalter/leerem Wert angezeigt. Auch sind die angeschriebenen Personen dort keine Kunden der Zeitung, so dass diese Daten nicht von dort stammen können.
Eine schnelle Überprüfung der uns zugelieferten Daten über den Dienst https://haveibeenpwned.com/ zeigte, dass die benutzten Absenderadressen und Empfängeradressen in der Vergangenheit bei verschiedenen öffentlich bekannt gewordenen Hacks auftauchen. Viele davon bereits im Jahr 2019 oder älter. Aktuelle Hacks zu den Adressen sind bisher noch nicht auf der Seite bekannt geworden. Die Quelle der von den Tätern benutzten Daten ist uns noch nicht bekannt. Ob z.B. eine Zusammenhang zu dieser Masche hier besteht, ist nicht sicher.

So kann eine Mail aussehen (Screenshot auf Smartphone, von uns anonymisiert):

Alternativ im Mailprogramm (von uns anonymisiert […]):

Subject: Ihre persönlichen Daten wurden gehackt empfiehlt den Beitrag „null“ der F.A.Z.
To: <[…]@gmail.com>

Guten Tag,
Ihre persönlichen Daten wurden gehackt (guenter.[…]@gmx.de) empfiehlt Ihnen diesen Beitrag auf FAZ.NET.

„Attention.
We have gained access to your personal data.
This is your email address and password: […]@gmail.com – […]24
Name and Surname: […]
Your credit card details. (Will be disclosed if we do not remove them from the database.)
xxxxxxxxxxxx[…]
Address of residence: […]Weg 4, […], zipcode 3[…]
Phone:  49176[…]

You will have 2 days to transfer funds in the amount of 100 euro
to Bitcoin address – 1BcnUWztkQi6s[…]9vZ5VQK9p3G

You can buy bitcoins on these sites.

www.coinbase. com
www.localbitcoin. com
www.coinmama. com
www.bitit. io
www.bitpanda. com
www.bittylicious. com
www.bitcoin. de

As soon as you pay, send a letter to the mail: guenter[…]@gmx.de

Example: 1BcnUWztkQi6sDdL[…]VQK9p3G – guenter[…]@gmx.de
Example: Your btcaddress – Your mail

After verification, we will delete your data from the database.

All data that we do not delete from our database will be sold on the black market, where it is bought by criminal elements.“

null
null
null

Hier finden Sie den vollständigen Beitrag: null
Hier finden Sie aktuelle Beiträge der F.A.Z.: www.faz. net
Mit freundlichen Grüßen
Frankfurter Allgemeine
Bei Fragen schreiben Sie bitte an info@faz. net

Eine Besucherin unseres Ratgebers informierte uns mit den obigen Daten. Sie bestätigte, dass die dort angezeigten Daten (Adresse, Passwort, Telefonnummer, Kreditkartennummer) noch aktuell seien.

Was sollte ich tun?

Oft landen diese Nachrichten im Spamfilter. Da diese Mails aber auch mehr persönliche Daten enthalten, als die bisherigen Varianten hier, raten wir zumindest zu einigen Maßnahmen, wenn diese Daten noch aktuell sein sollten und Sie sich unsicher fühlen:

• Ändern Sie das Passwort bei dem Dienst, wo Sie das angezeigte Passwort benutzt haben. Richten Sie, falls verfügbar, eine 2-Faktor-Authentifizierung ein. Überlegen Sie, ob Sie dieses Passwort auch mehrfach verwendet haben!
• Prüfen Sie Ihre Computer/mobilen Endgeräte auf mögliche Schadsoftware. Führen Sie Änderungen Ihrer Daten auf einem sauberen Gerät durch.
• Sollte das Passwort zu Ihrem Mailanbieter oder Smartphone-Anbieter gehören, dann prüfen Sie, ob weitere, nicht von Ihnen hinterlegte/authorisierte Daten (z.B. Mailprogramme, Weiterleitungs-/Umleitungsadressen, Browser, Smartphones usw.) dort eingetragen sind. Ggf. müssen Sie in diversen Einstellungen/Profilen dafür suchen. Beachten Sie auch, dass einige Anbieter gesonderte Passwörter für externe Mailprogramme verwenden. Diese sollten Sie dann sicherheitshalber auch aktualisieren.
• Informieren Sie Ihren Kreditkarten-Anbieter. Auch wenn die Täter vielleicht nur die letzten vier Ziffern und keinerlei Codes (z.B. Ziffer von der Rückseite der Karte) oder Laufzeiten haben, sollten Sie ggf. die Karte sperren lassen.
• Sie haben auch die Möglichkeit zu einer Anzeigenerstattung bei Ihrer örtlichen Polizei oder über Ihre Onlinewache (wenn im Bundesland verfügbar).
• Prüfen Sie regelmäßig hier, ob bereits ein Hack in Verbindung mit Ihren Daten öffentlich bekannt geworden ist: https://haveibeenpwned.com/ (Mailadresse und Rufnummer) oder hier https://sec.hpi.uni-potsdam.de/ilc/search (Mailadresse)