Personalisierte Erpressungen

von Arnulf Koch⠀|⠀
veröffentlicht am 14.01.2019

Das große Thema für 2019 lautet: Personalisierte Erpressungen

 

Der Daten-Leak der Politiker und Prominenten war ein erster Vorgeschmack.

https://www.tagesschau.de/inland/hackerangriff-125.html

In unserem Systembetreuungsalltag schlagen im Moment täglich Anfragen verunsicherte Anwender auf.

 

Jeder Internetnutzer hat oder wird Erpresser-E-Mails bekommen, die entweder über eigene E-Mail-Systeme gesendet wurden oder die höchstpersönliche Daten in der E-Mail stehen haben, z.B. das E-Mail-Kennwort oder Kreditkartennummer samt Sicherheitscode. Oder er wird vorgeblich selbst Online-Erpressungen im eigenen Namen wie z.B. eine digitale Schmutzkampagne im Namen der eigenen Firma: https://www.crn.de/security/artikel-119010.html verschicken.

Hier erschrickt man heftig, wenn man das erste Mal sein eigenes Kennwort im Betreff einer E-Mail liest oder andere Erpressungen und Drohungen bekommt. Nach der x-ten E-Mail hat man sich daran gewöhnt. 

Ursache

Hintergrund ist, dass sehr viele populäre Dienste gehackt wurden und diese Daten (mit den auf diesen Diensten benutzten Kennwörtern im Klartext) inzwischen auf dem Schwarzmarkt aktiv gehandelt werden.

Z.B. wurden gehackt:

  • LinkedIn: 165 Mio Accounts

  • Dropbox: 68 Mio Accounts

  • Adobe: 152 Mio Accounts

Hier gibt es eine (sicher nicht vollständige) Liste: https://haveibeenpwned.com/PwnedWebsites

Alleine in dieser Liste sind 5,7 Milliarden Accounts von 339 gehackten Websites zusammengetragen.

 

Das ist die Schattenseite: wenn sich die Online-Dienste auf wenige Anbieter konzentrieren und diese dann gehackt werden, sind immer gleich hunderte Millionen Nutzer betroffen.

Hinzu kommt, dass diese Informationen nicht aus dem Internet verschwinden werden, sondern für alle Zeiten online bleiben und immer wieder Basis für Erpressungen werden etc.

Die meisten dieser Daten benötigen mehrere Jahre, bis sie den Weg vom Hack in die Öffentlichkeit finden. Diese Hacks sind also bereits mehrere Jahre alt. Aber es ist erschreckend, wie viele Passwörter auch nach Jahren nicht geändert wurden. Zudem ist davon auszugehen, dass in der Zwischenzeit weitere große und kleine Webseiten und Netzwerke gehackt wurden und so auch in Zukunft weiter Passwörter auftauchen werden.

Ich wurde erpresst –> was soll ich tun?

 

Erstmal ignorieren – in keinem Fall zahlen! Auch wenn die Story sehr unappetitlich ist (oft werden vom Erpresser Geschichten behauptet, er habe Zugriff auf die Webcam und Aufnahmen des Empfängers beim Konsum von Erwachsenenunterhaltung gemacht). In aller Regel ist das nicht geschehen (das ist doch noch mal etwas komplizierter), sondern die Erpresser haben nur ein paar Daten und versuchen jetzt mittels Social Engineering daraus Profit zu schlagen.

 

Was kann ich tun?

Wenn in der E-Mail ein Kennwort steht, das noch in Benutzung ist, sofort dieses Kennwort ändern! Hier liest ziemlich sicher jemand mit!

Sollten persönliche Daten in der E-Mail vorhanden sein, sollte man in Erwägung ziehen Konten zu sperren/einzufrieren, da der Erpresser Identitätsdiebstahl begehen könnte.

Doxxing

 

Ein Risiko neben den Erpressungsversuchen ist auch das sog. Doxxing, also das wahllose Veröffentlichen von privaten Daten. https://www.tagesschau.de/inland/doxxing-101.html

Selbst wenn man wirklich nichts zu verbergen hat: Möchte man, dass private Chats mit der Familie, Kontoauszüge, private Fotos, die gesendeten Elemente des E-Mail-Postfach veröffentlicht werden?

Vermutlich nein.

Zumal diese Daten ja noch nicht einmal der Wahrheit entsprechen müssen. Die veröffentlichten Informationen könnten ja gefälscht sein: z.B. sind echten Informationen einige Falschinformationen untergemischt.

Wie sichere ich mich konkret ab?

 

Das grundsätzliche Dilemma der IT-Sicherheit ist: Jede Erhöhung der Sicherheit bedeutet eine (teils massive) Einschränkung des Komforts.

 

Bitte checken Sie folgende konkrete Ratschläge:

  1. Überprüfen, ob man selbst betroffen ist

    1. Seriöser Check #1: https://haveibeenpwned.com/

    2. Seriöser Check #2: https://sec.hpi.uni-potsdam.de/ilc/

    3. https://t3n.de/news/accounts-gehackt-passwort-adobe-pwned-514556/

    4. Fallen Sie nicht auf unseriöse Sicherheitschecks rein. Geben Sie niemals irgendwo Ihr Kennwort ein. Nennen Sie es niemals am Telefon. Führen Sie niemals Software aus, um einen “Sicherheitscheck” auszuführen. Meistens ist das dann erst der eigentliche Virus.

    5. Wenn Sie hier nicht auftauchen gibt es drei weitere Möglichkeiten:

      1. Eine Webseite wurde gehackt, deren Daten noch nicht so öffentlich sind, dass sie bei den Sicherheitsforschern gelandet sind

      2. Man ist Ziel eines personalisierten Hacks wie der Leoni-Vorfall: https://www.golem.de/news/ceo-fraud-autozulieferer-leoni-um-40-millionen-euro-betrogen-1608-122741.html | https://www.golem.de/news/40-millionen-euro-gestohlen-wie-der-leoni-betrug-abgelaufen-ist-1609-123108.html (vergleichbares haben wir bei einem Kunden zwischen Vorständen, Geschäftsführern und Buchhaltern bereits persönlich erlebt)

      3. Man ist selbst nur in dem Adressbuch eines Dritten, der gehackt wurde und bekommt jetzt dadurch diese personalisierten E-Mails, obwohl man selbst nicht gehackt wurde.

        So wird’s gemacht: Video-Tipp von Arnulf Koch: https://youtu.be/-dKA7Smtwqw

         

  2. Alle Kennwörter aller Sites ändern! Insbesondere wenn sie mehrfach benutzt werden oder seit über einem Jahr nicht mehr geändert wurden.

    1. Für jede Seite ein anderes Kennwort nehmen. Kein Passwort 2x benutzen!

    2. Lange Kennwörter benutzen (Neue Regeln für Passwörter beachten!)

    3. Dafür ggfs. eine selbstgehostete Kennwortdatenbank wie Keepass (Open Source!) benutzen: https://keepass.info/

    4. Ich sage voraus, dass es Probleme mit den Online-Kennwortmanagern geben wird. Hier gibt es die gleichen Konzentrationstendenzen: Wenn alle User ihre Kennwörter in einem Online-Kennwortmanager gespeichert haben, muss man nur noch diesen einen Online-Kennwortmanager hacken. Vorsicht bei kommerziellen Anbietern: Kann ich überprüfen, ob sie ihr Rechenzentrum und ihre Datenbanken wirklich gut absichern? Kann ich überprüfen, ob der Anbieter nicht eine Backdoor oder Masterschlüssel für die Daten hat? Kann ich überprüfen, dass bei einer Insolvenz oder Firmenübernahme der neue Eigentümer die Daten nicht anders verwendet (siehe die Whatsapp-Übernahme durch Facebook).

  3. Es fällt auf, dass die Schwergewichte wie Google, Microsoft, Facebook Amazon und Apple nicht von den Hacks betroffen sind. Wir nehmen denen ernsthaft ab, dass die Sicherheit ihrer Userkonten dort höchste Priorität hat. Allerdings ist man damit im Dilemma, so weiter zur Marktkonzentration beizutragen, wenn man bei einem der Big-5 Kunde wird anstatt kleinen Anbietern eine Chance zu geben.

    1. Achtung: Bei diesen Diensten können jedoch für Apps, Dienste, Spiele, etc. Daten freigegeben und somit auch abgezogen werden. Facebook selbst ist sicher, Facebook-Spiele (à la Farmville) sind Drittanbieter mit einem erheblich niedrigeren Sicherheitsniveau.

    2. Hier kann man überprüfen, mit welchen Apps die Daten geteilt werden. Überprüfen Sie die Liste kritisch und entfernen Sie alle (unnötigen) Apps.

      1. Facebook: https://www.facebook.com/settings?tab=applications

      2. Google: https://myaccount.google.com/permissions

      3. Twitter: https://twitter.com/settings/sessions?lang=de

        So wird’s gemacht: Video-Tipp von Arnulf Koch: https://youtu.be/6UewLFbVwkM 

         

  4. Systeme laufend auf dem neusten Updatestand halten, damit sie nicht über bekannte Sicherheitslücken gehackt werden können.

    1. Achtung: In der Regel dauert es nur rund 1-2 Tage, bis die Cyberkriminellen nach dem Erscheinen der Updates analysiert haben, was durch das Update verändert wird, also welche Sicherheitslücke dadurch geschlossen wurde, und erstellen einen auf diese Sicherheitslücke spezialisierten Virus. Installieren Sie die Updates sofort!
      BTW: Wer sich interessiert, wie das technisch im Detail funktioniert: Hier hat ein Sicherheitsforscher Schritt für Schritt dokumentiert, wie aus einem ganz banalen Bug in einer Mathematik-Bibliothek des Browser (in der Berechnungsfunktion e^x-1 wird für 0 die eigentlich identische -0 und +0 nicht unterschieden) der komplette PC gehackt, übernommen und ferngesteuert werden kann: https://www.jaybosamiya.com/blog/2019/01/02/krautflare/ Beeindruckend!

    2. Wir als Unternehmen bieten dafür einen Service kkManagedIT an: https://www.kk-software.de/produkte/89_106/kkmanagedit bzw. der Flyer: https://www.kk-software.de/download/Flyer-kkManagedIT_1.pdf
      In Unternehmen geht es eigentlich nicht anders, als dass ein interner oder externer Admin die Verantwortung dafür übernimmt, dass Updates garantiert zuverlässig und zeitnah installiert werden.
      Wenn Sie nicht in unserem Einzugsbereich (Schweinfurt, Würzburg, Bamberg, Kitzingen) sind, finden Sie unter https://www.iteam.de/standortsuche/ seriöse IT-Dienstleister.

      So wird’s gemacht: Video-Tipp von Arnulf Koch: https://youtu.be/7hyjlv1muPA 

       

  5. Adblocker installieren (da sehr viel Malware über infizierte Werbebanner verteilt wird), und zwar uBlock Origin (das ist in meinen Augen der seriöseste Adblocker): https://de.wikipedia.org/wiki/UBlock_Origin | Installation: https://github.com/gorhill/uBlock/#installation

    So wird’s gemacht: Video-Tipp von Arnulf Koch: https://youtu.be/FqPRS_U8MrI 

     

  6. Achtung bei E-Mail

    1. Externe Inhalte (Bilder) von E-Mails nicht nachladen.

    2. Vorsicht bei E-Mail-Anhängen, auch von Geschäftspartnern oder Freunden (es sind Millionen Adressbücher in den öffentlichen Datenbanken). Und erst recht keine Rechnungen, Mahnungen, Auftragsbestätigungen, Anwaltsschreiben etc. per E-Mail öffnen, wenn man sich nicht 100%ig sicher ist, dass dies genau die Mail von einem Vertragspartner ist, die man gerade erwartet. Z.B. werden am Monatsende gerne Telekom-Rechnungen gefälscht, aber die Telekomunternehmen verschicken signierte E-Mails, Hacker nicht. Achten Sie also auf die E-Mail-Signatur: https://support.office.com/de-de/article/Überprüfen-der-digitalen-signatur-einer-signierten-e-mail-21ebf9c6-3cab-48df-9559-19af76f6cbed

    3. Wenn Sie dem Absender der Mail vertrauen und die E-Mail echt aussieht, dann überprüfen Sie den Anhang auf Virustotal. Virustotal ist ein von Google gegründeter Dienst, der die hochgeladenen Dateien bei 57 gängigen Virenscannern parallel überprüft: https://www.virustotal.com .
      Achtung: Warten Sie mind. 24 Stunden, da die Virenprogrammierer diesen Dienst ebenfalls nutzen und den Virus solange verändern, bis der Virus nicht mehr erkannt wird. Gleichzeitig jedoch bekommen in dem Moment des Hochladens durch die Programmierer die Antivirenhersteller den Upload/Virus in die Hand und entwickeln eine Erkennung. Dieses dauert typischerweise zwischen 6 und 72 Stunden. Daher sollten 24 Stunden nach Empfang einer verdächtigen E-Mail der erste Virenhersteller auf Virustotal anschlagen, wenn wirklich ein Virus enthalten ist. Zeigen 24 Stunden nach Empfang der Mail alle 57 Scanner auf Virustotal.com auf grün, würde ich der Datei vertrauen.

      So wird’s gemacht: Video-Tipp von Arnulf Koch: https://youtu.be/X6aGd4yjTFA

       

    4. Besser von E-Mail auch andere Kommunikationswege umsteigen, bei der man eher vertrauen kann, dass die Gegenseite authentisch ist:

      1. Facebook-Chat https://www.facebook.com/messages/

      2. Messenger-Dienste wie Whatsapp https://web.whatsapp.com/ oder Telegram https://telegram.org/

      3. Business-Chats wie Microsoft Teams https://products.office.com/de-de/microsoft-teams/free oder Slack https://slack.com/intl/de-de/

      4. Verschlüsselte Messenger wie Threema https://threema.ch/de oder Signal https://signal.org/

    5. E-Mail-Signatur und E-Mail-Verschlüsselung nutzen (macht nur leider kein Mensch, weil es so kompliziert ist): S-MIME https://t3n.de/news/mails-verschlusseln-eigentlich-482381/ oder PGP https://www.heise.de/ct/artikel/Einfach-erklaert-E-Mail-Verschluesselung-mit-PGP-4006652.html

  7. Zwei-Faktor-Authentifizierung (2FA) nutzen (macht es leider auch kompliziert)

    1. Bei Facebook einstellen: https://www.facebook.com/settings?tab=security

    2. Bei Google einstellen: https://myaccount.google.com/security (“Bestätigung in zwei Schritten”)

    3. Achtung: Verlieren Sie Ihren zweiten Faktor (das Handy oder die Telefonnummer bei einem Vertragswechsel), können Sie sich selbst unwiederbringlich von Ihrem Account aussperren und diesen Account verlieren.

    4. Ruft man Mails bei 2FA ab (oder nutzt andere Anwendungen, bei denen 2FA notwendig ist), muss man ein sog. “App-Kennwort” erstellen: https://support.google.com/accounts/answer/185833?hl=de
      Das gibt es in so ähnlicher Form auch bei anderen Diensten wie Apple etc., Suchbegriff ist “Anwendungsspezifisches Passwort“.

  8. Einen separaten E-Mail-Account zur Account-Wiederherstellung nutzen.

    1. Sonst können mit dem gehackten E-Mail-Account bei allen Online-Diensten die Kennwörter geändert werden und sich so überall Zugriff verschafft werden.

      So wird’s gemacht: Video-Tipp von Arnulf Koch: https://youtu.be/NAMLIscisjQ 

       

  9. Datensparsamkeit: Was muss gar nicht erst anfallen, was kann nachträglich gelöscht werden?

    1. Immer wieder die Festplatte, den Posteingang, die Social-Media-Profile durchschauen, ob da höchstprivate Bilder, Chatverläufe etc. sind, die man vielleicht besser löschen sollte.

  10. Backups erstellen und den Zugriff auf die Backups und den Speicher auf dem das Backup läuft nur mit anderen Benutzerdaten ermöglichen (damit mit gestohlenen Benutzerdaten oder gehackten Benutzeraccounts nicht auf die Backups zugegriffen werden kann um sie auszulesen, zu löschen, zu manipulieren oder zu verschlüsseln)

  11. Berechtigungen für Apps auf Smartphones und Tablets überprüfen (wenn ich einer App den Zugriff auf mein Adressbuch erlaube, muss ich gar nicht erst gehackt werden, oft steht sogar in deren AGBs, dass sie die Daten weiterverkaufen dürfen, oder es ist ein Wertgegenstand, falls das Unternehmen insolvent werden sollte, dass der Insolvenzverwalter dann meistbietend verkauft)

    1. Zugriff auf Kontakte bzw. Adressbuch verbieten

    2. Zugriff auf Kamera und Mikrofon verbieten

    3. Adressbuch niemals zu Social Media hochladen (Facebook, Twitter, LinkedIn, Xing, etc.)

  12. Statt Word-, Excel- und Powerpoint-Dateien zu verschicken, lieber Onlinedienste wie Google Docs, Google Tabellen und Google Präsentationen benutzen https://drive.google.com/ | https://docs.google.com/ 

  13. Öffentliche Stellen einschalten: Wenn der Verdacht auf eine “echte” Straftat vorliegt, also gezielt die eigenen persönlichen Daten veröffentlicht oder gezielt das eigene Unternehmen erpresst oder betrogen werden soll, sollten die Strafverfolgungsbehörden hinzugezogen werden. Diese ganzen Behörden arbeiten sehr vertraulich, und im Zweifel lieber einen Erpressungsversuch zu viel melden, als die Hilfe nicht in Anspruch nehmen. Folgend die Daten für Bayern, Polizei-Recht ist Ländersache, also immer die Daten des eigenen Bundeslandes googeln:

    1. Zentrale Ansprechstelle Cybercrime (ZAC) – hier sind die Telefonnummern der jeweiligen Bundesländer: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Meldestelle/ZAC/polizeikontakt.html

    2. BKA Cybercrime: https://www.bka.de/DE/IhreSicherheit/RichtigesVerhalten/StraftatenImInternet/Wirtschaftsunternehmen/wirtschaftsunternehmen_node.html

    3. Cyber-Allianz-Zentrum Bayern (CAZ) – wenn Unternehmen angegriffen werden und der Angriff aus dem Ausland kommen könnte: http://www.verfassungsschutz.bayern.de/spionageabwehr/cyber_allianz_zentrum/index.html

    4. Polizei Bayern – für “normale” Internet-Straftaten: https://www.polizei.bayern.de/kriminalitaet/internet/

    5. Wenn eine eigene Datenpanne im Unternehmen für den Datenabfluss verantwortlich ist, ist man gesetzlich verpflichtet, dies dem Landesamt für Datenschutzaufsicht zu melden: https://www.lda.bayern.de/de/datenpanne.html 

Wenn Sie sich unsicher sind, lassen Sie sich beraten. Das bietet jeder seriöser IT-Dienstleister (siehe https://www.iteam.de/standortsuche/). Oder wir: Unser Team aus IT-Experten kann Ihnen in jedem Aspekt der IT-Sicherheit Konzepte erarbeiten und umsetzen: https://www.kk-software.de/site/mitarbeiter 

Ältere Formen des Social Engineering via E-Mail

Der Vollständigkeit halber erwähne ich ältere Formen des personalisierten Social Engineering, die zwar keine personalisierte Erpressung sind, aber jedem bekannt sein sollten und in älteren Beiträgen thematisiert wurden:

  • Man bekommt persönliche Anreden in Mails mit der Bitte, den Anhang zu öffnen
    • Ursache: Das Adressbuch des Absenders (oder Dritten) wurde ausgelesen
    • Empfehlung: Anrufen, ob die Mail wirklich versendet wurde und die Kommunikation in Zukunft auf einen Chat/Messenger verlagern
  • Man bekommt mit Malware verseuchte Bewerbungen auf tatsächlich existente Stellenausschreibungen
    • Ursache: Hier werden die Stellenportale von Arbeitsagentur, Indeed, Stepstone etc. ausgelesen und an die hinterlegten Stellen eine personalisierte Bewerbung an genau den in der Stellenanzeige hinterlegten Namen mit der exakten Stellenbezeichnung geschickt. Das ist von einer echten Bewerbung nicht zu unterscheiden, und wenn man den PDF-Lebenslauf im Anhang öffnet, hat man sich den Virus/Trojaner installiert und der Schädling nimmt seine Arbeit auf (spioniert den User aus, verbreitet sich weiter, verschickt SPAM, verschlüsselt die Festplatte, etc.)
    • Empfehlung: Ein Online-Bewerbungsformular nutzen statt E-Mails.

 

Fazit

 

Es zieht sich durch die gesamte IT-Sicherheit, dass E-Mails einfach enorm unsicher sind und durch modernere Kommunikationsformen ersetzt werden sollten. Und noch eines: die Vorfälle zeigen, dass es heute für jeden – beruflich wie privatessentiell ist, sich mit IT-Sicherheit auseinanderzusetzen.

 

Update 17.01.2019

 

OK, das könnte die gestiegenen Angriffe der letzten Wochen erklären: Seit ein paar Wochen geistert ein neues Datenpaket mit Benutzernamen und Kennwörtern in ganz neuen Dimensionen durch Hackerforen und heute wurde es von “Have I Been Pwned” bekannt gegeben:

2,1 Milliarden Kombinationen aus E-Mail-Adressen und Passwörtern.

Davon 1,1 Mrd. eindeutige Kombinationen aus E-Mail-Adresse und Passwort.

Davon 773 Millionen eindeutige E-Mail-Adressen.

https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/

Geht man davon aus, dass ca. 4 Mrd. Menschen im Internet online sind, ist jeder fünfte Internetuser auf der Erde alleine von diesem einen Hack betroffen.

 

Wenn Sie Ihr Kennwort geändert haben, können Sie unter

https://haveibeenpwned.com/Passwords

checken, ob Ihr altes Passwort kompromittiert wurde. Sie können da auch mal beliebige Passwörter testen, ob die jemand anderes schon mal benutzt hat (dann aber bitte dieses Kennwort selbst nicht mehr benutzen).

Z.B. qwertz wurde von 49374 kompromittierten Account benutzt.

Auch wenn der Dienst technisch beschreibt, wie er verhindert, dass jemand die eingegebenen Kennwörter lesen kann (auch nicht der Dienst selbst, da er sie im Client hasht und dann nur einen Teil des Hashes überträgt), würde ich die aktiven Kennwörter da nicht unbedingt eingeben.

Ein Beitrag von: Arnulf Koch

Arnulf Koch ist Gründer und Vorstand der K&K Software AG. Seit über 24 Jahren leitet er ein engagiertes Team von inzwischen 30 Expert:innen, die auf die Digitalisierung von Geschäftsprozessen in mittelständischen Unternehmen, der Industrie sowie in öffentlichen Einrichtungen spezialisiert sind. Als Verfechter von Open Source Lösungen setzt seine Firma auf ERPNext, ein revolutionäres, lizenzkostenfreies ERP-System. Darüber hinaus bietet die K&K Software AG maßgeschneiderte Softwareentwicklungen in C#/.NET und spezialisierte IT-Security-Lösungen. Arnulf engagiert sich in zahlreichen Ehrenämtern, darunter als Mitglied der IHK Vollversammlung und im Stadtrat von Gerolzhofen. Seine Expertise und Leidenschaft für IT teilt er regelmäßig auf sozialen Medien unter @ArnulfKoch

Mehr zum Thema...

Beitrag teilen