DPD-Erpressung

 

Was sagt Ihnen dieses Bild? Leider haben nicht alle Menschen so gute Orthographiekenntnisse, dass denen das schlechte Deutsch und die zahlreichen Stilblüten auffallen, denn letztendlich enthält diese Nachricht die Ankündigung, dass dem Empfänger ein Strafverfahren droht, welches mit einer Haftstrafe von 15 Jahren enden kann. Dass es den Straftatbestand "Vertrauensbruch" nicht gibt, weiß nicht jeder. Kein Wunder, wenn es Menschen gibt, die dabei gewaltig erschrecken.

Die Vorgeschichte zu diesem Fall beginnt recht harmlos: Der Mann, der diese Nachricht bekommen hatte, wollte eigentlich nur auf Facebook Marketplace etwas kaufen. Da war ein kaum gebrauchtes iPhone, zwar nicht mehr die neuste Generation, aber doch sehr billig zum Preis von 160,00 EUR angeboten. "Normalerweise kostet das viel mehr", dachte sich der gute Mann und nahm mit dem Verkäufer Kontakt auf. "Ich habe inzwischen von meiner Firma ein neues iPhone bekommen und brauche daher das alte nicht mehr", erfuhr er, als eine schriftliche Unterhaltung mit dem Verkäufer begonnen hatte. Schnell wurden sie sich handelseinig und das iPhone wurde für 160,00 EUR verkauft.

Wie ich schon oft erwähnt habe, geht man beim Kauf im Internet immer das Risiko ein, dass man in Vorkasse gehen und darauf hoffen muss, dass einem die Ware auch zugesandt wird. Doch dieses Mal schien es der Fall zu sein, dass der Verkäufer dafür sogar Verständnis hatte und unserem Käufer angeboten hatte: "Ich versende das iPhone über den Deutschen Paketdienst (DPD) und Du bezahlst dann, wenn das Paket Dir geliefert wird." - "Besser geht es nicht", dachte sich der Käufer und war sofort damit einverstanden. So dauerte es nicht lange, bis ihm der Verkäufer mitgeteilt hatte, dass er das iPhone als Paket zum Verschicken abgegeben habe. Er habe es sogar als versicherten Versand in Auftrag gegeben, sodass nichts passieren könne. Selbstverständlich war der Käufer damit einverstanden.

Es dauerte wiederum nicht lange, da bekam er eine Nachricht. Auf dem Bild, das am Anfang der Nachricht sich befand und einen Paketboten mit dem Logo des DPD zeigte, konnte man erkennen, von wem die Nachricht kommen würde, nämlich augenscheinlich vom DPD, wie es der Verkäufer ja angekündigt hatte.

 

Sie ahnen es vielleicht schon und ich erwähne es an dieser Stelle auch gleich, um keine Klage vom DPD zu bekommen, dass die Nachricht natürlich nicht von dort kam, sondern den Anschein erweckt hatte.

Auch diese Nachricht enthält zahlreiche sprachliche Stilblüten und fordert vom Käufer, dass er zusätzlich 100 EUR für eine Versicherung zahlen soll. Da dies nicht vereinbart war und das Schnäppchen damit 100 EUR teurer geworden war, verweigerte unser Mann natürlich die Zahlung. Was nun einige Zeit später folgte, das können Sie sicherlich erahnen: Der gute Mann erhielt die eingangs erwähnte Drohung, dass er als vermeintlicher Internet-Verbrecher nun von der Polizei verfolgt werden und ihm 15 Jahr Haft drohen würden.

Ich habe lange überlegt, ob die diesen Fall im Blog schildern soll, weil ich zunächst dachte, dass auf solch einen plumpen Erpressungsversuch doch kein Mensch hereinfallen würde. Leider gibt es aber doch noch welche, bei denen diese Vorgehensweise Wirkung zeigt, da immerhin mit Polizei, Gericht und Gefängnis gedroht wird. Daher dürfen Sie diese Geschichte gerne weiter verbreiten und vielleicht warnen Sie damit einen Menschen, der diese Sache ernst genommen hätte. Und falls Ihnen solche Dinge einmal selbst passieren sollten, dürfen Sie mich gerne kontaktieren.

Warnung vor betrügerischem MS-Support

 Stellen Sie sich folgendes Szenario vor, welches Ihnen hoffentlich niemals passieren sollte: Sie surfen im Internet und plötzlich öffnen sich mehrere Fenster, die sich auch nicht mehr schließen lassen. Und schließlich zeigt der Bildschirm Ihres Computers dieses Bild:

 

Aufgrund von mehreren Anzeigen, wo mir die Geschädigten jeweils einen fast identischen Sachverhalt geschildert haben, kann ich davon ausgehen, dass es bei solch einem Sachverhalt zwar zutreffend ist, dass der Computer von Schadsoftware befallen ist, aber ansonsten sind diese Meldungen das Werk von raffinierten Betrügern.

Woher diese ekelhafte Schadsoftware kommt bzw. wie man sich diese einfangen kann, ist ungewiss. Da unter den Geschädigten, mit denen ich Kontakt hatte, auch eine ältere, alleinstehende Dame gewesen war, die nicht in Verdacht steht, auf schmuddeligen Sex-Sites gesurft zu haben, möchte ich gleich zu Beginn dem allgemein bekannten Vorurteil begegnen, dass so etwas nur Männern mit einem bestimmten Surfverhalten passieren kann.

Wie auf dem Bild zu erkennen ist, haben sich nacheinander mehrere Fenster geöffnet. Ob dabei tatsächlich eine Meldung von Windows Defender gewesen ist, kann ich nicht ausschließen. Mit großer Wahrscheinlichkeit kann ich aber sagen, dass der Text, den sie hier lesen können, von Internet-Gaunern stammt:

„Windows wurde aufgrund fragwürdiger Aktivität blockiert. Sie müssen uns sofort kontaktieren, damit unsere Ingenieure können führen Sie telefonisch durch den Entfernungsprozess. BITTE rufen Sie uns innerhalb der nächsten 5 Minuten an, um um eine vollständige Fehlfunktion Ihres Computers zu vermeiden.“ (Fehler übernommen)

Rufen Sie auf keinen Fall die Support-Nummer 0502-1991-9875 an, denn Sie erhalten dort keinen Kontakt zu einem vertrauenswürdigen Mitarbeiter von Microsoft, sondern zu einem Menschen, der nur ihr „Bestes“ will, nämlich Ihr Geld. Meistens ist es ein Mann, der Ihnen dann Anweisungen gibt, was Sie tun sollen und der dann mit einer Fernwartungssoftware Zugriff auf Ihren Computer bekommt. Sobald dies geschehen ist, kann alles Mögliche passieren.

Die harmloseste Variante ist die, dass der vermeintliche Helfer den Schaden (welchen er ja selbst zu verantworten hatte) behebt und sie dann auffordert, dafür zu bezahlen. In einem Fall wurde eine PDF-Rechnung in Höhe von 280,00 EUR übermittelt, welche auf ein Konto in Litauen (IBAN beginnt mit LT) hätte überwiesen werden sollen. In einem anderen Fall wurde der Geschädigte aufgefordert, mehrere iTunes-Karten (Gutschein-Karten mit einem bestimmten Wert) zu kaufen und danach die Codes telefonisch zu übermitteln.

Die Täterschaft, die Zugriff auf den Computer hatte, konnte aber auch in der Zwischenzeit gewisse Daten oder sogar den kompletten Zugang zum Computer verschlüsseln oder sperren. Zahlt das Opfer nämlich nicht, dann steht der Täterschaft ein weiteres Druckmittel zur Verfügung, indem man wichtige Dateien (zum Beispiel die Urlaubsbilder, etc.) in Geiselhaft nimmt. Was also tun?

Was die Support-Nummer betrifft, so konnte ich diese in keinem einzigen Fall real nachverfolgen. Im Internet wird vor ähnlichen Nummern gewarnt und gemutmaßt, dass die Verbindung zu diesen Telefonnummern nur zustande kommt, weil die Schadsoftware Zugriff auf den Router genommen habe. Ob das stimmt, kann ich nicht sagen, sondern lediglich feststellen, dass bei Anruf solcher angeblicher Support-Nummern sich Mitglieder der Täterschaft melden.

Ein Tipp wäre: Trennen Sie Ihren Computer vom Internet und schalten Sie ihn aus. In zwei mir bekannten Fällen hat dies geholfen, weil man den Computer danach im abgesicherten Modus starten und die Schadsoftware entfernen konnte. Das hängt davon ab, wie „gut“ (aus Tätersicht) die Schadsoftware gewesen ist. Bevor Sie jedoch den Computer „platt machen“, also das Betriebssystem neu installieren, sollten Sie vielleicht zuerst einen Fachmann Ihres Vertrauens zu Rate ziehen, ob dieser den Fehler nicht anderweitig beheben kann. Dass dies geht, weiß ich sicher aus einem der mir bekannten Fälle.

Damit Sie vor dem Worst Case, also dem schlimmsten Fall, der eintreten könnte, gesichert sind, sollten Sie zwei Dinge beachten:
 

1.) Achten Sie darauf, dass Ihr Computer gegen Schadsoftware geschützt ist und dass diese Schutzsoftware immer auf dem aktuellsten Stand ist.

2.) Speichern Sie wichtige Dateien, seien es Korrespondenz oder selbst gemachte Aufnahmen wie die Bilder vom letzten Urlaub zum Beispiel, auf einem externen Medium wie zum Beispiel einer USB-Festplatte. Ganz wichtige Dateien wie gerade die Urlaubsbilder oder die vom jungen Kind oder Enkel, also Dateien, die man als Erinnerung unbedingt behalten möchte, würde ich zudem noch auf eine DVD brennen.

Zum Schluss meiner Ausführungen möchte ich noch folgende logische Schlussfolgerung ziehen: Wenn Ihnen so ein Fall passieren sollte, also dass Sie aufgefordert werden, eine Support-Nummer anzurufen, dann gibt es für Ihren Computer noch Hoffnung.

Anderes wäre es, wenn Ihr Computer von Schadprogrammen befallen wäre, die man in Fachkreisen Ransomware nennt und die im Volksmund als „BKA-Trojaner“ bekannt geworden sind. Hier wird der Zugriff auf das System unterbunden und für die Freigabe wird dann ein Lösegeld (englisch: Ransom) verlangt. Wie dieses zu zahlen sei, erscheint auf dem Bildschirm. Doch selbst, wenn das Opfer gezahlt hat, kümmert sich die Täterschaft (was die breite Masse betrifft) nicht darum, den Schaden wieder zu beheben.

Werden Firmen davon betroffen, sieht es meistens etwas anders aus, da nur bestimmte Nutzerdaten und/oder Dateien verschlüsselt werden und die Täterschaft hohe Summen erpressen will. Dabei wird Kontakt mit den Firmen aufgenommen und zum Beweis dessen, dass man im Besitz der Schlüssel ist, einzelne Schlüssel übersandt, um eine Verhandlungsbasis zu erlangen. Wenn Sie mehr darüber erfahren wollen, dann empfehle ich folgenden 

Link zum Bundesamt für Sicherheit in der Informationstechnik

Was aber diese Variante der Erpressung betrifft, so legt es die Täterschaft darauf an, mittels Fernsoftware in den Computer zu gelangen. Ich ziehe daraus die Schlussfolgerung, dass im Gegensatz zur gefürchteten Ransomware hier doch noch Hintertüren zum Computer offen sind, die die Fachfrau oder der Fachmann finden kann. Das spiegelt auch meine Erfahrungen wieder, aber ein Hellseher bin ich leider keiner.

Erpressung via E-Mail: Lassen Sie sich nicht beunruhigen.

Die Masche ist beileibe nicht neu, aber irgendwie muss sie doch funktionieren, auch wenn das eigentlich unvorstellbar ist. Aber die Tatsache, dass schon lange, aber auch aktuelle immer wieder E-Mails mit solchen Inhalten verschickt werden, wo versucht wird, ahnungslose Opfer schamlos zu erpressen, ist ein Indiz, dass die Masche unter dem Strich gesehen doch erfolgreich sein muss.

Solche E-Mails werden massenhaft verschickt. Wenn an einem Tag oder in einer Woche 100.000 E-Mails verschickt werden, um nur eine Zahl als Beispiel zu nennen und wenn nur eine E-Mail davon erfolgreich ist, dann lohnt sich so etwas schon. Aber im ersten Moment erschrickt man schon, wenn man so eine E-Mail öffnet und die schrecklichen Nachrichten liest: System gehackt, alles Daten und Kontakte gesichert, was mag da wohl passiert sein?

Glücklicherweise werden solche E-Mails, wenn sie nicht sowieso im SPAM-Ordner landen, von den meisten Empfängern gleich wieder gelöscht. Aber trotzdem gibt es Menschen, die dadurch beunruhigt werden und deshalb Anzeige erstatten. Die Anzahl der Anzeigeerstatter ist zwar im Vergleich zu der (geschätzten) Anzahl der Menschen, die solche E-Mails einfach löschen, zwar gering, aber es gibt sie, was ich aus meiner Arbeit heraus sicher weiß.

Da ich auf meinem dienstlichen E-Mail-Account dieser Tage auch so eine E-Mail bekommen habe, möchte ich die Gelegenheit nutzen, dazu ein paar Erklärungen und Kommentare zu verfassen, um diejenigen zu beruhigen, die durch solche schamlosen Erpressungsversuche in ihrem Wohlbefinden doch gestört sind. Die Textpassage aus der Erpresser-Mail sind dabei kursiv (also schräg) und mit grauem Untergrund dargestellt, meine Kommentare in normaler Schrift.

Ich grüße Sie! Hier ist die letzte Warnung! Ihr System ist gehackt. Wir haben kopiert alle Daten aus Ihrem Gerät auf unsere Server.

Dies ist zunächst schon eine Nachricht, die einem beunruhigen kann. Angriffe auf Computer sind allgegenwärtig und sind deshalb nie ganz auszuschließen, aber zum Glück gibt es entsprechende Schutzsoftware (sogenannte Anti-Viren-Programme), die Sie installiert und auf dem neusten Stand gehalten haben sollten. Wenn Sie solch eine E-Mail bekommen, dann wäre dies die Gelegenheit, um zu überprüfen, ob der Schutz noch aktuell und funktionsfähig ist. Falls nicht, dann nehmen Sie diese E-Mail als Warnung und schaffen alsbald Abhilfe.

Außerdem, wir haben aufgenommen ein Video aus Ihrer Kamera wo Sie sehen einen Pornofilm. Mein Virus hat angesteckt ihr Gerät durch die Webseite für Erwachsenen, die Sie vor kurzem besuchten. Wenn Sie wissen nicht wie es funktioniert- hier sind die Einzelheiten. Der Trojaner Virus verleiht mir vollständigen Zugang und Kontrolle über Ihr Gerät. Demzufolge ich kann sehen Ihr gesamtes Bildschirm, einschalten die Kamera und das Mikrofon ohne Sie überhaupt etwas darüber wissen werden.

Als erstes fällt auf, dass der Schreiber die deutsche Sprache nicht oder zumindest nicht als Muttersprache beherrscht, denn es fallen gewisse Grammatik-Fehler auf. Vermutlich wurde der Text durch ein Übersetzungsprogramm übersetzt. Doch das nur am Rande.

Leider bekommen solche E-Mails auch ältere Frauen, die noch den Computer benutzen, dort gar keine Kamera angesteckt haben und die nicht gerade in Verdacht stehen, Porno-Filme zu konsumieren, um dabei zu masturbieren. Wie bereits erwähnt, habe ich diese E-Mail auch auf meinen Computer bekommen, der in meinem Büro bei der Polizei steht, bekommen, wo ich wohl auch nicht Verdacht stehe, dort so etwas zu tun.

Allein schon diese Tatsachen belegen, dass der Absender keine konkreten Informationen hat, sondern dies nur vortäuscht, als blufft.

Inzwischen benutzen aber viele Menschen gar nicht mehr den Computer, sondern Smart- oder iPhones oder Tablets, wo man nie ganz sicher sein kann, was die eingebauten Kameras so alles aufnehmen können. Daher mein Ratschlag, insbesondere an die Menschen meines Geschlechts, die bei einer solchen Ankündigung ein schlechtes Gewissen oder zumindest (kurzfristig) ein ungutes Gefühl bekommen würden, solche Geräte bei zukünftigen Aktivitäten solcher Art, wenn das Bedürfnis dazu einfach da sein sollte, nicht zu benutzen und halt doch auf den altbewährten PC zurück zu greifen. Sicher ist sicher.

Ich habe ergriffen das Video aus Ihrem Bildschirm und der Kamera und bastelte einen Film in einem dessen Teile man sieht Sie masturbierend, und im anderen- den Pornofilm welchen Sie schauten gleichzeitig. Ich sehe die gesamte Liste Ihrer Kontakte aus dem Handy und aller Sozialnetzwerken. Ich kann senden diesen Film allen Kontakten Ihres Handy, der E-Mail und der Sozialnetzwerken mit einzigem Klick. Außerdem, ich kann senden die Daten Ihrer E-Mail und der Messenger an aller Welt. Dies wird vernichten Ihre Reputation für ewig.

Wenn ich mir nicht sicher sein kann, ob es tatsächlich so ein Video geben und der Erpresser damit Recht haben und seine Drohung in die Tat umsetzen könnte, dann heißt es Nerven zu bewahren. Auf keinen Fall bezahlen, denn dann signalisieren Sie dem Erpresser, dass er ins Schwarze getroffen hat. Ein Raubtier, welches einmal Blut geleckt hat, wird dann erst gefährlich, was für einen Erpresser genauso gilt. Die Aussicht, die Erpressung mit einer Einmalzahlung aus der Welt zu schaffen, ist trügerisch. Man wird Sie wieder und wieder zu erpressen versuchen.

Wenn Sie unbedingt was tun wollen, dann lassen Sie Ihren Computer oder ihr mobiles Gerät von einer Fachkraft untersuchen, ob tatsächlich ein Angriff stattgefunden hat oder nicht. Im Übrigen haben Sie dann auch für die Zukunft ein Stück Sicherheit, dass Ihr Gerät geschützt ist.

Wenn Sie wollen solche Ereignisse vermeiden, tun Sie das Folgende- Überweisen Sie 1000 USD  (amerikanische Dollars) auf meine Bitcoin- Geldbörse (wenn Sie wissen nicht wie man das tut,  schreiben Sie in das Suchfeld beim Google: "Bitcoin kaufen"). […] Sobald nach Überweisung der Zahlung Ihr Video wird vernichtet und Sie werden nichts von mir mehr hören. Sie haben 50 Stunden (etwas mehr als 2 Tage) Zeit, um diese Zahlung durchzuführen. Ich bekomme automatische Meldung übers Lesen dieser E-Mail. Der Zeitgeber wird auch starten automatisch nachdem Sie den Brief gelesen haben. Beschwerden Sie nirgendwo weil mein BTC-Wallet kann nicht gefolgt werden. 

Diese E-Mail ist auch nicht rückverfolgbar und wird erstellt automatisch und daher jegliche Antwort wäre sinnlos. Wenn Sie diesen Brief mit jemandem teilen werden, unser System wird schicken die Anfrage an die Server und diese werden  alle Daten sofort in sozialen Netzwerken verladen. Der Austausch von Passworten der sozialen Netzwerke, von E-Mail und am Gerät hilft Sie nicht insofern alle Daten sind bereits herunterladen am Cluster meiner Server.Ich wünsche Ihnen Gluck und machen Sie keinen Blödsinn. Bedenken Sie Ihre Reputation.

Das ist das Ende der E-Mail. Wie Sie lesen können, soll der Empfänger unter Druck gesetzt werden (50 Stunden), um Stress zu erzeugen, da bekanntlich unter Stress gerne falsche Entscheidungen getroffen werden. Dieser Psychoterror beweist doch bloß, dass der Erpresser sonst nichts auf der Hand hat.

Wäre ich ein Erpresser und hätte ich einerseits ein komplimentierendes Video und dazu noch all Ihre Kontakte und Daten, dann würde ich Ihnen eine Kostprobe davon zukommen lassen. Und ich würde eine E-Mail-Adresse nennen, wo Sie Kontakt mit mir aufnehmen könnten. So verfahren üblicherweise die Erpresser, die Erfolg haben wollen. Daher belegt diese Vorgehensweise, dass die Erpressung keine Substanz hat. Also löschen Sie die E-Mail einfach.

Zur Ehrenrettung des Erpressers möchte ich abschließend erwähnen, dass er in einem Punkt nicht gelogen hat: Bitcoin-Adressen sind nur mit großem Aufwand und nur von dafür spezialisierten Polizeidienststellen verfolgbar. Wenn Sie also solch einen Erpressungsversuch anzeigen wollen, dann können Sie dies gerne tun, auch über die Internet-Wachen der Polizeien der Bundesländer, aber mehr, dass Ihr Fall erfasst wird, passiert in der Regel nicht.

Ich hoffe, dass ich Ihnen mit diesem Beitrag dienlich sein konnte. Weitere Beiträge zum Themenkomplex „Cybercrime“ bzw. „Internet-Kriminalität“ finden Sie auch auf meiner Website [https://bjg-media.de/cybercrime/]. Schauen Sie unverbindlich rein, der Besuch ist garantiert kostenfrei.

Vorsicht vor neuem Erpressungstrojaner

Nicht nur das BSI (Bundesamt für Sicherheit in der Informationstechnik), sondern auch zahlreiche einschlägige Medien warnen dieser Tage eindringlich vor dem Erpressungstrojaner GermanWiper. Eigentlich ist die Bezeichnung „Erpressungstrojaner“ falsch, denn die Schadsoftware löscht Daten, bevor sie die Erpressung ankündigt. Daher warnt das BSI davor, im Schadensfall zu bezahlen.

Bei bisher aufgetauchten Erpressungstrojanern ging man davon aus, dass die Daten nur verschlüsselt werden und deshalb wiederhergestellt werden können (nach Zahlung eines Lösegeldes). Dies scheint nicht der Fall zu sein. Doch wie kann man sich davor schützen?

Geschädigt sind häufig Firmen, die E-Mails mit Bewerbungen enthalten. Dem vermeintlichen Bewerbungsschreiben ist ein Archiv (Zip-Datei) angehängt, wo als Dokument Lebenslauf anscheinend eine WORD-Datei oder eine PDF-Datei angehängt ist. Wer sie öffnet, der hat verloren, da nicht die entsprechende Software gestartet wird, sondern eine Verbindung zu einem Server hergestellt wird, wo dann die entsprechende Schadsoftware herunter geladen und installiert wird.

Wie kann man sich davor schützen: Als erstes sei erwähnt, dass die Täterschaft sich den Umstand zunutze macht, dass WINDOWS die Dateiendungen (‚*.pdf’ oder ‚*.docx’) nicht anzeigt, wenn man dies nicht eigens einstellt. Nach den uns vorliegenden Informationen könnte man den Schädling erkennen, da er als Dateiendung ‚*.exe’ hat. So heißt zum Beispiel das Dokument „Lebenslauf Claudia Mustermann.pdf.exe“, aber da die eigentliche Dateiendung (exe) nicht angezeigt wird, hält man es für ein harmloses PDF-Dokument.

Ganz sicher wäre man, wenn man die Anhänge solcher E-Mail auf einen Computer verschiebt, zum Beispiel mit einem USB-Stick, der nicht mit dem Internet verbunden ist. Vor allem Firmen sollten dies beachten, bevor alle Daten gelöscht sind. In diesem Zusammenhang erübrigt es sich, auf die Wichtigkeit von regelmäßigen Datensicherung hinzuweisen.