Die fiesen Tricks der Internet-Erpresser

Ob sie damit drohen, angeblichen Sexvideo-Konsum publik zu machen, oder ihre Opfer mit dem Coronavirus anzustecken: Internet-Erpresser erfinden immer neue Maschen, um an Geld zu kommen. Andreas Eugster, Leiter Fachstelle Cyber, bei der Zuger Polizei und Dozent für Cyber Investigation an der Hochschule Luzern, zeigt Mittel, um sich gegen sie zu schützen.

«Wir haben deine Adresse und werden deine Familie mit dem Coronavirus infizieren», las Stefan Fischer in der E-Mail, in welcher ein Unbekannter von ihm Geld verlangte: 0,1 Bitcoin, umgerechnet rund 900 Schweizer Franken. Der Absender schrieb in mässigem Deutsch, jedoch an Fischers private Mail-Adresse und mit persönlicher Anrede. Keine Frage, der Erpresser kannte persönliche Details zu seinem Opfer – aber auch seine Wohnadresse?

«Leider kein Einzelfall», erklärt Andreas Eugster, Leiter Fachstelle Cyber bei der Zuger Polizei und Dozent für Cyber Investigation an der Hochschule Luzern. «Fälle von Internet-Erpressung haben während der Corona-Pandemie merklich zugenommen. Gerade in Krisensituationen reagieren viele Menschen besonders empfindlich auf mutmassliche Bedrohungen und zahlen rasch Lösegeld». Eugster untersucht seit 2016 die Machenschaften von Internetkriminellen. Die Betrüger würden in zunehmend professionalisierten Tätergruppierungen operieren und ihre Methoden fortlaufend verfeinern, sagt er.

«Leider gibt es immer wieder Personen, die das Lösegeld bezahlen».

Angriffe seien meist gut vorbereitet, etwa mithilfe einer Social-Media-Recherche. «Internetnutzer sind sich oft nicht bewusst, wie viele persönliche Daten über sie im Internet zu finden sind und welche Angriffsfläche sie Kriminellen damit bieten», warnt er.

Die Sex-Masche

Das gilt auch für verwandte Formen der Cyber-Erpressung. Hoch im Kurs sind Betrugsversuche, bei denen das Opfer per E-Mail kontaktiert wird, wobei der Absender vorgibt, den Computer des Anwenders mit einer Schadsoftware infiziert zu haben. Diese soll ihn beim Konsum von Erotikvideos gefilmt haben. Seine Verschwiegenheit lässt sich der Erpresser mit oft hohen Beträgen einer Kryptowährung vergüten. Bei ausbleibender Zahlung würden die pikanten Aufzeichnungen allen Kontakten des angeblich ebenfalls kompromittierten Facebook-Kontos des Opfers geschickt.

Sextortion: Zahlreiche Schweizerinnen und Schweizer betroffen – Behörden lancieren https://t.co/bz8Mgw8Pcp https://t.co/2K0vAbVcCb pic.twitter.com/bPGCufbSJN
— GovCERT.ch (@GovCERT_CH) February 7, 2019

Wie bei der Corona-Masche sind die Drohungen in den meisten Fällen aus der Luft gegriffen, Fachleute sprechen von «Fake Sextortion» (gefälschte Sex-Erpressung). Demzufolge empfiehlt die Polizei, die Forderungen der Erpresser zu ignorieren. «Leider gibt es immer wieder Personen, die das Lösegeld bezahlen», so Eugster. Dadurch würden sie weitere Angriffe finanzieren und den Kriminellen zusätzliche Angriffsfläche bieten: «Ist man einmal erpressbar, ist man immer erpressbar – und wird sehr wahrscheinlich wieder erpresst werden». Tatsächliche Videoangriffe kann man im Übrigen sehr einfach verhindern (siehe Kasten «So schützen Sie sich vor Internet-Erpressung»).

Reuiger Auftragskiller

Doch den Internetganoven gehen die Ideen noch lange nicht aus: Als wäre die Veröffentlichung privater Videoaufnahmen für gutgläubige Internetnutzerinnen und -nutzer nicht schon unangenehm genug, gehen manche Angreifer noch weiter und geben sich etwa als Profikiller aus, der angeblich von einer Person im Bekanntenkreis des Opfers mit dessen Ermordung beauftragt wurde. Nur Gewissensbisse hätten ihn bisher von der Tat abgehalten, weshalb er seinem Opfer quasi in einem Akt der Nächstenliebe anbietet, sich gegen eine namhafte Summe freizukaufen.

«Erpressungsversuche sollten immer zur Anzeige gebracht werden.»

Dagegen mutet das eingangs erwähnte Virus-Drohschreiben fast harmlos an. «Erpressungsversuche jeglicher Form sollten immer zur Anzeige gebracht werden», fordert Andreas Eugster. Zwar seien Ermittlungen im internationalen Umfeld sehr aufwändig und oft mässig erfolgreich. Mit einer Strafanzeige trage man jedoch entscheidend zu einem Spurenbild bei, welches dadurch verdichtet werde. «Je mehr Hinweise wir erhalten, desto wahrscheinlicher ist ein Ermittlungserfolg.»

Der Ernstfall

Dass es sich bei weitem nicht bei allen Erpressungsversuchen um eine harmlose Drohgebärde handelt, zeigt der Fall des Schweizer Fensterbauer Swisswindows. Im Mai 2019 wurde das KMU Opfer eines Cyberangriffs mit fatalen Folgen: Ein ins Firmennetzwerk eingeschleuster Verschlüsselungstrojaner chiffrierte sämtliche Daten und machte sie damit unbrauchbar. Ein dreister Erpressungsversuch, denn für die Freigabe der Kunden- und Auftragsdaten verlangten die Cyber-Kriminellen eine hohe Lösegeld-Summe. Das Unternehmen erlitt einen Produktionsausfall von mehr als einem Monat und ging in der Folge Konkurs.

«Reputation ist bei Firmen ein empfindliches Thema»

Die Masche hat System: Seit 2016 warnt das Nationale Zentrum für Cybersicherheit NCSC (vormals MELANI) regelmässig vor der Gefahr von sogenannter (Crypto-)Ransomware, einer Schadsoftware, mit der Hacker meist gezielt Unternehmensnetzwerke infiltrieren und grosse Datenmengen verschlüsseln, um ihre Opfer anschliessend zur Zahlung hoher Lösegelder zu bewegen. Oft genug mit Erfolg, denn die gesperrten Firmendaten sind meist existenzieller Natur, Sicherheitskopien fehlen häufig oder werden beim Angriff ebenfalls zerstört.

Laut der Security-Firma InfoGuard betrug die höchste in der Schweiz beobachtete Forderung im Jahr 2019 sechs Millionen Dollar. Ob sie bezahlt wurde, ist unbekannt – geschädigte Unternehmen geben sich meist verschwiegen. «Reputation ist bei Firmen ein empfindliches Thema», sagt Cyber-Polizist und Dozent Andreas Eugster. Die Dunkelziffer sei vermutlich sehr hoch.

Umstritten ist die Bezahlung von Lösegeld auch hier, denn garantiert ist nur der finanzielle Verlust, nicht aber der Wiedererhalt der gesperrten Daten. Die Zahlungsbereitschaft erhöht sich allerdings deutlich, wenn durch die verlorenen Daten ein ernsthafter Nachteil entsteht, gar der Konkurs droht. Die Täter sind dabei gut über ein Unternehmen informiert, besorgen sich etwa einen Handelsregisterauszug oder holen eine Offerte bei der Firma ein.

Neue «Geschäftsmodelle»

Im laufenden Jahr zeichnet sich eine stark wachsende Anzahl an Erpressungsversuchen ab, wenngleich verbindliche Zahlen noch fehlen. Viele Firmen scheinen allerdings entweder nicht gewillt oder in der Lage, den teils horrenden Forderungen der Kriminellen nachzukommen. Mit verbesserten Sicherheitskonzepten sagen Unternehmen den Erpressern den Kampf an – man hat dazugelernt. Bei diesem Wettrüsten haben die Hacker jedoch stets die Nase vorn, finden immer neue Angriffswege und Erpressungsmaschen.

Einige kriminelle Gruppierungen sind dazu übergegangen, KMUs mit der Veröffentlichung heikler gestohlener Firmendaten zu erpressen. Dazu haben sie eine Schadsoftware entwickelt, welche sich via E-Mail im Unternehmensnetz verbreitet, dort automatisiert nach Firmengeheimnissen und Zugangsdaten sucht und diese den Hackern zuschickt. Ganz nebenbei werden die Daten natürlich auch gleich verschlüsselt. Auf diese Weise wird der Druck auf die erpressten Firmen massgeblich erhöht.

Sicherheitsforscher beobachten darüber hinaus, dass die Ransomware-Macher seit dem Corona-Lockdown verstärkt nach neuen Wegen suchen, um aus gelungenen Angriffen Profit zu schlagen. Denn Unternehmen, denen es wirtschaftlich schlecht geht, sind mitunter gar nicht in der Lage, das geforderte Lösegeld zu zahlen. Das Abgreifen von Daten beschert den Gangs jedoch etwa die Möglichkeit, Firmenkunden direkt zu kontaktieren – so kürzlich geschehen bei einem Ransomware-Angriff auf die Technischen Werke Ludwigshafen. Schlagen alle Erpressungsversuche fehl, bleibt der Verkauf der Daten in Untergrundforen an den Höchstbietenden. Die volkswirtschaftlichen Folgen solcher Angriffe sind bisher kaum absehbar.

«Prävention ist bis auf Weiteres der wirksamste Schutz gegen Internet-Erpressung.»

Hinzu kommen immer mehr Angriffe auf Einrichtungen der Energie- und der Gesundheitsversorgung. In Deutschland wurden in den letzten zwei Jahren mehrere Spitäler durch Ransomware-Attacken lahmgelegt. Die auch heute oft noch unzureichend abgesicherte IT-Infrastruktur vieler öffentlicher Einrichtungen und KMUs spielt den Erpressern dabei in die Hand. Dies gilt erst recht für Privatpersonen, welche zwar seltener gezielt und im grossen Stil angegriffen werden. Aufgrund ihres oft nach wie vor schwach ausgeprägten Sicherheitsbewusstseins sind sie im Vergleich zu Firmen jedoch häufig eine leichte Beute für die Erpresser.

Besserung ist vorerst nicht in Sicht. Zwar haben einige Hackergruppen anfangs der Corona-Krise angekündigt, ihre Angriffe auf Gesundheitseinrichtungen während der Pandemie auszusetzen. Doch an die selbst diktierte Waffenruhe haben sie sich nicht lange gehalten – zu lukrativ ist das Geschäft mit der Angst und den wertvollen Daten. Für Cyber-Ermittler Andreas Eugster ist klar: «Prävention ist bis auf Weiteres der wirksamste Schutz gegen Internet-Erpressung.»

So schützen Sie sich vor Internet-Erpressung

Bieten Sie Kriminellen eine kleine Angriffsfläche, indem Sie möglichst wenig persönliche Informationen über sich preisgeben, insbesondere auf sozialen Netzwerken.
Nehmen Sie keine Freundschaftsanfragen und Einladungen in sozialen Netzwerken an, wenn Sie die Person nicht zweifelsfrei identifizieren können oder im realen Leben bereits getroffen haben.
Seien Sie bei unerwarteten Anfragen nach persönlichen oder Firmendaten misstrauisch. Auch E-Mails von vermeintlich bekannten Absendern und Anrufe von bekannten Telefonnummern können gefälscht sein.
Öffnen Sie grundsätzlich keine unerwarteten E-Mail-Anhänge.
Seien sie sich bewusst, dass Sie während eines Videochats gefilmt werden können und verzichten Sie auf Handlungen, für die Sie sich im Nachhinein schämen könnten. Gegen unbeabsichtigte Aufnahmen mit der Webcam Ihres Geräts schützt eine Kameraabdeckung oder ein undurchsichtiger Klebestreifen.
Sichern Sie alle wichtigen Daten auf einer externen Festplatte oder in der Cloud. So beugen Sie den Folgen eines Ransomware-Angriffes vor.
Halten Sie Betriebssystem und Programme bzw. Apps auf dem aktuellen Stand und verwendeten Sie auf allen Geräten einen Virenschutz, um sich vor Malware zu schützen.
Gehen Sie nicht auf die Forderung der Erpresser oder Betrüger ein. Zahlen Sie nicht, sondern melden Sie Erpressungsversuche Ihrer Polizeidienststelle.
Seien Sie mit gesundem Menschenverstand im Internet unterwegs. Glauben Sie nicht alles, was via E-Mail, Chat oder sozialen Netzwerken erzählt wird. Hinterfragen Sie besonders verlockende Angebote. Prüfen Sie die Plausibilität allfälliger Drohungen und lassen Sie sich nicht unter Druck setzen. Holen Sie sich im Zweifelsfalle Unterstützung bei einer Vertrauensperson oder bei unabhängigen Fachpersonen.
Weitere praxisnahe Tipps und Anleitungen für einen sicheren Umgang mit dem Internet bietet die unabhängige Plattform «eBanking – aber sicher!» der Hochschule Luzern unter ebas.ch

Ermittelt in den dunklen Seiten des Internets: Andreas Eugster ist Dozent für Cyber Investigation an der Hochschule Luzern und Leiter Fachstelle Cyber bei der Zuger Polizei.

Bilden Sie sich weiter: Die HochschuleLuzern bietet zahlreiche Weiterbildungen im Bereich Information & Cyber Security | Privacy an.

Holen Sie sich einen Bachelor in Information & Cyber Security: Mit dem Studium Information & Cyber Security erwerben Sie das notwendige Fachwissen, um Unternehmen und Verwaltungen vor Hacker-Angriffen zu schützen und mit einer sicheren IT-Infrastruktur auszustatten.

Über den Informatik-Blog: Hier erhalten Sie Tipps und Neuigkeiten aus der Welt der IT. Wir porträtieren Menschen und schreiben über Technologien, welche die Hochschule Luzern – Informatik mitprägen. Abonnieren Sie jetzt unseren Blog und bleiben Sie informiert.