Cyber-Erpressung per E-Mail – Vorsicht vor Fakes!
Cyber-Erpressung per E-Mail – Vorsicht vor Fakes!
Der Einsatz von E-Mail mit erpresserischem Inhalt nimmt weiter zu. Auch das BKA geht in seinem aktuellen Lagebild für Cybercrime davon aus, dass der Einsatz von Ransomware und DDos-Angriffen verbunden mit erpresserischen Forderungen die Strafverfolgungsbehörden in Zukunft weiter erheblich beschäftigen wird.[1]
Diese Form der Cyberkriminalität macht auch vor unseren Kunden nicht Halt. Doch nicht immer verbirgt sich hinter einer Lösegeldforderung ein tatsächlicher Angriff. Von einem aktuellen Fall, der sich jedoch als Trojanisches Pferd entpuppte, möchten wir heute gerne berichten.
In diesem Fall informierte unser Kunde die Leitstelle des CSOC über eine als bedrohlich empfundene E-Mail. In dieser E-Mail informierten angebliche Cyberkriminelle darüber, dass sämtliche Daten in der Infrastruktur verschlüsselt wurden und diese erst nach Begleichung einer Lösegeldsumme in Form von Bitcoins wieder freigegeben werden würden.
Nach einer umfassenden Analyse der gesamten IT-Infrastruktur stellten unsere Experten fest, dass es sich bei dieser E-Mail um eine Fake-Lösegeldforderung handelte. Es hatte kein Zugriff auf die Systeme des Kunden stattgefunden. Die Header-Analyse der EML-Datei (EML ist ein Akronym für E-Mail) ergab, dass der Mailjet Java Wrapper zum Versand der E-Mail eingesetzt wurde. Mailjet ist eine E-Mail-Marketing-Plattform, die zum Newsletterversand verwendet wird. Die Marketing-Plattform war als Plugin in einem gehackten WordPress-Blog installiert. Die Untersuchung der IP des Absenders wies keine Auffälligkeiten auf, da ein legitimer Mailserver gehackt und für den Versand der E-Mail missbraucht wurde.
Unsere Handlungsempfehlungen:
Liegt eine wie oben beschriebene Mail vor, gilt grundsätzlich: Ruhe bewahren und prüfen, ob tatsächlich ein Zugriff von außen stattgefunden hat, bevor auf eine Lösegeldforderung eingegangen wird. Cyberkriminelle verfügen im Darknet über Datenbanken mit diversen E-Mail-Adressen. E-Mails mit Angriffsversuchen werden teilweise wahllos an diese E-Mail-Adressen versendet.
– Gehen Sie nicht auf Lösegeldforderungen ein und antworten Sie nicht auf erpresserische E-Mails. Damit würden Sie dem Absender bestätigen, dass Ihre E-Mail-Adresse tatsächlich existiert.
– Öffnen Sie keine Dateien oder Links, die an verdächtige E-Mails angehängt sind, da diese möglicherweise Malware enthalten.
– Verschieben Sie verdächtige E-Mails in Ihren Junk- oder Spam-Ordner oder löschen Sie diese dauerhaft.
– Ändern Sie Ihre Zugangsdaten regelmäßig und verwenden Sie unterschiedliche sowie komplexere Passwörter für verschiedene Konten und Anwendungen.
[1] Vgl. Bundeslagebild Cybercrime 2020, S. 38