Sextortion Mails sorgen immer noch für Verunsicherung

Immer noch melden sich Personen bei Zerberos, welche verdächtige Mails erhalten. Diese Mails scheinen vom Mailkonto der Empfängerin oder des Empfängers aus versendet zu werden und enthalten die Nachricht, dass der User über die Webcam gefilmt wurde und dass das Passwort zum Mailkonto dem Angreifer ebenfalls bekannt sei.

Empfänger des Mails werden aufgefordert, einen bestimmten Betrag in Bitcoins an den Erpresser zu senden um die Publikation des Videos zu stoppen.

Solche Mails können und sollten ignoriert werden:

  • Mails können mit einem beliebigen Absender verschickt werden, dies heisst nicht, dass ein Mailkonto gehackt wurde
  • Die angegebenen Passwörter stammen aus älteren Hacks welche seit einiger Zeit im Internet verfügbar sind
  • Die Aussage betreffend heimliche aufgenommener Videos ist nicht zutreffend

Falls das angegebene Passwort noch in irgend einem Konto verwendet wird, sollte es so bald wie möglich an allen betroffenen Stellen geändert werden.

Weitere Informationen gibt es auch bei MELANI oder auf der Website stop-sextortion.ch


Beispiel Fake Erpresser Mail:

Hallo, mein Opfer
Ich schreibe Ihnen, weil Ich Mаlwаre auf die Prno-Website gesetzt habe,
die Sie besucht haben.
Mein Virus hat all Ihre persönlichen Daten gesammelt, und hat Ihre Kаmerа
während Ihrer Masturbtion eingeschaltet. Ich muss zugeben, Sie sind sehr
pervrs…..
Zudem hat die Software Ihre Kontakte kopiert.
Ich werde das Videо löschen, wenn Sie mir 1.000 EUR in Bitсoin zahlen.
Dies ist Adresse für die Zahlung:
3LkfSvjZA8V6Js5Yy4kKeC85EvVSBkHJyy
Wenn Sie die Zahlung nicht innerhalb von 48 Stunden abschicken, werde ich
dieses Video an alle Ihre Freunde und Bekannten schicken.
Ich weiß, wo Sie wohnen.
Ich gebe Ihnen 48 Stunden für die Zahlung.
Es ist nicht notwendig, mir zu sagen, dass Sie mir das Geld geschickt haben.
Diese Adresse ist mit Ihnen verknüpft, mein System wird alle Daten nach der
Übertragung automatisch löschen.
Senden Sie sofort 1.000 EUR an diese Adresse:
3LkfSvjZA8V6Js5Yy4kKeC85EvVSBkHJyy
1 BTC = 3.142 EUR, also senden Sie 0.327081 BTC an die oben genannte
Adresse.
Wenn Sie nicht wissen, wie man Bitcoin sendet, googeln Sie es.
Sie können die Polizei einschalten, aber niemand wird Ihnen helfen können.
Wenn Sie versuchen, mich zu verarschen, werde ich das bemerken!
Ich lebe nicht in deinem Land. Also wird man mich auch nach 9 Monaten nicht
finden können.
Bis bald. Denken Sie an die Schande und dass Sie ruiniert werden können.

LETZTE WARNUNG info@xyz.ch !
Ich gebe Ihnen die letzten 72 Stunden, um die Zahlung zu tätigen, bevor ich
allen Ihren Freunden ein Video mit Ihrer Masturbtion schicke.
Als Sie das letzte Mal eine prnografische Website mit Jugendlchen besucht
haben, haben Sie von mir entwickelte Software heruntergeladen und
installiert.
Mein Programm hat Ihre Kamera eingeschaltet und den Vorgang Ihrer
Masturbtion aufgezeichnet. Meine Software hat auch alle Ihre
E-Mail-Kontaktlisten und eine Liste Ihrer Freunde auf Facebook
heruntergeladen.
Ich habe sowohl die lqbskist.mpg mit Ihrer Masturbtion als auch eine Datei
mit all Ihren Kontakten auf meiner Festplatte.
Du bist sehr pervrs!
Wenn Sie möchten, dass ich beide Dateien lösche und das Geheimnis bewahre,
müssen Sie mir eine Bitcoin-Zahlung senden. Ich gebe dir die letzten 72
Stunden.
Wenn Sie nicht wissen, wie Bitcoins gesendet werden sollen, besuchen Sie
Google.
Senden Sie sofort 1000 EUR an diese Bitcoin-Adresse:
32rRpBTh4MUt8PRH6MN98fvSZSYCFWeH6C
1 BTC = 3033 EUR, senden Sie also exakt 0.337815 BTC an die obige Adresse.
Versuche nicht mich zu betrügen! Sobald Sie diese E-Mail öffnen, werde ich
wissen, dass Sie sie geöffnet haben.
Diese Bitcoin-Adresse ist nur mit Ihnen verknüpft, daher weiß ich, ob Sie
den richtigen Betrag gesendet haben.
Wenn Sie die Zahlung nicht senden, schicke ich Ihr Masturbationsvideo an
alle Ihre Freunde aus Ihrer Kontaktliste, die ich gehackt habe.
Hier nochmal die Zahlungsdetails:
Senden Sie 0.337815 BTC an diese Bitcoin-Adresse:
32rRpBTh4MUt8PRH6MN98fvSZSYCFWeH6C
Sie können die Polizei besuchen, aber niemand wird Ihnen helfen.
Ich wohne nicht in deinem Land. Ich habe diese Nachricht in Ihre Sprache
übersetzt, damit Sie verstehen können.
Betrüge mich nicht Vergiss die Scham nicht und wenn du diese Nachricht
ignorierst, wird dein Leben ruiniert.
Ich warte auf Ihre Bitcoin-Zahlung.
Cathie
Anonymous Hacker

MELANI: Wer das gleiche Passwort mehrfach nutzt, hilft den Angreifern

Der am 8. November 2018 veröffentlichte 27. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) befasst sich mit den wichtigsten Cyber-Vorfällen der ersten Jahreshälfte 2018 im In- und Ausland. Das Schwerpunktthema ist den Lücken in Hardware gewidmet. Im Fokus stehen zudem unter anderem der gezielte Malware-Angriff, für den der Name des Labors Spiez missbraucht worden ist sowie verschiedene Datenabflüsse und die Problematik bei der Mehrfachnutzung eines Passwortes.

Lücken in Hardware-Komponenten stellen eine besondere Bedrohungsart dar. Diese Lücken lassen sich nicht mit einem einfachen Update beheben, wie dies bei Software-Lücken möglich ist. Ausserdem würde ein kompletter Austausch von Hardware-Komponenten die Hersteller vor grosse logistische Probleme stellen. Das Schwerpunktthema dieses Halbjahresberichts befasst sich mit den besonderen Herausforderungen bei Hardware-Lücken.

Das Problem von mehrfach im Internet verwendeten Passwörtern
Nach wie vor verwenden viele Benutzerinnen und Benutzer das gleiche Passwort für mehrere Online-Dienste wie beispielsweise Webmail, E-Banking, Onlineshops. Dies ist eine willkommene Vereinfachung für Kriminelle und ermöglicht ihnen, die gesammelten Login-Daten aus den diversen Datenabflüssen bei verschiedensten Internetdienstleistern systematisch einzusetzen. In einem Fall versuchten sich Angreifer mit knapp einer Million solch gestohlener und aus verschiedenen Quellen zusammengestellten Login-Kombinationen in die Benutzerkonten eines Online-Portals einzuloggen.

Missbrauch des Labors Spiez für Spionagekampagne
Im Sommer 2018 wurde der Name des Labors Spiez für die Planung eines Spionageangriffs gegen Dritte missbraucht. Dabei verwendeten die Angreifer ein im Internet publiziertes Dokument, mit dem das Labor Spiez zu einer internationalen Konferenz eingeladen hatte. Dieses wurde kopiert, mit einer Schadsoftware versehen und an die Opfer gesendet. Das Labor Spiez selbst wurde dabei nicht angegriffen.

Die Verwendung von Daten bei Angriffen

Immer häufiger kommt es zu ungewollten Datenabflüssen. Davor bleibt auch die Schweiz nicht verschont. Cyber-Kriminelle sind bezüglich Verwendung solcher Daten sehr vielfältig und innovativ. Eine unmittelbare Vorgehensweise, um aus Datenabflüssen Geld zu machen, ist die direkte Erpressung der Firma, bei der die Daten abgeflossen sind. Mit entwendeten Daten lassen sich ausserdem personalisierte E-Mails generieren, welche die Erfolgsrate bei Phishing-Mails im Vergleich zu Massen-Mails erheblich erhöhen. Es ist deshalb zu erwarten, dass Kriminelle künftig vermehrt diese Vorgehensweise wählen werden.

Der 27. Halbjahresbericht MELANI ist publiziert unter:

BSI: IT-Sicherheit lässt weiterhin zu wünschen übrig

Bundesinnenminister Horst Seehofer und BSI-Präsident Arne Schönbohm haben in Berlin den Lagebericht zur IT-Sicherheit 2018 vorgestellt. Obwohl im Berichtszeitraum 2017/2018 größere Angriffswellen mit Ransomware ausgeblieben sind, hat es so viele kritische Angriffe gegeben, dass die Bedrohungslage vom Bundesamt für Sicherheit in der Informationstechnik (BSI) unverändert kritisch eingeschätzt wird.

Mehr bei Heise Security

iCloud für Windows: Mehr Sicherheitslücken

Ein knappes Dutzend sicherheitsrelevanter Probleme steckten in dem PC-Client für den Apple-Dienst.

Wer den Apple-Speicher- und Abgleichdienst iCloud auf seinem PC verwendet, sollte einen Blick in dessen Softwareaktualisierung werfen: Der Hersteller hat in dieser Woche ein wichtiges Update publiziert. iCloud für Windows 7.7 kommt zwar nicht mit neuen Funktionen, stopft aber eine große Anzahl an potenziell gefährlichen Sicherheitslücken.

Mehr unter Heise

Kritische Sicherheitslücke gefährdet Milliarden WhatsApp-Nutzer

Eine Sicherheitslücke in WhatsApp ermöglicht es, ein Smartphone mit einem einzigen Video-Call zu kapern. Potentiell betroffen sind Milliarden WhatsApp-Nutzer.

Mit einem einzigen Videoanruf könnte ein Angreifer eine Sicherheitslücke ausnutzen, die im Code des Messengers WhatsApp schlummerte. Googles Project Zero, ein Team von Elite-Hackern hat diesen Fehler entdeckt und jetzt veröffentlicht – eine Woche nachdem WhatsApp eine fehlerbereinigte iOS-Version bereit gestellt hatte. Das fällige Android-Update gibt es bereits seit 28. September.

Mehr unter Heise

Uber verschweigt Datendiebstahl bei 57Mio Nutzern

Uber hat den Hack über ein Jahr lang verschwiegen.

Die Angreifer haben Uber Code bei Github durchsucht und dort Zugangsdaten gefunden welche Ihnen letztlich den Zugriff auf die Kundendaten ermöglichte.

Uber hat den Angreifern $100’000 bezahlt um die Daten zurückzuhalten.

Gemäss Gesetz hätte Uber sowohl die zuständigen Behörden wie auch die betroffenen Kunden informieren müssen.

Experten sind sich einig, dass die Vertuschung des Hacks schwerer wiegt als der erfolgreiche Angriff als solches – die Behörden wurden inzwischen aktiv und haben eine Untersuchung begonnen.

US Cert warnt vor ASLR Schwachstelle in Windows

Durch die Schwachstelle in ASLR (Adress Space Layout Randomization) alloziert non-Dynamicbase Applikationen an vorhersehbare Positionen und macht somit die Vorteile von ASLR zunichte.

Microsoft klärt die Situation zur Zeit ab.

Details bei CERT

Gestohlene iPhones kosten doppelt so viel wie neue iPhones

Für gestohlene iPhones werden in Osteuropa Preise von $2100 bezahlt – die Käufer wollen aber nicht einfach ein iPhone kaufen sondern diese Mobiltelefone dienen als Basis für einen ausgeklügelten Scam.

Die Kriminellen warten darauf, dass die Opfer die “Finde mein iPhone” Funktion aktivieren und senden den Opfern dann ein Phishing mail mit einem vorgegaukelten iCloud Login.

Wenn die Opfer dann die Zugangsdaten zu iCloud eingeben und die Kriminellen diese erhalten haben entsperren sie das entsprechende Mobiltelefon und können es auf dem Schwarzmarkt verkaufen.

Die Diebe verwenden dazu Tools wie MagicApp, AppleKit oder das FMI.php Framework um das Unlocking zu automatisieren.

Als Gegenmassnahme sollte die 2 Faktor Authentifizierung bei iCloud aktiviert werden, zudem sollten regelmässig Backups von den Geräten erstellt werden und bei allen Mail Nachrichten welche eine User Aktion verlangen sollte zuerst immer an die Möglichkeit eines Phishing Angriffs gedacht werden.

 

Chrome vertraut Symanec Zertifikaten nicht mehr

Ab April 2018 wird Chrome von Symentec vor dem 1. Juni 2016 ausgestellten Zertifikaten nicht mehr vertrauen. Bereits vorgängig wurden von Symentec herausgegebene Extended Validation Zertifikate heruntergestuft.

Symantec Zertifikate werden unter anderem auch mit Thawte, Verisign, Equifax, Geotrust und RapidSSL gebrandet.

Das Vertrauen in die Zertifikatsinfrastruktur wurde durch verschiedene Vorfälle gestört, unter anderem wurden Richtlinien nicht eingehalten und anderen Firmen ohne ausreichende Prüfung die Herausgabe von Zertifikaten anvertraut.

Details sind im Google Security Blog zu finden.

Android Botnetz WireX ausgeschaltet

Ein Android Botnetz mit mehreren 100’000 Geräten in mehr als 100 Ländern wurde ausgeschaltet. Google hat die involvierten Trojaner-Apps aus dem Store entfernt und auch von den betroffenen Geräten zwangs-deinstalliert.

Das Botnetz griff immer mehr Ziele hauptsächlich im Hotel und Gatronomiebereich an und geriet deshalb in den Fokus von verschiedenen Sicherheitsexperten.

Über 300 Apps aus dem Google Play Store enthielten die Botnet Funktion – erfüllten aber vordergründig die Hauptfunktion für welche die User die App installierten. Im Hintergrund verbanden sich die Apps aber mit den Command and Control Servern der Hacker. Obwohl die Apps inzwischen nicht mehr verfügbar und deinstalliert sind – die Command and Control Server der Angreifer konnten bisher noch nicht alle stillgelegt werden.

Bild Emperor-Monkey CC BY 3.0