Vanions Blog

Cloudy Day at the North Sea

Betrügerische Mails

Vor einigen Tagen habe ich über eine Erpressungs-Email getootet, über die ich doch noch ein klein wenig weiter ins Detail gehen möchte.

Alle paar Tage schaue ich in den meist sehr vollen Spam-Ordner, ob sich nicht doch eine wichtige Email dorthin verirrt hat. Dabei finde ich immer wieder mehr oder weniger gut geschriebene Emails mit grob folgendem Inhalt:

  • Ich bin ein Hacker und habe deinen Rechner gehackt. Und das ist noch nicht die schlechte Nachricht.
  • Ich habe Zugriff auf alles, und du wirst dich nicht wehren können. Versuch es gar nicht erst.
  • Ich hab dich mit Deiner Kamera gefilmt, wie Du etwas gemacht hast, dass zwar völlig normal, Gesellschaftlich aber mit einem tabu unterlegt ist.
  • Wenn Du mir nicht in sehr kurzer Zeit viel Geld in Krypto-Währung auf ein anonymes Konto schickst, werde ich versuchen, dich mit dem vorhandenen Kompromat gesellschaftlich zerstören.

Lange Rede, kurzer Sinn: Man wird erpresst. Und das funktioniert. Zumindest hin und wieder. In dem Beispiel von vergangener Woche wollten die “Hacker” gut 1.200 Euro von ihren Opfern. In den letzten vier Tagen habe ich mir die Bitcoin-Wallet aus der Mail immer wieder mal angeschaut und konnte sehen, dass es bisher sieben mal geklappt hat. Auf dem Konto sind jetzt also knapp 0.22 BTC, was etwa 8.200 Euro entspricht. Dass die Rechnung nicht ganz aufgeht, liegt wohl an den starken Kursschwankungen von Kryptowährungen.

Aber warum funktioniert diese Masche?

Sowohl das wirschaftliche als auch das juristische Risiko von solchen Erpressungs-Maschen gehen gegen null. Unerwünschte Werbe-Email (Spam) zu verschicken, kostet nicht sehr viel. Sagen wir mal 500 Euro pro 1.000.000 Emails. Da ist alles drin. Der Lohn die Mail zu schreiben, die Rechner , die Server, der Internetzugang. Komplett. Die meisten solcher Mails landen wohl in Spam-Filtern und werden nie gelesen. Einige dringen vielleicht durch bis zu einem menschlichen Leser vor, werden aber sofort als Spam gelöscht. Und bei einigen wenigen funktioniert’s. In dem Fall vom Freitag lohnt sich das Geschäft schon, wenn nur eine von zwei Millionen Mails zu einer Zahlung führt.

Die scheinbare Gefahr, die von dieser Email ausgeht, ist groß. Der Hacker droht damit, sein Opfer gesellschaftlich zu zerstören - zumindest aber erheblichen Schaden anzurichten. Was passiert, wenn man nicht zahlt, wird meist in allen Farben beschrieben. Und was sind da schon ein paar hundert Euro gegen den Verlust des lebenslang aufgebauten guten Rufs? Manche werden zahlen, weil Geld für sie keine Rolle spielt, andere geben ihr ganzes Ersparte, weil sie ihre Existenz bedroht sehen. Vielleicht tun sich Menschen etwas an, wenn sie diese Mail lesen und keinen Ausweg mehr wissen. Wer weiss das schon?

Die Masche ist widerlich und perfide. Und sie bedroht Existenzen. Die Täter sind wirklich am untersten moralischen Ende menschlicher Existenz.

Lohnt es sich zu zahlen?

Definitiv nein. Dafür einige Argumente:

Es ist ein Betrugsversuch.

Wie beschrieben, handelt es sich bei der Email mit sehr großer Wahrscheinlichkeit um eine dreiste Lüge. Es sind also nicht nur Erpresser, sie betrügen ihre Opfer auch noch, weil sie gar kein kompromittierendes Material haben. Sie werfen einfach ihre Netze aus und schauen was drin hängen bleibt. Und es muss nicht viel hängen bleiben, damit die Sache sich lohnt.

Wer vertraut schon Verbrechern?

Aber selbst wenn stimmen würde, was in der Email steht. Warum sollte man Betrügern vertrauen können? Wer zahlt hat ja sogar dokumentiert, dass die Täter etwas relevantes und Geldwertes gegen ihn in der Hand halten. Warum sollte en die Täter dann nicht später noch mal kommen und Geld wollen? Oder gar die Daten trotzdem veröffentlichen? Verbrecherehre? Wohl eher nicht.

Wer zahlt, finanziert dieses System.

Jeder, der sich auf die Mail einlässt, finanziert dieses System. Solange durch die Masche ein Profit entsteht, machen diese Menschen weiter.

Was kann man tun?

Wie schon gesagt, ist diese Betrugsmasche relativ risikolos. Diejenigen, die die Masche erkennen, löschen den Spam. Die, die wirklich darauf reinfallen, rennen bestimmt nicht zu Polizei. Scham und Erklärungsnot sind viel zu groß. Auch wird die Polizei nicht viel machen können. Die Täter sitzen meist in Ländern, die bei Computerkriminalität entspannt sind, solange es nicht ihre eigene Bevölkerung betrifft. Man könnte versuchen herauszubekommen, wohin das Geld am Ende fliesst (ja, das geht mit Aufwand auch bei Bitcoin), aber kaum eine Staatsanwaltschaft wird darauf Ressourcen werfen. Bleibt also die Selbsthilfe.

Einen Beitrag leistest Du gerade, indem Du diesen Artikel liest. Wenn man weiss, worum es sich bei diesen Betrugsmails handelt, ist die Bedrohung gleich viel geringer. Und je weniger Menschen darauf reinfallen, desto weniger lohnt sich die Masche. Schön wäre auch, wenn Medien darüber berichten würden, die mehr Reichweite haben als ich.

Und noch etwas: Wenn Du nicht gerade “auf Sendung” bist, decke Kameras am Rechner ab. Wenn es geht, zieh sie am besten gleich aus dem Rechner. Selbst wenn man weiss, dass man in einer Videokonferenz ist, fühlt man sich nach kurzer Zeit unbeobachtet. Und dann macht man auch mal Dinge, die einem später peinlich sind. Warum soll man dieses Risiko eingehen?

Edit: 18.01.2021 Kleiner inhaltlicher Fehler. Danke für den Hinweis an @eishle auf chaos.social

Copyright © 2022 Vanion