Schockierende Sexbilder

Die letzten Wochen brachten uns eine neue SPAM und Phishing Welle. Diesmal geht es nicht darum, Zubehör für die bessere Auslastung der Libido an den Mann zu bringen, sondern es soll Angst verbreitet werden. Wer Angst hat, denkt nicht genau nach und zahlt vielleicht unüberlegt ein paar Bitcoins an Erpresser, die nichts in der Hand haben.

Haben Sie schon mal eine Internetseite mit schockierenden Sexbildern besucht und dann den Browserverlauf gelöscht? Ja? Nein?

Egal, unser Erpresser behauptet, dass er kompromittierendes Material gegen Sie besitzt und liefert als Beweis die Mail, die mit Ihrer Mailadresse als Absender an Sie selbst geschickt wurde.

Und, haben sie jetzt Angst? Ist Ihr Mailaccount gehackt? Was ist zu tun?

Dies ist der älteste Trick der Weilt, um Sie ins Bockshorn zu jagen, ein grosser Bluff. Technisch gesehen funktioniert er trotz SPAM-Filter. [1] Das macht ihn so unangenehm.

Mail-Absender sind leicht zu fälschen, denn es genügt, in seinem Mailprogramm eine E-Mail-Adresse als Absender einzutragen und dafür zu sorgen, dass der SMTP-Server des Empfängers die Mail annimmt. Das sieht dann beunruhigend aus, ist jedoch meist nur ein dummer Streich. Gegen die lästigen gefälschten Absenderadressen gehen alle Mailserver-Betreiber vor, mit unterschiedlichem Erfolg.

Ob eine Mail wirklich vom eigenen gehackten Account stammt, findet man heraus, indem man sich den Quellcode der Mail ansieht. Wenn sie keinen Hinweis auf Übetragung über das Internet enthält, also kein externer Server seinen Stempel hinterlassen hat, lohnt es sich, sie genauer anzusehen. Ein Beweis dafür, dass der "Hacker" wirklich Zugriff auf den Mailaccount hatte, ist das nicht, kann aber zusammen mit einer Analyse der Server-Logs Aufschluss über den Charakter des Angriffs geben.

Was kann ein Passwortdieb im schlimmsten Fall mit seiner Beute anfagen, welchen Schaden kann er oder sie anrichten? Wir kennen alle die Probleme des Identitätsdiebstahls und hier liegt in den meisten Fällen das Hauptrisiko. Passwort ändern genügt meistens, um das zu beenden oder zumindest nicht zum unfreiwilligen Mittäter von Betrügereien zu werden. Wenn viel auf dem Spiel steht, lohnt sich eine tiefer gehende Analyse.

Wenn es Massen von Opfern betrifft, stellt sich die Frage anders, denn der Gewinn stellt sich für Berufskriminelle quasi automatisch ein, indem sie programmgesteuerte Erpressungen und andere automatisierte Geschäftsideen implementieren. Das macht den betroffenen Serveradmins, ihren Geschäftsführern und Support-Mitarbeitern viel Arbeit und verursacht hohe Kosten.

Für den einzelnen Angegriffenen genügt es, sicherzustellen, dass kein weitere Schaden angerichtet wurde, also kein Zugriff auf Dateien, auf den eigenen Rechnern und Accounts erfolgte. Dann sollte ein Mailhoster gewählt wird, der aktuelle Authentifizierungsverfahren einsetzt. Auch der bietet keinen hundertprozentigen Schutz, und nimmt einem nicht das Mitdenken ab, beim Zeit und Ärger sparen hilft er.

Der Mail-Anbieter sollte immer gewechselt werden, wenn man feststellt, dass der aktuelle keine passende Schutzstrategie hat, nicht zügig genug auf Anfragen reagiert oder einfach nicht mehr zu den eigenen Bedürfnissen passt.

Der beste Schutz ist das Ergebnis regelmäßiger Dokumentation, genauer Betrachtung der Backups und Prüfung der eigenen Verfahren zur Datensicherheit. Wer das regelmäßig fachkundig erledigt, darf den aktuellen Erpresser-Angriff in Ruhe als gute Gelegenheit sehen, ḱlar Schiff zu machen, um auch den nächsten Sturm ohne Schaden zu überstehen.

Dabei helfen wir gern.

#DKIM #DNSSEC

Artikel-Logo: Quelle: https://www.flickr.com/photos/glynlowe/15131411240/ , by Glyn Lowe PhotoWorks on Flickr, https://www.flickr.com/photos/glynlowe/ , Beschreibung: BERLIN, GERMANY - SEPTEMBER 05 2014: Cameron Diaz and Jason Segel arrive for the German premiere of the film ’Sex Tape’ at CineStar in Berlin, Germany. Lizenz: CC-BY https://creativecommons.org/licenses/by/2.0/

[1Eine Plausibilitätsprüfung der Absenderdomain nach DKIM wirkt gut gegen diese Art Angriff. Sie hat jedoch Nebenwirkungen, weil sie auch Mails ausfiltert, die von legitimen Absendern stammen, deren Mailserver nicht den Anforderungen von DKIM entspricht. Deshalb ist diese Art Schutz nicht immer geeignet, besonders wenn man seinen Server selber verwaltet oder nur ein kleiner MailService-Anbieter ist. Welche Art Schutz und welche Nebeneffekte jeweils in Ordnung sind, sollte im EInzefall geprüft werden.