Erpressermail

Nur mal wieder etwas für’s Archiv. Eine Erpressermail, in der behauptet wird, ein e-Mailkonto sei gehackt und ein Trojaner auf das Endgerät aufgespielt worden. Wenn nicht binnen 48 Stunden 848 USD in Bitcoin gezahlt würden, wird der Erpresser Screenshots von besuchten Pornoseiten zusammen mit Aufnahmen des Zuschauers vor der Kamera des Geräts, aufgenommen während des Betrachtens von Pornofilmen, an die gesammelten Kontakte im Adressbuch schicken. Soweit zumindest seine Behauptung, denn praktisch alle Angaben in der Erpressermail sind (im vorliegen Fall) frei erfunden, naja fast alle 😁:

  • Das Passwort zur Empfängermail kann nicht gehackt worden sein, weil es nicht existiert.
  • Daher kann das Passwort nicht auf unsicheren Webseiten eingegeben worden sein.
  • Die Erpressermail wurde auch nicht über das e-Mailkonto verschickt.
  • Auch die Installation eines Trojaners entstammt dem Reich Fantasien.

Nichts desto trotz ist das Szenario als Solches hinreichend realistisch um bei dem Ein oder Anderen Panik aufkommen zu lassen. Das angegebene Bitcoinkonto ist Google sogar recht bekannt. Der Erpresser verfährt einfach nach der Schrotschussmethode, irgendeiner der angemailten wird sich angesprochen fühlen. Insofern würde mich nur interessieren wieviele jetzt in Panik ihr Passwort ändern und wie hoch dann noch die Quote derjenigen ist, die tatsächlich die geforderten 848 USD oder einen ähnlichen Betrag zahlen. Auf das angegebene Bitcoinkonto 1M2D1PzyyiZBrSh8qcdts5kecQAX3S9xuF wurde zwar am 14.11.2018 um 20:52:02 Uhr ein Eingang in Höhe 0,14001929 BTC (entsprechend 688 € am Transaktionstag) verbucht, der am Folgetag sofort weiterüberwiesen wurde. Insgesamt zwei Buchungen auf dem Konto sind nun nicht gerade ein Erfolg. Andererseits sagt das wiederum nicht wirklich etwas aus, da für jede e-Mail ein anderes Konto verwendet worden sein könnte.

Subject: ▉▉▉▉▉▉▉▉▉▉@▉▉▉▉▉▉▉▉▉▉.▉▉▉ is compromised. Password must be changed

Hello!

I’m a programmer who cracked your email account and device about half year ago.
You entered a password on one of the insecure site you visited, and I catched it.

Of course you can will change your password, or already made it.
But it doesn’t matter, my rat software update it every time.

Please don’t try to contact me or find me, it is impossible, since I sent you an email from your email account.

Through your e-mail, I uploaded malicious code to your Operation System.
I saved all of your contacts with friends, colleagues, relatives and a complete history of visits to the Internet resources.
Also I installed a rat software on your device and long tome spying for you.

You are not my only victim, I usually lock devices and ask for a ransom.
But I was struck by the sites of intimate content that you very often visit.

I am in shock of your reach fantasies! Wow! I’ve never seen anything like this!
I did not even know that SUCH content could be so exciting!

So, when you had fun on intime sites (you know what I mean!)
I made screenshot with using my program from your camera of yours device.
After that, I jointed them to the content of the currently viewed site.

Will be funny when I send these photos to your contacts! And if your relatives see it?
BUT I’m sure you don’t want it. I definitely would not want to …

I will not do this if you pay me a little amount.
I think $848 is a nice price for it!

I accept only Bitcoins.
My BTC wallet: 1M2D1PzyyiZBrSh8qcdts5kecQAX3S9xuF

If you have difficulty with this – Ask Google „how to make a payment on a bitcoin wallet“. It’s easy.
After receiving the above amount, all your data will be immediately removed automatically.
My virus will also will be destroy itself from your operating system.

My Trojan have auto alert, after this email is looked, I will be know it!

You have 2 days (48 hours) for make a payment.
If this does not happen – all your contacts will get crazy shots with your dirty life!
And so that you do not obstruct me, your device will be locked (also after 48 hours)

Do not take this frivolously! This is the last warning!
Various security services or antiviruses won’t help you for sure (I have already collected all your data).

Here are the recommendations of a professional:
Antiviruses do not help against modern malicious code. Just do not enter your passwords on unsafe sites!

I hope you will be prudent.
Bye.

Fazit

Für die Mail gilt das alte Bürokratenbonmot: „Gelesen, gelacht, gelocht“.

Nachtrag 13.04.2019:

Da inzwischen eine richtige Welle von dieser und ähnlich lautenden Erpressermails unterwegs ist, hier eine Liste der darin angegebenen Bitcoin-Konten. Wo also eine der nachfolgend genannten Kontonummern auftaucht ist Betrug im Spiel. Sofern mir in Zukunft weitere Konten zur Kenntnis gelangen sollten, werde ich diese in der Liste nachtragen.

1457Q4wGCPKKDCtTKxrMyNreMkXxAJAQmJ
12bJdy2Ev2zkhSJfgNbp3gTa9AnSkA5Fzz
12CJSd173Ui1PDcV5yWqYjT6j8rWQvCswM
12k1AqQdMFdZMNT2WtNhcUoL9GiVWoNrrb
12NYrvFnsc9tSxMqAwzDqhKNhgRQv1iX2n
13Epn22pqjdTkpyUCHiWTYs1ysqm5PsVrz
13KTxgXvUX9ZpW97MEQKAJDYdqoGUhdNDt
13VSKQRogGbjs7gqYDSuFbyBbP1m6Bf6bZ
14J57x6Zo8D4MtGSG8sUfy7TLRihyto6Qd
15kPP9aPfR2scJci34L1dm4FBps8ZSVNxB
17Joy9GLi5N2R9d6hjThJhiHYb8Eju7T6j
18Vfo2iD5gnhDnttt9B3f7C6EB8MqekT9r
18wRDDcL6zHrTs6fjMFocHwuBhZ6Vf9aqT
19NvSS99KhNXTfEG9bU7usADMVXJCNBbze
19wEejYWCmLanPue4eZPsdUW7WaF64YeuV
19ZxkrvaWsfEQWiaSNH1WeYFbYd1KLiiMQ
33Nu1yL5pL3M2NPJFjFpKYhNXvsRWp7ivA
33zt5Ca7zqCTH3hnU6CzRpiJh8A5ZKjA9Q
34Me9BDLU1xT7aEVAeznNee372kfj1jwr4
35MPPaLLgVqfLrXrBrG6TrzaEmUnsRdFso
38JpMX4suCvN5Jsic7gWKK2rcXSuDtAwGk
38VgVjDNpbE63FU62Di4YXmstYzPDWcndF
39AJhxjJcp3XyfgbeNFwPzyS8NG5Yde95a
1BAS8mb47R6a5utCweTK5WUmccrwnBXxoZ
1BDaStcRvbM3QJei5ZT1FxLRy7M7Jk3j1c
1BrT5sTMD8MaeDGsfqhHpToD6YbdUBd4Mh
1Ccq4TQtvWbirkB5X3dQhDfPPjFBSxdQdL
1CxyhSccvphEdDagUs13ysnGxUurZzUffu
1DRqbDWJ8yoXUxtEUbrMAi7zbu7tWJaQi2
1FgKsWTua6s9HgxTf4KZ6P2FUaLBA33qr2
1FKD6ujjGrh2vY4nPaxyUJTRpAKq7qpDjH
1Fx99RL6cnT1gjsyMSHZR3kJgcgbLLL2td
1GB9Bd26b4i9faKRTCzEGaFhf1XiAZySgR
1GrHrgWajhvun3pybBsuN1g58ycXoEJNNZ
1GtdpkxN7izueE1696LQUSRB72Mh71BeNh
1GzeQYkZzRrxdvCGhjAti2xzcURR3FWgP8
1HANedUDKRzxHYvdk8JtarGAiP7ZuaSTTr
1JXuN9JnaR3Mr5u9rb6epfjvXggZrLishE
1LB1fMXYDBnifw9SNDswfVnNjFDjACgk7n
1M2D1PzyyiZBrSh8qcdts5kecQAX3S9xuF
1MdpZT2CTu8edn8njBE5r5K6Y5qdequ9AA
1MFXuHKSbz6wEj1UA4vdqX1TvBCEoqpApi
1MiEwdsUrDRXe7KLYtW1ZaaquGnR7nuhuN
1MsrmfhwKMkXfRUvsnJw5CkU2pjqqYVvGf
1N27jsKEDaxRfYF6pkGvyANQhPuZzzECBz
1NtD5TqLPejAsKaX94AwJAasFLUsq4C7kb
1NUfeZFkzfdUEeAqHSn2E33QrpVgLQQWZu
1P33MPrj7HVESZoNX5ymCcEkRVxwqvPkCe
1Pb1h1t8pJkjzgzi8oWYTfw61J6WqiZDci
31paz9ELj4qFfgdNVkasUnx91XvdHQrYw5
32AFS36FPtzhxzNFXcEGRaFmp5nFmC8oi1
36ovyYv1YZzK6BnYVeC84KeZVLGTWRV852
3A7szp8z1FrxswwEy4DeRxv5fthsx95mPv
3C7tY7eDauJLUWPMW9ypmLAeeFxpgMxn7n
3D7SZVBqGTPear7nfLGHVtskUru8VjzU5k
3Dag2uV96epYXyPEF2ueiXa5VVRLv9pvuZ
3DYet8rPA5MNLVkes5c95VBo8d9DbuvwER
3F419yPzYQaihaMeLoeJ9tyNp2tmtEGQXn
3MEYNmcxU5LzNcZxFkcd8Q5JKdLbwCc28N
3N2roWoQwZNd4g8SXPb7oSXmecJNhMGW2S
3NKotwf6doEfcR8Jy3eWsWRtV4jPnMT7Wo
3NJwjtE3xye2VdvBMTZxGLh7GpLsQCvEWV
3PA466rdzQmtdthxGQgCzRhikKVqwDUWLm
3QF2RXgAKfWYVdKxnE14MgEMs2HrzSTgKy
bc1qf5w46lk2tx694qcrxcl0jhh3789plq5uaz8unr
bc1qfyhr0km3h90sf0e50qz7f0lfaf6v53g4nvnava
bc1qlf6p82tm02ncwr3rk76sgemh0s0l78z2l60dum
bc1qslrgw5ma4nyhx2qw3p30t9575xtxmxl6hx7y05
bc1qwdew04kg86ayfnjxjd94vkelaxg3wxer59ma40

Stand vom 09.08.2021

Eine gute Anlaufstelle zum Nachschlagen von für unlautere Zwecke verwendeten Bitcoinadressen ist bitcoinabuse.com.

3 Kommentare

  1. Maik sagt:

    Ich habe dennoch eine Frage, auch ich habe diese Mail bekommen.
    Das angebliche Passwort entsprach zwar nicht dem Passwort des Mail Accounts aber einem Useraccount für einen Benutzer auf dem Rechner, dass ich auch nur einzig alleine dafür benutze.
    Und es ist so einmalig, dass es nicht erraten werden konnte.

  2. @Maik
    Ich sehe da jetzt keine Frage, aber vermutlich geht es darum, wie der Erpresser an den Kontonamen gekommen sein soll.

    Das angebliche Passwort entsprach zwar nicht dem Passwort des Mail Accounts aber einem Useraccount für einen Benutzer auf dem Rechner, …

    In der hier beschriebenen e-Mail wird gar kein Passwort genannt, sondern nur ein e-Mailkontonamen. Falsch ausgedrückt oder doch eine andere e-Mail bekommen?

    Sobald man die Adresse einmal irgendwo verwendet hat, besteht die Gefahr, daß sie in Umlauf kommt. Man weiß auch nicht wirklich, wie ein Dienst die Passworte abspeichert, Stand der Technik ist gehasht und gesalzen, damit bei einem Einbruch der Einbrecher nicht sofort alles auf dem Präsentierteller serviert vorfindet, aber wissen tut man es nur selten, denn lange Zeit wurden Logins und Passwörter im Klartext beim Anbieter gespeichert.

    als erste Maßnahme einfach mal die kompletten Header der e-Mail durchsehen (was bei An/To und Von/From steht ist irrelevant), denen wäre zu entnehmen, ob sie tatsächlich über ihr Konto an Sie geschickt wurde, wie in der Erpressermail behauptet.

  3. […] kommen Phishingmails, diverse Erpressungsmails (hier & hier) und sonstiger gefährlicher Spam an alle öffentlich bekannten e-Mailadressen. Die […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert