SENDETERMIN Mi, 26.06.19 | 22:00 Uhr | Das Erste

Mailkonto gehackt und erpresst – alles nur Fake?

PlayHacker können den  Absender einer Mail leicht fälschen.
Mailkonto gehackt und erpresst – alles nur Fake? | Video verfügbar bis 26.06.2020 | Bild: BR

  • Erpresser-Mails tragen als Absender oft die eigene E-Mail-Adresse, der Angriff wirkt absolut glaubhaft. Doch in der Regel entpuppt sich alles als ein mieser Trick.
  • Plusminus demonstriert, wie leicht man den Absender einer Mail fälschen kann und zeigt, wie viele darauf hereinfallen und zahlen.
  • In wenigen Tagen nehmen die Erpresser tausende Euros ein, die Ermittlungsbehörden sind weitgehend machtlos.

Wenn Daten von Politikern gehackt werden geht ein Aufschrei durch die Republik, alles wird in Bewegung gesetzt, um die Verantwortlichen dingfest zu machen. Doch werden Privatleute im Cyberspace angegriffen, sind sie in der Regel auf sich selbst gestellt. Einer unserer Plusminus- Autoren bekam eine Erpressermail "Konto gehackt", an sich nichts neues, aber die Methoden werden immer ausgefeilter und perfider.

Gehackt und erpresst

Erpresermail zu einem angeblich gehackten E-Mail-Konto
Erpresermail zu einem angeblich gehackten E-Mail-Konto | Bild: BR

Ich als erfahrener Plusminus-Autor bin vorsichtig, lösche immer alle verdächtigen Mails. Doch diesmal scheint es mich erwischt zu haben. Ich habe eine Nachricht bekommen, von meinem eigenen Account an mich abgesendet mit folgendem Textbeginn: "Hallo, wie Sie vielleicht bemerkt haben, habe ich Ihnen eine E-Mail von Ihrem Konto aus gesendet. Dies bedeutet, dass ich vollen Zugriff auf Ihr Konto habe."

Der Verfasser droht, alle Emails und Kontakte in den sozialen Medien zu posten, sowie ein angeblich kompromittierendes Video von mir zu veröffentlichen, wenn ich nicht binnen 48 Stunden 382 Euro in der Cyberwährung Bitcoin überweise.

Wie kann ich reagieren?

Ich ändere sofort mein Passwort und hole Nicolas Bschor, einen 19-jährigen Freund, der Informatik studiert. Bin ich wirklich gehackt worden? "Nein ich glaube nicht, das ist eine gängige Betrugsmasche, die da versucht wird", sagt Nicolas Bschor. "Die Möglichkeit besteht zwar immer, dass du gehackt worden bist, aber das glaube ich in dem Fall nicht."

Eine Mail vom eigenen Absender – kinderleicht

Plusminus demonstriert, wie leicht man den Absender einer Mail fälschen kann.
Plusminus demonstriert, wie leicht man den Absender einer Mail fälschen kann. | Bild: BR

Aber wie kann der Erpresser eine Nachricht unter meinem Namen senden ohne Zugriff auf mein Mailkonto? Nicolas zeigt mir, wie leicht man den Absender fälschen kann. Die Anleitung dazu und den Code gibt es frei zugänglich im Internet. Copy-paste, meine Emailadresse eingeben und in weniger als eineinhalb Minuten ist alles eingerichtet und die Mail verschickt. Für Erpresser ist es eine Sache von Sekunden, tausende Opfer anzumailen.

Wer steckt dahinter?

Wir versuchen herauszufinden, wer hinter der Erpressermail steckt, checken dazu den Quellcode, also die Programmierung der Mail, da versteckt sich der wahre Absender, in diesem Fall "nile-online". Doch wer ist "nile-online"?

Absender einer Erpressermail
Absender einer Erpressermail | Bild: BR

Wir suchen in einer Registrierungs-Datenbank für Internetadressen, finden einen ägyptischen Telekommunikationsanbieter in Kairo. "Der Erpresser wird über den Anbieter die E-Mail verschickt haben", sagt Nicolas Bschor. "Ich glaube nicht, dass wir da jetzt mehr rausfinden, weil der wird uns die Daten von dem nicht geben, der Anbieter."

Können die Behörden helfen?

Ich erstatte Anzeige bei der bayerischen Zentralstelle für Cybercrime in Bamberg, doch die Ermittlungen der Staatsanwaltschaft werden eingestellt. Warum das? Ich fahre nach Bamberg verabrede mich mit Oberstaatsanwalt Thomas Goger. Der gesteht mir, dass er außerhalb der EU schnell an die Grenzen des internationalen Rechtshilfeverkehrs stößt, aber dennoch ermittelt.

Oberstaatsanwalt Thomas Goger
Oberstaatsanwalt Thomas Goger | Bild: BR

"Diese Einzelanzeigen werten wir im ersten Angriff nur darauf aus, ob sich spezifisch neue Ermittlungsansätze ergeben, neue Bitcoinwallets, neue Gestaltungen dieser Emails", sagt Thomas Goger, Oberstaatsanwalt bei der Zentralstelle Cybercrime in Bamberg. "Wenn dem nicht so ist, werden diese Einzelanzeigen von uns zunächst eingestellt, allerdings wieder aufgenommen, wenn in den großen, in den Strukturverfahren am Ende tatsächlich ein Tatverdächtiger erfolgreich ermittelt worden ist."

In Bamberg bei der Zentralstelle Cybercrime arbeiten die sogenannten IT-Forensiker. Das klingt ein wenig nach Tatort und Leiche. Letztendlich aber recherchieren sie in den Untiefen des world wide web und durchfilzen Festplatten. In Sachen Erpressermails liefen und laufen seit vergangenem Sommer gut 3000 Verfahren, einen ersten Täter konnte die Staatsanwaltschaft nun überführen.

"Es handelt sich um einen 17-jährigen Deutschen, der natürlich wegen seines Alters nach Jugendstrafrecht abgeurteilt werden wird", sagt Thomas Goger. "Normalerweise, bei Erwachsenen, geht es hier um versuchte Erpressung oder Erpressung, ein entsprechend schweres Delikt, dafür sieht das Gesetz Geldstrafe oder Freiheitsstrafe bis zu fünf Jahren vor."

Fallen die Opfer rein und zahlen?

Zieht die Masche überhaupt, zahlen die Opfer die geforderten Bitcoins? Und können wir die Inhaber der Bitcoinkonten ausfindig machen? Jeder kann im Internet ein Konto eröffnen, ein sogenanntes Wallet, und darauf getauschte Bitcoins einzahlen. Der Inhaber bleibt völlig anonym. Alle Kontobewegungen aber sind öffentlich einsehbar. Danach suchen wir.

Nicolas Bschor
Nicolas Bschor | Bild: BR

In frei zugänglichen Internetdatenbanken geben wir die Walletnummer meines Erpressers ein und finden alle Transaktionen. "Wie man hier ganz gut sieht wurde recht häufig ein ähnlicher Betrag überwiesen, also gerundet 0,1 Bitcoin", sagt Informatikstudent Nicolas Bschor. "Das entspricht ungefähr diesen 380 Euro, die der Erpresser gefordert hat, und daran kann man sehen, dass es wirklich funktioniert." Der Erpresser hat seine Beute gleich abgebucht. Innerhalb weniger Tage hatte er umgerechnet gut 21.000 Euro eingenommen.

Der Plusminus-Tipp

Anzeige erstatten, auf keinen Fall bezahlen, denn in der Regel ist der Hackerangriff ein Fake und die Absenderadresse einer Mail in Sekunden gefälscht.

"Uns ist kein einziger Fall der knapp über 300 Anzeigen in Bayern bekannt geworden, wo tatsächlich ein Account gehackt worden ist", sagt Oberstaatsanwalt Thomas Goger. "Die Bürger und Bürgerinnen können Anzeige erstatten bei jeder Polizeidienststelle, wir bitten auch ausdrücklich darum, weil nicht gesagt ist, dass in der Anzeige letztendlich der entscheidende Schlüssel verborgen ist, der dazu führt, dass ein Täter ermittelt werden kann. Ich weiß, dass es sehr mühselig ist, wegen solcher Spammails, nichts anderes ist es ja letztlich, zur Polizei zu gehen, man täte uns aber einen großen Gefallen und mit soviel material wie möglich zu versorgen, um dieses Kriminalitätsphänomen austrocknen zu können."

Mailadresse überprüfen

Das Hasso-Plattner-Institut bietet eine Möglichkeit, Mailadressen überprüfen zu lassen, ob Accounts gehackt wurden oder Passwörter dazu im Internet frei verfügbar gehandelt werden.

Einfach hier beim Identity Leak Checker eingeben, die Ergebnisse werden zugemailt.

Bericht: Reinhard Weber

Stand: 26.06.2019 23:03 Uhr

5 Bewertungen
Kommentare
Bewerten

Kommentare

Kommentar hinzufügen

Bitte beachten: Kommentare erscheinen nicht sofort, sondern werden innerhalb von 24 Stunden durch die Redaktion freigeschaltet. Es dürfen keine externen Links, Adressen oder Telefonnummern veröffentlicht werden. Bitte vermeiden Sie aus Datenschutzgründen, Ihre E-Mail-Adresse anzugeben. Fragen zu den Inhalten der Sendung, zur Mediathek oder Wiederholungsterminen richten Sie bitte direkt an die Zuschauerredaktion unter info@daserste.de. Vielen Dank!

*
*

* Pflichtfeld (bitte geben Sie aus Datenschutzgründen hier nicht Ihre Mailadresse oder Ähnliches ein)

Kommentar abschicken

Ihr Kommentar konnte aus technischen Gründen leider nicht entgegengenommen werden

Kommentar erfolgreich abgegeben. Dieser wird so bald wie möglich geprüft und danach veröffentlicht. Es gelten die Nutzungsbedingungen von DasErste.de.