Betrüger verschicken offenbar wieder mehr E-Mails, in denen sie Empfängern drohen, peinliche Videos zu verbreiten, auf denen diese beim Masturbieren zu sehen sind. Angeblich haben sie die Geräte ihrer Opfer mit einer Spyware infiziert. Was soll man tun, wenn man eine solche Nachricht erhält?

Die Marketing-Agentur Into The Minds hat mithilfe des SEO-Tools Ahrefs von Juni 2022 bis Juni 2023 analysiert, was die Bevölkerung in den 27 EU-Staaten im Internet am meisten interessiert. An erster Stelle stehen mit 363 Millionen Suchanfragen Nachrichten, dicht gefolgt von "Inhalten für Erwachsene" mit 351 Millionen Anfragen. Überraschend ist das nicht, auch Kriminelle wissen das und nutzen die weitverbreitete Porno-Leidenschaft für Erpresser-E-Mails. Das geht schon seit einigen Jahren so, doch aktuell sind die Cybergangster offenbar wieder besonders aktiv.

Grundsätzlich wird in den E-Mails immer die gleiche Geschichte aufgetischt: Hacker hätten den Computer oder andere Geräte mit Malware infiziert, womit sie unter anderem die Kontrolle über die Kamera erhalten hätten. Das hätten sie genutzt, um ihre Opfer beim Masturbieren zu filmen und zu fotografieren. Wenn die Empfänger nicht wollten, dass ihre Familie, Freunde, Bekannte oder Arbeitgeber die Aufnahmen zu sehen bekommen, müssten sie eine bestimmte Summe in Kryptowährung an die Erpresser schicken.

Keine Beweise, aber gut gemacht

Beweise, solch ein belastendes Material zu haben, bleiben die Erpresser schuldig. Das ist etwa bei der "Hast du schon von Pegasus gehört?"-Kampagne der Fall. Bisher verschickten die Cybergangster dafür E-Mails überwiegend auf Englisch, doch jetzt verbreiten sie die Nachricht offenbar auch zunehmend auf Deutsch.

Sie enthält recht wenig Fehler und ist weitgehend korrekt formuliert, aber man erkennt sie speziell an zu wörtlichen Übersetzungen, etwa an "Kontaktbuch" statt "Adressbuch". Offensichtlich nutzen die Erpresser den Google-Übersetzer. Denn wenn man ihn auf den englischen Text anwendet, entspricht das Resultat exakt dem verschickten deutschen Text, der ntv.de vorliegt.

Der Betreff zeigt oft nicht sofort, worum es geht, sondern nutzt harmlose Formulierungen. So sollen Spamfilter umgangen werden. Ebenso häufig scheint die E-Mail vom angeschriebenen Opfer selbst zu stammen, solche Fälschungen werden Spoofing genannt.

Hohe Trefferwahrscheinlichkeit

Das Kalkül der Verbrecher ist, dass die Drohung mit der berüchtigten Pegasus-Spyware zufällig einen Empfänger trifft, der Pornoseiten besucht. Dazu malt der Text eindrücklich aus, was eine Veröffentlichung für das Leben der Betroffenen bedeuten würde. Angesichts dessen, dass Pornografie-Portale etwa so beliebt sind wie Nachrichten-Websites, ist die Wahrscheinlichkeit hoch, dass die Erpresser bei einer großen Anzahl verschickter E-Mails oft genug erfolgreich sind, um viel Geld zu kassieren.

Wie bei anderem Spam haben sie die E-Mail-Adressen gewöhnlich aus dem Darknet, wo man sie in großen Paketen günstig kaufen kann. Sie stammen unter anderem aus Hacks von Online-Portalen oder aus den Adressbüchern von Nutzern, deren Rechner sich Malware eingefangen haben. Das kann beispielsweise passieren, wenn man einen Anhang von Spam-Mails öffnet oder einem Link darin folgt.

Noch beängstigender sind Erpresser-E-Mails, wenn sie im ohnehin schon bedrohlichen Text auch noch tatsächlich vom Opfer genutzte Passwörter, Anschriften, Telefonnummern oder andere persönliche Daten enthalten. Doch wie die Verbraucherzentrale schreibt, stammen diese Informationen gewöhnlich aus den gleichen Quellen wie die E-Mail-Adressen.

Wie soll man reagieren?

Wenn man eine Erpresser-E-Mail erhält, darf man auf keinen Fall Anhänge öffnen oder auf Links in der Nachricht klicken. Und natürlich geht man nicht auf die Forderungen der Verbrecher ein oder antwortet ihnen. Man kann die E-Mail einfach löschen oder die Behörden bei der Ermittlung der Drahtzieher unterstützen. Die Chancen, dass Letzteres etwas bringt, sind zwar gering, aber so könne man beispielsweise helfen, neue Varianten zu erkennen und gegebenenfalls Tatzusammenhänge wie Bitcoinadressen zu ermitteln, schreibt das Landeskriminalamt Niedersachsen.

Die Verbraucherzentrale rät dazu, den Erpressungsversuch über die Internet-Wache online anzuzeigen. So erscheine dieses Problem in der Kriminalstatistik und könne von den Ermittlungsbehörden ernsthaft verfolgt werden. Außerdem bittet die Verbraucherzentrale, die E-Mail an phishing@verbraucherzentrale.nrw weiterzuleiten. So könne sie Betrugsmaschen erkennen und im Phishing-Radar davor warnen.

Sollten in der E-Mail Passwörter genannt werden, die man noch verwendet, muss man sie ändern. Die von den Cybergangstern verwendete Adresse kann man auf einer Webseite des Hasso-Plattner-Instituts oder bei Have I Been Pwned? eingeben. So erfährt man, ob sie sich in einer bekannten Datenbank im Darknet befindet.

Vorbeugen ist besser

Auch wenn es höchst unwahrscheinlich ist, gibt es Fälle, in denen Kriminelle tatsächlich die Möglichkeit hatten, Nutzer über die Kameras ihrer Computer zu filmen. Um das zu verhindern, gilt es speziell auf Windows-PCs einen Virus-Schutz einzusetzen. Dieser sollte wie das Betriebssystem und andere Software aktuell gehalten werden. Programme und Apps installiert man nur aus vertrauenswürdigen Quellen.

Die Verbraucherzentrale rät zudem zu einem einfachen, aber sehr effektiven Mittel: Man soll die Webkamera abkleben, wenn man sie nicht braucht. Eleganter sind Schiebe-Blenden, die entweder am Gerät integriert oder als günstige Lösungen zum Aufkleben erhältlich sind.