Email-Sicherheit

Die Entwicklung von Sextortion-E-Mails

Adrien Gendre

23. April 2020

4 min

 

Bildnachweis: Dado Ruvic, Reuters

 

Allein in den USA gab es im Jahr 2019 ganze 43.101 Meldungen über digitale Erpressungen, die – nach Angaben des FBI – zu Verlusten in Höhe von 107.498.956 Dollar führten. Trotz des weltweiten Anstiegs der sexuellen Online-Erpressung werden jedoch weder das Verbrechen der Sextortion selbst noch die Menge der erhaltenen Sextortion-E-Mails von einer offiziellen Strafverfolgungsorganisation formell erfasst. 

Es ist bekannt, dass sich die sexuelle Erpressung online von vereinzelten Low-Tech-Betrügereien zu raffinierten, sehr gezielten Angriffen entwickelt hat, die E-Mail-Filter umgehen können.

Das Kontinuum der Sextortion

Hacker erpressen ihre Opfer mit E-Mails, in denen sie drohen, kompromittierende Fotos und Videos sexueller Natur zu veröffentlichen. In einigen Fällen ist die Erpressung ein sehr persönlicher Angriff. Hacker geben sich in den sozialen Medien als Interessenten aus, mit dem Ziel, die Opfer, oft Kinder, zum Austausch kompromittierender Bilder zu bewegen. Sobald das Opfer zustimmt, wird die Erpressungsforderung gestellt.

Die schiere Andeutung, dass ein Cyberkrimineller im Besitz dieser Materialien sein könnte, reicht oft aus, um beim Benutzer Angst zu erzeugen, und diese führt zur Zahlung des Lösegelds. Häufig behaupten Cyberkriminelle, den Computer des Opfers mit Malware infiziert und die kompromittierenden Bilder – in der Regel Webcam-Aufnahmen – mithilfe der Infektion erhalten zu haben. In den meisten Fällen von Erpressung haben die Hacker diese sensiblen Informationen jedoch gar nicht.

Zunahme von High-Tech-Sextortion-E-Mails

Nicht nur die Art der Sextortion-E-Mails hat sich verändert, sondern auch die erpresserischen E-Mails selbst: Sie sind extrem raffiniert geworden. In der Vergangenheit wurden die E-Mails in großen Mengen verschickt, sodass die E-Mailfilter deutlich sehen konnten, dass etwas nicht in Ordnung war. Diese E-Mails wurden schnell erkannt und blockiert. Sie enthielten in der Regel auch Links zu Bitcoin-Websites, und diese URLs waren weitere „Signaturen“ für die E-Mail-Filter. Da es immer schwieriger wurde, mit sexueller Erpressung per E-Mail erfolgreich zu sein, wurden die Hacker kreativer. Zurzeit sehen wir eine Vielzahl neuer, erfolgreicher Techniken.

Verwendung textbasierter Bilder

Die ersten Sextortion-E-Mails waren reine Text-E-Mails, aber als die Filter immer besser wurden und die bei der sexuellen E-Mailerpressung üblichen Schlüsselwörter erkennen konnten, änderten Hacker ihre Strategie. Textbasierte Bilder haben sich als eine besonders schwierig zu entdeckende Methode zur Filterumgehung erwiesen. Im untenstehenden Beispiel einer Sextortion-E-Mail ist der Text nicht Teil des E-Mail-Bodys – es handelt sich um einen Anhang mit einem Bild als Text.

Bild als Text Anhang
Bild als Text Anhang

Wir sehen auch textbasierte Bilder in Marken-Phishing-Kampagnen. Im Beispiel unten verweist das Bild selbst auf die Phishing-Seite.

Phishing-E-Mail von Apple mit Bild auf Textbasis
Phishing-E-Mail von Apple mit Bild auf Textbasis

Die oben aufgeführten Beispiele zeigen eine neue Bildmanipulation bei E-Mail-Bedrohungen, insbesondere bei Phishing und Sextortion. E-Mailfilter, die nach Signaturen wie URLs und Malware-Code suchen, können keine Bilder erkennen.

Mithilfe der oben genannten Techniken können Hacker dieselbe Sextortion- oder Phishing-E-Mail dutzende, ja hunderte Male versenden. Wenn die E-Mail auf einer schwarzen Liste steht, verzerrt der Hacker das Bild einfach ein wenig, sodass der E-Mailfilter die Bedrohung nicht mehr erkennt.

Die Verwendung von textbasierten Bildern unterstreicht die Notwendigkeit einer Bilderkennung zusätzlich zum standardmäßigen Scannen von URLs und Inhalten. Im Gegensatz zu Machine Learning-Algorithmen, die Text analysieren, untersuchen die Deep Learning-Algorithmen Computer Vision-Bilder und erkennen subtile Veränderungen von Farbe, Ton und Größe: alles Merkmale, die von Hackern verzerrt werden, um die Signatur-Scanning-Technologien zu umgehen.

Verstecken von URLs und QR-Codes in Anhängen

Obwohl Bitcoin-URLs in Sextortion-E-Mails immer noch weit verbreitet sind, können sie von E-Mailfiltern, die nach Signaturen suchen, leicht erkannt werden. Hacker sind sich dessen völlig bewusst und deshalb dazu übergegangen, QR-Codes zu verwenden, die von vielen Filtern nicht geparst werden können.  Unten finden Sie ein aktuelles Beispiel für eine Sextortion-E-Mail von Ashley Madison, in der der QR-Code in einer angehängten PDF-Datei versteckt ist.

Sextortion-E-Mail von Ashley Madison
Sextortion-E-Mail von Ashley Madison

PDF-Anhang mit QR-Code
PDF-Anhang mit QR-Code

Im untenstehenden Beispiel enthält die Sextortion-E-Mail nur einen Anhang. Für E-Mailfilter, die nach bösartigem Inhalt suchen, PDFs jedoch nicht analysieren können, sieht die E-Mail eventuell harmlos aus. Anhänge werden auch zur Verbreitung von Malware als Phase 1 in Sextortion-Kampagnen verwendet. Der Malware-Download ermöglicht es dem Hacker, die Kontrolle über einen Computer zu übernehmen, einschließlich einer Webcam, die dann den erpresserischen Inhalt für die eventuelle Sextortion-E-Mail liefert.

Sexuelle E-Mail-Erpressung nur mit Anhang
Sexuelle E-Mail-Erpressung nur mit Anhang

Kapital aus aktuellen Ereignissen schlagen

Sicherheitsverletzungen sind die ultimative Munitionsquelle für Phishing- und Sextortion-Kampagnen. Während Hacker schon immer Benutzernamen und Passwörter als Beweise dafür verwendet haben, dass sie im Besitz kompromittierender Informationen über ihre Opfer sind, so haben sie nun auch kreative Wege gefunden, um einen anderen Nerv zu treffen, indem sie ihre Angriffe in den Kontext aktueller Ereignisse setzen.

Im folgenden Beispiel zeigt der Hacker das Passwort des Opfers und droht, die Familie des Opfers mit dem Coronavirus zu infizieren. Beachten Sie, dass der Hacker in der gesamten Nachricht auch kyrillische Zeichen verwendet, um die Erkennung durch einen E-Mailfilter zu umgehen.

Coronavirus-Sextortion-E-Mail
Coronavirus-Sextortion-E-Mail

Coronavirus-Sextortion-E-Mail
Coronavirus-Sextortion-E-Mail

Bedrohungen wie diese begannen fast sofort nach Beginn der COVID-19-Pandemie aufzutauchen. Bei einem aktuellen Ereignis dieser Größenordnung und angesichts der Tatsache, dass Menschen auf der ganzen Welt kollektive Ängste und wirtschaftliche Not erleiden, ist es nicht überraschend, dass Hacker aus dieser Situation Kapital schlagen wollen. Ähnliche ereignis-basierte E-Mail-Angriffe sehen wir während der Feiertage und in den Wochen vor großen Sportereignissen.

Hacking von IoT-Produkten

In einer besonders kreativen Sextortion-Kampagne, die 2018 von Vade Secure aufgedeckt wurde, versandten Hacker Sextortion-E-Mails mithilfe von gehackten IoT-Produkten. Mit einer Befehlszeile in den Linux-Betriebssystemen der Produkte konnten Hacker die E-Mails ohne Webmail-Clients zustellen.

Über einen Zeitraum von drei Monaten erkannte Vade Secure 600.000 dieser E-Mails, viele davon hatten automatisch generierte Hotmail- und Outlook-E-Mail-Adressen.

Hacking von IoT-Produkten

Hacking von IoT-Produkten

Anpassung an die Änderungen

Hacker sind über die Systeme, die sie zu knacken versuchen, gut informiert. Mehr denn je passen sie ihre Kampagnen an, um genau die E-Mailfilter zu umgehen, die versuchen, sie zu stoppen. Sowohl Sextortion- als auch Phishing-Kampagnen werden meist in Wellen verschickt – schlägt eine fehl, kommt einfach eine neue. Jedes Mal, wenn eine Bedrohung blockiert wird, entwickeln Hacker neue Methoden zur Umgehung genau der Filter, die sie blockiert haben.

Um mit den neuesten Bedrohungen Schritt halten zu können, muss sich auch die Technologie anpassen. Das Aufkommen von KI in der E-Mail-Sicherheit hat neue Möglichkeiten der Bedrohungserkennung eröffnet. Mit einer Kombination aus Machine Learning- und Deep Learning-Algorithmen kann ein KI-basierter E-Mail-Schutz die von Hackern zur Zustellung von Sextortion-E-Mails verwendeten Methoden zur Umgehung von Signaturen erkennen.