Erpressungsnachrichten über Kontaktformulare von Firmen-Webseiten
23.03.2022
Update vom 23.03.2022, 11:43 Uhr: Die Täter scheinen - entgegen der 1. Aussage - jeweils unterschiedliche Bitcoin-Adressen zu verwenden.
Update vom 28.03.2022, 14:06 Uhr: Betreff der E-Mail ergänzt.
Über unser Trojanerpostfach (trojaner@polizeilabor.de, Erklärung unter https://www.polizeilabor.de/) sind bei uns mehrere Meldungen zu Erpressungsnachrichten eingegangen. Diese werden offensichtlich über die Kontaktformulare von Webseiten versendet (u.a. auch Wordpress CMS) und haben den folgenden Inhalt:
Betreff: Ihre Website [URL DER WEBSEITE] wurde von ukrainischen Hackern gehackt.
Hallo. Wir sind ukrainische Hacker und wir haben Ihre Seite gehackt [URL DER WEBSEITE] Was wollen wir? Wir mochten, dass Sie bis zum 25. Marz eine Spende zur Unterstutzung der Ukraine in Hohe von 0,05 BTC an diese Bitcoin (BTC)-Wallet leisten, dies ist ein kleiner Betrag: bc1qyq6kv7crx9faaxds6fn97k67edkkefffe2zjnh Wenn Sie nicht spenden, erscheint auf Ihrer Website ein riesiges Vollbild-Banner, das alle Besucher Ihrer Website auffordert, der Ukraine zu helfen (Ihre Website wird nicht sichtbar sein, nur unser Banner). Wenn Sie es entfernen, werden wir aufgehangt Wenn Sie die Schwachstelle beheben, finden wir eine neue und hangen das Banner erneut auf.
Als letzten Ausweg lassen wir den Domainnamen-Registrar Ihre Domain dauerhaft sperren.
Ähnlich wie bei dem Phänomen "Sextortion" (Weitere Informationen unter: Link auf polizei-praevention.de), bei dem vorgegeben wird, dass Täter den PC kompromittiert haben, gehen wir auch in diesem Fall davon aus, dass es sich um eine leere Drohung handelt, d.h. die Täter haben keinen Zugriff auf die Webseite bzw. den Server.
Diese Einschätzung stützt, dass die Täter die Nachricht über das Kontaktformular verschiedener Webseiten-Systeme (CMS) senden- dies macht eine ausgenutzte Lücke unwahrscheinlich. Darüber hinaus sind die verwendeteten Kontaktformulare nicht mit einem CAPTCHA geschützt, d.h. es kann durch die Täter eine vollständige Automatisierung dieser Nachrichten erfolgen. Auch die große Anzahl an versendeten Nachrichten und der Inhalt der Mail lassen uns zu dem Ergebnis kommen, dass die Täter die Webseite nicht unter ihrer Kontrolle haben. So ist eine Sperrung einer Domain bei einem Provider unabhängig von einer Kompromittierung der Webseite und könnte gar nicht so einfach durchgeführt werden.
Verhaltenshinweise:
Update vom 23.03.2022, 11:43 Uhr: Die Täter scheinen - entgegen der 1. Aussage - jeweils unterschiedliche Bitcoin-Adressen zu verwenden.
Update vom 28.03.2022, 14:06 Uhr: Betreff der E-Mail ergänzt.
Über unser Trojanerpostfach (trojaner@polizeilabor.de, Erklärung unter https://www.polizeilabor.de/) sind bei uns mehrere Meldungen zu Erpressungsnachrichten eingegangen. Diese werden offensichtlich über die Kontaktformulare von Webseiten versendet (u.a. auch Wordpress CMS) und haben den folgenden Inhalt:
Betreff: Ihre Website [URL DER WEBSEITE] wurde von ukrainischen Hackern gehackt.
Hallo. Wir sind ukrainische Hacker und wir haben Ihre Seite gehackt [URL DER WEBSEITE] Was wollen wir? Wir mochten, dass Sie bis zum 25. Marz eine Spende zur Unterstutzung der Ukraine in Hohe von 0,05 BTC an diese Bitcoin (BTC)-Wallet leisten, dies ist ein kleiner Betrag: bc1qyq6kv7crx9faaxds6fn97k67edkkefffe2zjnh Wenn Sie nicht spenden, erscheint auf Ihrer Website ein riesiges Vollbild-Banner, das alle Besucher Ihrer Website auffordert, der Ukraine zu helfen (Ihre Website wird nicht sichtbar sein, nur unser Banner). Wenn Sie es entfernen, werden wir aufgehangt Wenn Sie die Schwachstelle beheben, finden wir eine neue und hangen das Banner erneut auf.
Als letzten Ausweg lassen wir den Domainnamen-Registrar Ihre Domain dauerhaft sperren.
Ähnlich wie bei dem Phänomen "Sextortion" (Weitere Informationen unter: Link auf polizei-praevention.de), bei dem vorgegeben wird, dass Täter den PC kompromittiert haben, gehen wir auch in diesem Fall davon aus, dass es sich um eine leere Drohung handelt, d.h. die Täter haben keinen Zugriff auf die Webseite bzw. den Server.
Diese Einschätzung stützt, dass die Täter die Nachricht über das Kontaktformular verschiedener Webseiten-Systeme (CMS) senden- dies macht eine ausgenutzte Lücke unwahrscheinlich. Darüber hinaus sind die verwendeteten Kontaktformulare nicht mit einem CAPTCHA geschützt, d.h. es kann durch die Täter eine vollständige Automatisierung dieser Nachrichten erfolgen. Auch die große Anzahl an versendeten Nachrichten und der Inhalt der Mail lassen uns zu dem Ergebnis kommen, dass die Täter die Webseite nicht unter ihrer Kontrolle haben. So ist eine Sperrung einer Domain bei einem Provider unabhängig von einer Kompromittierung der Webseite und könnte gar nicht so einfach durchgeführt werden.
Verhaltenshinweise:
- Bezahlen Sie keine Bitcoins an die angegebene Adresse
- Seien Sie dennoch wachsam was Ihren Online-Auftritt und etwaige Änderungen betrifft
- Erstatten Sie ggf. Anzeige via Onlinewache