Erpressbetrüger

Mal kein klassischer Masken- oder Kapuzenheini im Dunkeln

Angebliche Erpresser-Mails scheinen derzeit in Mode zu sein – waren es früher Vorschussbetrug-Mails, treiben sich jetzt diese vorgeblichen Hacker mindestens wöchentlich rum und hoffen auf das schnelle Bitcoin-Geld.

⇒ Einfach ignorieren! Die wollen nur Geld für nix erschwindeln!

Aber wie so manche, mitunter sprachlich kuriose Spam-Mail will ich auch diese mal ein bisschen sezieren. Manche klingen im Betreff noch wie eine hilfreiche Warnung, andere kommen mit „Hallo, mein Opfer“ gleich auf den Punkt:

Hallo, mein Opfer. Ich habe dich beim Masturbieren aufgenommen! Ich habe tqmy8js5.mpg erfasst.

Seeehr aussagekräftiger Dateiname… soll mir der was sagen?

Ich schreibe Ihnen, weil Ich Mаlwаre auf die Porno-Website gesetzt habe, die Sie besucht haben.

Welche von den Millionen Seiten? Schreib das doch dazu!

Mein Virus hat all Ihre persönlichen Daten gesammelt, und hat Ihre Kаmerа während Ihrer Masturbation eingeschaltet. Ich muss zugeben, Sie sind sehr pervers…..
Zudem hat die Software Ihre Kontakte kopiert.
Ich werde das Videо löschen, wenn Sie mir 1.000 EUR in Bitсoin zahlen.

Dies ist Adresse für die Zahlung:
[…]

Wenn Sie die Zahlung nicht innerhalb von 48 Stunden abschicken, werde ich dieses Video an alle Ihre Freunde und Bekannten schicken.
Ich weiß, wo Sie wohnen.

Sehr überzeugend, so eine dahingeworfene Behauptung…

Ich gebe Ihnen 48 Stunden für die Zahlung.
Es ist nicht notwendig, mir zu sagen, dass Sie mir das Geld geschickt haben. Diese Adresse ist mit Ihnen verknüpft, mein System wird alle Daten nach der Übertragung automatisch löschen.

Was er nicht hat, braucht er nicht zu löschen, also braucht es keine Verknüpfung…

Sie können die Polizei einschalten, aber niemand wird Ihnen helfen können. Wenn Sie versuchen, mich zu verarschen, werde ich das bemerken!

Du bist halt Experte im Verarschen…

Ich lebe nicht in deinem Land. Also wird man mich auch nach 9 Monaten nicht finden können.

Wieso gerade 9 Monate? Glaubst du, durch das angebliche Masturbationsfilmen bist du schwanger geworden? :lol:

Bis bald. Denken Sie an die Schande und dass Sie ruiniert werden können.

Wobei andere, frühere Varianten schon geschwätziger und auch dümmer waren – wenn’s kein Zufall ist, scheinen die Typen bzw. ihre Nachahmer dazuzulernen. Mal abgesehen davon, dass andere 72 Stunden Zeit gegeben haben, eine andere nur 24, hier ein paar beispielhafte Auszüge:

Als Sie das letzte Mal eine pornografische Website mit Jugendlichen besucht haben, haben Sie von mir entwickelte Software heruntergeladen und installiert.

„mit Jugendlichen“ kann zu spezifisch für den Angeschriebenen sein – es mag mehr Druck bei denen aufbauen, auf die das zutrifft, aber viele andere eben schon ausschließen.

Meine Software hat auch alle Ihre E-Mail-Kontaktlisten und eine Liste Ihrer Freunde auf Facebook heruntergeladen.

Wer wie ich nicht auf Facebook ist, sollte hier auch misstrauisch werden.

Ich habe sowohl die ktyl4ejb.mpg mit Ihrer Masturbation als auch eine Datei mit all Ihren Kontakten auf meiner Festplatte. Du bist sehr pervers!

Was bringt eigentlich so ein kryptischer Dateiname? Und tja, für automatische Übersetzer oder Satzbaustein­zusammenwürfler ist die deutsche Du/Sie-Unterscheidung auch problematisch, hier viel häufiger als bei der Mail oben…

Ich habe ein Video gemacht, das zeigt, wie man sich auf der linken Hälfte des Bildschirms zufrieden stellt, und in der rechten Hälfte sehen Sie das Video, das Sie angesehen haben.

Behaupten die letzten Mail-Varianten auch nicht mehr. Vielleicht um diejenigen, die sich nur Porno-Fotos angeschaut haben, nicht auszuschließen.

Versuche nicht mich zu betrügen! Sobald Sie diese E-Mail öffnen, werde ich wissen, dass Sie sie geöffnet haben.

Das wäre höchstens bei dämlich falsch eingestellten Mailprogrammen/-diensten möglich. Und auch nur dann, wenn Entsprechendes in der Mail integriert gewesen wäre. Oder jemand auf das List-Unsubscribe, das interessanterweise in manchen Headern ist, reagiert. In einer früheren Mail klang das noch so holprig:

Keine Sorge, ich habe eine Benachrichtigung, die diesen Brief liest, und der Timer funktioniert, wenn Sie diesen Brief lesen.

Das Senden von Beschwerden an irgendwo ist nicht sinnvoll, da diese E-Mail nicht als meine Bitcoin-Adresse ermittelt werden kann.

Was auch immer er damit meint… (Die Bitcoin-Adresse steht ja zwangsläufig als Geldempfänger drin, aber sperren wie ein normales Konto kann man sowas kaum.)

Ich mache keine Fehler.

LOL.

Wenn ich feststelle, dass Sie einen Bericht übermittelt oder diese Nachricht mit einer anderen Person geteilt haben, wird das Video sofort verteilt.

Kann ich vielleicht auch mal eine Kopie bekommen? Hey, ich mein ja nur – Erpressungen haben umso bessere Chancen, je klarer es ist, dass der Erpresser tatsächlich was in der Hand hat. Schick doch gleich ein paar Standbilder von deinem angeblichen Video mit! Dann hab ich auch gleich was, was ich auf einen tumblr-Nachfolger hochladen kann!

Es gibt auch andere Mails – etwa bei Verstand in Gefahr?! (#2, #3) –, wo ein „Passwort zum Zeitpunkt des Hackens“ mit angegeben war. Würde mich wundern, wenn das allzu oft stimmt. Wobei es anderseits ja schon mal jemanden erwischen kann, von dem tatsächlich irgendwo mal ein Passwort gehackt worden ist…

Zwei englische Varianten „[Mailadresse] is compromised. Password must be changed“ u.ä. kamen auch mal. Zwar naturgemäß ohne Du/Sie-Probleme, aber sprachlich auch nicht gerade perfekt (z.B. „catched“). Wobei die angebliche Absendeadresse gleich meiner Empfängeradresse war – was ungefähr so fälschungssicher ist wie auf einer Postkarte, nämlich gar nicht:

I sent you an email from YOUR hacked account.

Tipp für Empfänger: Mal in die Received-Header reinschauen. Dann ist das schnell als Lüge enttarnt. In diesen Fällen kamen die Mails von einem rumänischen und einem tunesischen Server.

Through your e-mail, I uploaded malicious code to your Operation System.

Interessante Aussage. Aber durch Zugang zum Postfach das Betriebssystem infizieren? :roll:

You are not my only victim, I usually lock devices and ask for a ransom.
But I was struck by the sites of intimate content that you very often visit.

Ach, soll man sich da geschmeichelt fühlen?

I am in shock of your reach fantasies! Wow! I’ve never seen anything like this!
I did not even know that SUCH content could be so exciting!

He, für diese tolle Erfahrung solltest DU doch MIR etwas zahlen! Auf, los, schick mir binnen 48 Stunden 1000 €, sonst sage ich allen DEINEN Freunden und Verwandten, was für perversen Kram du jetzt anregend findest! Und dass du ständig Pornos schaust, sowieso!

 

⇒ Einfach ignorieren! Die wollen nur Geld für nix erschwindeln!

5 Kommentare

  1. g

    Sehr schön, sowas habe ich noch nie gehabt. Ich kriege immer nur SEO-Spam und Pillenverticker.

    Aber die Tage habe ich auf Twitter einen klasse Thread aus der Sparte #kannstedirnichtausdenken gelesen: Gerade klingelte im CCC das Telefon. „Sir, I am calling from Microsoft and we have detected an issue with your windows installation.“ JACKPOT.

    • c

      Gewöhnlichen Spam krieg ich auch noch genug. (Ein bisschen weniger jetzt, wo ich die Mailadresse im Impressum geändert und die alte abgeschaltet habe, aber wichtigere Adressen, die ich nicht abschalten kann, kursieren halt auch noch.)

      Die Aktion da im Twitter-Thread ist natürlich klasse. So einen Anruf hatte ich auch noch nie – was hoffentlich auch so bleibt, denn Anrufe kommen eh ganz gern zur ungeeignetsten Zeit. Aber wenn mal einer kommt, hm, ich müsste da noch eine Windows-3.1-VM in VirtualBox haben, wie lange es da wohl dauern würde, bis der mir erklärt hat, wo der Fernzugang ist…?

  2. r麻

    noch nie

    Tiefempfundenes Mitleid, cimddwc, die pushMail von hier aus lief unter dem Betreff „Schade, beim Grauhut waren sie zuerst…“ ;)

    Letzten Samstag kam scam mit nem mail-return-Konto auf ner existenten Händler-domain aus dem heiligen Stadtchen bei Göttingen (paßt ja irgendwie..). Mail ans auf der site angegebene info@-Konto, ‚does not exist‘. Noch morgens angerufen, aber dort wars derart stoffelig, daß mer ersma weitergearbeitet haben. Eben nochmal gemailt, wenn die wieder vom Postverwalter zurückgemeckert wird, kommt HPBaxxter zum Zuge: CYBER!-CYBER!-police.

    Habt ihr eigentlich auch schon mal neue Kontakte via scam geknüpft? Eben kam (wieder mal) einer mit einem existent aussehenden CC vorbei…

    • c

      Du meinst Kontakte mit anderen Empfängern des Scams sowie andere, die nicht selbst die echten Scammer sind? Ne, nicht wirklich. Ich achte aber eher selten auf solche Feinheiten wie Return-Adressen, und wenn (insb. bei denen, die ich hier im Blog verwurschtle), gab’s da keine derartig normalen Adressen.

    • r麻

      solche Feinheiten

      Bei den nicht so grotesk offensichtlichen Werbepostalien ist das bei mir nach dem Öffnen der Quellwüste (typischerweise Base64-Blöcke, doch da gibts ja Dolmetscher) der allererste Blickpunkt: angezeigte und reale retAddr identisch?
      Und aus Syntaxgründen fallen dort selbstverständlich auch sofort CCs auf, wenn vorhanden.

Schreibe einen Kommentar an cimddwc

Alle Angaben sind freiwillig. Die E-Mail-Adresse wird nicht veröffentlicht oder weitergegeben.

  • Moderation: Wer zum ersten Mal kommentiert, dessen Kommentar muss manuell von mir freigeschaltet werden.
  • Benimm dich! Keine Beleidigungen, keine rechtswidrigen Inhalte u.s.w.! Sollte eigentlich selbst­verständlich sein, oder...?
  • Webseite: Nichts gegen Blogs mit Werbung, aber rein kommerzielle Links sind unerwünscht und werden gelöscht. Reine Spam-Kommentare natürlich auch.
  • E-Mail-Benachrichtigung bei neuen Kommentaren: Diese Funktion musst du über eine beim ersten Mal verschickte Bestätigungs-Mail freischalten. Diese Benachrichtigungen können mit dem auch in jeder Mail enthaltenen Link auch wieder deaktiviert werden.
  • Twitter: Wenn du einen Twitter-Account hast, kannst du im entsprechenden Feld deinen Twitter-Namen eingeben (egal ob mit oder ohne dem @), der dann bei allen (auch älteren) Kommentaren, die dieselbe E-Mail-Adresse enthalten, angezeigt wird. (Heißt auch: das E-Mail-Adressfeld muss auch ausgefüllt sein.)
  • Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <sub> <sup> <big> <small> <u>