Die SophosLabs haben aktuell einen Report zum Thema Sextortion-Spam-E-Mails veröffentlicht. Der Bericht mit dem Titel „Following the Money in a Massive Sextortion Spam Scheme“ zeigt auf, wie die Erpressungsgelder in den Untergrund cyberkrimineller Aktivitäten führen. Die Security-Forscher verfolgten die Spuren von Millionen von Sextorsion-Spam-E-Mails, die zwischen September 2019 und Februar 2020 verschickt wurden. Sie analysierten, was mit dem Geld geschah, das die Opfer via Bitcoin an die Angreifer gezahlt hatten.
Sextortion ist eine weit verbreitete Form des Spam-Angriffs, bei der Empfänger beschuldigt werden, eine pornografische Website besucht zu haben. Es wird damit gedroht, Videobeweise an Freunde und die Familie weiterzugeben, wenn der Empfänger nicht zahlt. In den analysierten Beispielen wurden die Opfer aufgefordert, bis zu 800 Dollar in Bitcoin zu zahlen. Die Forscher der SophosLabs arbeiteten mit CipherTrace Inc. zusammen, um den Geldfluss zu verfolgen. Sie fanden heraus, dass die erpressten Summen dazu verwendet wurden, illegale Aktivitäten zu unterstützen, darunter Transaktionen auf Dark-Web-Marktplätzen und der Kauf gestohlener Kreditkartendaten. Andere Gelder wurden schnell durch eine Reihe von Wallet-Adressen bewegt, um die Transaktionen zu „waschen“ oder in Bargeld umzuwandeln.
„Die Unterwelt der Cyberkriminellen ist ein kompliziertes Netz. Unsere Untersuchungen zeigen, wie Angreifer das ergaunerte Geld verwenden und zum Beispiel in andere kriminelle Machenschaften investieren“, erläutert Tamás Kocsír, Sicherheitsforscher in den SophosLabs und Leiter dieser Untersuchung. „Die Erpressung setzt auf die Angst der Opfer und macht sie so zu einer effektiven Methode, um schnelles Geld zu verdienen. In den fünf Monaten unserer Untersuchung sahen wir eine Angriffswelle nach der anderen, die oft über das Wochenende stattfanden und manchmal bis zu einem Fünftel aller in den SophosLabs aufgespürten Spam-E-Mails ausmachten. Und obwohl die meisten Empfänger die E-Mails entweder nicht öffneten oder nicht bezahlten, taten es immer noch so viele, dass die Angreifer rund 50,9 Bitcoins, das entspricht etwa 500.000 US-Dollar, einnehmen konnten.“
Sextortion-Spam-Mails in unterschiedlichen Sprachen, auch auf Deutsch
Die Betrüger nutzten für ihre Angriffe globale Botnets auf kompromittierten PCs, um Millionen von Spam-E-Mails an Empfänger auf der ganzen Welt zu versenden. Mit 7 Prozent aller versandten E-Mails liegt Vietnam auf Platz 1 der zehn Länder, die am häufigsten für den Versand der Spam-Nachrichten genutzt wurden. Brasilien, Argentinien, die Republik Korea, Indien, Italien, Mexiko, Polen, Kolumbien und Peru folgen in den Top 10, Deutschland liegt mit einem Anteil von 1,9 Prozent auf Platz 19. Zudem wurden die Spam-Nachrichten regionalisiert: 81 Prozent waren auf Englisch, 10 Prozent auf Italienisch, 4 Prozent auf Deutsch, 3,5 Prozent auf Französisch und 1,5 Prozent auf Chinesisch.
„Spam-Kampagnen sind relativ billig und leicht umzusetzen. Jedoch ist die Annahme, dass sie deshalb nur von gering qualifizierten, opportunistischen Cyberkriminellen gestartet werden, unzutreffend“, ergänzt Kocsír. „Unsere Untersuchungen ergaben, dass einige der Betrugs-E-Mails innovative Verschleierungstechniken enthielten, mit denen Anti-Spam-Filter umgangen werden konnten. Beispiele dafür sind das Aufbrechen von Worten mit unsichtbaren Zufallszeichenfolgen, das Einfügen von Blöcken mit weißem, unsinnigem Text oder das Hinzufügen von Wörtern aus dem kyrillischen Alphabet, um das maschinelle Scannen irrezuführen. Dies sind keine Anfängertechniken. Sie sind gute Beispiele dafür, dass Spam-Angriffe jeder Art ernst genommen werden sollten.“