Fifty Shades of Sextortion

Wie Cyberkriminelle mit dem Liebesleben der Opfer Geld verdienen

Der Begriff Sextortion setzt sich aus „sex“ und „extortion“ (Erpressung) zusammen. Er bezeichnete ursprünglich Erpressung mit kompromittierenden Fotos oder Videos, die entweder aus einem Hackerangriff auf das Gerät eines Opfers stammen oder vom Opfer freiwillig veröffentlicht werden. Zwar gibt es diese Form der Kriminalität immer noch, allerdings ist heutzutage die Wahrscheinlichkeit, dass Sextortion-Erpresser im Besitz von schlüpfrigen Materialien sind, weitaus geringer. Einige Arten der Sextortion funktionieren aber sogar dann, wenn das Opfer genau weiß, dass es gar kein kompromittierendes Material gibt. In diesem Artikel gehen wir den neuesten Sextortion-Betrügereien auf den Grund und erklären, wie du sie bekämpfen kannst.

„Dein Ehepartner betrügt dich“

Diese neue Taktik der Sextortion nutzt nicht Scham, sondern Eifersucht. Ein Ehepartner erhält eine E-Mail von einer „Sicherheitsfirma“, die angibt, dass sie Zugriff auf die privaten Geräte der sogenannten „besseren Hälfte“ besitzt (sprich: die Geräte wurden gehackt) und dort einen Beweis für Untreue gefunden hat. Ein heruntergeladenes Datenarchiv und weitere Details findet der Empfänger über einen Link, den der Absender freundlicherweise zur Verfügung stellt. Natürlich kennen die Angreifer nur die Namen und E-Mail-Adressen des Paares. Andere Daten gibt es gar nicht. Und der Link dient dazu, Geld zu stehlen.

„Ich habe dich auf Video aufgenommen“

Dies ist das klassische Sextortion-Schema. In einer E-Mail wird behauptet, dass der Absender den Computer oder das Smartphone des Opfers gehackt- und per Webcam aufgezeichnet hat, während das Opfer auf Pornoseiten unterwegs war. Die „Hacker“ fordern eine sofortige Zahlung in Kryptowährung, andernfalls bekommen Freunde und Familie das Video zu sehen. Um das Ganze überzeugender zu machen, sprechen sie das Opfer möglicherweise mit seinem echten Namen an und nennen in der E-Mail ein echtes Passwort, das der Empfänger für bestimmte Accounts verwendet hat. In Wirklichkeit kaufen Sextortion-Betrüger einfach Datenbanken mit gestohlenen Zugangsdaten, von denen Tausende im Dark Web verfügbar sind. Dann versenden sie standardmäßige E-Mails mit Passwörtern aus dieser Datenbank an die entsprechenden Adressen.

„Ich weiß, wo du wohnst“

Doch nicht alle lassen sich durch gestohlene Passwörter beeindrucken. Darum haben Cyberkriminelle ein neues Schema entwickelt. Der Angreifer droht, dass er persönlich zu Besuch kommt, um die Angelegenheit zu besprechen, falls das Opfer keinen Kontakt wegen des Lösegelds aufnimmt. Die Bedrohung wirkt umso realistischer, da die E-Mail ein Foto mit dem Haus des Opfers aus Google Maps enthält. Damit dieser Trick funktioniert, benötigen die Angreifer natürlich Datenbanken, die nicht nur E-Mail-Adressen und Passwörter enthalten, sondern auch Privatadressen. Solche Daten stammen aus Lecks in Online-Shops.

„Ich habe dich gefilmt, schau es dir an“

Bei einem weiteren beliebten Sextortion-Betrug wird keine Kryptowährung verlangt. Stattdessen wird versucht, Malware auf dem Computer des Opfers zu installieren. Das Opfer wird per E-Mail aufgefordert, sich ein Video anzusehen, um sich von der Echtzeit der Bedrohung zu überzeugen. Dazu muss es jedoch eine Website besuchen und einen speziellen Player installieren, der natürlich infiziert ist.

„Es ist ein Deepfake“

Diese relativ neue Version des Betrugs funktioniert recht gut bei Personen, die sich sicher sind, dass es keine kompromittierenden Videos von ihnen gibt. In den Medien hört man immer wieder von Deepfake-Videos und Deepfake-Pornos, bei denen das Gesicht eines Prominenten in Pornovideos montiert wurde. Bei diesem Betrug gibt es zwei Möglichkeiten: Entweder behaupten die Angreifer nur, dass sie einen Deepfake haben, oder sie haben ihn tatsächlich. Der Unterschied lässt sich ganz einfach feststellen: Bei der zweiten Methode wird dem Opfer der Deepfake sofort präsentiert – manchmal sogar in Form eines echten Briefes, der an die geschäftliche Adresse geschickt wird. Für solche Deepfakes sind natürlich Fotos und Videos des Opfers in guter Qualität erforderlich. Wenn du das Risiko eines solchen Angriffs verringern willst, solltest du nicht unzählige Selfies und andere deutliche Aufnahmen deines Gesichts in Social Media veröffentlichen.

„Du kommst hinter Gitter“

Eine weitere Sextortion-Variante sind betrügerische E-Mails, in denen es um den Besitz von Kinderpornografie geht. Der Absender gibt sich als Strafverfolger aus und behauptet, an einer Liste von Pädophilen zu arbeiten, deren Festnahme bevorsteht. Auch der Empfänger soll auf dieser Liste stehen. Es gibt aber eine Möglichkeit, seinen Namen von der Liste zu tilgen – eine Lösegeldzahlung. Kriminelle sind sehr kreativ, wenn es um Drohungen geht, und es gibt wirklich ausgefallene Varianten: Die Absender können „für den Geheimdienst arbeiten“, „eine Website für Auftragskiller betreiben“ oder sogar „eine Bombe unter deinem Haus platziert haben.“

Wie soll ich mich verhalten, wenn ich eine Sextortion-Mail erhalte?

Keine Panik. Fast alle Sextortion-Betrügereien sind nur leere Drohungen. Betrüger versenden Millionen identischer E-Mails und tun jenen Personen nichts, die sie ignorieren (die Kriminellen haben nämlich gar keine andere Möglichkeit). Daher ist es am besten, die E-Mail als Spam zu markieren und zu löschen. Übrigens sind die Benutzer von Kaspersky Plus und Kaspersky Premium vor den meisten Spam-Nachrichten und auch vor bösartigen Websites und Apps geschützt, die als Spam verbreitet werden.

Eine Ausnahme ist, wenn du den Absender persönlich kennst oder wenn die Nachricht tatsächlich belastende Fotos und Videos enthält. In diesem Fall könnte es sich nicht nur um Sextortion handeln, sondern auch um diffamierende Deepfakes – beide gelten in den meisten Ländern als sehr schwere Straftaten. Verlegenheit ist hier fehl am Platz. Verständige sofort die Polizei!

So schützt du dich vor Datenlecks mit intimen Fotos

Wenn du schon einmal eine Nacktaufnahme gemacht hast, solche Aufnahmen an eine andere Person gesendet oder auf einem Gerät gespeichert hast, lies unsere ausführliche Anleitung. Dort erfährst du, wie man intime Fotos und Videos sicher speichert, und was zu tun ist, wenn sie trotzdem ins Internet durchgesickert sind (Spoiler: Es gibt eine Möglichkeit, sie aus dem Internet zu entfernen!)

Tipps