Blog

Informativ, aktuell und spannend – der Oneconsult Cybersecurity Blog.

“Your Site Has Been Hacked” – Betrugsversuch oder Realität?
Nadia Meichtry
Nadia Meichtry
|
26.04.2023
(aktualisiert am: 09.09.2024)

Ransomware ist derzeit in aller Munde. Jeder fürchtet, Opfer dessen zu werden und die Folgen für die Reputation sowie die finanziellen Auswirkungen zu tragen.

“Your Site Has Been Hacked” – Betrugsversuch oder Realität?

Die Betrugsmasche

Die Erpresser versenden E-Mails, in denen sie behaupten, die Website des Unternehmens gehackt und Daten entwendet zu haben, die sie im Falle einer Nichtzahlung des Lösegelds auf Leak-Websites veröffentlichen werden. Solche E-Mails werden von Erpressern massenhaft versendet.

Für Unternehmen besteht die Bedrohung vor allem darin, dass ihre Daten nach einer Kompromittierung ihrer Website veröffentlicht werden. Dies lässt sich nur durch die Zahlung einer bestimmten Bitcoin-Summe verhindern.

Doch handelt es sich hierbei um eine ernsthafte Aussage oder nur um einen Bluff?

In diesem Artikel geht es darum, wie man mit Betrugsversuchen von Erpressern umgehen soll und diesen entgegenwirken kann.

Die Analyse der E-Mail

Das Oneconsult International Computer Security Incident Response Team (OCINT-CSIRT) wurde von einem Unternehmen kontaktiert, das eine solche Erpresser-E-Mail erhalten hatte (siehe Abbildung 1). Angeblich sei die Firmenwebsite gehackt worden und der Kunde müsse ein Lösegeld zahlen, um die Veröffentlichung der gestohlenen Daten zu verhindern.

E-Mail Your Site Has Been Hacked.
E-Mail Your Site Has Been Hacked.

So bat uns der Kunde, die E-Mail zu analysieren, um herauszufinden, ob und wie darauf reagiert werden sollte.

Quick & Dirty Suche

Da die E-Mail nicht als Anhang weitergeleitet wurde, standen die Informationen des E-Mail-Headers für die Analyse nicht zur Verfügung. In einem solchen Fall ist daher nur eine Kurzuntersuchung der E-Mail auf Grundlage der im E-Mail-Body enthaltenen Informationen möglich. Hier sind die E-Mail-Adresse und die beiden Teile der Bitcoin-Adresse (siehe rote Boxen auf Abbildung 1) von besonderem Interesse und von grosser Bedeutung für die Analyse.

Zunächst wurde eine Überprüfung der betreffenden E-Mail-Adresse auf mehreren Onlinediensten, darunter emailrep.io durchgeführt. Dabei stellte sich heraus, dass die E-Mail-Adresse nicht zustellbar ist und zudem die zugehörige Domain einen negativen Ruf aufweist.

Daraufhin wurde die Bitcoin-Adresse auf der Website bitcoinabuse.com gesucht (siehe auch den Artikel DFIR, einfach: Bitcoin-Adresse als Quelle zusätzlicher Hinweise). Wie in Abbildung 2 dargestellt, wird deutlich darauf hingewiesen, dass es sich um einen Scam handelt. Zusätzlich wurde festgestellt, dass derselbe Text mehrfach im Zusammenhang mit dieser Bitcoin-Adresse (siehe Abbildung 1) gemeldet wurde.

Daraus ergab sich rasch die Erkenntnis, dass wir in diesem Fall einem Betrugsversuch gegenüberstehen.

Überprüfung der Bitcoin-Adresse auf Bitcoin Abuse
Abbildung 2: Überprüfung der Bitcoin-Adresse auf Bitcoin Abuse

Empfohlene Massnahmen bei Erpresser-E-Mails

Solche E-Mails werden massenhaft versendet, in der Hoffnung, dass einer der Empfänger sich zur Zahlung des Lösegelds einschüchtern lässt. Es wird empfohlen, bei Erpresser-E-Mails keinesfalls das Lösegeld zu zahlen. Sollte dies bereits geschehen sein, können Sie bei der Polizei eine Strafanzeige erstatten. Die Bitcoin-Adresse sollten Sie sowohl bei der Polizei als auch der Bitcoin Abuse-Plattform melden, damit diese die Transaktionen auf den Konten der Angreifer zurückverfolgen können.

Generell können solche E-Mails ignoriert und gelöscht werden. Im Zweifelsfall sollten Sie sich professionelle Unterstützung eines Digital Forensics Teams holen. Zudem können Sie Ihre Website von einem Experten mit Hilfe eines Penetrationstests überprüfen lassen.

Fazit

Insgesamt ist es wichtig zu betonen, dass Erpresser-E-Mails, die behaupten, die Website eines Unternehmens gehackt und Daten gestohlen zu haben, eine ernstzunehmende Bedrohung darstellen können. Es ist jedoch auch wichtig zu wissen, dass viele dieser E-Mails betrügerisch sind und nicht auf eine tatsächliche Kompromittierung hinweisen.

Bleiben Sie als Unternehmen wachsam und achten auf mögliche Bedrohungen. Wenn Sie weitere Fragen zum Thema Ransomware Angriffe haben oder Unterstützung benötigen, kontaktieren Sie unser Incident Response Team ganz unverbindlich:

Nadia Meichtry

Autorin

Nadia Meichtry studierte an der UNIL in Lausanne Forensik, ist GCFA, GREM, GDAT und OPST zertifiziert und seit 2020 bei Oneconsult als Digital Forensics & Incident Response Specialist tätig.

LinkedIn

Nichts verpassen! Melden Sie sich für unseren kostenlosen Newsletter an.

Ihre Sicherheit hat höchste Priorität – unsere Spezialisten unterstützen Sie kompetent.

Erreichbarkeit von Montag bis Freitag 08.00 – 18.00 Uhr (Ausnahme: Kunden mit SLA – Bitte über die 24/7 IRR-Notfallnummer anrufen).

Privatpersonen wenden sich bitte an Ihren IT-Dienstleister des Vertrauens oder die lokale Polizeidienststelle.

Weitere Informationen zu unseren DFIR-Services finden Sie hier:

QR_CSIRT_2022@2x
CSIRT zu den Kontakten hinzufügen