You have been hacked!

Vor ein paar Monaten erhielt ich folgende eMail.

Hello!

I’m a programmer who cracked your email account and device about half year ago. You entered a password on one of the insecure site you visited, and I catched it. Your password from marco.hitschler@spelzenhof.com on moment of crack: logitech.

Of course you can will change your password, or already made it. But it doesn’t matter, my rat software update it every time.

Please don’t try to contact me or find me, it is impossible, since I sent you an email from your email account. Through your e-mail, I uploaded malicious code to your Operation System. I saved all of your contacts with friends, colleagues, relatives and a complete history of visits to the Internet resources. Also I installed a rat software on your device and long tome spying for you.

You are not my only victim, I usually lock devices and ask for a ransom. But I was struck by the sites of intimate content that you very often visit. I am in shock of your reach fantasies! Wow! I’ve never seen anything like this! I did not even know that SUCH content could be so exciting! So, when you had fun on intime sites (you know what I mean!) I made screenshot with using my program from your camera of yours device. After that, I jointed them to the content of the currently viewed site. Will be funny when I send these photos to your contacts! And if your relatives see it? BUT I’m sure you don’t want it. I definitely would not want to …

I will not do this if you pay me a little amount.
I think $877 is a nice price for it!
I accept only Bitcoins.
My BTC wallet: 1HQ7wGdA5G9qUtM8jyDt5obDv1x3vEvjCy

If you have difficulty with this – Ask Google „how to make a payment on a bitcoin wallet“. It’s easy. After receiving the above amount, all your data will be immediately removed automatically. My virus will also will be destroy itself from your operating system.

My Trojan have auto alert, after this email is looked, I will be know it! You have 2 days (48 hours) for make a payment. If this does not happen – all your contacts will get crazy shots with your dirty life! And so that you do not obstruct me, your device will be locked (also after 48 hours) Do not take this frivolously! This is the last warning!

Various security services or antiviruses won’t help you for sure (I have already collected all your data). Here are the recommendations of a professional: Antiviruses do not help against modern malicious code. Just do not enter your passwords on unsafe sites!

I hope you will be prudent.
Bye.

Normalerweise schenke ich solchen Mails keine große Aufmerksamkeit und lösche sie halb überflogen schon weg. Aber in diesem Fall liess mich ein Detail erstarren, der Puls ging hoch und der Text erhielt meine volle Aufmerksamkeit. Denn ich war mir absolut sicher, dass ich das Passwort „logitech“ für einen Dienst im Internet verwende oder zumindest das Passwort in der Vergangenheit schon mal verwendet habe.

Ich öffnete den Passwort-Manager und suchte nach dem entsprechenden Dienst mit dem genannten Passwort. Glücklicherweise fand ich keine Einträge. „logitech“ war also ein sehr altes Passwort und nicht mehr in Gebrauch. Mein Puls ging langsam zurück.

Tastatur Querty

„logitech“ als Passwort ist natürlich extrem schwach. Es sind nur 8 Zeichen, ausschließlich Buchstaben und (das ist am Schlimmsten) es handelt sich um einen bekannten Namen. Schon mit einer simplen Wörterbuch-Attacke könnte man also das Schloss öffnen. Zu meiner Entschuldigung muss ich sagen, als das mit dem Internet so langsam angefangen hat, war Sicherheit noch kein großes Thema. Man hat viele Dienste ausprobiert, um sich mit dem Internet vertraut zu machen. Wenn ich damals ein Passwort vergeben musste, habe ich meistens im Raum herumgeschaut und das, was da so rumstand, als Passwort verwendet (buegeleisen, nagellackentferner, kaffeetasse). In diesem Fall muss wohl eine Logitech-Maus herumgestanden haben (als ich noch auf Windows war, war Logitech mein bevorzugter Lieferant für Mäuse).

Die nächste Frage war, ist das eMail wirklich von meinem Account verschickt worden? Das Feld des Absenders enthielt meinen Namen und meine eMail-Adresse. Aber darauf kann man nicht vertrauen, diese Angaben lassen sich ganz leicht fälschen. Ich suchte in meinem eMail-Progamm die Funktion „Header anzeigen“.

eMail Header

Der Header enthält viele technische Informationen, die zur Übermittlung, Verarbeitung und Darstellung einer eMail nötig sind. Mitunter ist dort festgehalten, welcher Server das eMail initial verschickt hat. Wenn man ein eMail versendet, gelangt es nämlich nicht vom Sender unmittelbar zum Empfänger, sondern passiert auf dem Weg viele Zwischenstationen. Quasi genauso wie ein Brief in der wirklichen Welt, der über mehrere Verteilerzentren zum Empfänger transportiert wird. Auf der Reise durch das Internet notiert nun jeder Server, der an der Übermittlung einer eMail beteiligt ist, im Header der eMail, wann er das eMail erhalten hat, von welchem Server er das eMail in Empfang nahm und wohin er es nun weiterschickt. Diese Informationen lassen sich nun auch nicht mehr so einfach fälschen, weil es unwahrscheinlich ist, dass all diese Server auf der Wegstrecke vom Hacker kontrolliert werden. Im Header der besagten eMail stand folgendes.

Received: from 58-27-215-170.wateen.net ([58.27.215.170])

Das eMail wurde also von der IP-Adresse 58.27.215.170 versendet. Laut Webrecherche befindet sich die IP-Adresse 58.27.215.170 in Pakistan. Weil mein eMail-Server aber in Deutschland steht, kann ich damit eigentlich ausschließen, dass das Mail über meinen Account verschickt worden ist. Also war das nur ein Bluff und der Angreifer hat gar keinen Zugang zu meinem eMail Account. Ich war erleichtert. Trotzdem enthielt das Mail immer noch ein ehemals von mir genutztes Passwort und deswegen blieb weiterhin ein flaues Gefühl im Bauch zurück. Also noch mal ganz langsam das Mail lesen.

I’m a programmer who cracked your email account and device about half year ago. You entered a password on one of the insecure site you visited, and I catched it. Your password from marco.hitschler@spelzenhof.com on moment of crack: logitech.

Er hat also meinen eMail-Account gehackt. Und mein „Device“. Aber welches Device jetzt genau? Mein Notebook? Mein Tablet? Oder mein Smartphone? Und an mein Passwort wäre er durch dessen Eingabe auf einer unsicheren Webseite gelangt. Die unsichere Webseite wird dabei seltsamerweise namentlich gar nicht genannt. Jedenfalls, das ist alles ziemlich viel auf einmal. Weil wenn man das eine gehackt hat, hat man noch lange nicht das andere gehackt. Oder kann er sich nur nicht mehr richtig erinnern, was er jetzt genau gehackt hat, weil er halt den ganzen Tag am rumhacken ist?

Of course you can will change your password, or already made it. But it doesn’t matter, my rat software update it every time.

Leider lässt sich gar nicht so einfach feststellen, ob ein System durch Fremdsoftware infiziert ist oder nicht. Besonders wenn die Schadsoftware nicht namentlich bekannt ist und man damit nicht weiß, an welchen Stellen man suchen muss. Dieser Behauptung konnte ich also nicht weiter nachgehen.

You are not my only victim, I usually lock devices and ask for a ransom. But I was struck by the sites of intimate content that you very often visit. I am in shock of your reach fantasies! Wow! I’ve never seen anything like this! I did not even know that SUCH content could be so exciting! So, when you had fun on intime sites (you know what I mean!) I made screenshot with using my program from your camera of yours device. After that, I jointed them to the content of the currently viewed site. Will be funny when I send these photos to your contacts! And if your relatives see it? BUT I’m sure you don’t want it. I definitely would not want to …

Dieser Absatz ist ein bißchen wie aus dem Bilderbuch. Ich würde sehr oft „unanständige“ Seiten besuchen. Und während ich also vor dem Rechner meinen Spass habe, hat er einfach ein Bild von mir gemacht. Ich fühlte mich schon richtig wie in einem Kinofilm. Ganz schön fleissig das Kerlchen! Computer hacken, eMail hacken, Passwörter auslesen, Daten kopieren und sogar noch Bilder über die Kamera machen.

Will be funny when I send these photos to your contacts! And if your relatives see it? BUT I’m sure you don’t want it. I definitely would not want to …

I will not do this if you pay me a little amount.
I think $877 is a nice price for it!
I accept only Bitcoins.
My BTC wallet: 1HQ7wGdA5G9qUtM8jyDt5obDv1x3vEvjCy

[…]

My Trojan have auto alert, after this email is looked, I will be know it! You have 2 days (48 hours) for make a payment. If this does not happen – all your contacts will get crazy shots with your dirty life! And so that you do not obstruct me, your device will be locked (also after 48 hours) Do not take this frivolously! This is the last warning!

Wenn ich jetzt also nicht brav bin und das Lösegeld bezahle, werden die obszönen Inhalte an meine Kontakte verteilt. Und weil das noch nicht genug ist, wird zusätzlich noch mein Computer gesperrt. Das volle Programm! Und genau das ist hier irgendwie auch das Problem, es werden zu viele Ängste auf einmal adressiert. Das macht es unglaubwürdig. Wenn das alles wahr wäre, hätte man ja zumindest mal einen Beweis mitgeschickt (beispielsweise eine Datei von meinem Computer oder das öbszöne Bild von der WebCam).

Nach dem zweiten Lesen hatte sich also mein Puls normalisiert und die Welt war wieder in Ordnung. Doch es blieb immer noch die Frage, woher hat der Hacker jetzt mein „logitech“ Passwort? Auf jeden Fall wurde ein Dienst gehackt, den ich benutze oder benutzt habe, und bei diesem Hack wurden die Logins sowie die dazugehörigen Passwörter entwendet, welche dort unverschlüsselt hinterlegt waren. Das passiert ständig und man kann fast jeden Tag in der Presse davon lesen. Aber dieser Hack muss schon sehr alt sein. Diese arme pakistanische Hacker hat den Hack vermutlich auch gar nicht selbst durchgeführt, gelang jedoch in dessen Besitz. Wahrscheinlich hat er ihn einfach auf dem Schwarzmarkt gekauft, versucht nun daraus Kapital zu schlagen und arbeitet alle darin befindlichen Datensätze ab.

Notebook

In den Wochen darauf habe ich immer wieder solche Mails erhalten. Manchmal sogar mehrmals am Tag. Der Text war meistens nahezu identisch. Und alle Mails beinhalteten ein altes, aber nicht mehr verwendetes Passwort. Am Ende waren das aber alles leere Drohungen und nichts ist geschehen. Irgendwann habe ich mich dann auch über mich selbst geärgert, dass es der Absender letztendlich geschafft hat, mich innerlich derart aus der Reserve zu locken, so dass ich Lebenszeit für die Untersuchung investiert habe (auch wenn es letztlich nur ein paar Minuten waren). Zu meiner Entlastung, solch eine Drohung zu erhalten ist das eine, aber das eigene Passwort in einer eMail zu finden, ist das andere. Zu einem späteren Zeitpunkt hörte ich die Podcastepisode CR253 Refreshing Memories des Chaosradio. Darin berichtete Johnny Häusler beiläufig über die gleiche Attacke und darüber, wie sehr ihn die eMail bedingt durch das Passwort verunsicherte. Auch in meiner Familie trudelten vielfach diese Mails ein und sorgten kurzzeitig für Panik.

Diese Geschichte hat mich wieder etwas für das Thema der Passwort-Sicherheit sensibilisiert. Eigentlich lasse ich meine Passwörter seit Jahren ausschließlich algorithmisch generieren. In der Regel nutze ich Zeichenketten mit 14 Stellen, alphanumerisch, mit Zahlen und Sonderzeichen. Meine Passwörter sehen also ungefähr so aus: Eyvs7{%wU3szvC. Aber ich hatte leider noch eine ganze Menge alter Passwörter im Einsatz, die noch aus Zeit ohne Passwort-Manager stammen. Mein Amazon-Passwort war beispielsweise 18 Jahre alt.

Passwortgenerator

Mein erster Passwort-Manager war übrigens KeePass. Später bin ich zu LastPass gewechselt. Und mittlerweile nutze ich 1Password, um meine Passwörter zu verwalten. In 1Password gibt es eine sehr nützliche Funktion namens Watchtower. Der Watchtower analysiert alle verwendeten Passwörter dahingehend, ob es beispielsweise mehrmals verwendet wird, ob das Passwort in bekanntgewordenen Hacks auftaucht, oder wie es um die Passwortstärke bestellt ist. Jedenfalls meckerte 1Password in meinem Fall über 150 Passwörter an. Bislang war ich aber immer zu faul gewesen, um all diese Passwörter zu ändern.

Und so ist aus diesem Bluff dann auch etwas Gutes entstanden und ich habe mir endlich die Zeit genommen und all diese Passwörter geändert. Das war am Ende auch gar nicht so viel Arbeit, wie ich immer befürchtet habe. Jeden Abend ein paar Stück und nach wenigen Tagen war es erledigt. Also habe ich die Aktivität die ganze Zeit mal wieder unnötig vor mir hergeschoben.

Über den Autor
Marco Hitschler wohnt in Mannheim und schreibt auf diesem Blog beliebige Texte in das Internet hinein. Sein Handwerk ist die Informatik und beruflich arbeitet er im Projektmanagement. Wenn man einmal mit dem Bloggen angefangen hat, kann man nicht mehr aufhören. Furchtbar! Infolgedessen wird auf diesem Blog ganz kunterbunt in verschiedenen Formaten publiziert.
14 Kommentare
  1. Heike 3. Mai 2019

    Hi Du,
    LastPass hat auch so eine Check-Funktion, um die Sicherheit der verwendeten Passwörter zu prüfen :-)
    Und auch ich arbeite mich langsam Stück für Stück da durch, bis alles safe ist :-)

    Lieben Gruß
    Heike

  2. marco 3. Mai 2019

    Huhu!
    Wie viele Einträge hast du noch vor dir? :-)

  3. Heike 3. Mai 2019

    Hi Marco,
    367 Stück – ich bin aber schon bei 82% Sicherheit :-)

    Lieben Gruß
    Heike

  4. marco 3. Mai 2019

    Und ich habe gedacht, meine 150 wären viel. ;-)
    Mittlerweile habe ich nur noch ein paar vereinzelte Sorgenkinder, die man aber leider nicht ändern kann (SIM-PUK und so).
    Lieber Gruß
    Marco

  5. Heike 3. Mai 2019

    LastPass warnt halt auch vor alten und mehrfach genutzten Passwörtern sowie solchen, die zu kurz sind. Außerdem habe ich wirklich viele Accounts durch das ganze Bloggerzeug…

  6. marco 3. Mai 2019

    Ja, da leppert sich was mit den Jahren zusammen. :-D Warnt LastPass eigentlich auch von Passwörtern, welche in veröffentlichten Leaks enthalten sind?

  7. Heike 3. Mai 2019

    Ja klar :-)

  8. Stefan 23. August 2019

    Ich empfinde solche E-Mails immer als sehr amüsant, sofern diese durch den Spam-Filter überhaupt durchkommen. ?

    Bisher war nur 1 E-Mail dabei die wahrlich darauf hinwies das ein uraltes Postfach bei Web.de ergo 1und1 geknackt wurde, da das verwendete Passwort dafür ähnlich wie bei dir auch eher sehr schwach war. ?
    Da ich nie irgendwelche Kontaktdaten bei diesen Anbietern speichere, kann diesbezüglich auch nichts passieren.

    Auch dieser Text mit der Drohung damals hat sehr viel Ähnlichkeit mit deiner Version, so vom Wortlaut. ?

    1Pasdword habe ich einst auch genutzt, bis ich dann mich von Mac gelöst habe und wegen diesem Umstand ein Programm brauchte das auch auf anderen Plattformen stabil funktioniert. Damals existierte 1Password nur für Mac und iOS, was sich mittlerweile geändert hat.

    Obgleich ich diese Veränderung hin zum Abonnement Modell von 1Password überhaupt nicht gut finde.

    LastPass ist mir ein Graus, alleine schon wegen dem Punkt des Webdienst. Da können die noch so viele Beteuerungen schreiben das „meine Passwörter“ nur bei mir auf meinen Geräten liegen und so weiter. Da könnte ich auch direkt meine Passwörter als Klartext im Internet veröffentlichen… ?

    Keepass nutze ich seit meinem Wechsel von 1Password, denn sowohl die Konstruktionsweise sowie die Funktionalität von Keepass überzeugen mich. Obgleich ich genau so denke bezüglich der Apple eigenen Dienst. ?

  9. marco 31. August 2019

    @Stefan

    Der Angriff hält sich wacker. Mittlerweile habe ich dieses Mail sogar schon in deutscher Sprache erhalten. Die geben alles, die Hacker! ;-)

    Ja, es gibt 1Password mittlerweile auch für Windows. Ich habe die Windows Version auch schon ausprobiert und ich muss sagen, die macht einen recht stabilen Eindruck.

    Das Abo-Modell für 1Passwort finde ich okay. Es ist einer meiner wichtigsten und am häufigsten genutzten Tools. Da geht das für mich schon in Ordnung. Außerdem kann man die Kosten im Haushalt oder in der Familie teilen, wenn man einen Family-Tarif bucht.

    KeePass habe ich auch lange genutzt. Das war noch die Zeit als man nur einen PC hatte und Notebooks/Smartphones noch kein Thema waren.

  10. Stefan 29. Juni 2020

    Sag mal Marco, siehst du diese Kommentare von „Sandy“ nicht als offensichtlichen Backlink/Werbe-Spam oder wieso löscht du nicht? In der Vergangenheit war schon ein ähnlicher Kommentartor hier unterwegs.

    Oder möchtest du bewusst diese SEO Methode unterstützen, welche offensichtlich immer noch manche anwenden?!?

  11. marco 29. Juni 2020

    @Stefan
    Doch, die Kommentare von „Sandy“ lösche ich natürlich. Die kamen ja heute morgen erst rein und ich komm aber erst jetzt dazu, mich darum zu kümmern. Prinzipiell moderiere ich die Kommentare nicht, deswegen ist dieser Spam temporär sichtbar.

    Interessant ist, dass diese Art von Spam kaum noch von normalen Kommentaren zu unterscheiden ist, so dass der automatische Spam-Schutz nicht greift.

  12. Stefan 30. Juni 2020

    @Marco
    Wenn du in deinem Artikel namens „ https://www.unmus.de/der-stille-tod-der-kommentare/“ mal die letzten Kommentare anschaust und speziell jenen von einem Typ namens „Makler Winni“ wird dir sicherlich ein Licht aufgehen. ?

    Anfangs war dieser „Makler Winni“ noch unter einem anderen Pseudonym auf deinem Blog unterwegs, obgleich mir der selben URL hinterlegt sofern ich nicht ganz irre. Für mich ist das ein Klassiker, eine Testphase bezüglich SEO-Kommentar-Spam.

    Jene gelöschten Kommentare von „Sandy“ hatten eine relative ähnliche URL wie die von Makler Winni hinterlegt.

    Das diese Art von Spam nicht richtig erkannt wird liegt in selbigem begründet. Erstens sind diese in Deutsch, zweitens von einer deutschen IP und drittens von einem Menschen mittels Copy&Paste verfasst. Da hat selbst das Plugin namens AntiSpam-Bee so seine Probleme mit. ?

    Lösung für die Zukunft ist einfach.
    Kommentare mit URL‘s die auf eine gewerbliche Webseite verweisen, direkt blockieren und entweder nur die URL aus dem Kommentar löschen oder komplett den gesamten Kommentar entfernen.

    Wenn du einmal damit anfängst sowas zu tolerieren, ist das scheinbar wie ein Leuchtsignal für weiteren Spam aus der Richtung. ?

  13. marco 30. Juni 2020

    @Stefan
    Argh. Du hast Recht. Da sind mir ein paar dieser Backlink-Kommentare durchgerutscht. Danke für deinen Hinweis. Ich hab die Kommentare jetzt gelöscht.

    Das ist aber auch zunehmend schwierig. Mittlerweile ist der Text oft so neutral aufgebaut, dass man den Eintrag auf die Schnelle gar nicht als Backlink-Kommentar erkennt. Auch „echte“ Kommentatoren hinterlassen oft nur kurzes Feedback nach der gleichen Charakteristik.

    Prinzipiell habe ich eigentlich nichts dagegen, wenn jemand eine gewerbliche URL hinterlässt. Wenn Kleinunternehmer oder Freelancer kommentieren, dürfen die ruhig auch ihre Homepage verlinken. Schwierig ist natürlich, wenn der Kommentar nur diesem Zweck dient.

    Ja, das gute alte AntiSpam-Bee. Meines Wissens gibt es noch keine wirkliche Alternative zu diesem Plugin. Andererseits hat es sich seit Jahren nicht mehr weiterentwickelt, seit es von Sergej ins Plugin-Kollektiv übergeben wurde.

  14. Winfried 19. Mai 2021

    Hi Marco,
    wirklich ein sehr interessanter Beitrag.
    Ich musste mich beim ersten Lesen auch zweimal davon überzeugen, dass es sich hierbei nur um lehre Drohungen handelt.
    Solche Verbrechen werden immer geschickter übermittelt.
    Beste Grüße und alles Gute,
    Winfried

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert