UlfZibis
Anmeldungsdatum: 13. Juli 2011
Beiträge: 3023
Wohnort: Köln
|
Hallo, auf einem von mir selten benutzten E-Mail-Konto (per IMAP unter Thunderbird) entdeckte ich per Zufall im Spamordner folgende E-Mail von 29.10.2018 (E-Mail-Adresse und Passwort unkenntlich gemacht): From: ich@server.de
To: ich@server.de
Subject: ich@server.de has password ******. Password must be changed
Hello!
I'm a programmer who cracked your email account and device about half year ago.
You entered a password on one of the insecure site you visited, and I catched it.
Your password from ich@server.de on moment of crack: ******
Of course you can will change your password, or already made it.
But it doesn't matter, my rat software update it every time.
Please don't try to contact me or find me, it is impossible, since I sent you an email from your email account.
Through your e-mail, I uploaded malicious code to your Operation System.
I saved all of your contacts with friends, colleagues, relatives and a complete history of visits to the Internet resources.
Also I installed a rat software on your device and long tome spying for you.
You are not my only victim, I usually lock devices and ask for a ransom.
But I was struck by the sites of intimate content that you very often visit.
I am in shock of your reach fantasies! Wow! I've never seen anything like this!
I did not even know that SUCH content could be so exciting!
So, when you had fun on intime sites (you know what I mean!)
I made screenshot with using my program from your camera of yours device.
After that, I jointed them to the content of the currently viewed site.
Will be funny when I send these photos to your contacts! And if your relatives see it?
BUT I'm sure you don't want it. I definitely would not want to ...
I will not do this if you pay me a little amount.
I think $894 is a nice price for it!
I accept only Bitcoins.
My BTC wallet: 1HQ7wGdA5G9qUtM8jyDt5obDv1x3vEvjCy
If you have difficulty with this - Ask Google "how to make a payment on a bitcoin wallet". It's easy.
After receiving the above amount, all your data will be immediately removed automatically.
My virus will also will be destroy itself from your operating system.
My Trojan have auto alert, after this email is looked, I will be know it!
You have 2 days (48 hours) for make a payment.
If this does not happen - all your contacts will get crazy shots with your dirty life!
And so that you do not obstruct me, your device will be locked (also after 48 hours)
Do not take this frivolously! This is the last warning!
Various security services or antiviruses won't help you for sure (I have already collected all your data).
Here are the recommendations of a professional:
Antiviruses do not help against modern malicious code. Just do not enter your passwords on unsafe sites!
I hope you will be prudent.
Bye.
Das in der E-Mail angegebene Passwort ist tatsächlich ein Passwort, welches ich öfter verwende (z.B. für mein ebenfalls selten genutztes Konto bei Yahoo Mail), aber nicht für dieses E-Mail-Konto, es wurde also auf einer anderen Webseite gestohlen. Es zu ändern scheint nichts zu nutzen, denn der Hacker kann das laut seiner Darstellung wohl verfolgen und immer wieder neu rein. (Oder gibt es Gründe, diese Behauptung für falsch anzunehmen?) Nun sehe ich auch noch eine Vorwarnung vom 18.10.2018: From: ticket@beanzcoffee.com
To: ich@server.de
Subject: ich - password ******
Hello, my victim.
I know your password - ******
This is my last warning.
I write you inasmuch as I put a trojan on the internet page with pornography that you simply have visited.
My spyware grabbed all your individual data and switched on your web cam which grabbed the procedure of your masturbation.
Soon after that trojan saved your contact list.
I will remove the compromising movie and data if you pay me 500 USD in bitcoin.
That is wallet address for payment : 1NvY4BenHfDvLjHuxiADMfzwcX7tfXg9t2
(you can google on "how to buy bitcoin")
I give you twenty four hours when you view my message for making the payment.
When you see the email I'll know it right away.
It's perhaps not required to share with me that you have delivered income to me. This address is related to you, my program will delete everything instantly after transfer confirmation.
You can go to the authorities but no-one can't help you.
If you try to cheat me, I'll notice it instantly!
I don't live in your country. Therefore no one can not monitor my area even for 9 months.
Don't forget about the disgrace. Your life could be ruined.
Alles, was evtl. früher gesandt wurde, kann ich nicht mehr sehen, denn der Mail-Server löscht im Spamordner alles, was älter als 1 Monat ist. Vor der Warnung Will be funny when I send these photos to your contacts!
habe ich keine Angst, die werden einfach was zu lachen haben 😀 Ob die Behauptung bzgl. der WebCam stimmt, kann ich nicht sicher sagen. Mein Hauptrechner (Ubuntu) hat gar keine WebCam, doch manchmal nutze ich auch andere Rechner, da könnte das theoretisch zutreffen. Nun mache ich mir aber Sorgen, ob ich evtl. Malware auf meinem Ubuntu-Rechner habe. Wie könnte ich das feststellen? Bearbeitet von sebix: Akkurateren Titel gesetzt.
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17583
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Dann unbedingt ALLE Kennwörter ändern.
Am besten allen anderen Konten auch prüfen.
Ich vermute eher nicht, dass die Linux-Viren entwickeln.
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5323
|
I write you inasmuch as I put a trojan on the internet page with pornography that you simply have visited.
My spyware grabbed all your individual data and switched on your web cam which grabbed the procedure of your masturbation.
Soon after that trojan saved your contact list.
I will remove the compromising movie and data if you pay me 500 USD in bitcoin.
That is wallet address for payment : 1NvY4BenHfDvLjHuxiADMfzwcX7tfXg9t2
(you can google on "how to buy bitcoin")
Das ist eine bekannte Masche, die in den letzten Wochen besonders haeufig vorkam. Du kannst davon ausgehen, dass das eine leere Drohung ist.
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
UlfZibis schrieb: Das in der E-Mail angegebene Passwort ist tatsächlich ein Passwort, welches ich öfter verwende
Das ist schon ein Fehler 😉 Ansonsten klingt das für mich ein bisschen nach Dummfang. Ich würde dennoch folgendes machen:
überall deine Passwörter ändern (im Worst-Case konnte der Angreifer alle Passwörter abgreifen) dein Betriebssystem neu aufsetzen Wegwerf-Passwörter für potentiell unsichere Webseiten, wie Online-Shops bei denen du nur sporadisch kaufst etc.
Für die Passwörter noch einen Tipp: Bei Seiten, denen ich vertraue die Passwörter sicher zu hashen (Amazon, Paypal, Google, etc. pp.), nutze ich 5 Passwort-Grundbestandteile, und kombiniere die mit dem Dienstname, den ich gerade nutze. Also beispielsweise 1rg3ndw4$ubuntuuserspenis1 oder
blahfasel$%&penis1amazon . Damit sind meine Passwörter immer lang, nicht rekonstruierbar (selbst wenn jemand ein Passwort abgreifen könnte) und trotzdem recht einfach zu merken.
Edit: sebix hat recht, guckst du beispielsweise hier.
|
RamSpeicher
Anmeldungsdatum: 17. Juli 2009
Beiträge: 2508
|
misterunknown schrieb:
Also beispielsweise 1rg3ndw4$ubuntuuserspenis1 oder blahfasel$%&penis1amazon
Das deine Passwörter auch immer gleich so Ordinär sein müssen 😀
|
unbuntuS12
Anmeldungsdatum: 2. Juni 2010
Beiträge: 1816
|
Yahoo ist ja bekanntermaßen geknackt worden. Da dein Passwort eh schon in den Weiten des Internets unterwegs ist, kannst du ja mal bei https://haveibeenpwned.com/Passwords gucken. Achtung: Nur mit diesem bekanntermaßen verbratenen Passwort machen. Ansonsten: Ignorieren und eine andere Passwortstragetie überlegen. Jetzt ist der Zeitpunkt, sein Verhalten zu ändern. Meine Strategie ist simpel: Für jeden Dienst gibt es ein eigenes, langes, zufällig generiertes Passwort. Die werden lokal gespeichert. Zugriff von anderen Geräten ist nicht nötig, deshalb auch keine Synchronisationsstrategien. Meines Erachtens stammt dieses ganze Passwortgemerke aus einer Zeit, in der man realistischerweise sein eigenes Passwort auch mal auf einem fremden System (Internetcafe z.B.) eingegeben hat. Mitterweile hat jeder 1-3 eigene Geräte, auf denen man die Passwörter sichern kann. Da der Bedarf an Merken entfällt, kann (und sollte, meiner Meinung nach) man auf das Speichern umsteigen.
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
RamSpeicher schrieb: Das deine Passwörter auch immer gleich so Ordinär sein müssen 😀
Das war natürlich nur ein Beispiel 😛 Wobei man damit natürlich auch immer daran erinnert wird, dass man sein Passwort nicht weitergeben will 😀
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
unbuntuS12 schrieb: Da der Bedarf an Merken entfällt, kann (und sollte, meiner Meinung nach) man auf das Speichern umsteigen.
In der Tat. Außerdem sollte man natürlich, wo möglich, auf 2-Faktor-Authentifizierung setzen.
|
RamSpeicher
Anmeldungsdatum: 17. Juli 2009
Beiträge: 2508
|
misterunknown schrieb:
Das war natürlich nur ein Beispiel 😛 Wobei man damit natürlich auch immer daran erinnert wird, dass man sein Passwort nicht weitergeben will 😀
Besten Dank 👍 so herzhaft habe ich schon lange nicht mehr gelacht 🤣
|
UlfZibis
(Themenstarter)
Anmeldungsdatum: 13. Juli 2011
Beiträge: 3023
Wohnort: Köln
|
Hier noch die header der beiden E-Mails: Return-Path: <ticket@beanzcoffee.com>
Received: from beanzcoffee.com ([193.124.201.174]) by mx.emig.kundenserver.de
(mxeue112 [217.72.192.66]) with ESMTP (Nemesis) id 1Mi3aJ-1fiwQo3i41-00dtXx
for <ich@server.de>; Sat, 20 Oct 2018 15:38:47 +0200
Received: from beanzcoffee.com ([193.124.201.174]) by mx.emig.kundenserver.de
(mxeue112 [217.72.192.66]) with ESMTP (Nemesis) id 1Mi3aJ-1fiwQo3i41-00dtXx
for <ich@server.de>; Sat, 20 Oct 2018 15:38:47 +0200
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; s=mail; d=beanzcoffee.com;
h=From:Content-Transfer-Encoding:Content-Type:Mime-Version:Subject:Message-Id:Date:To; i=ticket@beanzcoffee.com;
bh=vSvcMSl22S+GPc2ww4/yzlv1uFhA4uyKlUnorv8VGho=;
b=QBFBvuRJxch1BromNiF5MrP/pfnJnAx5vJRKErZ3LxlAtns6ULkjwHUlzA4YTTO4rDfDfG2ACCI7
6pT1mIFojy1Bp0j6lQwRjoPBuKH5gdWipPQTgHZiTcVWnf6NkGUHyi/JLEA0JPatt8XB0KF8Siph
JFpODMYAeOq0449U2C0=
From: ticket@beanzcoffee.com
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain; charset=UTF-8
Mime-Version: 1.0 (1.0)
Subject: ich - ******
Message-Id: <4DAD8BC7-5792-7C71-5F19-55A8D2158467@beanzcoffee.com>
Date: Sat, 20 Oct 2018 16:40:02 +0300
To: ich@server.de
X-Mailer: iPad Mail (13E238)
Envelope-To: <ich@server.de>
X-Spam-Flag: YES
Return-Path: <herzmann@go4more.de>
Received: from static-65-152-229-77.ipcom.comunitel.net ([77.229.152.65]) by
mx.emig.kundenserver.de (mxeue012 [212.227.15.40]) with ESMTP (Nemesis) id
1Mcoz4-1fhYfx3YbS-00ZvGb for <ich@server.de>; Mon, 29 Oct 2018 17:24:44
+0100
Received: from static-65-152-229-77.ipcom.comunitel.net ([77.229.152.65]) by
mx.emig.kundenserver.de (mxeue012 [212.227.15.40]) with ESMTP (Nemesis) id
1Mcoz4-1fhYfx3YbS-00ZvGb for <ich@server.de>; Mon, 29 Oct 2018 17:24:44
+0100
Message-ID: <22E0CBF10909DA33F1DAE01818CB22E0@R96J0RA>
From: <ich@server.de>
To: "******" <ich@server.de>
Subject: ich@server.de has password ******. Password must be changed
Date: 29 Oct 2018 16:57:33 +0000
MIME-Version: 1.0
Content-Type: text/plain;
charset="ibm852"
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Envelope-To: <ich@server.de>
X-Spam-Flag: YES
Ich denke, dass ich daraus richtig schließe, dass das betreffende E-Mail-Konto <ich@server.de> nicht geknackt wurde.
Auch die Tatsache, dass die Mails im Spamordner waren. Sonst wäre es für den Spammer ja ein leichtes gewesen, sie im normalen Posteingang zu platzieren, damit ich sie auch lese. Fazit: Ich werde das Passwort nicht mehr verwenden, und es da, wo ich es noch nachvollziehen kann, ändern, und außerdem Zug um Zug auf die von unbuntuS12 proklamierte Strategie umsteigen. Alle anderen von mir verwendeten Passwörter zu ändern wäre wohl überängstlich und ist zudem vom Aufwand her auch gar nicht zu machen. Die Sache mit dem InternetCafé oder fremder Rechner ist aber tatsächlich ein Problem, denn ich habe eher selten ein Gerät dabei, wo alle meine Passwörter drauf gespeichert sind, was zudem auch gefährlich wäre, wenn es mal abhanden käme. Außerdem kommt es mir ziemlich mühsam und fehleranfällig vor, kryptische Zufallspasswörter visuell kopieren und manuell eintippen zu müssen.
|
UlfZibis
(Themenstarter)
Anmeldungsdatum: 13. Juli 2011
Beiträge: 3023
Wohnort: Köln
|
UlfZibis schrieb:
Nun mache ich mir aber Sorgen, ob ich evtl. Malware auf meinem Ubuntu-Rechner habe. Wie könnte ich das feststellen? Bearbeitet von sebix: Akkurateren Titel gesetzt.
Ich wollte den Fokus auf meine tatsächlich ernst gemeinte Frage im letzten Satz richten. Durch den neuen Titel geht das leider unter.
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
UlfZibis schrieb: Nun mache ich mir aber Sorgen, ob ich evtl. Malware auf meinem Ubuntu-Rechner habe. Wie könnte ich das feststellen?
Ich wollte den Fokus auf meine tatsächlich ernst gemeinte Frage im letzten Satz richten. Durch den neuen Titel geht das leider unter.
Das kommt auf die Malware an. Je besser sie ist, desto schlechter findest du sie. Daher mein Vorschlag einfach dein System neu aufzusetzen, und so wenige Daten wie möglich (und wenn dann nur handverlesen) zu übernehmen.
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5323
|
misterunknown schrieb: UlfZibis schrieb: Nun mache ich mir aber Sorgen, ob ich evtl. Malware auf meinem Ubuntu-Rechner habe. Wie könnte ich das feststellen?
Ich wollte den Fokus auf meine tatsächlich ernst gemeinte Frage im letzten Satz richten. Durch den neuen Titel geht das leider unter.
Das kommt auf die Malware an. Je besser sie ist, desto schlechter findest du sie. Daher mein Vorschlag einfach dein System neu aufzusetzen, und so wenige Daten wie möglich (und wenn dann nur handverlesen) zu übernehmen.
Dafuer gibt es keine Indikatoren. Solche Mails gibt es zu Hauf. Siehe auch https://www.watchlist-internet.at/news/erpresserische-e-mails-drohen-mit-masturbationsvideo/
|
RamSpeicher
Anmeldungsdatum: 17. Juli 2009
Beiträge: 2508
|
sebix schrieb:
Dafuer gibt es keine Indikatoren. Solche Mails gibt es zu Hauf. Siehe auch https://www.watchlist-internet.at/news/erpresserische-e-mails-drohen-mit-masturbationsvideo/
Jetzt wo ich das nochmal auf Deutsch gelesen habe, wäre ich auch allerspätestens bei der Webcam Stutzig geworden bzw. hätte es als Fake enttarnt, wenn man Weiß das man keine Cam am Bildschirm/Laptopdeckel hat. @ UlfZibis Andererseits sagtest Du ja oben das Du auch an anderen Rechnern gesessen hast wo eine dran war, dann klebe die doch das nächste mal ab, dann hast Du auch deine Privatsphäre 😀 Trotzdem wäre Interessant zu Erfahren, wenn das Scam Mails sind, woher kannte der Scammer dein Passwort von dem Yahoo Konto? Gut Yahoo ist schon oft ins Visier geraten. Von daher war das schon mal Schlecht das Du das Passwort von dort auch wo anders eingesetzt hast. Deswegen ist die Sache auch grundsätzlich schwierig einzuschätzen.
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5323
|
RamSpeicher schrieb: Trotzdem wäre Interessant zu Erfahren, wenn das Scam Mails sind, woher kannte der Scammer dein Passwort von dem Yahoo Konto? Gut Yahoo ist schon oft ins Visier geraten. Von daher war das schon mal Schlecht das Du das Passwort von dort auch wo anders eingesetzt hast.
Aus oeffentlich verfuegbaren Listen aus vergangenen Hacks.
|