Betroffenen werden Verfehlungen vorgegaukelt
Auf dem visuellen Element (Pop-up) sind nach der Infektion Vermerke wie „Ihr Computer ist gesperrt“ zu lesen. Als Grund für diese Maßnahme wird u.a. der Besuch von Webseiten „mit pornografischen Inhalten, Kinderpornographie, Sodomie und Gewalt gegen Kinder“, der Download anderer Gewalt verherrlichender Inhalte oder das Vorhalten von „Spam mit terroristischen Hintergründen“ angegeben.
Eine andere Trojaner-Variante spiegelt vor, dass „auf Ihrem Computer illegal heruntergeladene Medien (Raubkopien) gefunden“ oder Lizenzverstöße festgestellt wurden. Als angebliche Absender sind dann das BSI, die Gesellschaft zur Verfolgung von Urheberrechtsverletzungen (GVU), die GEMA oder die Antipiraterie-Abteilung von Microsoft genannt.
Die Methodik der Erpressung
Gemeinsamer Tenor aller Pop-up-Texte: Gegen ein „Bußgeld“ von 50 bis 100 Euro könne der PC wieder freigeschaltet werden. Widrigenfalls werde Anzeige erstattet. Als Überweisungssysteme werden Ukash und Paysafecard genannt. Dabei handelt es sich um elektronische Zahlungsmittel nach dem Prepaid-System. Internetkriminelle und Geldwäscher machen in zunehmendem Maße missbräuchlich von dieser Zahlungsmethode Gebrauch, weil sich der Weg des Geldes kaum nachverfolgen lässt. Je Karte ist die Höchstsumme ohne Vorlegen des Personalausweises qua Gesetz auf 100 Euro festgelegt, sonst würden die Kriminellen ganz sicher mehr verlangen. Neuerdings arbeiten die Internetkriminellen aber auch mit teuren Mehrwertdienstrufnummern oder ebenso teuren SMS.
Mit aus dem Internet kopierten Logos, beispielsweise des BKA oder der Bundespolizei, wird der behördliche Charakter der angeblichen Mitteilung in den Pop-ups untermauert. Von offizieller Seite heißt es dazu: „Weder das Bundeskriminalamt noch die Bundespolizei sind Urheber einer solchen Meldung. In dem vorliegenden Fall handelt es sich um einen Betrugsversuch. Die Polizeien in Deutschland nutzen in keinem Fall Pop-Up-Fenster, in denen zur Zahlung bestimmter Beträge aufgefordert wird.“ Auch die in London ansässige Prepaid Services Company Ltd. weist darauf hin: „paysafecard wird aktuell weder vom BKA, von der GVU, Anwälten, der Gema oder Gerichten als Zahlungsmittel genutzt“.
Zahlung des erpressten Betrages ist wirkungslos
Zudem nützt die Zahlung rein gar nichts. „Nach den bisher vorliegenden Erkenntnissen erfolgt auch nach Zahlung des geforderten Betrags keine ‚Freischaltung‘ des Rechners“, teilt das Landeskriminalamt Niedersachsen mit. In einigen dokumentierten Fällen wurden auch weitere Erpressungsbeträge gefordert. Grundsätzlich gilt daher:
- Zahlen Sie auf keinen Fall!
Dieser Tipp ist nicht immer leicht umzusetzen, denn die Kriminellen geben sich alle Mühe, den betroffenen PC-Nutzer in Angst zu versetzen. So werden in der Pop-up-Meldung häufig die IP-Adresse und der Computername eingeblendet. Eine neue Version des „BKA-Trojaners“ treibt die Verunsicherung auf die Spitze. Auf dem Pop-up wird ein Live-Bild der Webcam, also evtl. auch ein Konterfei des davor Sitzenden, gezeigt. „Der betroffene Anwender soll auch hier eingeschüchtert werden und zu einer Strafzahlung von 100 € bewegt werden, um den Computer wieder ‚freizugeben‘ “, konstatiert das Anti-Botnetz-Beratungszentrum von eco (Verband der deutschen Internetwirtschaft e.V.)
Trojaner verbreitet sich auch über seriöse Webseiten
Der Trojaner verbreitet sich nicht nur über Webseiten pornographischen Inhalts. Auch bei Besuch seriöser Webseiten kann man sich das Schadprogramm einfangen. Eine Vielzahl solcher ganz normaler Sites wird von Hackern gezielt manipuliert, indem in iFrames/Werbebanner etc. versteckte bösartige Inhalte eingebettet wurden.
Das Prinzip des Drive-by-Downloads
Der Trojaner arbeitet nach dem Prinzip des Drive-by-Downloads. Dies bedeutet, dass bereits durch einfaches Öffnen der Internetseite ein Download ausgelöst wird, ohne dass der Nutzer dies bemerkt. Eine beliebte weitere Übertragungsmethode ist nach wie vor das Zusenden einer Mail mit einem verseuchten Anhangs bzw. eines Links auf eine manipulierte Webseite
„Verschlüsselungstrojaner“ als neue Variante
Doch es gibt es noch eine tückischere Variante, den „Verschlüsselungstrojaner“, wie das BSI berichtet. Im diesem Fall werden die Betroffenen per „Sperrbildschirm“ aufgefordert, ein kostenpflichtiges Update zu installieren, das angeblich vor Datenverlusten bewahren soll. „Die neueste Variante der Schadsoftware, der sog. Windows-Verschlüsselungs-Trojaner, wird bundesweit über Spam-Mails verbreitet.
Die angeschriebenen Personen werden z.B. im Namen einer Staatsanwaltschaft dazu verleitet, die beigefügten Anhänge zu öffnen. Doch schon beim Öffnen des Anhangs wird der PC verschlüsselt und Geld gefordert. Auch nach Bezahlen der Forderung, in der Regel 100 € per Paysafecard oder 50 € per Ukash, wird die Sperrung nicht aufgehoben. Vielmehr sind sämtliche Dateien auf dem PC so verschlüsselt, dass auch die Wiederherstellung mit einer Rettungs-CD („Rescue Disk“) nur teilweise erfolgreich ist.“
Praxishinweise
Für den Verschlüsselungstrojaner gelten laut BS folgende Schutzempfehlungen:
|