The Internet is Porn singt Treckie im Broadway Musical Avenue Q. Und während Statistiken darüber, wie relevant pornographische Inhalte für das Internet als Ganzes nicht 100% klar sind, ist es gänzlich fair festzuhalten, dass diese Art von Inhalten ihren Teil zur bisherigen Geschichte des Webs beigetragen haben. “Sex Sells”, online mehr als auf jedem anderen Kanal. Das ist allgemein bekannt, auch unter Verbrechern und Betrügern.

Sextortion ist ein Kofferwort, das sich aus dem englischen Wort für Erpressung (Extortion) und Sex ableitet. Es definiert den Akt, Druck auf ein Opfer mittels Aspekten der Sexualität aufzubauen. Nicht selten drohen Kriminelle dem Opfer mit der Veröffentlichung von heiklen oder peinlichen Inhalten und bieten an, ihre Diskretion für eine oftmals nicht geringe Summe zu wahren.

Erst vor kurzem macht eine weltweite Welle von Sextortion die Runde um den Globus, in der eine Variante des sogenannten Credential Stuffings genutzt wurde. Das heisst, dass reale Passwörter aus Datenbreaches genutzt wurden, um den Drohungen mehr Kredibilität zu verleihen. Natürlich waren die Drohungen selber, über die teils gültigen Credentials hinaus, kompletter Unfug. Aber die Betrugskampagne war erfolgreicher als erwartet, zumal viele Personen nach wie vor über eine limitierte Anzahl von Passwörtern, meistens sogar nur über ein Passwort, Singular, verfügen und somit der Drohung mehr Bedeutung zugemessen haben, als diese effektiv verdient.

Soviel zur Definition. Aber gehen wir etwas in die Tiefe.

Wie funktioniert Sextortion?

Kurz zusammengefasst funktioniert Sextortion darum, weil Sexualität immer noch ein Thema ist, das ein grosser Teil der Bevölkerung als privat, manchmal sogar als unangemessen und beschämend betrachtet. Diese Aussage gilt im Speziellen für den Konsum von Internetpornographie. Und trotzdem, vermutlich zur Überraschung von kaum einem Leser, ist sexuell explizites Material im Internet allgegenwärtig. Die Webseite Pornhub konnte in 2017 rund 28,5 Milliarden Besuche, verteilt über alle Kontinente dieses Planeten, verzeichnen. In der selben Zeit wurden rund 118 Gigabyte an Traffic pro Sekunde ausgeliefert. Ja, das ist richtig: Währendes Lesens dieses Satzes hat Pornhub ungefähr ein Terabyte an Inhalt an seine Nutzer verteilt.

Auch wenn die Popularität von Erwachsenen-Inhalten vielerorts ein offenes Geheimnis darstellt, ist das Stigma, das damit assoziiert ist, immer noch in die jeweiligen Gesellschaften eingebettet. Das ist exakt der Aspekt, der durch Kriminelle ausgenutzt wird, um Kasse zu machen.

Wir müssen grundsätzlich zwei Formen von Sextortion unterscheiden: Effektive Sextortion und Sextortion Scams. Diese unterscheiden sich in einem spezifischen Aspekt: Bei effektiver Sextortion ist kompromittierendes Material vorhanden, das auch wirklich gegen die Zielperson eingesetzt werden kann. Üblicherweise ist dieses Material von Speicherorten des Opfers (z.B. iCloud oder Dropbox) entwendet worden. Oder der Nutzer wurde mittels Catfishing damit gebracht, dieses Material für die Kriminellen zu produzieren und diesen zuzustellen. Üblicherweise passiert das dadurch, dass sich die Täter als attraktive Person des präferierten Geschlechts des Opfers ausgeben, um so über eine gewisse Zeit hinweg das Opfer dazu zu bewegen, dieses Material herzustellen.

Sextortion Scams dagegen sind die verbreitetere Variante in jüngster Vergangenheit. Es handelt sich hier um eine Mischung aus sehr mondänen Spam-Emails, gemischt mit einigen Vermutungen über die Zielgruppe und einem Schuss Credential Stuffing. Das Opfer erhält hier ein Email, das ihn darüber informiert, dass sein Gerät kompromittiert wurde. Er wäre daraufhin beobachtet worden, wie er Pornoseiten besucht und entsprechende begleitende Aktivitäten vorgenommen hätte. Um dieser Behauptung mehr Kredibilität zu verleihen, legen die Täter oftmals Passwörter, die aus vergangenen Zwischenfällen und Data Breaches (z.B. Adobe oder Dropbox) stammen, bei. Zusätzlich wird Druck generiert, in dem eine sehr enge Timeline zur Bezahlung des geforderten Betrags gesetzt wird. The Effektivität dieses Vorgehens hängt massiv von einer Reihe von Fragen ab:

• Hat das Opfer jüngst eine Webseite mit pornografischem Inhalt besucht?
• Erkennt das Opfer sein (altes) Passwort?
• Verfügt das Opfer über eine unabgedeckte Webcam?
• Ist das Opfer unerfahren im Umgang mit technischen Geräten?
• Hat das Opfer Angst davor, öffentlich blossgestellt zu werden?

Die Wahrscheinlichkeit, dass ein Opfer in Panik verfällt und Willens ist, der Forderung nachzukommen, erhöht sich mit jedem Ja in der Liste der obenstehenden Fragen. Dasselbe ist natürlich in effektiven Sextortion Fällen auch gegeben, wo sich das Opfer sehr klar bewusst ist, dass es sich durch seine Handlungen verwundbar gemacht hat und diese Situation nun zu bereinigen versucht. Es ist hier natürlich naheliegend, dass diese Situation deutlich schwieriger ist, wenn effektiv kompromittierendes Material vorliegt. Trotzdem ist es wichtig sich bewusst zu sein, dass das Opfer hier keine Verantwortung dafür trägt, dass es bedroht und erpresst wird. Die Ausübung von Druck sowie auch Erpressung als solches ist eine Straftat, die von den Behörden verfolgt wird, auch wenn sie unter Umständen durch Nachlässigkeit und einen Mangel an gesundem Menschenverstand ermöglicht wurde.

Glaubt man einem Bericht des fedpols, auf den das Schweizer Newsportal Watson vor einiger Zeit aufmerksam machte, so wurden im Jahr 2017 rund 161 Fälle von Sextortion in der Schweiz gemeldet. Auch das fedpol weist noch einmal darauf hin, dass diese Fälle aktiv verfolgt und auch bestraft würden, sofern ein Täter ausgemacht werden kann.

Die richtige Reaktion auf Sextortion

Das Internet hat eine ganz neue Dimension eröffnet, was das Blossstellen von Individuen ermöglicht. In seinem Buch So You’ve Been Publicly Shamed erläutert der Autor Jon Ronson im Detail, wie brutal und eskalierend Internetgerechtigkeit funktionieren kann, bis zu einem Punkt wo deren Zielpersonen von negativen Reaktionen und Drohungen komplett überfordert werden. In vielen Fällen ist das öffentliche Blossstellen einer Person, mit viralen Auswirkungen, eine enorme Extremsituation für die Betroffenen.

Aber: Das Bewerkstelligen einer solchen Verbreitung ist mit viel Arbeit verbunden. Sogar Material im Umkreis das Opfers zu streuen ist nicht trivial und generiert Aufwand. Aufwand, den zumindest Scammer oftmals nicht betreiben wollen. Speziell in Fällen, wo Drohungen ohne grosses Fundament und wenig personalisiert ausgesprochen werden, sollen oft unsichere und technische unversierte Ziele getroffen werden, die lieber auf die Forderungen eingehen, als die effektiven Konsequenzen abzuwarten.

In Fällen von Sextortion Scams ist dies speziell der Fall, da in der absoluten Mehrheit der Fälle gar kein kompromittierendes Material existiert. Diese Maschen, mit Passwörtern aus vorherigen Dumps und mit verbalen, aufgeblasenen Drohungen sind lediglich Schall und Rauch. Und als solche sollten sie unbeachtet bleiben.

Trotzdem: Sollte eine direkte Drohung eingehen, die auf Ihre Person abzielt, sollten Sie direkt den Gang zur Polizei wagen und aktiv Gegenwehr betreiben, um nicht zum Opfer zu werden.

Über den Autor

Stefan Friedli gehört zu den bekannten Gesichtern der Infosec Community. Als Referent an internationalen Konferenzen, Mitbegründer des Penetration Testing Execution Standard (PTES) und Vorstandsmitglied des Schweizer DEFCON Group Chapters trägt er aktiv zum Fortschritt des Segmentes bei.

Links

• https://nakedsecurity.sophos.com/2013/11/04/anatomy-of-a-password-disaster-adobes-giant-sized-cryptographic-blunder/
• https://www.theguardian.com/technology/2014/sep/01/naked-celebrity-hack-icloud-backup-jennifer-lawrence
• https://www.troyhunt.com/the-dropbox-hack-is-real/
• https://www.watson.ch/schweiz/sex/164696536-sextortion-161-faelle-von-erpressung-mit-intimen-aufnahmen-gemeldet
• https://www.youtube.com/watch?v=LTJvdGcb7Fs