Support-Erpressung

lessi · 24. Oktober 2022 um 10:21

Hallo allerseits,

um euch den kurzzeitig erhöhten Pult zu ersparen: Heute morgen habe ich eine Mail erhalten, offenkundig über das Support-Formular von Moodle 4.0 abgeschickt, mit folgendem Inhalt:

BETREFF: Ihre Datenbanken wurden extrahiert

Seien Sie vorsichtig mit dieser Mitteilung, Der Absender war nicht
angemeldet und seine Identität wurde nicht geprüft.

		 NAME

		Dwight Birchell

-------------------------

		 E-MAIL-ADRESSE

		no-reply@xxxxxx.nl

-------------------------

		 BESCHREIBUNG

		BITTE leiten Sie diese E-Mail an jemanden in Ihrem Unternehmen weiter,
der wichtige Entscheidungen treffen darf!

Wir haben Ihre Website gehackt https://xxxxxx.de und Ihre
Datenbanken extrahiert.

Wie ist es passiert?

Unser Team hat eine Schwachstelle auf Ihrer Website gefunden, die wir
ausnutzen konnten. Nachdem wir die Schwachstelle gefunden hatten, konnten
wir Ihre Datenbankanmeldeinformationen abrufen und Ihre gesamte Datenbank
extrahieren und die Informationen auf einen Offshore-Server verschieben.

Was bedeutet das?

Wir werden systematisch eine Reihe von Schritten durchlaufen, um Ihren Ruf
vollständig zu schädigen. Zuerst wird Ihre Datenbank geleakt oder an den
Höchstbietenden verkauft, den sie mit welchen Absichten auch immer
verwenden werden. Als nächstes, wenn E-Mails gefunden werden, werden sie
per E-Mail darüber informiert, dass ihre Informationen verkauft wurden
oder durchgesickert sind, und Ihre Website https://xxxxxxxx.de schuld
daran war, Ihren Ruf zu schädigen und verärgerte Kunden/Mitarbeiter zu
haben, was auch immer verärgerte Kunden/Mitarbeiter tun. Schließlich
werden alle Links, die Sie in den Suchmaschinen indexiert haben, basierend
auf Black-Hat-Techniken de-indexiert, die wir in der Vergangenheit
verwendet haben, um unsere Ziele zu de-indexieren.

Wie stoppe ich das?

Wir sind bereit, den Ruf Ihrer Website gegen eine geringe Gebühr nicht zu
zerstören. Die aktuelle Gebühr beträgt 2900 $ in bitcoins (0,15 BTC).

Bitte senden Sie die bitcoin an die folgende bitcoin-Adresse (bitte
kopieren und einfügen):

3EEx3ewxxxxxxxxxxxxxxxxxxxx

Sobald Sie bezahlt haben, werden wir automatisch darüber informiert, dass
es Ihre Zahlung war. Bitte beachten Sie, dass Sie die Zahlung innerhalb von
5 Tagen nach Erhalt dieser E-Mail leisten müssen, da ansonsten das
Datenbankleck, die E-Mails versendet und die De-Indexierung Ihrer Website
beginnen wird!

Wie bekomme ich bitcoins?

Sie können bitcoins ganz einfach über mehrere Websites oder sogar offline
an einem bitcoin-Geldautomaten kaufen.

Was ist, wenn ich nicht bezahle?

Wenn Sie sich entscheiden, nicht zu zahlen, werden wir den Angriff zum
angegebenen Datum starten und ihn aufrechterhalten, bis Sie dies tun. Es
gibt keine Gegenmaßnahme dagegen, Sie werden am Ende nur mehr Geld
verschwenden, wenn Sie versuchen, eine Lösung zu finden. Wir werden Ihren
Ruf bei Google und Ihren Kunden vollständig zerstören.

Dies ist kein Scherz, antworten Sie nicht auf diese E-Mail, versuchen Sie
nicht, zu argumentieren oder zu verhandeln, wir werden keine Antworten
lesen. Sobald Sie bezahlt haben, werden wir aufhören, was wir getan haben,
und Sie werden nie wieder von uns hören!

Bitte beachten Sie, dass bitcoin anonym ist und niemand erfahren wird, dass
Sie sich daran gehalten haben.

Sehr unwahrscheinlich, dass ein fähiger Hacker mich über das Supportformular informieren würde, also ein ganz einfacher Einschüchterungsversuch, um eine „geringe Gebühr“ einzustreichen.

Ich habe jetzt das Moodle-Supportformular auf die index.php umgelenkt, um solch Spam zu verhindern. Schüler können mich mit ihren Problemen auch in der Schule kontaktieren…

Jesko · 24. Oktober 2022 um 10:45

Huhu
nicht nur sehr unwahrscheinlich, dass du über diesen Kanal kontaktiert würdest… auch die sehr amüsante Beschreibung der nächsten Schritte ("…mit Black-Hat-Techniken de-indexiert…" ROFL) ist äußerst entlarvend…

… und warum ich jetzt den Meistbietenden verwenden soll und meine Absichten sogar egal sind…
ich werf mich weg

LG Jesko

liv_uo · 24. Oktober 2022 um 11:03

Ja, über das „Support-Formular“ von Moodle 4.0 werde ich auch regelmässig mit Spam beglückt.

Das „Future“ ist zwar nett gemeint, aber nicht wirklich nützlich

Wie geht das? Danach suche ich schon die ganze Zeit.

VG Andreas

lessi · 24. Oktober 2022 um 13:36

Hallo Andreas,

unter Administration - Server - Support-Anfragen in „Support-Seite“ folgendes eingeben:
https://[DeineURL]/index.php

Dann führt jeder Klick auf den Support-Link (oder dessen automatisierter Direktaufruf) nur wieder zur Moodle-Startseite.

Viele Grüße,
Stefan

liv_uo · 24. Oktober 2022 um 14:35

Hallo Stefan,
man muss nur wissen wo …
Vielen Dank, das hat mir arg geholfen, es nerven diese Spammer …
Vielleicht den Link auf „Der Bastard Operator From Hell“ legen
VG Andreas

crazy-to-bike · 24. Oktober 2022 um 16:47

Hallo,

ich habe heute per Mail einen ähnlichen „Erpressungsbrief“ erhalten.
Absender meine Mailadresse, aber wir wissen ja, dass man das faken kann.

Angeblich sind alle meine Geräte gehackt und es wurden Videoaufnahmen von mir gemacht, wie ich am Rechner unlautere Dinge mache.
Blöd nur, dass weder das zutrifft, noch meine Kamera am NB dank Shutter nutzbar ist.

Und Spam über Moodle bekomme ich auch, aber nun ja auch eine Lösung.

Viele Grüße
Steffen

liv_uo · 24. Oktober 2022 um 17:33

Hallo @ll,
mein Spamaufkommen ist im unteren zweistelligen Bereich und das erst seit Moodle 4.0.
Zwar keine „Erpressermails“, aber drotzdem Spam.
Ich habe meine 5 Moodle-Plattformen nicht „veröffentlicht“ und frage mich natürlich wie sie auf mich kommen.
Mein Eindruck ist, als ob das per Script gefunden wird, weil:
Ich habe auf all meinen Seiten einen „Hilfe/Support“-Button (html/php - ganz simpel), der beim Anklicken das Mailprogramm öffnet, Empfängeradresse und Betreff ausfüllt.
Darüber habe ich noch NIE Spams erhalten. Siehe Grafik.
VG Andreas