Derzeit beobachte ich bei meinen Kunden eine Welle von Formularspam, in dem behauptet wird, die Website sei gehackt worden und man werde die bei der Gelegenheit aus der Datenbank extrahierten Daten dazu nutzen, der Firma Schaden zuzufügen, ihre Datenbankinhalte an den Höchstbietenden zu verkaufen und den Ruf der Firma nachhaltig zu schädigen.
Die Mail im Wortlaut
We have hacked your website [an dieser Stelle steht die URL der Website] and extracted your databases.
Unsinniger Erpressungsversuch, als simpler Formularspam gesendet
How did this happen?
Our team has found a vulnerability within your site that we were able to exploit. After finding the vulnerability we were able to get your database credentials and extract your entire database and move the information to an offshore server.
What does this mean?
We will systematically go through a series of steps of totally damaging your reputation. First your database will be leaked or sold to the highest bidder which they will use with whatever their intentions are. Next if there are e-mails found they will be e-mailed that their information has been sold or leaked and your site [an dieser Stelle steht wieder die URL der Website] was at fault thusly damaging your reputation and having angry customers/associates with whatever angry customers/associates do. Lastly any links that you have indexed in the search engines will be de-indexed based off of blackhat techniques that we used in the past to de-index Our targets.
How do i stop this?
We are willing to refrain from destroying your site’s reputation for a small fee. The current fee is $3000 in bitcoins (0.044 BTC).
Send the bitcoin to the following Bitcoin address (Make sure to copy and paste):
[Hier steht ein Bitcoin-Code]
Once you have paid we will automatically get informed that it was your payment. Please note that you have to make payment within 5 days after receiving this e-mail or the database leak, e-mails dispatched, and de-index of your site WiLL start!
How do i get Bitcoins?
You can easily buy bitcoins via several websites or even offline from a Bitcoin-ATM.
What if i don’t pay?
We will start the attack at the indicated date and uphold it until you do, there’s no counter measure to this, you will Only end up wasting more money trying to find a solution. We will completely destroy your reputation amongst google and your customers.
This is not a hoax, do not reply to this email, don’t try to reason or negotiate, we will not read any replies. Once you have paid we will stop what we were doing and you will never hear from us again!
Please note that Bitcoin is anonymous and no one will find out that you have complied.
Formularspam – klingt bissig, ist aber Unsinn
Was ist also hier passiert? Einen Aufschluss gibt in den beobachteten Fällen bereits der Absender der Mail: es handelt sich um einen zufällig gewählten englischen Personennamen und die Absendeadresse, mit der die Website Mails versendet. Hier ist bei Formularen häufig so etwas wie „wordpress@[Domäne]“ eingetragen. Genau diese Adresse steht im Absender. Und das ist auch normal, denn es wurde nichts anderes getan, als diese Mail über das Formular der Website abzusenden. Als Antwortadresse wurde hacked@[domäne] eingetragen, um den Eindruck, es sei wirklich ein Angriff erfolgt, ein wenig zu verschärfen. Natürlich wurde keine solche Adresse angelegt und Mails dorthin würden nicht zugestellt, aber hey, die wollen ja eh keine Antworten lesen, sagen sie. Können sie auch gar nicht.
Nicht selten steht eine kleine Zeile unten in einer Mail, die vom Formular kommt, um dieses zu kennzeichnen. Das ist auch hier der Fall. Bei den bisher von mir beobachteten Mails dieser Art handelt es sich um ausgefüllte Kontaktformulare, die kaum vom Standard abweichen: jeweils ein Feld für Name, Mailadresse, Betreff und Nachricht. Je komplexer das Formular darüber hinaus wäre, umso offensichtlicher wäre der Formularspam. Vielleicht wird hier gezielt nach simplen Formularen gesucht.
Vergleichbare E-Mails haben sicher viele schon im Posteingang gesehen: Spammails, in denen vollmundig behauptet wird, man habe den Computer des Empfängers gehackt und dessen schmutzige Geheimnisse enthüllt, ihn beim Besuch von Pornowebsites über die Webcam gefilmt und allerlei andere Dinge getrieben. Auch hier wird versucht, Kryptowährung zu erpressen. Dass die Mails völlig inhaltslos sind und gar kein Hack stattgefunden hat, ist dem Empfänger vielleicht nicht klar. Ich habe schon die scherzhafte Bezeichnung „Enkeltrick für junge Männer“ für diese Mails gesehen.
Die oben zitierte Mail schlägt in die gleiche Kerbe, nur soll sie Angst um den Ruf des eigenen Unternehmens erzeugen. Dabei wurde nichts gehackt und keine Sicherheitslücke ausgenutzt. Es wurde einfach der Text in das Formular der Website kopiert und abgesendet. Quasi der Enkeltrick für Unternehmensinhaber.
Ich vermute, da diese Mails trotz vorhandener Formularspam-Abwehrmaßnahmen abgesendet wurden, dass jemand vielleicht wirklich Arbeitskräfte in Billiglohnländern dazu nutzt, diese Mails zu versenden, statt es automatisiert durch Bots erledigen zu lassen. Menschen tappen nicht in Honeypots (unsichtbare Formularfelder, die Bots ausfüllen, Menschen aber nicht), können Captchas lösen und sind langsam genug, um nicht aufzufallen. Die mir vorliegende Datenlage ist noch etwas zu dünn, um das endgültig zu beurteilen.
Sicher ist jedoch, dass diese Mails völlig bedeutungslos sind und kein erfolgreicher Angriff auf die Website stattgefunden hat. Wenn tatsächlich jemand in die Website eingebrochen wäre, hätte er Dutzende sinnvollere und lukrativere Möglichkeiten, diesen Erfolg zu nutzen. Bei allen Gefahren, denen Websitebetreiber tatsächlich durch Hacks vor allem bei schlecht gepflegten Websites ausgesetzt sind, ist zeitaufwendige Rufschädigung mit eventueller Positionsverschlechterung bei Google eine lächerliche Idee. Diese Mails sollten also ignoriert und gelöscht werden.
