2341632

Erpresserviren: Beim Bezahlen Tor-Browser nutzen

19.04.2018 | 09:46 Uhr |

Eine neue Betrugsmasche trifft die Opfer von Erpresserviren doppelt. Denn Kriminelle stehlen das Geld, das Erpressungsopfer bezahlen wollen. So läuft ein doppelter Betrug ab.

Zunächst wird ein PC-Benutzer Opfer eines Erpresservirus. Der Infektionsweg ist der übliche: Ein falscher Klick auf einen Link und der Erpresservirus kann sich über eine Sicherheitslücke im System in Windows einnisten. Von dort aus verschlüsselt er alle Dateien des PC-Nutzers und fordert dann mittels Popup-Fenster oder Infodatei ein Lösegeld für die Freigabe der Dateien. Dieses Lösegeld soll nun per Bitcoins an eine Adresse im Tor-Netzwerk, dem Darknet, überwiesen werden.

Grundsätzlich wird zwar empfohlen, ein derartiges Lösegeld nicht zu bezahlen, dennoch entscheiden sich viele Opfer für eine Zahlung, um so möglichst schnell wieder an die eigenen Daten zu kommen. Das stellt sie dann vor zwei Herausforderungen: Denn sie müssen erstens Euros in Bitcoins eintauschen. Das klappt zwar zum Beispiel unter www.bitcoin.de gefahrlos, dauert aber einige Zeit. Und sie müssen zweitens eine Seite im Tor-Netzwerk aufrufen. Sie haben ein Format wie etwa http://bezahlensiehier.onion. Dafür benutzt man entweder spezielle Software wie den Tor-Browser oder man verwendet einen Proxy-Dienst im normalen Browser, der die Anfragen in das Tor- Netzwerk überträgt. Tatsächlich empfehlen viele Erpresserviren die Nutzung von solchen Proxy-Diensten, wie etwa www.onion.to oder www.onion.top. Das erspart dem Opfer die Installation der Zusatzsoftware, was ihm aus Sicht der Erpresser eine Hürde beim Bezahlen nehmen soll.

Links sehen Sie eine Erpresser-Website im Tor-Browser, rechts sehen Sie die manipulierte Site in einer Tor-Proxy-Seite.
Vergrößern Links sehen Sie eine Erpresser-Website im Tor-Browser, rechts sehen Sie die manipulierte Site in einer Tor-Proxy-Seite.
© www.proofpoint.com

Für die Verwendung eines Tor-Proxy-Dienstes wie www.onion.to muss man an die eigentliche Tor-Netzwerkadresse (Onion- Adresse) nur ein „.to“ anfügen. Für den Dienst www.onion.top fügt man „.top“ an. In unserem Beispiel wird also aus http://bezahlensiehier.onion – was nur im Tor-Browser funktioniert – die Adresse http://bezahlensiehier.onion.top, die auch in einem normalen Browser funktioniert. Der doppelte Betrug: Opfer eines Erpresservirus wurden beim Bezahlen des Lösegeldes über den Proxy Onion.top erneut übers Ohr gehauen. Denn der weitere Betrüger leitete ihre Bitcoins nicht an die Adresse der Erpresser weiter, sondern er leitete sie in die eigene Tasche um. Ob die Betreiber von Onion.top hinter dem Diebstahl stecken oder jemand anderer, war bis zum Redaktionsschluss unklar.

Durch die Umleitung der Bitcoins gehen die Erpresservirenverbreiter jetzt allerdings leer aus, weshalb sie dem Opfer des Virus keinen Entschlüsselungscode senden werden.

Das Opfer ist somit meistens mehrere hundert Euro los und bleibt dennoch auf seinen verschlüsselten Daten sitzen.

Tor-Browser: Wenn Sie also das Pech haben, Opfer eines Erpresservirus zu werden und sich dazu entscheiden, das Lösegeld zu bezahlen, dann sollten Sie dafür den Tor-Browser benutzen. Wie dies geht, erklärt Ihnen unser Ratgeber. Weitere, englischsprachige Infos zur doppelten Betrugsmasche finden Sie bei Sicherheitsspezialisten wie etwa www.proofpoint.com.

Tipp: Erpresserviren auf Android: So retten Sie Ihre Daten.

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2341632