Menü
Security

"Undercover-Engel" warnt Opfer von Passwortklau

Mehrere Leser haben sich irritiert mit heise Security in Verbindung gesetzt. Sie hatten Mails erhalten, in deren Betreff eines ihrer Passwörter steht. Der Absender will angeblich aufklären und bittet um Spenden.

Von
vorlesen Drucken Kommentare lesen 205 Beiträge

Ein selbsternannter "Undercover-Engel" verschickt derzeit E-Mails an Nutzer, deren Passwörter in Untergrund-Börsen gehandelt werden. heise Security liegen verschiedene Ausführungen der Mails vor, in denen der Empfänger darüber aufgeklärt wird, dass sein Passwort kompromittiert wurde. Der Betreff lautet "Ist ihr Passwort 'meinpasswort'? Bitte lesen Sie meine Mail." und enthält ein Passwort, dass der Empfänger tatsächlich nutzt oder genutzt hat. Teilweise gibt der Verfasser auch an, bei welcher Website die Daten angeblich abgegriffen wurden.

"Also, Sie werden sich natürlich erstmal fragen von wo ich überhaupt Ihr Passwort habe? Ganz einfach erklärt, ich habe es auf einem Schwarzmarkt in den 'dunklen Ecken' des Internets gekauft", heißt es in der Mail. Der anonyme Verfasser gibt vor, die Daten allein aus Nächstenliebe erstanden zu haben, weil er in der Vergangenheit selbst Opfer von Identitätsdiebstahl geworden sei: "Sie müssen mich [...] als 'Undercover-Engel' unter diesen ganzen Betrügern und Hackern sehen – ich bin dort unterwegs um Menschen wie Sie vor Datenmissbrauch zu schützen!".

Abschließend bittet der Absender noch um eine kleine Spende für seine gute Tat, die über das weitgehend anonyme Zahlungsmittel Paysafecard oder Bitcoins entrichtet werden kann. Ein Blick in die Bitcoin-Blockchain zeigt, dass zumindest in dem uns bekannten Wallet bisher keine Zahlungen eingegangen sind. Möglicherweise nutzt der Absender aber auch mehrere Wallets, schließlich kann man diese unbegrenzt generieren.

Er verschickt die Mails über einen Provider, der damit wirbt, die Anonymität seiner Nutzer zu schützen – wer hinter der Aktion steckt, ist unbekannt. Ob hier tatsächlich ein "Undercover-Engel" am Werk ist oder aber versucht wird, mit kompromittierten Zugangsdaten weiteres Geld zu machen, bleibt unklar. Eindeutig ist hingegen, was zu tun ist, wenn man eine solche Mail erhält: Man sollte freilich überall das Passwort ändern, wo das im Betreff der Mail angegebene zum Einsatz kommt. (rei)