Sextortion

Sextortion ist die Erpressung mit Hilfe von sexuellen Inhalten. Manche Leute nennen diese Art von Angriffen auch die „Porno-Masche“.

Bei Sextortion geben kriminelle Akteure vor, im Besitz von pikantem Material von ihren Opfern zu sein und drohen damit, diese Informationen und Daten zu veröffentlichen.

Daher auch der Name “Sextortion”. Er setzt sich aus den englischen Begriffen Sex und Extortion zusammen. Extortion heißt übersetzt Erpressung.

Wie gehen Cyberkriminelle bei Sextortion-Angriffe vor?

Sextortion kann auf unterschiedliche Weise erfolgen. Die Polizei zum Beispiel unterscheidet grundsätzlich zwischen zwei Phänomenen:

Sextortion nach Kontaktaufnahme über soziale Medien oder ähnliches
Sextortion nach Datenlecks

In beiden Fällen kann davon ausgegangen werden, dass die Erpresser tatsächlich über sensibles Material ihrer Opfer verfügen.

Sextortion nach Kontaktaufnahme über soziale Medien

In diesem Fall nehmen die Bedrohungsakteure Kontakt zu Einzelpersonen auf. Sie schreiben sie an und stehen in direktem Kontakt mit ihnen. Sobald genügend Vertrauen aufgebaut wurde, fordern die Täter ihre Opfer auf, bestimmte Handlungen sexueller Natur vorzunehmen. Dies kann vor der Kamera geschehen, aber auch Video- und Bildaufnahmen betreffen, die das Opfer von sich selbst aufnimmt und an die Angreifer schickt. Diese speichern die Daten und nutzen sie, um das Opfer unter Druck zu setzen und Geld zu erpressen. In diesem Fall greifen die Kriminellen auf Social-Engineering-Methoden zurück. Die Kriminellen bauen eine Beziehung zu dem Opfer auf, und sobald es ihnen vertraut, wird die Situation ausgenutzt. Ein ähnlicher Ansatz ist bei einigen Phishing-Angriffen zu erkennen. Auch hier werden menschliche Emotionen, z. B. Neugier, Angst, aber auch Scham, angesprochen, die dann bestimmte Reaktionen auslösen, wie z. B. die Weitergabe vertrauenswürdiger Informationen.

Sextortion nach Datenleaks

In diesem Fall hat der Kriminelle tatsächlich Zugriff auf den Computer und kann Dateien einsehen. Dies kann unter anderem durch das Einschleusen von Viren und anderer Schadsoftware, das Knacken von Passwörtern, aber auch durch die Nutzung ungesicherter WLAN-Verbindungen geschehen. Hat der Angreifer Zugriff auf die Systeme und Daten, kann er gezielt nach pikantem Material suchen, das er für den Erpressungsversuch verwenden kann. Dabei kann es sich auch um Bild- und Videomaterial handeln, das die Person selbst zeigt. Aber auch Chatverläufe, eine Übersicht über besuchte Seiten oder tatsächlich konsumiertes pornografisches Material nutzen die Täter, um die Opfer unter Druck zu setzen.

Eine weitere Methode – das Spiel mit der Angst

Neben diesen beiden Arten von Angriffen gibt es aber auch Erpressungsversuche, bei denen der Angreifer nur mit der Angst spielt und an das Schamgefühl des Opfers appelliert, aber eigentlich kein pikantes Material hat. Hier werden Erpresserbriefe an oftmals zufällig gewählte Personen – meist per E-Mail – verschickt. In den Nachrichten wird erklärt, wie die Täter an die Daten gelangt sind, und es folgt eine ungefähre Beschreibung des Materials, das angeblich in die falschen Hände geraten ist. Auch hier versucht der Betrüger, Geld zu erpressen. Doch kann durchaus auch weiterer Schaden angerichtet werden. Mit dieser Methode kann Schadsoftware auf den Geräten platziert werden. Verlinkt der Täter beispielsweise auf die angeblich gestohlenen Daten, um zu beweisen, dass er tatsächlich im Besitz der Fotos, Videos ist, muss das Opfer nur noch auf den Link klicken und schon wird Malware heruntergeladen.

Wie wahrscheinlich es ist, Opfer von Sextortion zu werden.

Sie fragen sich vielleicht, wie wahrscheinlich es ist – vor allem im Arbeitsumfeld – Opfer eines Sextortion-Angriffs zu werden und welche Bedrohung dieser Betrug konkret darstellt. Tatsächlich ist es gar nicht so abwegig. Laut dem Statusbericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur IT-Sicherheit in Deutschland 2022 machen Sextortion-E-Mails mit 76 % den größten Anteil an den Erpressungs-E-Mails aus und gehören mittlerweile neben Identitätsdiebstahl und Fake-Shops zu den Top-3-Cyber-Bedrohungen für die Gesellschaft.

Schutz vor Sextortion

Sie können einige Maßnahmen ergreifen, um sich – wenn auch oftmals eher indirekt – vor Sextortion zu schützen.

Investieren Sie in einen Mindeststandard an Cyberhygiene.

So verhindern Sie, dass sich kriminelle Hacker einfach und schnell Zugang zu Ihrem Computer und damit zu Ihren Systemen und Daten verschaffen. Dazu gehört unter anderem:

Verwenden Sie sichere und einzigartige Passwörter
Aktualisieren Sie Ihre technischen Schutzmaßnahmen regelmäßig und zeitnah
Installieren Sie eine Multi-Faktor-Authentifizierung, wo dies möglich und sinnvoll ist

Achtung: Unabhängig von Sextortion-Versuchen raten wir Ihnen, nicht auf einen Link in E-Mails zu klicken, die Ihnen dubios oder verdächtig vorkommt, denn dahinter kann sich Malware verbergen. Im Zweifelsfall sollten Sie lieber einen Umweg machen und die Seiten in Ihrem Browser suchen und so aufrufen.

Verhalten Online

Generell sollte man sich im Internet mit Vorsicht bewegen. Ein gesundes Maß an Misstrauen ist besonders bei Kontaktanfragen von Vorteil – vor allem von unbekannten Personen. Teilen Sie keine vertraulichen oder sensiblen Informationen per E-Mail, SMS oder am Telefon mit. Im Hinblick auf mögliche Sextortion-Versuche sollten Sie immer vorsichtig sein, an wen Sie welche Aufnahmen schicken. Außerdem ist es ratsam, keine intimen Handlungen in Videoanrufen vorzunehmen, da die andere Person das Video speichern oder Screenshots machen könnte. Das Material kann gegen Sie verwendet werden. Dies kann auch auf Personen zutreffen, die Sie kennen und denen Sie eigentlich vertrauen.

Sie werden bereits erpresst?

Gehen Sie nicht auf die Forderungen ein und zahlen Sie nicht. Wenden Sie sich an die Polizei und zeigen Sie den Fall an. Besprechen Sie die nächsten Schritte mit der zuständigen Behörde. Fachleute können Ihnen dann helfen, den Fall zu lösen. Auch die Beauftragung von IT-Sicherheitsexperten kann Ihnen helfen. Mit Hilfe von Cyberexperten können Sie herausfinden, ob und wie sich kriminelle Akteure Zugang zu Ihrem Computer verschafft haben. Auf diese Weise kann so mancher Erpressungsversuch im Keim erstickt werden, wenn festgestellt werden kann, dass kein krimineller Hacker Zugang zu delikaten Daten hatte.

Sextortion is blackmail using sexual content. Some people also refer to this type of attack as the ‘porn scam’.

In sextortion, criminals pretend to be in possession of explicit material about their victims and threaten to publish this information and data.

This is where the name ‘sextortion’ comes from. It is a combination of the words “sex” and ‘extortion’.

How do cybercriminals carry out sextortion attacks?

Sextortion can take various forms. The police, for example, distinguish between two basic types:

Sextortion after contact via social media or similar
Sextortion after data leaks

In both cases, it can be assumed that the blackmailers actually have sensitive material about their victims.

Sextortion after contact via social media

In this case, the threat actors contact individuals. They write to them and are in direct contact with them. Once enough trust has been established, the perpetrators demand that their victims perform certain acts of a sexual nature. This can happen in front of the camera, but it can also involve video and image recordings that the victim takes of themselves and sends to the attackers. They store the data and use it to pressure the victim and extort money. In this case, the criminals resort to social engineering methods. The criminals build a relationship with the victim and, once they have gained their trust, exploit the situation. A similar approach can be seen in some phishing attacks. Here, too, human emotions such as curiosity, fear and shame are exploited to trigger certain reactions, such as the disclosure of confidential information.

Sextortion after data leaks

In this case, the criminal actually has access to the computer and can view files. This can be achieved by infecting the computer with viruses and other malware, cracking passwords, or using unsecured Wi-Fi connections, among other methods. Once the attacker has access to the systems and data, they can search specifically for compromising material that they can use for blackmail. This may include images and videos of the person themselves. However, perpetrators also use chat histories, an overview of websites visited or pornographic material actually consumed to put pressure on their victims.

Another method – playing on fear

In addition to these two types of attacks, there are also blackmail attempts in which the attacker simply plays on the victim’s fears and appeals to their sense of shame, but does not actually have any compromising material. In these cases, blackmail letters are sent to people who are often chosen at random, usually by email. The messages explain how the perpetrators obtained the data and include a rough description of the material that has allegedly fallen into the wrong hands. Here, too, the fraudster attempts to extort money. However, further damage can also be caused. This method can be used to place malware on devices. For example, if the perpetrator links to the allegedly stolen data to prove that they are actually in possession of the photos or videos, the victim only has to click on the link and the malware is downloaded.

How likely are you to become a victim of sextortion?

You may be wondering how likely you are to become a victim of a sextortion attack, especially in the workplace, and what specific threat this type of fraud poses. In fact, it is not as far-fetched as you might think.

According to the status report of the Federal Office for Information Security (BSI) on IT security in Germany in 2022, sextortion emails account for 76% of all blackmail emails and are now one of the top three cyber threats to society, alongside identity theft and fake shops.

Protection against sextortion

There are a few measures you can take to protect yourself against sextortion, albeit often indirectly.

Invest in a minimum standard of cyber hygiene.

This will prevent criminal hackers from gaining quick and easy access to your computer and, consequently, your systems and data. This includes, among other things:

Use secure and unique passwords
Update your technical protective measures regularly and promptly
Install multi-factor authentication where possible and appropriate

Caution: Regardless of sextortion attempts, we advise you not to click on any links in emails that seem dubious or suspicious, as they may contain malware. If in doubt, it is better to take a detour and search for the pages in your browser and access them that way.

Behaviour online

In general, you should exercise caution when using the internet. A healthy degree of mistrust is particularly beneficial when it comes to contact requests, especially from unknown persons. Do not share confidential or sensitive information via email, text message or on the phone. With regard to possible sextortion attempts, you should always be careful about who you send which recordings to. It is also advisable not to engage in intimate acts during video calls, as the other person could save the video or take screenshots. The material can be used against you. This can also apply to people you know and trust.

Are you already being blackmailed?

Do not respond to the demands and do not pay. Contact the police and report the case. Discuss the next steps with the relevant authorities. Experts can then help you resolve the case. Hiring IT security experts can also help. With the help of cyber experts, you can find out if and how criminal actors gained access to your computer. In this way, many extortion attempts can be nipped in the bud if it can be determined that no criminal hacker had access to sensitive data.