Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Tagesarchiv für den 24. April 2012

Warnung: Onlinerechnung der Telekom

Dienstag, 24. April 2012

Keine Spam, sondern eine aktuelle Warnung vor einer zurzeit umlaufenden und sehr gefährlichen Spam.

Im Moment gehen Spam-E-Mails mit überzeugend nachgemachten Rechnungen der Deutschen Telekom um. Die angehängte PDF-Datei enthält eine Schadsoftware und nutzt Schwächen des Adobe Readers aus, um diese Schadsoftware auf einem Windows-Rechner zu installieren. Die Schadsoftware wird von gut achtzig Prozent der üblichen Virenscanner zurzeit noch nicht erkannt.

Diesen Mailanhang auf gar keinen Fall öffnen! Die Mail nach Möglichkeit unbesehen löschen!

Es wäre auch gar nicht so schwer gewesen, diese angebliche „Rechnung“ als das zu erkennen, was sie ist, nämlich als Spam:

Der Absender scheint korrekt, die Sprache ist fehlerfrei. selbst der Gruß des Leiters des Kundenservices zum Abschluss stimmt. Der beste Hinweis auf ein Fake ist die fehlende persönliche Ansprache: Statt „Guten Tag Herr Schmidt“ heißt es nur allgemein „Sehr geehrte Damen und Herren“, was bei Rechnungen eher ungewöhnlich ist.

Eine unpersönliche Ansprache in der Mitteilung eines Unternehmens, mit dem man einen Vertrag hat, sollte immer alle Alarmglocken schrillen lassen. Niemand würde seine Kunden unpersönlich ansprechen. Eine so formulierte Mail ist immer verdächtig. Niemals sollte in einer anonym formulierten Mail geklickt werden, niemals sollte ein Anhang aus einer derartigen Mail geöffnet werden – in Fällen von Unsicherheit kann man einfach den Kundendienst (neudeutsch: Support) des Unternehmens anrufen und fragen, was es damit auf sich hat. Die ständige Aufmerksamkeit für diese eine Kleinigkeit kombiniert mit einer äußersten Sparsamkeit beim Herausgeben des richtigen eigenen Namens im Internet ist der beste Schutz vor allen Angriffen durch die organisierte Internet-Kriminalität. Sie kann schnell viel Geld sparen und einem zudem etliche total vergällte Wochen voller unerquicklichen Schriftverkehrs mit Polizeien, Behörden, Anwälten und Inkassodienstleistern ersparen. Diese Verbrecher sind nämlich keine verpickelten Elfjährigen mit Geltungsdrang, sondern eiskalt und brutal vorgehende Kriminelle.

Der Schutz durch so genannte „Schutzprogramme“ kann hingegen nahezu wertlos sein, wie sich an diesem Beispiel zeigt – dass die Virensignaturen des neuen Schädlings spätestens übermorgen heruntergeladen werden, nutzt nichts, wenn der Rechner heute von der Internet-Mafia übernommen wurde. Diese „Schutzprogramme“ sind immer „nur“ Ergänzung, mehr nicht. Sie können nicht die eigene Verantwortung und die Benutzung des eigenen Gehirnes ersetzen.

Wer mehr Sicherheit möchte: Angesichts der immer wieder entdeckten schweren Fehler in Adobes Reader ist es vermutlich eine gute Idee, ein anderes Programm zum Betrachten von PDF-Dokumenten zu verwenden. Es stehen eine Menge kostenloser und oft gar freier Programme zur Verfügung, die zwar in der Regel kein Skripting innerhalb des Dokumentes erlauben, aber allein deshalb, wegen ihrer reduzierten Komplexität, sicherer sind. Komplexität ist grundsätzlich das Gegenteil von Sicherheit.

Noch mehr Sicherheit kann man im Moment erhalten, wenn man nicht mit dem Lieblingsbetriebssystem der Internet-Kriminellen, mit Microsoft Windows, im Internet unterwegs ist. Es gibt gute Alternativen, die für viele Menschen (zum Beispiel für mich) mehr als nur hinreichend sind.

My Twitter profile was viewed xxx times today

Dienstag, 24. April 2012

Internet! Vor jedem Klick auf einen Link: Gehirn benutzen!

Folgender Tweet taucht bei vielen Menschen zurzeit in der Twitter-Timeline auf:

My Twitter profile was viewed xxx times today. Click here to see who views your profile tiny.cc/xxxxxxxx

Anstelle von xxx steht natürlich eine immer wechselnde Zahl.

Was ich im Folgenden sage, hat nicht den abschließenden Grad an Gewissheit. Aber ich bin mir sicher, dass es sich um Phishing von Twitter-Accounts handelt.

Wie ich jetzt auf diese absonderliche Idee komme?

Erstens hat nur Twitter genauere Informationen über die Nutzung seines Dienstes durch andere Nutzer. Diese Informationen werden von Twitter nicht veröffentlicht und stehen über keine dokumentierte API zur Verfügung. Es ist schlechterdings für einen Dritten unmöglich, an diese Informationen zu gelangen. (Natürlich wird Twitter für seine eigenen Vermarktungszwecke und sonstigen Geschäftsideen ausführliche Statistiken aller Art erstellen. Geschäfte mit den Web-Zwo-Nulldiensten werden nicht mit ewiger Blumenkraft, sondern mit Datensammeln und Profiling gemacht.)

Zweitens ist die Angabe „Mein Twitter-Profil wurde so und so oft betrachtet“ vollkommen sinnlos. Es gibt hunderte von Client-Programmen für Twitter, die über die Twitter-API alle möglichen Ansichten des Geschehens abrufen und darstellen. Für die meisten Twitter-Nutzer sind diese Tools die eigentliche Twitter-Nutzung. Das gilt insbesondere, wenn Twitter über ein smart phone oder ein pad benutzt wird. Was soll in diesem Umfeld die Angabe, wie oft ein Profil betrachtet wurde, überhaupt bedeuten? Man muss nicht sehr lange nachdenken, um zu erkennen, dass sie bedeutungslos ist.

Drittens führt der Klick auf diesen Link nach ein paar Weiterleitungen [Warum bitte sehr ständig wechselnde Weiterleitungen? Wer hat es schon nötig, sich so zu verstecken?] zu einer Twitter-Seite zur oAuth-Authentifikation, in der man die Möglichkeit erhält, einem Dritten vollständige Schreibrechte in seinem Twitter-Kanal zu erteilen, ohne dass dieser sich auch nur vorgestellt hätte, seinen Dienst erläutert hätte oder irgendetwas anderes preisgegeben hätte als die spamartigen Tweets, die in etlichen Timelines auftauchen. Das ist hochgradig verdächtig. Es stinkt nach Phish. Es stinkt nach einem Berg kommender Spam.

Wer immer noch glaubt, dass man derartigen Anbietern vertrauen kann, soll das gern tun. Ich kann leider nichts gegen Hirnlosigkeit oder eine Entscheidung zum vollständigen Denkverzicht machen. Vermutlich muss da erstmal eine Timeline mit so unappetitlicher und krimineller Spam geflutet werden, dass sich die Staatsanwaltschaft dafür interessiert, damit das Gehirn wieder zu arbeiten beginnt. Obwohl ich mich gestern nacht bereits über dieses Thema auf Twitter ausließ…

Ich bin übrigens extrem skeptisch, wenn jemand vorgibt, sagen zu können, wie oft ein Twitter-Profil aufgerufen wurde und Schreibrechte will. Wie oft ein Profil aufgerufen wird, weiß (nach meinem bescheidenen Erkenntnisstand) nur Twitter selbst. Der Anbieter riecht nach #Spam

…konnte ich mit wachsendem Missvergnügen verfolgen, wie immer mehr Menschen nach diesem Köder schnappten und wie die Timeline sich mit den sinnlosen Zahlen füllte, wie viele Leute jetzt angeblich die Profile besucht haben. (Leider war ich mit einer sehr anstrengenden Lektüre beschäftigt und konnte deshalb nicht weiter eingreifen.) Völlig unkontrollierbare Zahlen übrigens, die man sich auch einfach ausdenken könnte, nicht nur handelsüblich sinnlose. Nach diesem Köder haben auch Menschen geschnappt, bei denen ich mir sicher bin, dass sie alt genug sind und genügend Lebenserfahrung haben, um auf eine derartig primitive Nummer nicht hereinfallen zu müssen.

Meiner resignierenden Bewertung von gestern nacht habe ich nichts mehr hinzuzufügen:

IHR SEID DIE SPAM

[Die Anmerkung von @ernstd ist natürlich witzig gemeint – das wird zugegebenermaßen aus diesem Kontext nicht völlig klar, wurde aber sofort erklärt]

Wenn ihr euch so leicht phishen lasst beim Zwitscherchen, wenn ihr jede mahnende Bemerkung einfach ignoriert, wenn ihr euch von ein paar Bullshit-Zahlen so sehr verblenden lasst, dass ihr völlig Unbekannten aus dem Internet das bleibende Recht einräumt, in eurem Namen etwas auf Twitter zu publizieren, dann seid ihr selbst die Spam!

Würdet ihr euch etwa auch den Bundestrojaner installieren, wenn der euch nur verspräche, dass ihr erfahrt, wie wichtig ihr auf Twitter seid? Mann, mann, mann! Dass Leute vor meinen ungläubigen Glubschen auf ein dermaßen billiges Phishing reinfallen und nichts merken, wenn man sie darauf hinweist, gehört zu den Dingen, über die ich seit einigen Stunden nicht mehr hinweg komme.

Abhilfe – Ein ganz schnelles Tutorial

Wer darauf reingefallen ist und inzwischen festgestellt hat, wie unendlich dumm es war, so zu handeln: Hier eine kurze Beschreibung, wie man dem sicheren Phisher und mutmaßlichen späteren Spammer seine Schreibrechte wieder wegnimmt:

Schritt 1:

Screenshot

Im eigenen Profil die Einstellungen aufrufen. Dazu muss man im Menü, das auf der Silhouette neben dem Suchfeld erscheint, den Punkt „Einstellungen“ auswählen.

Es wird eine Eingabemaske mit dem Account-Einstellungen dargestellt.

Schritt 2:

Screenshot

Auf der linken Seite der Accounteinstellungen befindet sich ein Menü. Hierin ist der Punkt „Apps“ zu wählen.

Schritt 3:

Screenshot

Nun wird eine Liste aller externen Apps dargestellt, denen man jemals einen Zugriff auf seinen Twitter-Account gewährt hat. (Da hat sich eine Menge angesammelt, nicht! Vielleicht wäre sowieso etwas Aufräumen angesagt…) Diese sind absteigend nach Alter geordnet, der frischeste steht also ganz oben. Zusätzlich steht immer darunter, an welchem Tag und um welche Uhrzeit der Zugriff gewährt wurde. Damit sollte es selbst in diesem Fall, wo man gar nichts über den „Dienst“ weiß, dem man einen Schreibzugriff erteilt hat, möglich sein, den richtigen Eintrag zu identifizieren.

Schritt 4:

Dort einfach auf „Zugriff widerrufen“ klicken, und schon kann der eigene Account nicht mehr von diesen Phishern für Spamzwecke missbraucht werden.

Abschließend:

Ich gehe davon aus, dass die eingeräumten Schreibrechte erst in einigen Tagen für massive Twitter-Spam missbraucht werden. Sollte es dann gar nicht mehr möglich sein, aus der Erinnerung zu entscheiden, welche von diesen vielen externen Apps die Spamzugriffe macht, dann gibt es immer noch die Notbremsung. Einfach jeder App, die einem irgendwie spanisch vorkommt oder von der man nicht weiß, wofür sie gut sein soll, den Zugriff entziehen – das schlimmste, was dabei passieren kann, ist, dass man später einige Programme neu gegen Twitter authentifzieren muss. Das kostet jeweils nur ein paar Sekunden, und so viel sollte es einem wert sein, dass die eigene Timeline frei von Spam bleibt – von Spam überigens, für die man im vollen Umfang selbst verantwortlich und gegebenenfalls auch zivilrechtlich haftbar ist oder strafrechtlich zur Verantwortung gezogen weren kann. Schließlich handelt es sich um den eigenen Einflussbereich.

Wer trotz dieser sehr ausführlichen Anleitung noch weitere Fragen zur Vorgehensweise hat: Einfach in die Kommentare posten oder direkt an den Twitter-Support wenden. Der Twitter-Support wird übrigens schneller sein als ich…

Und bitte: In Zukunft vor dem Klicken Gehirn einschalten!