Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


In eigener Sache

Dienstag, 28. Februar 2017, 1:08 Uhr

Zehn Jahre "Unser täglich Spam"

Heute vor genau zehn Jahren schrieb ich mein erstes Blogposting in diesem Blog – natürlich war das „Thema“ die Pest der damaligen Zeit, die Casino-Spam, die inzwischen selten geworden ist, weil sie von der Binäre-Optionen-Spam abgelöst wurde. Das „Geschäftsmodell“ ist allerdings genau das gleiche: Die Spammer kassieren Affiliate-Geld dafür, dass sie halbseidenen, abzockerischen oder gar offen betrügerischen Geschäftemachern neue Kunden zutreiben.

Auch ansonsten hat sich in den letzten zehn Jahren nicht viel verändert.

Noch immer ist Spam ein illegales „Geschäftsmodell“, das sich für die Spammer lohnt, denn noch immer gibt es genügend Menschen, die darauf hereinfallen und klicken, weil sie eine Mitteilung von einem anonym bleibenden Gegenüber erhalten haben. Spam ist für den Spammer billig. Sie lohnt sich schon, wenn nur ein paar Promille der Empfänger in der gewünschten Weise reagieren.

Noch immer sind Banken, Gewerbetreibende, Internet-Dienstleister und dergleichen nicht dazu übergegangen, ihre legitimen E-Mails digital zu signieren, um dem Empfänger die Möglichkeit zu geben, den Absender einer E-Mail jenseits jedes vernünftigen Zweifels sicher zu stellen. Diese Vorgehensweise ist meiner Meinung nach – wenn sie langfristig erfolgt und mit einer Aufklärung von Kunden und Nutzern einhergeht – die einzige Möglichkeit, den Phishing-Sumpf trockenzulegen, so dass diese moderne Form des Trickbetruges endlich Geschichte wird. Das ist angesichts der Tatsache, dass digitale Signatur von E-Mails keine obskure „Raketentechnologie“ ist und nicht einmal Geld kostet, erschreckend. Tatsächlich gibt es dafür nur eine Erklärung, und die widerspricht der Reklame der Banken, Gewerbetreibenden und Internet-Dienstleister diametral: Die Sicherheit der Kunden und Nutzer vor primitiven Betrügereien und den damit verbundenen finanziellen Schäden ist diesen Unternehmungen völlig gleichgültig.

Noch immer findet das Thema der Spam im Journalismus nicht das Maß an Beachtung, das es verdient, so dass viele Neulinge völlig unaufgeklärt ihr „Lehrgeld“ an mafiös organisierte Verbrecher bezahlen. Das, was ich vor ebenfalls zehn Jahren in die FAQ zu Unser täglich Spam schrieb, ist uneingeschränkt weiter gültig:

Fragen sie ihre Tageszeitung, warum es keine Informationen und Warnungen zu den jeweils aktuellen Phishing- und Spam-Wellen an auffälliger Stelle gibt. Das Internet ist schließlich keine Spielwiese der Nerds mehr, es ist eine Massenerscheinung, an der auch ganz gewöhnliche Menschen in verschiedener Weise Teil haben. Auch die Journaille muss unter solchen Umständen einen Beitrag zur Verbrechensverhinderung leisten. Jeder andere Trickbetrüger bringt es doch auch als Warnung in die Presse, warum also nicht ein gefährlicher Phisher, der bei Erfolg Menschen um tausende von Euros erleichtern und sogar an den Rand des persönlichen wirtschaftlichen Ruins bringen kann? Wenden sie sich an ihren bevorzugten Radio- oder Fernsehsender und fragen sie, warum es zwar Unwetterwarnungen gibt, aber keinen Hinweis auf gefährliche Schadsoftware, die ihren Weg über Spam auf die Rechner ganz gewöhnlicher Mitbürger findet und die diese Rechner in fernsteuerbare Zombies der Spam-Mafia verwandelt?

Das größte Problem im Zusammenhang der Spam ist die gefährliche Unwissenheit vieler Menschen. Das beste Mittel gegen Unwissenheit ist besonnene, den Fakten verpflichtete und hilfreiche Aufklärung.

In diesem Kontext finde ich es allerdings erfreulich, dass wenigstens das Landeskriminalamt Niedersachsen vor einigen Jahren damit begonnen hat, eine Informations- und Aufklärungssite über gängige Formen der Internetkriminalität zu pflegen. Sicher, ich habe daran auch einiges auszusetzen, aber es war ein wichtiger und lobenswerter Schritt in die richtige Richtung. Leider ist zu befürchten, dass viele, die es sehr nötig hätten, nicht rechtzeitig davon erreicht werden.

Noch immer ist es durchaus normal, dass Menschen, die von einem gewerbsmäßigen Internetbetrüger abgezockt wurden, sich zu ihrem Schaden auch noch des Spottes ihrer Mitmenschen erwehren müssen, wenn sie von ihrer Erfahrung erzählen. Spammer leben davon, dass Menschen auf ihren Betrug hereinfallen, und sie können sich dabei überraschend viel Mühe geben, in ihrer Mitteilung so seriös und glaubwürdig auszusehen, dass nicht nur ein Dummkopf darauf hereinfällt. Hochmut ist völlig fehl am Platze. Ein bisschen Hilfe nicht.

Tatsächlich wäre ich vor einigen Jahren beinahe selbst auf ein Phishing hereingefallen, wenn ich mir nicht eine Reihe von Verhaltensweisen angewöhnt hätte, die leider immer noch viel zu selten sind.

Das war im Kontext eines Crackerangriffes auf Unser täglich Spam, der erschreckend weit auf dem Server vorgedrungen war. Die Angreifer haben sogar Menschen aus meinem Bekanntenkreis angerufen, angemailt und angeIMst, um ihnen meine Passwörter zu entlocken, falls sie diese kennen – und unter den so von Verbrechern ausgequetschten Menschen ist nur einem etwas aufgefallen (so dass ich schnell davon erfahren habe und zum Glück weiteren Schaden begrenzen konnte), obwohl ich grundsätzlich nach Möglichkeit nur signierte E-Mail versende und niemals eine unsignierte E-Mail versenden würde, wenn es wichtig wäre. Ich konnte im Zuge dieses Angriffes nicht mehr abschätzen, was mein unsichtbares Gegenüber (Klingonen hätten gesagt, dass es „ehrenhaft“ kämpft) schon hat und kann. In genau dieser stressreichen Situation bekam ich eine 08/15-Phishingmail „von PayPal“, die mich natürlich sehr alarmierte. Was mich gerettet hat? Die einfache Angewohnheit, niemals in eine E-Mail zu klicken. Als ich ganz normal PayPal im Browser aufrief – es gibt dafür seit dem Mosaic Netscape 0.9 beta aus dem Jahr 1994 diese praktischen Lesezeichen – und bei dieser Gelegenheit flugs das möglicherweise kompromittierte Passwort änderte, wurde mir klar, dass es sich um Phishing handelte und dass das angebliche Problem einer von mir veranlassten, recht hohen Zahlung an ein obskures Unternehmen aus Russland gar nicht existierte.

Kurz: Unter bestimmten Umständen kann jeder auf so etwas hereinfallen. Ich selbst habe eine Phishing-Mail einmal kurz für „echt“ gehalten. Ist das ein Grund, über mich zu lachen? Wenn ja, dann tun sie sich keinen Zwang an! Es erleichtert ja, und leider tut es dies oft, ohne notwendige Denkprozesse anzustoßen, die zu mehr Vernunft im Alltag führen.

Und noch immer trainiert PayPal seine Nutzer und Kunden nicht darin, niemals in eine E-Mail zu klicken. Ganz im Gegenteil. Da ist das viele erfolgreiche Phishing auf PayPal-Konten nicht weiter überraschend – zumal PayPal noch immer darauf verzichtet, seine E-Mails an seine Kunden digital zu signieren.

Kurzum: Es gibt keinen Grund, inne zu halten und irgendetwas zu feiern.

Aber ich hatte weder die Absicht noch die Möglichkeit, etwas Nennenswertes zur Bekämpfung der Spam zu leisten.

Als ich heute vor zehn Jahren mit diesem Blog begann, habe ich mir das damalige WordPress-Standardlayout „Kubrick“ genommen, die Titelgrafik gegen „etwas mit Spamdosen“ ausgetauscht und beinahe nichts am Design verändert, um schnell loslegen zu können. Ich tat es in einer Zeit, in der ich jeden verdammten Tag zwischen zweihundert und vierhundert Spammails bekam. Das zumindest hat sich etwas gebessert – weil inzwischen ein Großteil der Betrugsnummern über Social-Media-Sites und Smartphone-IM der Marke „WhatsApp“ läuft, während im Postfach nur noch ein Rinnsal anstelle der früheren Flut ankommt. Was über „Facebook“ läuft, erfahre ich bestenfalls einmal aus zweiter Hand, denn ich bin immer noch nicht dazu bereit, das Angebot eines Unternehmens zu nutzen, das sein Geschäftsmodell mit illegaler und asozialer Spamwerbung aufgebaut hat. Das „Adressmaterial“ für die Spamwerbung wurde übrigens mit trojanischen Apps von Smartphones naiver Nutzer abgezogen. Inzwischen sind die Trojaner von Facebook oft so auf Smartphones vorinstalliert, dass man sie nicht mehr ohne Verlust der Gewährleistung deinstallieren kann, und erwachsene Menschen lassen sich diese kalte, enteignende Unverschämtheit gefallen oder finden sie sogar noch erfreulich.

Ich habe angefangen, über Spam zu bloggen, weil ich den täglichen Wahnsinn nicht mehr passiv hinnehmen wollte. Außerdem bereitet es mir Freude, die Dummheit der Spammer ans Tageslicht zu zerren und den Kriminellen hin und wieder einmal in ihre Suppe zu pinkeln. Dass es dabei zu kriminellen Angriffen gegen das Blog kommt, ist wohl unvermeidlich.

Immer noch verwendet Unser täglich Spam in seiner Standarddarstellung eine Bearbeitung des alten Standard-Themes „Kubrick“, die allerdings inzwischen erheblich ist. Das Blog wirkt optisch wie ein Anachronismus, und ich habe nicht die Absicht, das zu verändern. Mein einziges Zugeständnis an die veränderten Internetgewohnheiten vieler Menschen ist, dass ich für Smartphones und Tablets ein anderes, deutlich reduziertes Design für die gleichen Inhalte verwende. Zurzeit geht ein gutes Viertel der Zugriffe auf Unser täglich Spam von Smartphones aus. Es sind eben die Geräte, auf denen jetzt viele Menschen ihre Spam empfangen. Die Technik ist moderner, die tägliche Spam ist die gleiche, und sie scheint sich immer noch zu lohnen. 🙁

Ich wollte dieses Blog schon mehrmals einfach einstellen oder zumindest damit aufhören, es mit neuen Inhalten zu befüllen. Es gibt kein anderes Internetprojekt von mir, das ich so gern einstellen würde wie Unser täglich Spam. Meine Motivation ist gering geworden, die tägliche Spam ist die gleiche, und sie scheint sich immer noch… ich wiederhole mich.

In diesem Sinne hoffe ich, dass es nicht zu einem zwanzigsten Bloggeburtstag kommt.

Wer jetzt noch etwas Unterhaltung sucht und gerne lacht, der wandele heiteren Geistes durch die Hall of Shame, in der sich die narrengüldnen Glanzstücke zehnjährigens Bloggens über Spam finden. Ebenfalls sind jene spammigen Kommunikationsversuche, die ich unter dem Schlagwort „Dada“ abgelegt habe, oft von großem Unterhaltungswert.

Wer hingegen nichts dagegen hat, wenn ihm das Lachen richtig vergeht, schaue sich an, wie die Spammer und andere Verbrecher an ihre Daten kommen und sei sich gewahr, dass diese Vorfälle nur die Spitze des Eisberges sind.

Wie oft wurde ich schon ausgelacht, wenn ich anderen Menschen sagte, dass es nur einen Datenschutz gibt, und zwar den, den man selbst in die Hände nimmt, indem man keine Daten von sich preisgibt! Das Lachen erleichtert ja, und leider tut es dies oft, ohne notwendige Denkprozesse anzustoßen, die zu mehr Vernunft im Alltag führen.

Aber ich wiederhole mich…

Wie so oft.

6 Kommentare für In eigener Sache

  1. Herr B. sagt:

    Herzlichen Glückwunsch zum runden Datum :-). Die Hoffnung, es möge nicht zu einen 20. Jahrestag kommen, kann ich allerdings nicht teilen, denn passende Themen wird es auch in Zukunft sicherlich genügend geben. Ich lese aber auch weiterhin gerne hier mit, lerne fast jeden Tag etwas dazu und hoffe in diesem Sinne auf noch viele, viele weitere Bloggeburtstage.

  2. liu-yan sagt:

    Gedächtnisprotokoll aus dem Jahre 2001:

    Ich bekomme eine E-mail, von einer gewissen „Ludmilla“, die selbstverständlich in meiner Nähe lebt.
    Es befindet sich eine gif-Bilddatei, die ich herunterlade.
    Der Preview war schon verdächtig. Als ich dieses Bild mit gimp öffnete, bot sich mir ein folgendes Bild.

    Mehrere Personen verschiedener Völker standen im Spalier, lächelnd hielt jeder von ihnen einen Gegenstand in der Hand. Und was ?
    Viagra, Levitra und warscheinlich diverse Muskelentspannungs- und Fettverbrenner.
    Überschrift:
    Kanadische Apotheke nur für Sie (oder so ähnlich)

    Der Rest der Email bestand aus schizophrenen Gebrabbel, als habe jemand unter Mißhandlung seiner Tastatur lauter 5-stellige Buchstabenfolgen generiert.

    Immerhin: laut einem Gerücht hat Kanada mittlerweile des kyrillische Alphabet eingeführt…….

  3. Jorn sagt:

    Das sicherste Mittel gegen SPAM ist eigentlich nur noch: Internet abschalten.
    Das zweitsicherste: Achtsamkeit und stets auf aktuellem Stand bleiben, wenn es um immer wieder neue Bedrohungen geht.

    Ich verfolge dieses Blog nun beinahe täglich, seit 3 Jahren, mal schmunzelnd (auch auf Grund der eloquenten Bearbeitung des alltäglichen digitalen Wahnsinns) mal alarmiert und dankbar für die Warnungen.

    An dieser Stelle wollte ich es mir daher nicht nehmen lassen, einmal Danke zu sagen für diese – wie ich ahne – nicht wirklich leichte und geradezu sisyphos’sche Arbeit.

  4. Segelboot sagt:

    Herzlichen Glückwunsch zum Zehnten!

    Zum Thema Banken und Emails möchte ich noch etwas anmerken. Die Ing-Diba verschickt zwar wie jede Bank unsignierte Emails, aber nur von zwei Arten: Die eine Art ist sowas wie „Spam“ d.h. eine Art Info- und Newsletter von belanglosem Inhalt. Die andere Art ist der Hinweis: „Neue Dokumente in Ihrer ING-DiBa Post-Box“. Dann weiß man, dass man sich online einloggen muss, um in der „Post-Box“ die neusten Kontoauszüge etc zu sichten und runterladen zu können.

    Finanzielle und verwaltungstechnische Dinge werden nie über Email angesprochen, außer man schreibt die Ing direkt an. Es kommt immer nur die Standardmail, dass man einen Eingang in der Post-Box hat. Das halte ich für eine sinnvolle Lösung, die keine Bank etwas kostet und keinen Benutzer überfordert. Ich fände es schön, wenn andere das auch so machen würden.

    Ferner hab ich schon festgestellt, dass du html formatierte Mails nicht magst :). Nun, wir im Geschäft versenden auch nur html-formatierte Mails, das hat zwei Gründe. Zum einen sehen die Mails natürlich moderner und schöner aus, was die Marketing-Mädels glücklich macht.

    Der technische Hintergrund ist aber CI (continuous integration) und das automatisierte Testen. Die Mails die durch den webdriver bei Seleniumtests verschickt werden, werden im Testmodus des Webservers abgefischt, und in einem bestimmten Verzeichnis gesammelt. Per REST-Schnittstelle kann der webdriver die Email über eine spezielle URL abrufen. Da die mail html ist, wird sie wie eine Webseite eingeblendet. Der große Vorteil ist, dass sich der selenium webdriver an den XPaths der Mail orientiert, dh den DOM tree entlang laufen kann, um bestimme Werte zu checken.

    Wenn der seleniumtest zum beispiel eine Bestellung an Herrn Hase verschicken soll, und der webdriver in den Eingabefeldern die Angaben macht, muss Herr Hase auch in der Anrede der Mail stehen usw. Gleiches gilt für den Content, dh wenn 10 Tassen bestellt werden, muss auch die Mail die korrekten Tassen und die korrekte Zahl enthalten.

    Wäre die Mail kein html, ließe sich die position der texte in der mail, und damit die formatierung derselben nicht prüfen. Deshalb verschickt eigentlich jeder der was mit Mails macht und automatisiert testen muss – fast alle unternehmen – nur noch html mails, auch wenn der höchste coding skill ist.

    Gruß und weiterhin viel Motivation

    • Da die mail html ist, wird sie wie eine Webseite eingeblendet. Der große Vorteil ist, dass sich der selenium webdriver an den XPaths der Mail orientiert, dh den DOM tree entlang laufen kann, um bestimme Werte zu checken.

      Herzlichen Glückwunsch! Das ist das erste Mal seit zehn Jahren, dass mir jemand einen vernünftigen Grund genannt hat, warum man HTML-E-Mail machen sollte… au ja, vom Parsen nicht-ausgezeichneter Texte aus der „wirklichen Welt“ könnte ich auch ein langes Lied mit vielen verzweifelten Interjektionen singen. Mit XPath bekommt man da wenigstens robuste Lösungen hin.

      Bei so viel automatisierter Bearbeitung sollte es doch eigentlich eine Kleinigkeit sein, die ausgehende E-Mail auch noch kryptografisch zu signieren. (Langfristig als einizige wirksame Methode gedacht, um den Phishing-Sumpf auszutrocknen.) Ich will mal hoffen, dass das nicht nur deshalb nicht geht, weils mit XPath nicht geht. 😉

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert