Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Informatives zur Spam

Hier werden Beiträge gesammelt, die nicht einfach nur eine Spam behandeln, sondern von eher allgemeinem und informativen Charakter sind, damit solche Texte nicht in der Flut der täglichen Spam untergehen. Dies geschieht auf Anregung meines Lesers Cassiel. Natürlich steht ein spezieller RSS-Feed für diese Inhalte zur Verfügung.

„Sourcepoint Surfer“: Ein Kommentar

Samstag, 20. Juni 2015

Nein, es geht hier nicht um eine Spam, sondern um eine aktuelle Meldung auf Heise Online, die ich hier nur in ihren wesentlichsten Bruchstücken zitiere:

Ein ehemaliger Google-Mitarbeiter will mit einem neuen Startup namens Sourcepoint Surfer dazu bringen, sich freiwillig Werbung anzusehen. Dabei setzt er vor allem auf Dialog und gegenseitiges Verständnis, aber auch auf das technische Umgehen von Adblockern, wenn diese trotz Opt-in eingeschaltet bleiben […] Barokas findet mitunter harte Worte für das technische Unterbinden von Werbeeinblendungen und nennt den Vorgang „Erpressung“ […] Sollte ein Leser diesem Opt-in-Modell jedoch zugestimmt haben, wäre das fortgesetzte Blockieren von Werbung zumindest auf dieser Webseite nach Barokas‘ Ansicht „illegal“

Was ich zu Adblockern zu sagen habe, habe ich bereits am 13. Mai 2013 aus einem konkreten Anlass heraus gesagt und werde es hier nicht wiederholen. Im soeben verlinkten Artikel habe ich auch klar formuliert, dass es sich bei den von Drittanbietern eingebetteten „Ads“ um einen durchaus häufigen und ausgesprochen gefährlichen Transportweg von Schadsoftware handelt, dass Adblocker deshalb als eine elementare Sicherheitssoftware – wichtiger noch als ein Antivirusprogramm, weil die Übernahme des Computers an der Wurzel verhindert werden kann, ohne dass krimineller Code erst auf den Rechner kommen muss, und dies selbst noch für Schädlinge, die von Antivirusprogrammen noch nicht erkannt werden – zu betrachten sind und unter welchen Umständen und in welcher technischen Darreichungsform eingeblendete Werbung zur Finanzierung von Internet-Angeboten überhaupt erst diskutabel wird. Nichts daran hat sich geändert. Und die ätzende Polemik in diesem Artikel ist heute noch genau so angemessen wie vor zwei Jahren.

Stattdessen werde ich auf den Versuch eines Dienstleisters für Unternehmen ohne seriöses Geschäftsmodell – der Versuch, Profit über die Vergällung erwünschter Inhalte mit im Regelfall unerwünschten, gleichermaßen die Privatsphäre als auch die Computersicherheit gefährdenden „Inhalten“ zu erwirtschaften, ist weder seriös noch dauerhaft tragfähig – eingehen, der scheinbar die „Dienstleistung“ anzubieten beabsichtigt, Menschen etwas aufzuzwingen, was sie aus gutem Grund nicht wollen.

Nun, ich fasse mich kurz. (Ich hätte beinahe geschrieben: Ich komme zum Ende.)

  1. Kriminell sind nicht die Menschen, die mit einem Adblocker sicherstellen, dass von ihnen erwünschte Inhalte nicht durch unerwünschte, die Privatsphäre und die Computersicherheit gefährdende Zusatzinhalte von dubiosen Drittanbietern „vergällt“ werden, sondern diejenigen Betreiber von Websites, die Werbung von Drittanbietern in ihre Websites einbetten. Das klandestine, site-übergreifende Tracking und Anlegen von pseudonymen, mit weiteren Daten eventuell persönlich zuzuordnenden Surfprofilen ist ein Ausspähen von Daten, das lt. Heise-Bericht von „Sourcepoint Surfer“ mit kriminellen Programmiertricks versuchte Überwinden technischer Schutzmaßnahmen ist eine Computersabotage, desgleichen ist der immer wieder vorkommende Transport von Schadsoftware über eingebettete Ads von Drittanbietern eine Computersabotage, meist in Tateinheit mit gewerbsmäßigem Betrug zu ihren Lasten. Der von „Sourcepoint Surfer“ angebotene „Opt-In“ dürfte angesichts dieser Tatsachen juristisch unwirksam sein, denn ich darf auch nicht in ihre Wohnung einbrechen, nur, weil ich ihnen unter Ableiern vorsätzlich irreführender Phrasen ein Einverständnis mit einem schweren Diebstahl abgerungen habe.
  2. Erpresserisch ist es keineswegs, wenn man als Internetnutzer selbst entscheidet, welche Inhalte man haben will und welche nicht. Es handelt sich um ganz gewöhnliche Internetnutzung. Ich glaube zum Beispiel kaum, dass sie sich von mir vorschreiben ließen, welche Websites sie jetzt besuchen sollen, und ich glaube noch weniger, dass sie sich einer spontanen Heiterkeit erwehren könnten, wenn ich diese ihre Weigerung, mir bei einem aus ihrer Sicht unsinnigen Wunsch zu folgen, als eine „Erpressung“ bezeichnen würde. Tatsächlich sind in der Bundesrepublik Deutschland Menschen schon für deutlich geringere Realitätsverluste in eine psychiatrische Klinik eingewiesen worden.
  3. Illegal ist es auch nicht, frei und freiwillig ins Internet gestellte Inhalte wahrzunehmen und zu nutzen, sondern es ist der ganze und einzige Zweck des Internet. Seit Jahrzehnten. Und es ist auch niemand dazu gezwungen, seine Inhalte frei und freiwillig in das Internet zu stellen. Daran ändert sich nichts dadurch, dass sich jemand hinstellt, die Welt mit seinem gnadenlosen Bullshit unterhält und die Nutzung frei und freiwillig ins Internet gestellter Inhalte für „illegal“ erklärt. Es bleibt Sitebetreibern übrigens unbenommen, technische Vorrichtungen zu treffen, die Besucher mit Adblockern auszusperren versuchen¹. Ich meine, dass die bloße Tatsache, dass das noch niemand ernsthaft versucht hat, deutlich genug belegt, dass selbst noch der dümmste Journalist oder Presseverleger nach kurzem Nachdenken bemerkt, dass ein solches Aussperren von Lesern, die Adblocker nutzen, wirtschaftlich dumm ist.
  4. Computersicherheit ist für jeden Menschen wichtig. Ads von Drittanbietern sind ein häufiges Einfallstor für Schadsoftware, und zwar selbst auf renommierten Websites, denen die meisten Menschen vertrauen. Wer zum Abschalten des Adblockers aufruft, der solche Angriffe an der Wurzel unterbindet, ist nicht anders als jemand, der sie auffordert, dass sie ihr Antivirusprogramm abschalten und/oder ein Loch in ihre Firewall bohren, nur, damit sein Geschäftsmodell besser läuft. Ich hoffe, sie kommen niemals auf die Idee, einer solchen Aufforderung Folge zu leisten.
  5. Privatsphäre ist für viele Menschen wichtig. Das site-übergreifende Tracking und damit das systematische Ausspähen von Neigungen und Interessen durch Ads von Drittanbietern ist eine große Gefahr für die Privatsphäre. Wie würden sie es finden, wenn ihnen ein Stalker nachstellte, der große und wichtige Teile ihres Daseins auskundschaftet? Genau so ein Stalker ist die Werbeindustrie im Internet.
  6. Bullshit ist kein Ersatz für ein seriöses Geschäftsmodell. Auch dann nicht, wenn der Bullshit von einem früheren Google-Mitarbeiter – man beachte: Google ist der größte Werbevermarkter der Welt, der übrigens selbst schon Schadsoftware ausgeliefert hat – ausgesprochen wird, um Menschen durch systematische und medial unterstützte Ausbreitung von Furcht, Ungewissheit und Zweifel daran zu hindern, ihren persönlichen Lebensbereich vor grenzkriminellen bis offen verbrecherischen Methoden der Werbewirtschaft und der Organisierten Internet-Kriminalität zu schützen.

Ende der Mitteilung.

tl;dr – Verwenden sie niemals einen Browser ohne aktivierten Adblocker! Es ist nicht nur ihr Recht, es ist angesichts der gegenwärtigen Internet-Kriminalität sogar ihre Pflicht! Egal, was irgendwelche unseriösen Klitschen PResseerklären lassen! Danke.

¹Ebenso bleibt es Sitebetreibern übrigens unbenommen, nach einem seriöseren Geschäftsmodell als der Vergällung der ins Internet gestellten erwünschten Inhalte durch im Regelfall völlig unerwünschte Ads von Drittanbietern zu suchen.

Elias Schwerdtfeger new incoming video mail outbreaks

Donnerstag, 4. Juni 2015

Screenshot der Spam mit dem Text 'new incoming video mail', einem nicht funktionierendem Link 'Description', ein paar völlig sinnfreien technischen Angaben und einem großen, grünen Button 'Play' von '© 2015 All Rights Reserved'

Oh, eine Videomail über das Videomailsystem der bekannten Firma „All Rights Reserved“. Sehr überzeugend! 😀

Wer bei dieser Spam auf „Play“ klickt, hat verloren.

Der Link auf dem „Play-Button“ führt zunächst auf eine nicht vorhandene Unterseite eines offenbar von Crackern übernommenen russischsprachigen Blogs, dort gibt es – offenbar konnten die Cracker den Webserver konfigurieren und eine eigene Fehlerseite hinterlegen – eine vollständig sinnlose Seite (so etwas habe ich schon öfter gesehen), deren einziger Zweck eine Javascript-Weiterleitung auf eine andere Seite ist. Die Spammer haben sich übrigens die Mühe gemacht, jedesmal anderes Javascript und andere „Inhalte“ auszuliefern, um eine automatische Erkennung ihrer kriminellen Sabotageversuche zu unterbinden.

Nach ein paar weiteren Weiterleitungen gibt es einen… ähm… „kostenlosen Sicherheitscheck“ des verwendeten Browsers und aller seiner Addons von Schwerkriminellen, die auf neuestem technischen Stand sind. Wenn dabei irgendeine ausbeutbare Lücke gefunden wurde, dann steht hinterher ein Computer anderer Leute auf dem Schreibtisch.

Wer auf einen derartigen Link geklickt hat, sollte sich unbedingt auf einem sauberen Computer das bootfähige Image des Antivirus-Unternehmens seiner Wahl herunterladen, damit eine DVD brennen oder einen bootfähigen Speicherstick machen, den Computer damit hochfahren und das System überprüfen, ohne das überprüfte Betriebssystem selbst zu verwenden. Am sichersten ist es, den möglicherweise infizierten Rechner ein, zwei Tage lang gar nicht zu benutzen, damit eventuell installierte Schadsoftware gegen aktualisierte Signaturen geprüft werden und erkannt werden kann.

Wichtiger Hinweis zum Selbstschutz: Ein effizienter und im Gegensatz zu Antivirus-Schlangenölen – die ja immer nur gegen bereits bekannte Schadsoftware helfen – hochwirksamer Schutz gegen derartige Machenschaften ist es, wenn man nicht jeder Website das Ausführen von Javascript gestattet. Das Browser-Addon NoScript ist eine unverzichtbare elementare Sicherheitssoftware, die jeder Webnutzer installieren sollte. Es ermöglicht in bequemer Weise, Javascript nur für diejenigen Websites freizuschalten, denen man vertraut. Eine derartige Überrumpelung wird damit an der Wurzel unterbunden, und nicht erst, wenn Schadcode auf dem Rechner gelangt ist – und wenn derartige „Benachrichtigungen“ einmal besser gemacht werden, kann diese Art von Spam sehr gefährlich sein.

Warum man E-Mail-Anhänge nur noch mit der Kneifzange anfasst

Donnerstag, 28. Mai 2015

Keine Spam, sondern „nur“ ein Link zu einem Artikel über den aktuellen Schadsoftware-Wahnsinn auf Heise Online:

Ein Dienst im Tor-Netzwerk generiert kostenlos maßgeschneiderte Krypto-Trojaner. Und das ist erschreckend einfach: Nach einer kurzen Registrierung fragt der Dienst nur noch, wie viel Lösegeld der Tox gekaufte Trojaner [sic!] von seinen zukünftigen Opfern erpressen soll. Optional kann der angehende Online-Ganove noch eine persönliche Botschaft eingeben, die nach der Infektion angezeigt wird. Ist das kurze Formular ausgefüllt, generiert der Dienst den individuellen Schädling und der Download startet. Es handelt sich um eine .scr-Datei mit Word-Icon.

Hauptverbreitungsweg für diese Pest sind E-Mail-Anhänge. Das Antivirus-Schlangenöl ist regelmäßig machtlos, weil es bei der Überprüfung nur mit Mustern bekannter Schadsoftware abgleicht.

Es gibt gegen diese kriminelle Pest nur einen sicheren Schutz, und der hat wenig mit dem Computer und darauf laufender Software, aber dafür viel mit dem Gehirn des Menschen am Computer zu tun: Äußerste Vorsicht im Umgang mit E-Mail-Anhängen. Niemals einen Mailanhang öffnen, dessen Zusendung nicht explizit vorher abgesprochen wurde! Das gilt auch für scheinbar sichere Dokumentformate wie PDF¹. Wenn der Anhang aus einer Datei besteht, die in einem ZIP-Archiv verpackt wurde, handelt es sich beinahe immer um Schadsoftware – mit der Verwendung eines Archivformates versuchen die verbrecherischen Spammer, eine Erkennung der Schadsoftware mit Antivirus-Schlangenölen auf den Mailservern zu erschweren. Und selbst dann vorsichtig bleiben, weil der Absender einer E-Mail beliebig gefälscht sein kann. Um sicher zu gehen, von wen eine Mail wirklich kommt, helfen nur digitale Signaturen zu jeder einzelnen Mail – eine Technik, die fertig ist und seit zwanzig Jahren darauf wartet, einfach nur noch benutzt zu werden. Die Software dafür ist übrigens nicht nur kostenlos, sondern frei.

Ein aktuelles und typisches Beispiel dafür, mit welchen Tricks die Verbrecher die Empfänger ihrer Spam zum Öffnen der Anhänge „motivieren“ wollen, findet sich im Ratgeber Internetkriminalität des LKA Niedersachsen.

¹Es war eh relativ dumm von diesen kriminellen Geschäftemachern, ein Word-Piktogramm zu verwenden. Einem PDF wird viel mehr „vertraut“.

Verdächtige Zahlung erkannt

Dienstag, 18. November 2014

Wie die Kriminellen mit den ganzen abgegriffenen Daten aus den Datenlecks diverser Unternehmen machen? Zum Beispiel gefährliche, personalisierte Betrugsmaschen. So sieht etwa eine gut gemachte, personalisierte Phishing-Spam aus:

Screenshot der Phishing-Spam

Zugegeben, der Text ohne das Layout wirkt gar nicht mehr so großartig:

Liebe/r Frank xxxxx,

Durch das von uns entwickelte System zur Erkennung von Betrugsversuchen was unter anderem Ihren Standort der Bezahlvorgänge miteinander vergleicht, war es uns nicht möglich diesen Vorgang eindeutig Ihrem Handeln zuzuordnen.

Bei der letzten Überprüfung ihres Accounts sind uns ungewöhnliche Aktivitäten aufgefallen, im Bezug auf ihre hinterlegten Zahlungsmittel und ihr Zahlverhalten.
Bitte bestätigen Sie ihre hinterlegten Informationen, damit sie ihren Account wieder in vollem Umfang nutzen können.

Klicken sie hier um ihre Daten zu bestätigen

Der Link zum „Bestätigen der Daten“ – übrigens wird weder Amazon noch irgendein anderer Internetanbieter jemals seine Kunden dazu auffordern, aus angeblichen Sicherheitsgründen Daten anzugeben, die dort schon längst bekannt sind, es sei denn, es handele sich um Passwörter, Sicherheitsfragen oder dergleichen – geht natürlich nicht zu amazon (punkt) de, sondern nach einem Umweg über einen URL-Kürzer in die Subdomain amazon der Domain de (strich) webapps (strich) online (punkt) net, die gestern erst über einen Whois-Anonymisierer aus dem sonnigen Panama registriert wurde und die vorsätzlich den Eindruck erwecken soll, eine Domain von Amazon zu sein. Alle Daten, die man dort eingibt…

Erste Stufe der Phishing-Site, Eingabe von Mailadresse und Passwort

…wie zum Beispiel eine Kombination aus Mailadresse und Passwort (die bei vielen Menschen zur Anmeldung an diversen Diensten verwendet werden kann, aber auch so die Übernahme des Amazon-Kontos ermöglicht) und…

Zweite Stufe der Phishing-Site, Eingabe der Postanschrift, der Telefonnummer, des Geburtsdatums und der Kreditkartendaten

…die Postanschrift, die Telefonnummer, das Geburtsdatum und die Kreditkartendaten gehen direkt zu Kriminellen, die damit ganz sicher allerlei „Geschäfte“ machen werden.

Ich finde es immer wieder erstaunlich, wie viel überzeugender eine Phishing-Spam aussieht, wenn sie eine persönliche Ansprache des Empfängers hat. Wer nicht – wie Frank, der mir dieses Machwerk zugesteckt hat – gewohnheitsmäßig vor jedem Klick erstmal in die Statuszeile seiner Mailsoftware schaut, um zu sehen, wo der Link überhaupt hingeht, kann „im Eifer des Gefechts“ auf so eine Mail durchaus reinfallen.

Selbstschutz vor Phishing

Deshalb ist es wichtig, sich so gut wie möglich vor Phishing zu schützen. Das ist viel einfacher, als die meisten Menschen glauben:

  1. Immer aufmerksam bleiben! Vor allem, wenn es um Geld geht! Genau hinschauen! Nachdenken! Nicht klicken, ohne nachgedacht zu haben! Nichts ist so eilig, dass nicht fünf Minuten Zeit wären.
  2. Immer daran denken, dass die Absenderadresse einer E-Mail beliebig gefälscht sein kann! Niemals vom Design einer E-Mail verblenden lassen, denn das ist auch beliebig aus anderen E-Mails kopierbar! An einer E-Mail, die nicht digital signiert ist, gibt es (fast) nichts, woran sich überprüfen ließe, ob sie wirklich vom angegebenen Absender kommt – und der mögliche Blick in die Mailheader mit anschließender Prüfung einer IP-Adresse ist für Laien… ähm… etwas abschreckend.
  3. Beim E-Mails, die zu „Sicherheitsüberprüfungen“ mit „Bestätigung von Daten“ auffordern, diese Aufmerksamkeit noch verdoppeln. Auch, wenn es nicht um Geld geht. Es bringt für die Sicherheit nach einem „Hack“ objektiv nichts, wenn noch einmal längst bekannte Daten angegeben werden, und kein Anbieter wird seine Nutzer oder Kunden dazu auffordern. Jemand, der zum Beispiel ein Amazon-Konto kriminell übernommen hat, kann nicht nur alle diese Daten lesen, sondern sie sogar ändern. Das gleiche gilt für Bankkonten und Accounts bei Webdiensten und auch sonst überall.
  4. Bei regelmäßig benutzten Websites wie Social-Media-Sites, Webshops, Händlern, Banken angewöhnen, niemals die Seite zu besuchen, indem man in eine E-Mail klickt! Immer über den Browser gehen! So folgt man (zumindest nicht so einfach) falschen Links, und eine wichtige Mitteilung wird auch nach einer Anmeldung auf der Amazon-Site präsentiert werden¹.
  5. Mailadressen kosten nichts, und deshalb unbedingt für jeden Dienst, der eine Registrierung mit Mailadresse erfordert, eine eigene Mailadresse benutzen. Den zwei Minuten Aufwand für die Einrichtung einer Mailadresse steht ein erheblicher Zugewinn an Sicherheit gegenüber. Eine Phishing-Mail an eine falsche Adresse kann nicht erschrecken und dadurch zu übereilten Reaktionen führen. Und wenn doch einmal eine dieser Mailadressen durch eines der vielen Datenlecks im Lande des nicht wirklich durchgesetzten und beim Scheitern mit keinem Haftungsrisiko für den Datensammler verbundenen „Datenschutzes“ in kriminelle Hände gerät, bleibt der Rest unkompromittiert, so dass es auch einfach und ohne „Nebenwirkungen“ möglich ist, die unbrauchbar gewordene Mailadresse stillzulegen.
  6. Natürlich sollte nicht überall das gleiche Passwort verwendet werden. Und es sollte niemals vergessen werden, was die wichtigste Regel für Passwortsicherheit ist.
  7. Und: Immer aufmerksam bleiben, wenn man über ein anonymisierendes Medium wie dem Internet mit Geld umgeht! Auch bei Übermüdung, Eile, Streit, Stress, ernsthaften Problemen. Auch, wenn man glaubt, dass man etwas inzwischen schnell und nebenbei erledigen kann. Immer aufmerksam bleiben! Nicht überrumpeln lassen! Keine Panikreaktionen wegen einer Mail! Phishing funktioniert selbst bei schlechter Präsentation viel zu häufig, und es gibt inzwischen auch recht „gut“ gemachte Phishing-Mails.
  8. Schließlich: Angesichts der diversen Datenlecks, bei denen auch Telefonnummern in die Hände von Verbrechern gerieten, auch am Telefon aufmerksam bleiben. Es ist nur eine Frage der Zeit, bis die Phisher dazu übergehen, einfach anzurufen und die Daten – „Wir haben gerade einen Angriff auf ihr Konto“ – nach gezielt ausgelöster Panik telefonisch abzufragen. Dabei immer darüber klar sein, dass die angezeigte Telefonnummer des Anrufers ebenfalls gefälscht werden kann!

Internet! Vor jedem Klick auf einen Link: Gehirn bentzen!

¹Natürlich kann der verwendete Rechner mit einem Trojaner befallen sein, der den gesamten Netzwerkverkehr manipuliert, aber dann ist Phishing das kleinste Problem…

Aktueller Hinweis für ebay-Nutzer

Mittwoch, 29. Oktober 2014

Dies ist keine Spam, sondern ein kleiner Rückblick und eine aktuelle Warnung.

Im Februar dieses Jahres habe ich hier erstmals anhand eines einzigen Beispieles den Verdacht geäußert, das bei ebay ein Datenleck vorliegen könnte und habe dabei hoffentlich deutlich genug vor gutem, personalisierten Phishing gewarnt.

Dieses Datenleck wurde erst mehr als drei Monate später, im Mai dieses Jahres, von ebay bestätigt. Angreifern war es möglich, von ebay sportliche 145 Millionen Kundendatensätze mitzunehmen. Die Frage, warum ein Unternehmen wie ebay, das in dieser Weise mit Kundendaten umgeht und trotz einer monströs gewordenen organisierten Internet-Kriminalität seine Kunden drei Monate lang nicht vor möglichen Folgen des kriminellen Datenzugriffs warnt, überhaupt noch Kunden hat, kann ich auch nicht beantworten. Es gibt sicherlich einen völlig vernünftigen Grund dafür, den zu verstehen ich einfach zu dumm bin.

Seither zirkulieren die von ebay abgegriffenen Daten unter Kriminellen – und zurzeit werden, wie das LKA Niedersachsen mitteilt, diese Daten wieder einmal für sehr gefährliches, personalisiertes Phishing verwendet.

Meine Empfehlungen in dieser Sache

  1. Immer daran denken: Weder ebay noch PayPal versenden irgendwelche Mails mit der Aufforderung, an irgendwelchen Legitimationsprüfungen aus irgendwelchen Sicherheitsgründen teilzunehmen. Derartige Mails sind immer Spam.
  2. Eine eventuell bis Februar dieses Jahres gegenüber PayPal benutzte E-Mail-Adresse sollte sofort stillgelegt werden. Sie ist mit beachtlicher Wahrscheinlichkeit zusammen mit dem zugehörigen Namen und der zugehörigen Postanschrift unter Kriminellen bekannt und kann für sehr gefährliches personalisiertes Phishing verwendet werden. Eine Telefonnummer lässt sich oft aus offenen Quellen zusätzlich ermitteln, und die ebenfalls offen einsehbaren getätigten Geschäfte auf ebay lassen eine Abschätzung zu, bei welchen Personen sich ein aufwändig vorgetragener Betrug „lohnt“. Dies lässt es in meinen Augen als sicher erscheinen, dass irgendwann auf Grundlage dieser Daten sehr aufwändige und für den Betroffenen schwer durchschaubare Betrugsnummern unter Beteiligung von Briefpost- und Telefon-Verkehr durchgeführt werden.
  3. Ebay muss in seinem damaligen Umgang mit dem Datenabgriff als ein Unternehmen betrachtet werden, das kein Interesse daran zeigt, seine Kunden vor den möglichen kriminellen Folgen seines eigenen Versagens zu schützen. Wenn das Datenleck nicht an vielen anderen Stellen im Internet ruchbar und zum immer breiter rezipierten Gerücht geworden wäre, hätte ebay es seinen Kunden gegenüber vermutlich einfach verschwiegen. Das sollte Grund genug sein, nach Möglichkeit Distanz von ebay aufzusuchen.
  4. Generell ist davon abzuraten, überhaupt noch irgendwelche Daten im Internet gegenüber zentralistisch organisierten Strukturen (wie etwa Unternehmenswebsites) preiszugeben. Dies gilt in besonderer Weise, wenn dabei Geld oder wertvolle Güter bewegt werden, so dass eine kriminelle Attraktivität dieser Daten entsteht, die auch aufwändige Angriffe hervorbringt. (Vermutlich war der Angriff auf ebay aufwändig.) Diese Empfehlung kann ich erst relativieren, wenn Unternehmen bei Datenschutzversäumnissen im vollen Umfang für die Folgen haftbar gemacht werden können, was zurzeit nicht der Fall ist und was vermutlich auch so lange nicht der Fall sein wird, wie die so genannten „Volksvertreter“ in der Legislative mit zugestecktem Geld gefügig gemacht werden können.

Alles weitere kann bei der Polizei nachgelesen werden.

Warum Adblocker auch weiterhin unverzichtbar sind…

Montag, 22. September 2014

Warum Adblocker im Browser auch weiterhin eine unverzichtbare Sicherheitssoftware sind, vollkommen unabhängig davon, dass einige Websitebetreiber ihre Leser und Nutzer immer wieder einmal zum Abschalten derartiger Sicherheitssoftware auffordern? Das beleuchtet unter anderem die heutige Horrormeldung auf Heise Online:

Das große Werbenetzwerk Zedo und die Google-Tochter Doubleclick sollen nach Angaben eines Antivirenherstellers fast einen Monat lang Schadcode über ihre Werbung verteilt haben

Von einem solchen gelungenen Angriff der Schadsoftware-Verbrecher auf einen großen Ad-Vermarkter ist natürlich ein sehr großer und für viele Menschen vertrauenswürdiger Teil des Internet betroffen, und es ist deshalb auch davon auszugehen, dass die Kriminellen sich in bei einer solchen Möglichkeit ganz besonders große Mühe geben, einen Schadcode zu verwenden, der von der Mehrzahl der Antivirus-Schlangenöle nicht erkannt wird. (Diese erkennen nur bekannten Schadcode, und es ist oft möglich, sie durch triviale Änderungen auszutricksen.) Je geringer die Erkennung, desto länger gibts den bequemen Infektionsweg über namhafte und angesehene Websites.

Und deshalb sollten sie immer, ohne eine einzige Ausnahme, auf jeder Website, die sie besuchen, einen wirksamen Adblocker einsetzen, der diesen ansonsten sehr gefährlichen Infektionsweg an der Wurzel unterbindet – und dabei ganz nebenbei das Web schneller und schöner macht. Wenn sie noch mehr Sicherheit haben möchten und sich nicht daran stören, dass sie für einige Websites Privilegien von Hand gewähren müssen, die ansonsten der Browser automatisch für sie gewährt, dann installieren sie zusätzlich NoScript und gehen sie sehr sparsam mit dem Recht für Websites um, Skripten im Browser auszuführen. Ein „Einfangen“ von Schadsoftware über den Browser ist dann sehr sehr unwahrscheinlich geworden und nur noch über ausgebeutete Programmierfehler im Browser möglich. (Deshalb sollte immer ein aktueller Browser verwendet werden.) Wenn der Autor bei Heise Online schreibt, dass ein aktueller Virenscanner den Angriff wahrscheinlich in fast allen Fällen verhindert hätte, ohne auch nur ein paar Codefragmente gegen zum Angriffszeitpunkt aktuelle Virenscanner zu überprüfen, so kann ich ohne Rückgriff auf einschränkende Wörter wie „wahrscheinlich“ entgegnen: Ein Adblocker hätte diesen Angriff ganz sicher überall dort verhindert, wo er verwendet worden wäre und keine Ausnahmen beim Blocken konfiguriert wurden! Da es hier um Doubleclick-Anzeigen geht, kann ein derartiger Angriff beinahe auf jeder Website laufen, auch auf der Website ihrer Lieblingszeitung! Oder auf der Website von Heise Online, genau dort, wo auf ein schweres, die Computersicherheit von Lesern gefährendes Problem beim Ad-Vermarkter Doubleclick gemeldet wird:

Screenshot meines Editors mit dem Seitenquelltext der oben verlinkten Meldung auf Heise Online. Gezeigt wird der Ausschnitt des Quelltextes, der über JavaScript ein Ad von Doubleclick einbettet.

Die Frage, wie viel ihre Computersicherheit dort wert ist, wo „Content“ durch Werbeeinblendungen monetarisiert werden soll, hat sich damit hoffentlich geklärt.

Und ja! Wenn sie das ausschließliche Surfen mit Adblock Edge und NoScript mit einer großen Vorsicht beim Öffnen von E-Mail-Anhängen verbinden, haben sie mehr Schutz vor „Infektionen“ aus dem Internet, als ihnen jedes Antivirus-Programm zeitgenössischer Machart gibt oder überhaupt geben kann. Das Problem einer möglichen Übernahme des Rechners durch „verseuchte“ USB-Geräte und dergleichen wird allerdings so nicht gelöst… hier müssen sie entweder eine strikte Keuschheit des Computers durchsetzen (schwierig!), doch auf Antivirus-Schlangenöl zurückgreifen, um überhaupt etwas Schutz zu haben oder aber lernen, wie sich die vielen „bequemen“ Automatismen ihres Betriebssystems beim Anstecken eines Speichersticks abstellen lassen und ein paar Einstellungen vornehmen. Ich bin mir jedenfalls sicher, dass sie es im Alltag nicht benötigen, wenn ohne ihr Zutun Code auf einem Speicherstick oder einer angesteckten Kamera im Hintergrund ausgeführt wird. Niemand benötigt das. Ein paar Klicks sind nicht so schwierig, dass sie einem abgenommen werden müssten. Eventuelle Hassmails in dieser Sache bitte an Microsoft senden, den Hersteller des beliebtesten Betriebssystemes der Organisierten Kriminalität.

Elias Schwerdtfeger 1 messages marked as unread interpol

Dienstag, 5. August 2014

Wichtiger Hinweis vorweg: Diese E-Mail kommt nicht von Facebook. Es handelt sich um eine ziemlich gefährliche Spam.

Facebook-Logo -- Here's some activity you may have missed -- 1 Messages marked as unread -- Button: View Messages, Button: See all notifications -- The message was send to xxx. If you don't want to receive these messages in the future, please unsubscribe

Anders, als man auf den ersten Blick meinen möchte, geht es hier nicht um Phishing.

Es ist völlig gleichgültig, ob man auf die ungelesene Nachricht, auf „View Messages“, auf „See All Notifications“ oder „unsubscribe“ klickt. Alle Links führen auf die selbe URL, und zwar auf eine hochgeladene PHP-Datei in einer mutmaßlich gecrackten WordPress-Installation eines unbeteiligten Dritten.

Wer darauf klickt, bekommt dafür… ähm… einen kostenlosen, in JavaScript, Java, Flash, präparierten PDF-Dokumenten und missbrauchtem CSS gecodeten Sicherheitscheck seines Browsers, seiner Plugins und seines Betriebssystems. Wenn diese automatische Überprüfung des Computers durch Kriminelle eine ausbeutbare Lücke zeigt, steht hinterher ein Computer anderer Menschen auf dem Schreibtisch, und was dieses Pack dann damit anfängt, kann keinem gefallen. Da es sich um sehr aktuelle Schadsoftware handelt, dürften die meisten Antivirus-Schlangenöle bei der Erkennung versagen.

Deshalb ist es wichtig, solche Spam als Spam zu erkennen. Es gibt hier mehrere Punkte, die sofort Verdacht erwecken sollten, obwohl es eine Ansprache mit korrektem Namen gab:

  1. Die Sprache stimmt nicht. Wenn ich bei Facebook wäre – was ich allein deshalb nicht bin, weil Facebook in seiner Aufbauphase versucht hat, neue Nutzer mit asozialer und illegaler Spam anzuwerben – dann würde ich natürlich Deutsch einstellen und bekäme derartige Mail von Facebook auch in Deutsch.
  2. Die (gefälschte) Absenderadresse liegt nicht in der Domain von Facebook. Das war sehr dumm vom Spammer und hat es möglich gemacht, diesen Dreck sicher als Spam zu erkennen, ohne lange hineinzuschauen.
  3. Wenn man mit der Maus über einen der Links geht, sieht man in der Statuszeile seiner Mailsoftware, wo der Link hinführt. Dabei wird sofort klar, dass es kein Link in die Website von Facebook ist. Und das sollte bei so einer Mail sämtliche Alarmglocken klingeln lassen. Ein kleiner Blick auf die Statuszeile vor der Klick auf einen Link ist sehr wichtig, denn eine Fahrt ins Blaue macht nur in einem Umfeld Spaß, in dem es nicht derartige Verbrecher gibt.

Darüber hinaus verhindert die Verwendung des Browser-Addons NoScript derartige Angriffe an der Wurzel, indem die Ausführung aktiver Inhalte (JavaScript, Plugins) unterdrückt wird. Der relativ geringe Aufwand, einige vertrauenswürdige Websites einmalig freizuschalten, mag zwar nerven, aber zur Belohnung dafür gibt es ein Maß an zusätzlicher Browsersicherheit, das durch kein Antivirus-Schlangenöl erreicht werden kann. Mit Leichtigkeit kann wochen- oder gar monatelanger Ärger durch Datenverluste, Erpressungsversuche, überwachtes und manipuliertes Online-Banking, Missbrauch des Computers und der Internetleitung für kriminelle Aktivitäten und Spamversand und dergleichen vermieden werden. Die Installation von NoScript im Browser ist – neben der Verwendung eines wirksamen Adblockers – eine elementare Sicherheitsmaßnahme, wesentlich wichtiger und wirksamer als ein so genannter Virenscanner. Die Frage, warum eine derart wichtige Funktionalität nicht zum Standardumfang gehört¹, stellen sie bitte dem Browserhersteller ihres Vertrauens! Aber nicht darüber wundern, dass man beim von halbseidenen Reklame- und Tracking-Firmen wie Google finanzierten Firefox-Projekt ganz andere Vorstellungen hat, auch wenn das auf Kosten der Computersicherheit der Nutzer geht.

¹In früheren Opera-Versionen konnte man etwa relativ bequem JavaScript ausschalten und seitenspezifisch wieder einschalten.

Bestellnummer 37862105779

Montag, 2. Juni 2014

Die Nummer ist in jeder Mail anders, auch die anderen Zahlen und der eine oder andere kleine Textbestandteil. Es werden ständig andere gefälschte Absenderadressen verwendet. Meine Exemplare kamen alle von einer dynamischen IP-Adresse eines italienischen Zugangsproviders, also nicht von einem gewöhnlichen Mailserver, sondern von einem mit Schadsoftware übernommenen Privatrechner. Oder anders gesagt: Es handelt sich hier um die Mail von Kriminellen, die mit Schadsoftware übernommene Privatrechner für ihre Kriminalität benutzen.

Vielen Dank dafür, dass Sie Dienste unseres Geschäfts ausnutzen [sic!]!

Das pseudohöfliche „Vielen Dank“ soll darüber hinwegtäuschen, dass der angebliche Kunde, der die „Dienste unseres Geschäftes“ ausnutzt, keinen Namen hat, und…

Ihre Bestellung #37862105779 wird 07-06-2014 verschickt werden.

…die Bestellnummer so wie die anderen Nonsens-Daten…

Datum: 02-06-2014 15:35:17
Summe: €155.34
Bezahlungstyp: Kreditkarte
Transaktionsnummer: FB6732282B

…sollen mit viel sinnlosem Text die Spam füllen, ohne irgendeine aus Kundensicht relevante Information zu geben – also die Frage zu beantworten, was da bei wem bestellt wurde, wann dies geschah und wohin das geliefert wird. Dies sind alles Angaben, bei denen ein echtes Unternehmen darauf achten würde, dass keine Missverständnisse aufkommen können. Auch auf die Angabe der Kreditkartennummer wird verzichtet. Stattdessen gibts eine lustige Tasse Buchstabensuppe als angebliche „Transaktionsnummer“.

Warum das so ist?

Na, weil jede dieser Informationen jedem Empfänger sofort klar machen würden, dass alles in dieser Spam Unsinn ist, der nichts mit irgendeiner Bestellung zu tun hat. Und dann würde die Spam wohl einfach lachend gelöscht. Das will der Spammer freilich nicht, er will stattdessen…

Die Gesamtrechnung werden Sie in der Datei buchung6755.zip finden

…dass das angehängte ZIP-Archiv aufgemacht wird, in dem sich nicht etwa ein Dokument, sondern eine ausführbare Binärdatei für Microsoft Windows, die von Verbrechern zugestellt wurde befindet – leicht an der Dateinamenserweiterung .exe zu erkennen, wenn man diese im Windows Explorer anzeigen lässt¹.

Wer es immer noch verstanden hat: Es handelt sich um eine Kollektion aktueller Schadsoftware. Zurzeit wird diese Schadsoftware von nur einem Antivirusprogramm aus einer Liste von 53 Antivirusprogrammen erkannt. (Ich habe dieses Ergebnis mal durch einen Screenshot dokumentiert, falls mir eine Woche später mal wieder niemand mehr glaubt.) Fast alle Empfänger dieses kriminellen Mists, die sich auf ihr Antivirus-Schlangenöl verlassen haben, sind verlassen und haben nach dem Starten der angehängten Schadsoftware einen Rechner anderer Leute auf ihrem Schreibtisch stehen, ohne dass es zu einem Alarm kommt – und dies völlig unabhängig davon, ob das Schlangenöl Geld gekostet hat oder nicht².

Deshalb ist es umso wichtiger, derartigen Müll selbst zu erkennen und zu löschen. Das war in diesem Fall nicht weiter schwierig. Alle Spams, die ihre Empfänger zum Ausführen von Schadsoftware überrumpeln wollen, haben folgende Merkmale:

  1. Es wird innere Unruhe erzeugt, etwa mit der Behauptung von Geldforderungen, mit angeblichen Rechnungen, Mahnungen oder mit angeblichen Rechtsangelegenheiten. Manchmal sind es auch kurze „Liebesbriefe“ oder „Gutscheine“ von Unbekannten. Eine Übersicht derartiger Maschen findet sich hier auf Unser täglich Spam unter dem Schlagwort „Schadsoftware“.
  2. Alles, was im Text der Mail über den angeblichen Sachverhalt steht, ist völlig nichtssagend und – im Falle angeblicher Mahnungen oder Rechnungen – oft einschüchternd technokratisch formuliert. (Irgendwelche Nummern, technische Angaben und dergleichen, Menschen sind in unserer Maschinerie unbedeutend, du musst unserer Maschinerie gehorchen, es ist mechanisch, ein Fehler durch menschliches Versagen ist völlig ausgeschlossen: Man beachte unter diesem Aspekt das in der vorliegenden Spam gewählte, technisch anmutende Datumsformat.)
  3. Die einzige Möglichkeit, zu erfahren, um was es eigentlich geht, liegt darin, einen Mailanhang zu öffnen.
  4. Dieser Mailanhang ist ein ZIP-Archiv. Jede E-Mail mit einem angehängten ZIP-Archiv ist gefährlich. Diese „Verpackung“ wird von den Verbrechern vorgenommen, um gefährliche Dateitypen an den Spamfiltern vorbeizumogeln.
  5. Im ZIP-Archiv liegt eine einzige Datei. Das Piktogramm der Datei sieht meistens wie ein PDF oder wie ein Word-Dokument aus, aber es handelt sich in Wirklichkeit um eine ausführbare Datei für Microsoft Windows.

Der Doppelklick auf das angebliche „Dokument“ installiert dann die Schadsoftware. Diese ist in aller Regel so „neu“ (also so aus bestehender Schadsoftware abgeleitet, dass Antivirus-Programme beim Erkennen versagen), dass es bei vielen Menschen nicht zu einer Warnung kommt.

Mit freundlichen Grüßen,
Verkaufsabteilung
Hasica Becht

Wenn das die „Freundlichkeit“ ist, will ich die Feindschaft nicht mehr kennenlernen.

Und weil diese Spammer ganz besonders asozial sind, haben sie noch eine Innovation dieser Masche im Angebot:

+49-3533-7386-xxx [von mir unkenntlich gemacht]

Ich kann nur hoffen, dass die verwendeten Telefonnummern nicht existieren – denn die armen Menschen, die sich ansonsten mit vielen hunderten erboster Anrufe herumschlagen müssten, die können mir nur leid tun.

Die asozialen und kriminellen Spammer sind freilich von solchen menschlichen Regungen unbeeinflusst. Diesem Pack ist alles egal.

¹Das ist nicht die Voreinstellung von Microsoft. Hassmails wegen dieser idiotischen Entscheidung bitte an Microsoft senden! Aber noch wichtiger: Eine bessere Einstellung machen, die sofort klar macht, dass es sich trotz des PDF-Piktogramms nicht um ein PDF handelt!

²Sorry, liebe „Spammitgenießer“ vom LKA Niedersachsen, aber euer Hinweis, dass gekaufte wirkungslose Software besser ist als kostenlose wirkungslose Software, ist ein dermaßen gefährlicher Humbug, dass mir alle Worte fehlen. Ansonsten ist euer Präventionsportal wirklich ein lobenswerter Schritt in die richtige Richtung, den ich so viele Jahre lang vermisst habe.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.