Informatives zur Spam

Hier werden Beiträge gesammelt, die nicht einfach nur eine Spam behandeln, sondern von eher allgemeinem und informativen Charakter sind, damit solche Texte nicht in der Flut der täglichen Spam untergehen. Dies geschieht auf Anregung meines Lesers Cassiel. Natürlich steht ein spezieller RSS-Feed für diese Inhalte zur Verfügung.

Verdächtige Zahlung erkannt

Dienstag, 18. November 2014

Wie die Kriminellen mit den ganzen abgegriffenen Daten aus den Datenlecks diverser Unternehmen machen? Zum Beispiel gefährliche, personalisierte Betrugsmaschen. So sieht etwa eine gut gemachte, personalisierte Phishing-Spam aus:

Zugegeben, der Text ohne das Layout wirkt gar nicht mehr so großartig:

Liebe/r Frank xxxxx,

Durch das von uns entwickelte System zur Erkennung von Betrugsversuchen was unter anderem Ihren Standort der Bezahlvorgänge miteinander vergleicht, war es uns nicht möglich diesen Vorgang eindeutig Ihrem Handeln zuzuordnen.

Bei der letzten Überprüfung ihres Accounts sind uns ungewöhnliche Aktivitäten aufgefallen, im Bezug auf ihre hinterlegten Zahlungsmittel und ihr Zahlverhalten.
Bitte bestätigen Sie ihre hinterlegten Informationen, damit sie ihren Account wieder in vollem Umfang nutzen können.

Klicken sie hier um ihre Daten zu bestätigen

Der Link zum „Bestätigen der Daten“ – übrigens wird weder Amazon noch irgendein anderer Internetanbieter jemals seine Kunden dazu auffordern, aus angeblichen Sicherheitsgründen Daten anzugeben, die dort schon längst bekannt sind, es sei denn, es handele sich um Passwörter, Sicherheitsfragen oder dergleichen – geht natürlich nicht zu amazon (punkt) de, sondern nach einem Umweg über einen URL-Kürzer in die Subdomain amazon der Domain de (strich) webapps (strich) online (punkt) net, die gestern erst über einen Whois-Anonymisierer aus dem sonnigen Panama registriert wurde und die vorsätzlich den Eindruck erwecken soll, eine Domain von Amazon zu sein. Alle Daten, die man dort eingibt…

Erste Stufe der Phishing-Site, Eingabe von Mailadresse und Passwort

…wie zum Beispiel eine Kombination aus Mailadresse und Passwort (die bei vielen Menschen zur Anmeldung an diversen Diensten verwendet werden kann, aber auch so die Übernahme des Amazon-Kontos ermöglicht) und…

Zweite Stufe der Phishing-Site, Eingabe der Postanschrift, der Telefonnummer, des Geburtsdatums und der Kreditkartendaten

…die Postanschrift, die Telefonnummer, das Geburtsdatum und die Kreditkartendaten gehen direkt zu Kriminellen, die damit ganz sicher allerlei „Geschäfte“ machen werden.

Ich finde es immer wieder erstaunlich, wie viel überzeugender eine Phishing-Spam aussieht, wenn sie eine persönliche Ansprache des Empfängers hat. Wer nicht – wie Frank, der mir dieses Machwerk zugesteckt hat – gewohnheitsmäßig vor jedem Klick erstmal in die Statuszeile seiner Mailsoftware schaut, um zu sehen, wo der Link überhaupt hingeht, kann „im Eifer des Gefechts“ auf so eine Mail durchaus reinfallen.

Selbstschutz vor Phishing

Deshalb ist es wichtig, sich so gut wie möglich vor Phishing zu schützen. Das ist viel einfacher, als die meisten Menschen glauben:

Immer aufmerksam bleiben! Vor allem, wenn es um Geld geht! Genau hinschauen! Nachdenken! Nicht klicken, ohne nachgedacht zu haben! Nichts ist so eilig, dass nicht fünf Minuten Zeit wären.
Immer daran denken, dass die Absenderadresse einer E-Mail beliebig gefälscht sein kann! Niemals vom Design einer E-Mail verblenden lassen, denn das ist auch beliebig aus anderen E-Mails kopierbar! An einer E-Mail, die nicht digital signiert ist, gibt es (fast) nichts, woran sich überprüfen ließe, ob sie wirklich vom angegebenen Absender kommt – und der mögliche Blick in die Mailheader mit anschließender Prüfung einer IP-Adresse ist für Laien… ähm… etwas abschreckend.
Beim E-Mails, die zu „Sicherheitsüberprüfungen“ mit „Bestätigung von Daten“ auffordern, diese Aufmerksamkeit noch verdoppeln. Auch, wenn es nicht um Geld geht. Es bringt für die Sicherheit nach einem „Hack“ objektiv nichts, wenn noch einmal längst bekannte Daten angegeben werden, und kein Anbieter wird seine Nutzer oder Kunden dazu auffordern. Jemand, der zum Beispiel ein Amazon-Konto kriminell übernommen hat, kann nicht nur alle diese Daten lesen, sondern sie sogar ändern. Das gleiche gilt für Bankkonten und Accounts bei Webdiensten und auch sonst überall.
Bei regelmäßig benutzten Websites wie Social-Media-Sites, Webshops, Händlern, Banken angewöhnen, niemals die Seite zu besuchen, indem man in eine E-Mail klickt! Immer über den Browser gehen! So folgt man (zumindest nicht so einfach) falschen Links, und eine wichtige Mitteilung wird auch nach einer Anmeldung auf der Amazon-Site präsentiert werden¹.
Mailadressen kosten nichts, und deshalb unbedingt für jeden Dienst, der eine Registrierung mit Mailadresse erfordert, eine eigene Mailadresse benutzen. Den zwei Minuten Aufwand für die Einrichtung einer Mailadresse steht ein erheblicher Zugewinn an Sicherheit gegenüber. Eine Phishing-Mail an eine falsche Adresse kann nicht erschrecken und dadurch zu übereilten Reaktionen führen. Und wenn doch einmal eine dieser Mailadressen durch eines der vielen Datenlecks im Lande des nicht wirklich durchgesetzten und beim Scheitern mit keinem Haftungsrisiko für den Datensammler verbundenen „Datenschutzes“ in kriminelle Hände gerät, bleibt der Rest unkompromittiert, so dass es auch einfach und ohne „Nebenwirkungen“ möglich ist, die unbrauchbar gewordene Mailadresse stillzulegen.
Natürlich sollte nicht überall das gleiche Passwort verwendet werden. Und es sollte niemals vergessen werden, was die wichtigste Regel für Passwortsicherheit ist.
Und: Immer aufmerksam bleiben, wenn man über ein anonymisierendes Medium wie dem Internet mit Geld umgeht! Auch bei Übermüdung, Eile, Streit, Stress, ernsthaften Problemen. Auch, wenn man glaubt, dass man etwas inzwischen schnell und nebenbei erledigen kann. Immer aufmerksam bleiben! Nicht überrumpeln lassen! Keine Panikreaktionen wegen einer Mail! Phishing funktioniert selbst bei schlechter Präsentation viel zu häufig, und es gibt inzwischen auch recht „gut“ gemachte Phishing-Mails.
Schließlich: Angesichts der diversen Datenlecks, bei denen auch Telefonnummern in die Hände von Verbrechern gerieten, auch am Telefon aufmerksam bleiben. Es ist nur eine Frage der Zeit, bis die Phisher dazu übergehen, einfach anzurufen und die Daten – „Wir haben gerade einen Angriff auf ihr Konto“ – nach gezielt ausgelöster Panik telefonisch abzufragen. Dabei immer darüber klar sein, dass die angezeigte Telefonnummer des Anrufers ebenfalls gefälscht werden kann!

Internet! Vor jedem Klick auf einen Link: Gehirn bentzen!

¹Natürlich kann der verwendete Rechner mit einem Trojaner befallen sein, der den gesamten Netzwerkverkehr manipuliert, aber dann ist Phishing das kleinste Problem…

Aktueller Hinweis für ebay-Nutzer

Mittwoch, 29. Oktober 2014

Dies ist keine Spam, sondern ein kleiner Rückblick und eine aktuelle Warnung.

Im Februar dieses Jahres habe ich hier erstmals anhand eines einzigen Beispieles den Verdacht geäußert, das bei ebay ein Datenleck vorliegen könnte und habe dabei hoffentlich deutlich genug vor gutem, personalisierten Phishing gewarnt.

Dieses Datenleck wurde erst mehr als drei Monate später, im Mai dieses Jahres, von ebay bestätigt. Angreifern war es möglich, von ebay sportliche 145 Millionen Kundendatensätze mitzunehmen. Die Frage, warum ein Unternehmen wie ebay, das in dieser Weise mit Kundendaten umgeht und trotz einer monströs gewordenen organisierten Internet-Kriminalität seine Kunden drei Monate lang nicht vor möglichen Folgen des kriminellen Datenzugriffs warnt, überhaupt noch Kunden hat, kann ich auch nicht beantworten. Es gibt sicherlich einen völlig vernünftigen Grund dafür, den zu verstehen ich einfach zu dumm bin.

Seither zirkulieren die von ebay abgegriffenen Daten unter Kriminellen – und zurzeit werden, wie das LKA Niedersachsen mitteilt, diese Daten wieder einmal für sehr gefährliches, personalisiertes Phishing verwendet.

Meine Empfehlungen in dieser Sache

Immer daran denken: Weder ebay noch PayPal versenden irgendwelche Mails mit der Aufforderung, an irgendwelchen Legitimationsprüfungen aus irgendwelchen Sicherheitsgründen teilzunehmen. Derartige Mails sind immer Spam.
Eine eventuell bis Februar dieses Jahres gegenüber PayPal benutzte E-Mail-Adresse sollte sofort stillgelegt werden. Sie ist mit beachtlicher Wahrscheinlichkeit zusammen mit dem zugehörigen Namen und der zugehörigen Postanschrift unter Kriminellen bekannt und kann für sehr gefährliches personalisiertes Phishing verwendet werden. Eine Telefonnummer lässt sich oft aus offenen Quellen zusätzlich ermitteln, und die ebenfalls offen einsehbaren getätigten Geschäfte auf ebay lassen eine Abschätzung zu, bei welchen Personen sich ein aufwändig vorgetragener Betrug „lohnt“. Dies lässt es in meinen Augen als sicher erscheinen, dass irgendwann auf Grundlage dieser Daten sehr aufwändige und für den Betroffenen schwer durchschaubare Betrugsnummern unter Beteiligung von Briefpost- und Telefon-Verkehr durchgeführt werden.
Ebay muss in seinem damaligen Umgang mit dem Datenabgriff als ein Unternehmen betrachtet werden, das kein Interesse daran zeigt, seine Kunden vor den möglichen kriminellen Folgen seines eigenen Versagens zu schützen. Wenn das Datenleck nicht an vielen anderen Stellen im Internet ruchbar und zum immer breiter rezipierten Gerücht geworden wäre, hätte ebay es seinen Kunden gegenüber vermutlich einfach verschwiegen. Das sollte Grund genug sein, nach Möglichkeit Distanz von ebay aufzusuchen.
Generell ist davon abzuraten, überhaupt noch irgendwelche Daten im Internet gegenüber zentralistisch organisierten Strukturen (wie etwa Unternehmenswebsites) preiszugeben. Dies gilt in besonderer Weise, wenn dabei Geld oder wertvolle Güter bewegt werden, so dass eine kriminelle Attraktivität dieser Daten entsteht, die auch aufwändige Angriffe hervorbringt. (Vermutlich war der Angriff auf ebay aufwändig.) Diese Empfehlung kann ich erst relativieren, wenn Unternehmen bei Datenschutzversäumnissen im vollen Umfang für die Folgen haftbar gemacht werden können, was zurzeit nicht der Fall ist und was vermutlich auch so lange nicht der Fall sein wird, wie die so genannten „Volksvertreter“ in der Legislative mit zugestecktem Geld gefügig gemacht werden können.

Alles weitere kann bei der Polizei nachgelesen werden.

Warum Adblocker auch weiterhin unverzichtbar sind…

Montag, 22. September 2014

Warum Adblocker im Browser auch weiterhin eine unverzichtbare Sicherheitssoftware sind, vollkommen unabhängig davon, dass einige Websitebetreiber ihre Leser und Nutzer immer wieder einmal zum Abschalten derartiger Sicherheitssoftware auffordern? Das beleuchtet unter anderem die heutige Horrormeldung auf Heise Online:

Das große Werbenetzwerk Zedo und die Google-Tochter Doubleclick sollen nach Angaben eines Antivirenherstellers fast einen Monat lang Schadcode über ihre Werbung verteilt haben

Von einem solchen gelungenen Angriff der Schadsoftware-Verbrecher auf einen großen Ad-Vermarkter ist natürlich ein sehr großer und für viele Menschen vertrauenswürdiger Teil des Internet betroffen, und es ist deshalb auch davon auszugehen, dass die Kriminellen sich in bei einer solchen Möglichkeit ganz besonders große Mühe geben, einen Schadcode zu verwenden, der von der Mehrzahl der Antivirus-Schlangenöle nicht erkannt wird. (Diese erkennen nur bekannten Schadcode, und es ist oft möglich, sie durch triviale Änderungen auszutricksen.) Je geringer die Erkennung, desto länger gibts den bequemen Infektionsweg über namhafte und angesehene Websites.

Und deshalb sollten sie immer, ohne eine einzige Ausnahme, auf jeder Website, die sie besuchen, einen wirksamen Adblocker einsetzen, der diesen ansonsten sehr gefährlichen Infektionsweg an der Wurzel unterbindet – und dabei ganz nebenbei das Web schneller und schöner macht. Wenn sie noch mehr Sicherheit haben möchten und sich nicht daran stören, dass sie für einige Websites Privilegien von Hand gewähren müssen, die ansonsten der Browser automatisch für sie gewährt, dann installieren sie zusätzlich NoScript und gehen sie sehr sparsam mit dem Recht für Websites um, Skripten im Browser auszuführen. Ein „Einfangen“ von Schadsoftware über den Browser ist dann sehr sehr unwahrscheinlich geworden und nur noch über ausgebeutete Programmierfehler im Browser möglich. (Deshalb sollte immer ein aktueller Browser verwendet werden.) Wenn der Autor bei Heise Online schreibt, dass ein aktueller Virenscanner den Angriff wahrscheinlich in fast allen Fällen verhindert hätte, ohne auch nur ein paar Codefragmente gegen zum Angriffszeitpunkt aktuelle Virenscanner zu überprüfen, so kann ich ohne Rückgriff auf einschränkende Wörter wie „wahrscheinlich“ entgegnen: Ein Adblocker hätte diesen Angriff ganz sicher überall dort verhindert, wo er verwendet worden wäre und keine Ausnahmen beim Blocken konfiguriert wurden! Da es hier um Doubleclick-Anzeigen geht, kann ein derartiger Angriff beinahe auf jeder Website laufen, auch auf der Website ihrer Lieblingszeitung! Oder auf der Website von Heise Online, genau dort, wo auf ein schweres, die Computersicherheit von Lesern gefährendes Problem beim Ad-Vermarkter Doubleclick gemeldet wird:

Screenshot meines Editors mit dem Seitenquelltext der oben verlinkten Meldung auf Heise Online. Gezeigt wird der Ausschnitt des Quelltextes, der über JavaScript ein Ad von Doubleclick einbettet.

Die Frage, wie viel ihre Computersicherheit dort wert ist, wo „Content“ durch Werbeeinblendungen monetarisiert werden soll, hat sich damit hoffentlich geklärt.

Und ja! Wenn sie das ausschließliche Surfen mit Adblock Edge und NoScript mit einer großen Vorsicht beim Öffnen von E-Mail-Anhängen verbinden, haben sie mehr Schutz vor „Infektionen“ aus dem Internet, als ihnen jedes Antivirus-Programm zeitgenössischer Machart gibt oder überhaupt geben kann. Das Problem einer möglichen Übernahme des Rechners durch „verseuchte“ USB-Geräte und dergleichen wird allerdings so nicht gelöst… hier müssen sie entweder eine strikte Keuschheit des Computers durchsetzen (schwierig!), doch auf Antivirus-Schlangenöl zurückgreifen, um überhaupt etwas Schutz zu haben oder aber lernen, wie sich die vielen „bequemen“ Automatismen ihres Betriebssystems beim Anstecken eines Speichersticks abstellen lassen und ein paar Einstellungen vornehmen. Ich bin mir jedenfalls sicher, dass sie es im Alltag nicht benötigen, wenn ohne ihr Zutun Code auf einem Speicherstick oder einer angesteckten Kamera im Hintergrund ausgeführt wird. Niemand benötigt das. Ein paar Klicks sind nicht so schwierig, dass sie einem abgenommen werden müssten. Eventuelle Hassmails in dieser Sache bitte an Microsoft senden, den Hersteller des beliebtesten Betriebssystemes der Organisierten Kriminalität.

Elias Schwerdtfeger 1 messages marked as unread interpol

Dienstag, 5. August 2014

Wichtiger Hinweis vorweg: Diese E-Mail kommt nicht von Facebook. Es handelt sich um eine ziemlich gefährliche Spam.

Anders, als man auf den ersten Blick meinen möchte, geht es hier nicht um Phishing.

Es ist völlig gleichgültig, ob man auf die ungelesene Nachricht, auf „View Messages“, auf „See All Notifications“ oder „unsubscribe“ klickt. Alle Links führen auf die selbe URL, und zwar auf eine hochgeladene PHP-Datei in einer mutmaßlich gecrackten WordPress-Installation eines unbeteiligten Dritten.

Wer darauf klickt, bekommt dafür… ähm… einen kostenlosen, in JavaScript, Java, Flash, präparierten PDF-Dokumenten und missbrauchtem CSS gecodeten Sicherheitscheck seines Browsers, seiner Plugins und seines Betriebssystems. Wenn diese automatische Überprüfung des Computers durch Kriminelle eine ausbeutbare Lücke zeigt, steht hinterher ein Computer anderer Menschen auf dem Schreibtisch, und was dieses Pack dann damit anfängt, kann keinem gefallen. Da es sich um sehr aktuelle Schadsoftware handelt, dürften die meisten Antivirus-Schlangenöle bei der Erkennung versagen.

Deshalb ist es wichtig, solche Spam als Spam zu erkennen. Es gibt hier mehrere Punkte, die sofort Verdacht erwecken sollten, obwohl es eine Ansprache mit korrektem Namen gab:

Die Sprache stimmt nicht. Wenn ich bei Facebook wäre – was ich allein deshalb nicht bin, weil Facebook in seiner Aufbauphase versucht hat, neue Nutzer mit asozialer und illegaler Spam anzuwerben – dann würde ich natürlich Deutsch einstellen und bekäme derartige Mail von Facebook auch in Deutsch.
Die (gefälschte) Absenderadresse liegt nicht in der Domain von Facebook. Das war sehr dumm vom Spammer und hat es möglich gemacht, diesen Dreck sicher als Spam zu erkennen, ohne lange hineinzuschauen.
Wenn man mit der Maus über einen der Links geht, sieht man in der Statuszeile seiner Mailsoftware, wo der Link hinführt. Dabei wird sofort klar, dass es kein Link in die Website von Facebook ist. Und das sollte bei so einer Mail sämtliche Alarmglocken klingeln lassen. Ein kleiner Blick auf die Statuszeile vor der Klick auf einen Link ist sehr wichtig, denn eine Fahrt ins Blaue macht nur in einem Umfeld Spaß, in dem es nicht derartige Verbrecher gibt.

Darüber hinaus verhindert die Verwendung des Browser-Addons NoScript derartige Angriffe an der Wurzel, indem die Ausführung aktiver Inhalte (JavaScript, Plugins) unterdrückt wird. Der relativ geringe Aufwand, einige vertrauenswürdige Websites einmalig freizuschalten, mag zwar nerven, aber zur Belohnung dafür gibt es ein Maß an zusätzlicher Browsersicherheit, das durch kein Antivirus-Schlangenöl erreicht werden kann. Mit Leichtigkeit kann wochen- oder gar monatelanger Ärger durch Datenverluste, Erpressungsversuche, überwachtes und manipuliertes Online-Banking, Missbrauch des Computers und der Internetleitung für kriminelle Aktivitäten und Spamversand und dergleichen vermieden werden. Die Installation von NoScript im Browser ist – neben der Verwendung eines wirksamen Adblockers – eine elementare Sicherheitsmaßnahme, wesentlich wichtiger und wirksamer als ein so genannter Virenscanner. Die Frage, warum eine derart wichtige Funktionalität nicht zum Standardumfang gehört¹, stellen sie bitte dem Browserhersteller ihres Vertrauens! Aber nicht darüber wundern, dass man beim von halbseidenen Reklame- und Tracking-Firmen wie Google finanzierten Firefox-Projekt ganz andere Vorstellungen hat, auch wenn das auf Kosten der Computersicherheit der Nutzer geht.

¹In früheren Opera-Versionen konnte man etwa relativ bequem JavaScript ausschalten und seitenspezifisch wieder einschalten.

Bestellnummer 37862105779

Montag, 2. Juni 2014

Die Nummer ist in jeder Mail anders, auch die anderen Zahlen und der eine oder andere kleine Textbestandteil. Es werden ständig andere gefälschte Absenderadressen verwendet. Meine Exemplare kamen alle von einer dynamischen IP-Adresse eines italienischen Zugangsproviders, also nicht von einem gewöhnlichen Mailserver, sondern von einem mit Schadsoftware übernommenen Privatrechner. Oder anders gesagt: Es handelt sich hier um die Mail von Kriminellen, die mit Schadsoftware übernommene Privatrechner für ihre Kriminalität benutzen.

Vielen Dank dafür, dass Sie Dienste unseres Geschäfts ausnutzen [sic!]!

Das pseudohöfliche „Vielen Dank“ soll darüber hinwegtäuschen, dass der angebliche Kunde, der die „Dienste unseres Geschäftes“ ausnutzt, keinen Namen hat, und…

Ihre Bestellung #37862105779 wird 07-06-2014 verschickt werden.

…die Bestellnummer so wie die anderen Nonsens-Daten…

Datum: 02-06-2014 15:35:17
Summe: €155.34
Bezahlungstyp: Kreditkarte
Transaktionsnummer: FB6732282B

…sollen mit viel sinnlosem Text die Spam füllen, ohne irgendeine aus Kundensicht relevante Information zu geben – also die Frage zu beantworten, was da bei wem bestellt wurde, wann dies geschah und wohin das geliefert wird. Dies sind alles Angaben, bei denen ein echtes Unternehmen darauf achten würde, dass keine Missverständnisse aufkommen können. Auch auf die Angabe der Kreditkartennummer wird verzichtet. Stattdessen gibts eine lustige Tasse Buchstabensuppe als angebliche „Transaktionsnummer“.

Warum das so ist?

Na, weil jede dieser Informationen jedem Empfänger sofort klar machen würden, dass alles in dieser Spam Unsinn ist, der nichts mit irgendeiner Bestellung zu tun hat. Und dann würde die Spam wohl einfach lachend gelöscht. Das will der Spammer freilich nicht, er will stattdessen…

Die Gesamtrechnung werden Sie in der Datei buchung6755.zip finden

…dass das angehängte ZIP-Archiv aufgemacht wird, in dem sich nicht etwa ein Dokument, sondern eine ausführbare Binärdatei für Microsoft Windows, die von Verbrechern zugestellt wurde befindet – leicht an der Dateinamenserweiterung .exe zu erkennen, wenn man diese im Windows Explorer anzeigen lässt¹.

Wer es immer noch verstanden hat: Es handelt sich um eine Kollektion aktueller Schadsoftware. Zurzeit wird diese Schadsoftware von nur einem Antivirusprogramm aus einer Liste von 53 Antivirusprogrammen erkannt. (Ich habe dieses Ergebnis mal durch einen Screenshot dokumentiert, falls mir eine Woche später mal wieder niemand mehr glaubt.) Fast alle Empfänger dieses kriminellen Mists, die sich auf ihr Antivirus-Schlangenöl verlassen haben, sind verlassen und haben nach dem Starten der angehängten Schadsoftware einen Rechner anderer Leute auf ihrem Schreibtisch stehen, ohne dass es zu einem Alarm kommt – und dies völlig unabhängig davon, ob das Schlangenöl Geld gekostet hat oder nicht².

Deshalb ist es umso wichtiger, derartigen Müll selbst zu erkennen und zu löschen. Das war in diesem Fall nicht weiter schwierig. Alle Spams, die ihre Empfänger zum Ausführen von Schadsoftware überrumpeln wollen, haben folgende Merkmale:

Es wird innere Unruhe erzeugt, etwa mit der Behauptung von Geldforderungen, mit angeblichen Rechnungen, Mahnungen oder mit angeblichen Rechtsangelegenheiten. Manchmal sind es auch kurze „Liebesbriefe“ oder „Gutscheine“ von Unbekannten. Eine Übersicht derartiger Maschen findet sich hier auf Unser täglich Spam unter dem Schlagwort „Schadsoftware“.
Alles, was im Text der Mail über den angeblichen Sachverhalt steht, ist völlig nichtssagend und – im Falle angeblicher Mahnungen oder Rechnungen – oft einschüchternd technokratisch formuliert. (Irgendwelche Nummern, technische Angaben und dergleichen, Menschen sind in unserer Maschinerie unbedeutend, du musst unserer Maschinerie gehorchen, es ist mechanisch, ein Fehler durch menschliches Versagen ist völlig ausgeschlossen: Man beachte unter diesem Aspekt das in der vorliegenden Spam gewählte, technisch anmutende Datumsformat.)
Die einzige Möglichkeit, zu erfahren, um was es eigentlich geht, liegt darin, einen Mailanhang zu öffnen.
Dieser Mailanhang ist ein ZIP-Archiv. Jede E-Mail mit einem angehängten ZIP-Archiv ist gefährlich. Diese „Verpackung“ wird von den Verbrechern vorgenommen, um gefährliche Dateitypen an den Spamfiltern vorbeizumogeln.
Im ZIP-Archiv liegt eine einzige Datei. Das Piktogramm der Datei sieht meistens wie ein PDF oder wie ein Word-Dokument aus, aber es handelt sich in Wirklichkeit um eine ausführbare Datei für Microsoft Windows.

Der Doppelklick auf das angebliche „Dokument“ installiert dann die Schadsoftware. Diese ist in aller Regel so „neu“ (also so aus bestehender Schadsoftware abgeleitet, dass Antivirus-Programme beim Erkennen versagen), dass es bei vielen Menschen nicht zu einer Warnung kommt.

Mit freundlichen Grüßen,
Verkaufsabteilung
Hasica Becht

Wenn das die „Freundlichkeit“ ist, will ich die Feindschaft nicht mehr kennenlernen.

Und weil diese Spammer ganz besonders asozial sind, haben sie noch eine Innovation dieser Masche im Angebot:

+49-3533-7386-xxx [von mir unkenntlich gemacht]

Ich kann nur hoffen, dass die verwendeten Telefonnummern nicht existieren – denn die armen Menschen, die sich ansonsten mit vielen hunderten erboster Anrufe herumschlagen müssten, die können mir nur leid tun.

Die asozialen und kriminellen Spammer sind freilich von solchen menschlichen Regungen unbeeinflusst. Diesem Pack ist alles egal.

¹Das ist nicht die Voreinstellung von Microsoft. Hassmails wegen dieser idiotischen Entscheidung bitte an Microsoft senden! Aber noch wichtiger: Eine bessere Einstellung machen, die sofort klar macht, dass es sich trotz des PDF-Piktogramms nicht um ein PDF handelt!

²Sorry, liebe „Spammitgenießer“ vom LKA Niedersachsen, aber euer Hinweis, dass gekaufte wirkungslose Software besser ist als kostenlose wirkungslose Software, ist ein dermaßen gefährlicher Humbug, dass mir alle Worte fehlen. Ansonsten ist euer Präventionsportal wirklich ein lobenswerter Schritt in die richtige Richtung, den ich so viele Jahre lang vermisst habe.

Das eBay-Datenleck: Ein kleiner Rückblick

Mittwoch, 21. Mai 2014

Am 13. Februar dieses Jahres vermutete ich hier auf Unser täglich Spam, dass entweder bei PayPal oder bei eBay ein Datenleck vorliegen könne, weil mir ein Fall bekannt wurde, in dem ein Mensch sehr gezielt auf zwei Mailadressen Phishing-Mails erhalten hat:

Die mir vorliegende Spam – sie wurde mir übrigens von einem Leser „zugesteckt“ – ist keine „Streumunition“, sondern sehr gezielt. Sie ging an zwei verschiedene E-Mail-Adressen, die exklusiv für PayPal […] verwendet wurden. Zudem wurden die PayPal-Konten mit den beiden verschiedenen E-Mail-Adressen gegenüber verschiedenen Geschäftspartnern auf eBay verwendet.

Eine dieser E-Mail-Adressen wurde vor kurzem stillgelegt, die andere hingegen wurde neu eingerichtet und bis zum Empfang dieser Spam nur für eine einzige Transaktion verwendet.

Diese Vermutung scheint sich heute bestätigt zu haben, denn lt. Bericht des „Spiegel“ hat bei eBay ein nennenswertes Datenleck vorgelegen, das möglicherweise „eine große Zahl“ von Nutzern betrifft:

Dabei seien persönliche Kundendaten wie Namen, verschlüsselte Passwörter, Adressen, E-Mail-Adressen, Geburtstage und Telefonnummern erbeutet worden. Offenbar konnten die Angreifer Login-Daten von Mitarbeitern abgreifen und sich so Zugang zu den Kundendaten verschaffen. Es gebe allerdings keine Anzeichen, dass die Angreifer Zugriff auf Finanzinformationen wie Kreditkarten gehabt hätten.

Es war einzelnen Betroffenen damals möglich, dieses Datenleck frühzeitig zu erkennen (und mir einen Hinweis zuzustecken), weil sie E-Mail-Adressen eingerichtet haben, die nur für eBay oder PayPal verwendet wurden, die dann für (zum Glück sehr schlechte) Phishing-Spams benutzt wurden. Diese frühe Erkennung des möglichen Problems – immerhin ganze drei Monate, bevor es von eBay offiziell eingeräumt wurde – hat überhaupt erst die Möglichkeit geschaffen, präventiv einem Missbrauch der erbeuteten Daten durch die Organisierte Kriminalität entgegenzutreten.

Und genau deshalb kann ich es jedem nur empfehlen, für jeden benutzten Dienst im Internet eine eigene E-Mail-Adresse zu verwenden und beim ersten Aufkommen von Spam diese Mailadresse stillzulegen sowie den betroffenen Account ebenfalls stillzulegen oder doch wenigstens das Passwort zu ändern und mit deutlich erhöhter Aufmerksamkeit an diesen Account heranzugehen¹. E-Mail-Adressen gibt es ohne Ende. Dieser recht kleine Aufwand kann im Falle eines derartigen Datenlecks leicht sehr viel Ärger und Geld einsparen.

Die unerfreuliche Datenschleuder-Seite mit sicher erkannten Datenlecks renommierter Unternehmen und Institutionen hat jetzt auch einen weiteren Eintrag bekommen. Wer diese immer länger werdende Liste auch nur kurz überfliegt, findet hoffentlich auch, dass sich dieser kleine Aufwand (jeweils wenige Minuten für die Einrichtung einer E-Mail-Adresse) lohnt.

Denn wer sich auf die Datenschutz-Versprechungen anderer verlässt, der ist schnell verlassen.

Nachtrag 23. Mai, 12:45 Uhr: Es waren 145 Millionen [!] Kundendatensätze. Es ist erst Mai, aber eBay ist jetzt schon ein Kandidat für die Datenschleuder des Jahres.

¹Weil bei eBay Kundenbewertungen sehr wichtig sind, kann ein Stilllegen des Accounts schmerzhaft sein.

Das Quizduell der ARD: Eine Datenschleuder

Dienstag, 13. Mai 2014

Hier geht es nicht um eine Spam, sondern um eine Frage, die sehr häufig bei Menschen aufkommt, die zum ersten Mal mit Spam konfrontiert sind: Woher haben die Spammer meine Mailadresse. Oft lautet die Frage sogar: Woher haben sie meinen Namen. Weil diese Frage so häufig ist, habe ich nur dafür eine eigene Seite in Unser täglich Spam, die mögliche Antworten auf diese Frage skizziert.

In der dort gepflegten, stets wachsenden Liste großer und mittelgroßer Datenschutzversäumnisse renommierter Firmen und Institutionen gibt es nämlich einen Neuankömmling, den ich ganz besonders „warm“ begrüßen möchte: Die Arbeitsgemeinschaft der öffentlich-rechtlichen Rundfunkanstalten Deutschlands, besser bekannt als ARD, hat 50.000 vollständige Datensätze von Handyspiel-Teilnehmern des gestrigen „Quizduells“ mit Jörg Pilawa „veröffentlicht“. Die Datensätze (Name, Anschrift, Mailadresse, Geburtsdatum) sind für einen kriminellen Identitätsmissbrauch ebenso hinreichend wie für sehr gefährliches, personalisiertes Phishing.

Eine kurze, unsachliche Stellungnahme

Wer es nicht spätestens jetzt begreift, dass Datenschutz bedeutet, gegenüber allem und jedem sparsam mit seinen persönlichen Daten zu sein, wer nicht spätestens jetzt bemerkt, dass die Datenschutzversprechungen auch renommierter Unternehmen und Institutionen nicht die Elektronen wert sind, mit denen sie durchs Internet befördert werden, der wirds vermutlich gar nicht mehr begreifen und auch weiterhin für jedes alberne Spiel mit Journaille- und TV-Hintergrund – „Oh, da kann ich ja auch was gewinnen, da mache ich mal mit“ – oder jeden Nullwertdienst eines Unternehmens ohne seriöses Geschäftsmodell einen freizügigen Datenstriptease über ein abstraktes Medium hinlegen. Es sind alles erwachsene Menschen, und ich kann auch niemanden daran hindern, so zu tun, aber mein Mitleid mit Leuten, die eine solche Haltung haben und irgendwann zu Opfern von Verbrechern werden, hält sich doch sehr in Grenzen, ja, es spukt wie der Geist eines längst entschwundenen Mitleids vor sich hin. Und jeder, der ein Internet hat und trotzdem doofblickend in die Welt sagt, dass er doch nichts von solchen Risiken gewusst habe, möge bitte vor seinem Gemaule in den Kommentaren lernen, wie man Websuchmaschinen benutzt, um sich zu informieren und sich anschließend diese Haltung angewöhnen. Und nein, in der Glotze, diesem flackernden Volksempfänger, gibt es keine Information. (Jedenfalls nicht zu Sendezeiten, die einem arbeitenden Menschen das Zuschauen ermöglichen würden.) Da gibts konzentrierte und verdummende Dummheit mit psychisch ungesunder Affektheischerei. Und zwar auf jedem stinkenden Kanal.

Ein bisschen Information zum persönlichen Datenschutz gibt es schon hier, auf meiner eigens dafür eingerichteten Seite.

Zalando und Haken Baskan? Verdächtige Zahlung erkannt?

Donnerstag, 8. Mai 2014

Hier nur ein schneller Link, weil der Text schon an anderer Stelle fertig geschrieben ist.

Was es mit der flutartig in die Postfächer strömenden „Mail von PayPal“ auf sich hat, weil eine Zahlung an Zalando mit der Lieferadresse eines angeblichen „Haken Baskan“ (nicht einmal einen richtigen türkischen Namen haben die Spammer hinbekommen) fehlgeschlagen ist, kann man bei Mimikama nachlesen.

Allein die Tatsache, dass ich das hier erwähne, macht hoffentlich schon klar, dass diese Mail nicht von PayPal kommt, sondern ganz gewöhnliches Phishing ist. Die verlinkte Website ist ein Betrug. Sie gehört nicht zu PayPal. Alles, was dort eingegeben wird – der PayPal-Login und alle weiteren Daten – geht in die Hände von Verbrechern, die dafür „Nutzungsformen“ finden werden, die niemandem gefallen können.

Bitte den Müll einfach löschen.

Schutz vor Phishing

PayPal spricht alle Kunden in echten PayPal-Mails mit ihrem Namen an. (Das ist kein sicheres Erkennungsmerkmal, aber hier hätte es funktioniert.) Und PayPal fordert niemals dazu auf, sich auf einer anderen Website als der von PayPal anzumelden oder irgendwelche Daten einzugeben, die PayPal schon längst bekannt sind. (Die Links aus Phishing-Mails gehen natürlich niemals zu PayPal.)

Fast alle angeblichen Mails von „PayPal“, die bei mir ankommen, sind Phishing-Spams. Allein das sollte Grund genug sein, niemals in eine Mail von PayPal zu klicken, sei sie eine Spam oder sei sie echt. Der ganze Schaden durch PayPal-Phishing lässt sich vollständig vermeiden, wenn man immer in die Adresszeile seines Browsers paypal (punkt) com eingibt (oder etwas unsicherer, weil durch trojanische Browser-Addons und andere Schadsoftware manipulierbar: wenn man sich ein entsprechendes Lesezeichen im Browser anlegt, über das man die Seite aufruft), statt in die Mail zu klicken. Dieser Arbeitsaufwand in der Größenordnung von Sekunden kann sehr viel Ärger, Schreibkram, unangenehme Bekanntschaft mit der Polizei und Geld ersparen – die Kombination aus geplüdertem Konto und Identitätsmissbrauch durch die organisierte Kriminalität (über die persönlichen Daten, die nach einem Paypal-Login eingesehen werden können) ist nicht lustig.

Deshalb: Niemals die Website einer Bank, eines Online-Shops oder eines ähnlichen Anbieters, wo es um Geld geht, aufrufen, indem man in eine E-Mail klickt! Diese Vorsicht ist in einer Zeit, in der die Spammer riesige Datenbanken mit Zuordnungen von Namen zu Mailadressen haben und sogar persönliche Ansprachen überzeugend hinbekommen, die wichtigste Vorbeugung, um nicht zum Opfer der Phisher zu werden – eine sinnvolle Ergänzung dazu ist es, für jeden wichtigen Webdienst eine eigene E-Mail-Adresse zu verwenden.