Informatives zur Spam

Hier werden Beiträge gesammelt, die nicht einfach nur eine Spam behandeln, sondern von eher allgemeinem und informativen Charakter sind, damit solche Texte nicht in der Flut der täglichen Spam untergehen. Dies geschieht auf Anregung meines Lesers Cassiel. Natürlich steht ein spezieller RSS-Feed für diese Inhalte zur Verfügung.

Warnung: Onlinerechnung der Telekom

Dienstag, 24. April 2012

Keine Spam, sondern eine aktuelle Warnung vor einer zurzeit umlaufenden und sehr gefährlichen Spam.

Im Moment gehen Spam-E-Mails mit überzeugend nachgemachten Rechnungen der Deutschen Telekom um. Die angehängte PDF-Datei enthält eine Schadsoftware und nutzt Schwächen des Adobe Readers aus, um diese Schadsoftware auf einem Windows-Rechner zu installieren. Die Schadsoftware wird von gut achtzig Prozent der üblichen Virenscanner zurzeit noch nicht erkannt.

Diesen Mailanhang auf gar keinen Fall öffnen! Die Mail nach Möglichkeit unbesehen löschen!

Es wäre auch gar nicht so schwer gewesen, diese angebliche „Rechnung“ als das zu erkennen, was sie ist, nämlich als Spam:

Der Absender scheint korrekt, die Sprache ist fehlerfrei. selbst der Gruß des Leiters des Kundenservices zum Abschluss stimmt. Der beste Hinweis auf ein Fake ist die fehlende persönliche Ansprache: Statt „Guten Tag Herr Schmidt“ heißt es nur allgemein „Sehr geehrte Damen und Herren“, was bei Rechnungen eher ungewöhnlich ist.

Eine unpersönliche Ansprache in der Mitteilung eines Unternehmens, mit dem man einen Vertrag hat, sollte immer alle Alarmglocken schrillen lassen. Niemand würde seine Kunden unpersönlich ansprechen. Eine so formulierte Mail ist immer verdächtig. Niemals sollte in einer anonym formulierten Mail geklickt werden, niemals sollte ein Anhang aus einer derartigen Mail geöffnet werden – in Fällen von Unsicherheit kann man einfach den Kundendienst (neudeutsch: Support) des Unternehmens anrufen und fragen, was es damit auf sich hat. Die ständige Aufmerksamkeit für diese eine Kleinigkeit kombiniert mit einer äußersten Sparsamkeit beim Herausgeben des richtigen eigenen Namens im Internet ist der beste Schutz vor allen Angriffen durch die organisierte Internet-Kriminalität. Sie kann schnell viel Geld sparen und einem zudem etliche total vergällte Wochen voller unerquicklichen Schriftverkehrs mit Polizeien, Behörden, Anwälten und Inkassodienstleistern ersparen. Diese Verbrecher sind nämlich keine verpickelten Elfjährigen mit Geltungsdrang, sondern eiskalt und brutal vorgehende Kriminelle.

Der Schutz durch so genannte „Schutzprogramme“ kann hingegen nahezu wertlos sein, wie sich an diesem Beispiel zeigt – dass die Virensignaturen des neuen Schädlings spätestens übermorgen heruntergeladen werden, nutzt nichts, wenn der Rechner heute von der Internet-Mafia übernommen wurde. Diese „Schutzprogramme“ sind immer „nur“ Ergänzung, mehr nicht. Sie können nicht die eigene Verantwortung und die Benutzung des eigenen Gehirnes ersetzen.

Wer mehr Sicherheit möchte: Angesichts der immer wieder entdeckten schweren Fehler in Adobes Reader ist es vermutlich eine gute Idee, ein anderes Programm zum Betrachten von PDF-Dokumenten zu verwenden. Es stehen eine Menge kostenloser und oft gar freier Programme zur Verfügung, die zwar in der Regel kein Skripting innerhalb des Dokumentes erlauben, aber allein deshalb, wegen ihrer reduzierten Komplexität, sicherer sind. Komplexität ist grundsätzlich das Gegenteil von Sicherheit.

Noch mehr Sicherheit kann man im Moment erhalten, wenn man nicht mit dem Lieblingsbetriebssystem der Internet-Kriminellen, mit Microsoft Windows, im Internet unterwegs ist. Es gibt gute Alternativen, die für viele Menschen (zum Beispiel für mich) mehr als nur hinreichend sind.

My Twitter profile was viewed xxx times today

Dienstag, 24. April 2012

Folgender Tweet taucht bei vielen Menschen zurzeit in der Twitter-Timeline auf:

My Twitter profile was viewed xxx times today. Click here to see who views your profile tiny.cc/xxxxxxxx

Anstelle von xxx steht natürlich eine immer wechselnde Zahl.

Was ich im Folgenden sage, hat nicht den abschließenden Grad an Gewissheit. Aber ich bin mir sicher, dass es sich um Phishing von Twitter-Accounts handelt.

Wie ich jetzt auf diese absonderliche Idee komme?

Erstens hat nur Twitter genauere Informationen über die Nutzung seines Dienstes durch andere Nutzer. Diese Informationen werden von Twitter nicht veröffentlicht und stehen über keine dokumentierte API zur Verfügung. Es ist schlechterdings für einen Dritten unmöglich, an diese Informationen zu gelangen. (Natürlich wird Twitter für seine eigenen Vermarktungszwecke und sonstigen Geschäftsideen ausführliche Statistiken aller Art erstellen. Geschäfte mit den Web-Zwo-Nulldiensten werden nicht mit ewiger Blumenkraft, sondern mit Datensammeln und Profiling gemacht.)

Zweitens ist die Angabe „Mein Twitter-Profil wurde so und so oft betrachtet“ vollkommen sinnlos. Es gibt hunderte von Client-Programmen für Twitter, die über die Twitter-API alle möglichen Ansichten des Geschehens abrufen und darstellen. Für die meisten Twitter-Nutzer sind diese Tools die eigentliche Twitter-Nutzung. Das gilt insbesondere, wenn Twitter über ein smart phone oder ein pad benutzt wird. Was soll in diesem Umfeld die Angabe, wie oft ein Profil betrachtet wurde, überhaupt bedeuten? Man muss nicht sehr lange nachdenken, um zu erkennen, dass sie bedeutungslos ist.

Drittens führt der Klick auf diesen Link nach ein paar Weiterleitungen [Warum bitte sehr ständig wechselnde Weiterleitungen? Wer hat es schon nötig, sich so zu verstecken?] zu einer Twitter-Seite zur oAuth-Authentifikation, in der man die Möglichkeit erhält, einem Dritten vollständige Schreibrechte in seinem Twitter-Kanal zu erteilen, ohne dass dieser sich auch nur vorgestellt hätte, seinen Dienst erläutert hätte oder irgendetwas anderes preisgegeben hätte als die spamartigen Tweets, die in etlichen Timelines auftauchen. Das ist hochgradig verdächtig. Es stinkt nach Phish. Es stinkt nach einem Berg kommender Spam.

Wer immer noch glaubt, dass man derartigen Anbietern vertrauen kann, soll das gern tun. Ich kann leider nichts gegen Hirnlosigkeit oder eine Entscheidung zum vollständigen Denkverzicht machen. Vermutlich muss da erstmal eine Timeline mit so unappetitlicher und krimineller Spam geflutet werden, dass sich die Staatsanwaltschaft dafür interessiert, damit das Gehirn wieder zu arbeiten beginnt. Obwohl ich mich gestern nacht bereits über dieses Thema auf Twitter ausließ…

…konnte ich mit wachsendem Missvergnügen verfolgen, wie immer mehr Menschen nach diesem Köder schnappten und wie die Timeline sich mit den sinnlosen Zahlen füllte, wie viele Leute jetzt angeblich die Profile besucht haben. (Leider war ich mit einer sehr anstrengenden Lektüre beschäftigt und konnte deshalb nicht weiter eingreifen.) Völlig unkontrollierbare Zahlen übrigens, die man sich auch einfach ausdenken könnte, nicht nur handelsüblich sinnlose. Nach diesem Köder haben auch Menschen geschnappt, bei denen ich mir sicher bin, dass sie alt genug sind und genügend Lebenserfahrung haben, um auf eine derartig primitive Nummer nicht hereinfallen zu müssen.

Meiner resignierenden Bewertung von gestern nacht habe ich nichts mehr hinzuzufügen:

[Die Anmerkung von @ernstd ist natürlich witzig gemeint – das wird zugegebenermaßen aus diesem Kontext nicht völlig klar, wurde aber sofort erklärt…]

Wenn ihr euch so leicht phishen lasst beim Zwitscherchen, wenn ihr jede mahnende Bemerkung einfach ignoriert, wenn ihr euch von ein paar Bullshit-Zahlen so sehr verblenden lasst, dass ihr völlig Unbekannten aus dem Internet das bleibende Recht einräumt, in eurem Namen etwas auf Twitter zu publizieren, dann seid ihr selbst die Spam!

Würdet ihr euch etwa auch den Bundestrojaner installieren, wenn der euch nur verspräche, dass ihr erfahrt, wie wichtig ihr auf Twitter seid? Mann, mann, mann! Dass Leute vor meinen ungläubigen Glubschen auf ein dermaßen billiges Phishing reinfallen und nichts merken, wenn man sie darauf hinweist, gehört zu den Dingen, über die ich seit einigen Stunden nicht mehr hinweg komme.

Abhilfe – Ein ganz schnelles Tutorial

Wer darauf reingefallen ist und inzwischen festgestellt hat, wie unendlich dumm es war, so zu handeln: Hier eine kurze Beschreibung, wie man dem sicheren Phisher und mutmaßlichen späteren Spammer seine Schreibrechte wieder wegnimmt:

Schritt 1:

Im eigenen Profil die Einstellungen aufrufen. Dazu muss man im Menü, das auf der Silhouette neben dem Suchfeld erscheint, den Punkt „Einstellungen“ auswählen.

Es wird eine Eingabemaske mit dem Account-Einstellungen dargestellt.

Schritt 2:

Auf der linken Seite der Accounteinstellungen befindet sich ein Menü. Hierin ist der Punkt „Apps“ zu wählen.

Schritt 3:

Nun wird eine Liste aller externen Apps dargestellt, denen man jemals einen Zugriff auf seinen Twitter-Account gewährt hat. (Da hat sich eine Menge angesammelt, nicht! Vielleicht wäre sowieso etwas Aufräumen angesagt…) Diese sind absteigend nach Alter geordnet, der frischeste steht also ganz oben. Zusätzlich steht immer darunter, an welchem Tag und um welche Uhrzeit der Zugriff gewährt wurde. Damit sollte es selbst in diesem Fall, wo man gar nichts über den „Dienst“ weiß, dem man einen Schreibzugriff erteilt hat, möglich sein, den richtigen Eintrag zu identifizieren.

Schritt 4:

Dort einfach auf „Zugriff widerrufen“ klicken, und schon kann der eigene Account nicht mehr von diesen Phishern für Spamzwecke missbraucht werden.

Abschließend:

Ich gehe davon aus, dass die eingeräumten Schreibrechte erst in einigen Tagen für massive Twitter-Spam missbraucht werden. Sollte es dann gar nicht mehr möglich sein, aus der Erinnerung zu entscheiden, welche von diesen vielen externen Apps die Spamzugriffe macht, dann gibt es immer noch die Notbremsung. Einfach jeder App, die einem irgendwie spanisch vorkommt oder von der man nicht weiß, wofür sie gut sein soll, den Zugriff entziehen – das schlimmste, was dabei passieren kann, ist, dass man später einige Programme neu gegen Twitter authentifzieren muss. Das kostet jeweils nur ein paar Sekunden, und so viel sollte es einem wert sein, dass die eigene Timeline frei von Spam bleibt – von Spam überigens, für die man im vollen Umfang selbst verantwortlich und gegebenenfalls auch zivilrechtlich haftbar ist oder strafrechtlich zur Verantwortung gezogen weren kann. Schließlich handelt es sich um den eigenen Einflussbereich.

Wer trotz dieser sehr ausführlichen Anleitung noch weitere Fragen zur Vorgehensweise hat: Einfach in die Kommentare posten oder direkt an den Twitter-Support wenden. Der Twitter-Support wird übrigens schneller sein als ich…

Und bitte: In Zukunft vor dem Klicken Gehirn einschalten!

Mail von PayPal erhalten?

Dienstag, 10. April 2012

Keine Spam, sondern ein wichtiger Tipp gegen Phishing.

Wer eine E-Mail „von PayPal“ bekommen hat, sollte bei der kleinsten Unsicherheit diesen Hinweis von PayPal beachten:

Wenn Sie sich nicht sicher sind, ob eine von PayPal erhaltene E-Mail wirklich von uns stammt, dann senden Sie bitte die komplette E-Mail inklusive der Betreff-Zeile über die Funktion „Weiterleiten“ an spoof@paypal.com.

Geld ist nämlich viel zu schade, um es der organisierten Internet-Kriminalität zukommen zu lassen.

Danke für den Hinweis an CS

Warnhinweis: PayPal-Phishing

Mittwoch, 14. März 2012

Im Moment kommen hier eine ganze Menge englischsprachige Phishing-Spams für PayPal-Nutzer an, die als (gefälschten) Absender service (at) paypal (punkt) com eingetragen haben. Diese Spams haben variierende Texte und sind auffallend stilsicher formuliert. Wenn sie durch den (hoffentlich vorhandenen) Spamfilter kommen, können sie wegen des Absenders von der Mailsoftware in einen Ordner mit echten Mails von PayPal einsortiert werden.

Wenn sie eine Mail „von PayPal“ bekommen haben, die von Unregelmäßigkeiten in ihrem PayPal-Konto spricht: Keine Panik! Die Mail kommt mit an Sicherheit grenzender Wahrscheinlichkeit nicht von PayPal.

Es ist immer noch recht einfach, die Phishing-Versuche zu erkennen.

PayPal spricht seine Kunden immer namentlich an, die Spams kommen aber mit einer unpersönlichen Ansprache.
Der Link geht nicht auf die PayPal-Website. Das sieht man, wenn man beim Überstreichen des Links mit dem Mauszeiger in die Statusleiste seiner Mailsoftware schaut.
Die Begründungen, dass man etwas „verifizieren“ muss, weil PayPal irgendwelche nicht näher bezeichnete Auffälligkeiten bemerkt haben will, sind hanebüchen und sollen vor allem technisch weniger versierte PayPal-Nutzer verunsichern.

Also nochmal: Keine Panik!

Bei Webdiensten, bei denen es um „richtiges Geld“ geht: Niemals auf einen Link in einer Mail klicken, sondern immer die Adresse von Hand in die Adressleiste des Browsers eingeben! Egal, wie überzeugend diese Mail aussieht, und unabhängig davon, ob man persönlich angesprochen wurde oder nicht. Mit dieser sehr einfachen Vorsichtsmaßnahme kann man wirksam verhindern, dass man in einem Moment der Verunsicherung Zugangsdaten in die Hände von Kriminellen gibt – und das kann einem eine Menge Ärger und Geld sparen.

Wer für PayPal (und vergleichbare Dienste) eine eigens eingerichtete Mailadresse benutzt, die an keiner anderen Stelle angegeben wird, baut eine wichtige zusätzliche Sicherung ein, da eine solche Mailadresse nicht so leicht in die Datenbanken der Spammer geraten kann. Das ist unbedingt empfehlenswert – hilft aber nur, wenn man bei Mails „von PayPal“ auch einen Blick darauf wirft, an welche Mailadresse sich die Nachricht richtet.

Gegen Phishing hilft keine Software. Gegen Phishing gibt es nur ein Mittel: Vernunft.

Deshalb: Niemals in Panik versetzen lassen, niemals unüberlegt in eine Mail klicken, niemals so handeln, wie es die Spammer am liebsten hätten.

Vernunft ist kostenlos, und jeder ist mit der Möglichkeit zur Vernunft ausgestattet.

Unvernunft kann schnell verdammt teuer werden.

Keine Chance den Phishern!

Trojanische Apps sind überall!

Mittwoch, 15. Februar 2012

Achtung, hier geht es nicht um eine Spam, aber um eine hochgradig verwerfliche Art, in der renommierte Unternehmungen ihren „Kunden“ eine Form der Software hinterhältig unterjubeln, die sich bei nüchterner Betrachtung nicht von einem Trojaner unterscheiden lässt.

Hiervon sind insbesondere die Apps so genannter „sozialer Netzwerke“ betroffen – es ist aber gut möglich, dass hierauf wegen der laufenden Datenschutzdebatte nur ein besonderes Augenmerk gelegt wird und das das wirkliche Problem weitaus größer ist.

In den letzten Tagen hört man immer häufiger von Apps für smart phones und Pad-PCs, die dabei „erwischt“ wurden, dass sie persönliche Daten ihres Nutzers an die Unternehmung übermitteln, die diese Apps vertreibt – zum Beispiel die App für das „soziale Netzwerk“ Path oder die App für das „soziale Netzwerk“ Foursquare. Andere Apps, wie zum Beispiel die App für das „soziale Netzwerk“ Facebook fordern unter Android absurd weitgehende Rechte an, die darauf hindeuten, dass ebenfalls persönliche Daten abgegriffen werden sollen.

Im Regelfall wird „nur“ hinter dem Rücken des Nutzers das komplette Adressbuch mit allen Mailadressen und allen Telefonnummern übertragen. Einigen Herausgebern von Apps reicht das nicht, sie nehmen sich eine noch viel weitergehende Datensammlung heraus. Vlingo, eine App für die Sprachsteuerung von Android-Geräten zum Beispiel, übermittelt nicht nur das komplette Adressbuch, sondern auch, welche Daten im nichtflüchtigen RAM und in Speicherkarten des Handys oder Pads gespeichert sind, insbesondere, welche Musik dort gespeichert ist.

Diese Anwendungen sind Trojanische Apps

Wer würde sich freiwillig auf seinen Arbeitsrechner eine Anwendung installieren, die das Adressbuch oder gar die gesamte Festplatte durchscannt und das Ergebnis heimlich über das Internet an eine andere Stelle übermittelt?

Wie würde man es normalerweise, also auf einem Arbeitsrechner statt auf einem smart phone oder einem Pad-PC, nennen, wenn eine Anwendung zum Download angeboten würde, die eine erwünschte Nutzfunktion (wie die Teilhabe an einem sozialen Netz) mit einer versteckten, in der Regel unerwünschten, versteckten Funktion verbindet, wie zum Beispiel dem heimlichen Auslesen lokal gespeicherter Daten und die Übermittlung dieser Daten an eine andere Stelle im Internet?

Man würde so etwas als Schadsoftware betrachten, genauer, man würde es als „Trojanisches Pferd“ oder kurz „Trojaner“ betrachten. Die Menschen, die eine solche Software anbieten, würde man als die Programmierer einer Schadsoftware bezeichen, und das Angebot läge deutlich im Dunstkreis der Internet-Kriminalität.

Bitte Leute, nennt mir nur einen einzigen, leidlich objektiven Grund, warum man so etwas im Falle eines smart phones anders betrachten sollte! Es ist ja die gleiche Vorgehensweise, die gleiche Täuschung des Nutzers über die Funktionen der Software, genau die gleiche Hinterhältigkeit. Diese Apps sind Schadsoftware. Und sie sind nichts anderes. Die Vorgehensweise ist widerwärtig und erinnert durch bloßes Betrachten an die Methodik der Internet-Kriminellen.

Angesehene Unternehmen wie Facebook, Foursqure, Path und, in Deutschland weniger in der Diskussion, Twitter, Istagram, Foodspotting, Yelp und Gowalla [siehe auch bei Heise Online] haben es zum Bestandteil ihres Geschäftsmodelles erhoben, ihren Kunden eine Schadsoftware, eine Trojanische App, auf ihren persönlich genutzten Computer zu installieren – denn so ein smart phone ist nichts anderes als ein für die mobile Nutzung gebauter Computer. Facebook, als ein Beispiel aus dieser unerfreulichen Liste, belegt mit seinem angestrebten Börsengang, der einen Unternehmenswert in der Größenordnung eines hohen zweistelligen Milliardenbetrages am Markt erbringen soll, dass man unter anderem durch Einbeziehen einer solchen Vorgehensweise, die nur beim Hinschauen ihre Ähnlichkeit zur organisierten Internet-Kriminalität zeigt, ein ertragreiches Businessmodell aufbauen kann – und gerade Facebook hat in der Vergangenheit durch sein Verhalten im Internet klar gemacht, dass es nicht davor zurückschreckt, klandestin gesammelte Daten für illegale, offene Spamreklame zu benutzen, wobei auch nicht vor gefälschten Einladungen in fremdem Namen zurückgeschreckt wurde.

Also Leute: Wo ist der Unterschied zu den Trojanern der Kriminellen?

Ich kann beim besten Willen keinen sehen.

Wer sich die Software dieser Unternehmen auf sein smart phone installiert, weil er sich vom Ansehen dieser Unternehmen blenden lässt, installiert sich eine Schadsoftware, ein Trojanisches Pferd.

Davon kann ich nur abraten.

Ich würde sogar weiter gehen und würde sagen, dass Unternehmen, die in dieser Weise vorgehen, nur eine Reaktion verdient haben: Dass man ihnen den Rücken zuwendet und sie ächtet, statt sie in ihrer widerwärtigen Überrumpelung auch noch durch Mitmachen zu unterstützen. Niemand, der einen Trickbetrüger an der Wohnungstür als Trickbetrüger erkennt, wäre so gimpelmäßig doof, diesen Trickbetrüger auch noch in die Wohnung zu lassen – und genau diese aus dem gesunden Menschenverstand entspringende Vorsicht und dieses Minimum der Intelligenz ist hier angemessen.

Und sonst gar nichts.

Es handelt sich um digital durchgeführten Trickbetrug mit Trojanischen Apps für smart phones, und um nichts anderes.

Nicht das Falsche diskutieren

Es gibt – wie ich beim Lesen an vielen Orten des Internet immer wieder feststelle – in dieser Sache eine bemerkenswerte Neigung, sich falsche Gedanken zu machen, die ich noch kurz erwähnen muss.

Menschen sprechen von den Problemen unter iOS und halten Android für das bessere System, weil man dort vor der Installation einer App sieht, welche Rechte diese App für sich anfordert – so können Apps mit zu weitgehenden Rechten im Prinzip leicht erkannt werden.

Diese Betrachtungsweise ist falsch. Sie könnte gar nicht falscher sein. Sie geht am eigentlichen Problem vorbei. Und dieses eigentliche Problem ist nicht das Handy-Betriebssystem, sondern die Tatsache, dass Unternehmen Trojanische Pferde zur Installation anbieten.

Bei beinahe jeden Menschen steht auf dem Schreibtisch in Form des PC ein Computer, der völlig ohne diese Scheinsicherungen auskommt, mit denen den Nutzern von smart phones etwas „gefühlte Sicherheit“ vermittelt wird, ohne dass sich jemand etwas dabei denkt oder sich unsicher deshalb fühlt.

Eine Anwendung läuft entweder mit den Rechten des Benutzers oder – in wenigen Fällen – mit administrativen Rechten. Jede Anwendung kann selbstverständlich und unbemerkt auf alle möglichen und teils empfindlichen persönlichen Daten zugreifen, zum Beispiel auf das Adressbuch in der Mailsoftware, auf die History und den Cache des Browsers, auf die gespeicherten Dateien, auf angesteckte USB-Sticks. Wenn sie es nicht könnte, denn könnte man zum Beispiel keine Datei zum Bearbeiten (oder Betrachten) öffnen. Diese Rechte sind also erforderlich.

Niemand sieht darin ein Problem. Weil es nicht das Problem ist. Es ist nicht das Problem eines Systems zur Rechtevergabe. Das Problem ist, dass es (im Regelfall kriminelle) Programmierer gibt, die Trojanische Pferde und vergleichbare Schadsoftware progammieren, auf mobilen Computern installieren lassen und dabei solche Möglichkeiten heimlich ausnutzen. Wenn sich jemand auf seinem PC – nur als ein Beispiel – eine Mailsoftware installierte, die heimlich den Inhalt der Festplatte und die gesammelten Namen und Mailadressen zu irgendeinen Server ins Internet übertrüge, so wäre jedem Menschen klar, dass das keine Frage des benutzten Betriebssystemes ist, sondern dass hier gezielt ein falscher, unvollständiger Eindruck vom Charakter der Software erweckt werden sollte, um eine heimliche Zusatzfunktion auf möglichst vielen Rechnern zu installieren. Und es wäre auch jedem klar, was von Programmierern oder Unternehmungen zu halten ist, die ein solches „Trojanisches Pferd“ entwickeln und zum Download anbieten. Vermutlich würden die meisten Menschen die Vorgehensweise mindestens als hinterhältig, wenn nicht gar als kriminell erachten.

Es gibt keinen mir einleuchtenden Grund, an Facebook, Twitter, Path, Foursquare, Instagram, Foodspotting, Yelp, Gowalla und wie sie noch alle heißen einen anderen Maßstab anzulegen. Wer einen Grund kennt, darf ihn gern in den Kommentaren erwähnen – ich werde allerdings, anders, als ich es sonst zu tun pflege, den professionellen Marketing- und PR-Blah, der klar erkennbar aus den IP-Bereichen der hier benannten Unternehmungen kommt, unbesehen und ohne Rücksicht auf den Inhalt löschen. Warum? Weil sich diese – sorry! – schmierigen Läden mit ihrer Schadsoftware für jede Kommunikation mit mir disqualifiziert haben.

Deshalb: Lasst euch nicht in falsche Diskussionen über das „bessere“ Handy-Betriebssystem verwickeln! Benennt stattdessen, dass gewisse Unternehmen vorsätzlich Schadsoftware in Form Trojanischer Pferde von bezahlten Progammierern entwickeln lassen und zur Installation auf Handys anbieten! Gebt diesen Unternehmen die Verachtung ihrer „Kunden“, die sie mit dieser Vorgehensweise deutlich dokumentieren, zurück! Löscht eure Accounts! Löscht die Trojaner von euren Telefonen! Lasst euch nicht erzählen, dass es sich bei der Programmierung Trojanischer Pferde um ein „Versehen“ gehandelt habe! Das werden die PR-Abteilungen gewiss versuchen. Glaubt niemanden, der so hinterhältig vorgeht, auch nur ein einziges Wort! Lasst euch keinen Sand in die Augen streuen! Leute, die so vorgehen, sind ganz üble Knochen, die vorsätzlich Böses tun. Sie verdienen nicht, dass man ihnen lauscht, denn ihre Mitteilungen sind nichts als Lüge.

Die Frage, ob iOS oder Android hat nichts mit dem eigentlichen Problem zu tun. Das liegt nicht am Betriebssystem oder an der Marke des Handys, das liegt an den Programmierern der Trojanischen Apps; an verachtenswerten Leuten, die ihren Nutzern zusammen mit der erwünschten Funktionalität hinterhältig unerwünschte Funktionen unterschieben.

Darum geht es. Und es hört nur auf, wenn sie damit nicht durchkommen.

Abschließender Hinweis

Versteht mich nicht falsch, ich habe nichts gegen so genannte „soziale“ Websites. Ich habe etwas gegen Spam, Werbung, Überrumpelung und Schadsoftware. Meine Diaspora-ID ist übrigens elijahu@pod.geraspora.de… 😉

Aber Diaspora ist noch… ähm… ziemlich alpha. Und doch schon sehr brauchbar.

Offener Brief an alle Bankhäuser

Samstag, 20. August 2011

Werte Entscheider bei den Kreditinstituten,

ihnen ist sicherlich bekannt, wie groß der durch Internet-Kriminalität angerichtete Schaden wirklich ist. Ich habe keine präzisen Zahlen, aber ich kann aus der Beobachtung einiger betrügerischer Vorgehensweisen erschließen, dass dieser Schaden groß sein muss.

Von daher muss es auch in ihrem Interesse liegen, im geschäftlich genutzten Internet ein Umfeld zu schaffen, in welchem Spammer, Phisher und sonstige Betrüger nicht leicht einen falschen Eindruck erwecken und ausbeuten können. Deshalb müssen sie doch alles dafür tun, dass niemals ein Spammer, Phisher oder sonstiger Betrüger ihren Kunden gegenüber erfolgreich den falschen Eindruck erwecken könnte, dass seine Mitteilungen von einem Kreditinstitut kommen.

So habe ich bislang immer gedacht.

Und deshalb habe ich hier, in diesem Blog über meine tägliche Spam, auch stets geschrieben, dass Banken alle technischen Möglichkeiten ausschöpfen würden, um zu verhindern, dass Kriminelle in betrügerischer Absicht den Eindruck erwecken könnten, ihre Mitteilungen seien die Mitteilungen einer Bank.

Dass es anders sein könnte, ist mir niemals in den Sinn gekommen.

Leider ist es – wenigstens in einigen Fällen – doch anders, wie mir vor wenigen Stunden von einem Leser mitgeteilt wurde. Dieser bekam von seiner Bank eine Mitteilung über E-Mail, die nicht kryptografisch signiert war. Ihm ist damit – neben dem für Laien eher unüblichen Blick in die Header der Mail – keine einfache Möglichkeit gegeben worden, die Authentizität des Absenders sicher festzustellen. Es wäre für einen „normalen“ Internetnutzer schwierig gewesen, zu entscheiden, ob der Absender echt ist, oder ob es sich um eine Fälschung handelt. Zudem ist ihm überhaupt keine Möglichkeit gegeben worden, die inhaltliche Integrität der Mitteilung zu überprüfen. Jeder Computer, über den diese Mail bei der Zustellung gelaufen ist, hätte unentdeckbare inhaltliche Manipulationen vornehmen können. Dass die Rechner im Internet, über die eine derartige Mail läuft, „Opferrechner“ sind, die vielfachen Angriffen unterliegen, gehört zu den Dingen, die wenigstens in ihrer IT-Abteilung wohlbekannt sein sollten.

Mit Verlaub: Ich finde diese Leichtfertigkeit unfassbar dumm.

Die Verwendung einer digitalen signierten Mail hätte sowohl die Authentizität des Absenders als auch die inhaltliche Integrität jenseits jeden vernünftigen Zweifels sicher gestellt.

Es handelt sich dabei nicht um eine schwer beherrschbare „Raketentechnologie“, sondern um einen Standard des Internet, für den bewährte Softwarewerkzeuge zur Verfügung stehen. Die Verwendung digitaler Signaturen lässt sich in gängige Mailsoftware integrieren. Sie lässt sich ebenso leicht in automatisierte Prozesse integrieren. Beides verursacht nicht einmal große Kosten. Die Verwendung ist aus Nutzersicht einfach. Es entstehen auch keine Nachteile, wenn ein Kunde aus irgendeinem Grund eine Mailsoftware benutzt, die keine digitalen Signaturen verarbeiten kann, wenn man von einer Passage wie…

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla – http://enigmail.mozdev.org/

EiYEARECAAYFAk5vOvQACgkQKuT/O4qfc5oOLgCfX6j8AYedTd5Gp/Y7yQsDbxS1
vfAAoJFNBsp1vsfcg+MrhOTj0WII4iSr
=sg5k
—–END PGP SIGNATURE—–

…am Ende der Mail einmal absieht. (Hier am Beispiel einer PGP-Signatur dargestellt.) Selbst diese zunächst unschön aussehende Passage gibt nach Benutzung einer Internet-Suchmaschine immer noch Aufschluss darüber, dass Absender und Inhalt der Mail überprüft werden können. Die Verwendung digitaler Signaturen hat nur Vorteile. In geschäftlichen Beziehungen, in denen es um das doch immer etwas heikle Thema Geld geht, erachte ich es als ein Muss, dass Quelle und Inhalt der Kommunikation gesichert sind. Ich kann mir keinen einzigen Grund vorstellen, warum ein auf Seriosität und das Vertrauen seiner Kunden – und damit natürlich auch auf „gefühlte“ Sicherheit – bedachtes Kreditinstitut in diesen wichtigen Punkten zu einer anderen Auffassung kommen kann.

Die namentliche Ansprache des Kunden nebst Kontonummer und die Aufführung seiner Adressdaten führt hingegen zu keinerlei Sicherheit. Allein in diesem Jahr sind viele Millionen vollständige Datensätze mit Name, Anschrift, E-Mail-Adresse und Bankdaten wegen der Fahrlässigkeit einiger Unternehmen in die Hände von Kriminellen gelangt, was auch zu einem gewissen Medienecho führte. In wie vielen Fällen solche Daten unbemerkt und damit auch ohne Medienecho abgegriffen werden und auf einem illegalen Markt in die Verfügungsgewalt zwielichtiger Zeitgenossen gelangen, gehört zu den Dingen, über die nur spekuliert werden kann.

Sie müssen als Kreditinstitut davon ausgehen, dass sie zurzeit etliche Kunden haben, von denen in Kreisen der organisierten Kriminalität bekannt ist, dass es sich um ihre Kunden handelt, wie diese Kunden heißen, wann diese geboren wurden, welche Mailadresse und Kontonummer sie haben und wo sie wohnen. Selbst eine individuelle Ansprache ihrer Kunden ist damit in vielen Fällen leicht zu fälschen, um den Eindruck zu erwecken, eine E-Mail stamme von ihrem Kreditinstitut. Die Personalisierung der Mitteilungen ist also bei Weitem nicht hinreichend, um eine Mail in einen ihrer Kunden als authentisch zu kennzeichnen. Kurz und noch einmal das Gleiche: Es gibt keine Alternative zur digitalen Signatur in der elektronischen Kommunikation.

Da ist es doch umso besser, dass es sich um einen gut funktionierenden Standard handelt, der kaum zusätzliche Kosten verursacht und mit Leichtigkeit anzuwenden ist. Für den es getesteten, bewährten und robusten Bibliothekscode für jede Programmiersprache gibt, die sie in ihrem Haus vewenden. So dass die Verwendung digitaler Signaturen nicht das geringste Problem bereitet.

Zumal der Verzicht auf digital signierte Mail in der Kommunikation mit den Kunden einen schweren Nachteil hat. Ihre Kunden werden daran gewöhnt, dass der Absender und die inhaltliche Integrität ihrer Mails nicht überprüft werden kann; ihre Kunden werden auf diese Weise in einer Haltung der Gläubigkeit geschult. Auf der Grundlage dieser Gläubigkeit entsteht jedoch allzu leicht jene Leichtgläubigkeit, die von kriminellen Zeitgenossen für betrügerische Manipulationen ausgenutzt wird und die große Schäden verursachen kann. Das wahre Ausmaß dieser Schäden müsste ihnen bei den Kreditinstituten ja bekannt sein.

Ja, ich würde mich sogar zu der Aussage hinreißen lassen: Wenn sie als Kreditinstitut nicht grundsätzlich jede Mail an ihre Kunden digital signieren, sind sie am Phishing über E-Mail-Spam zu einem erheblichen Anteil mitschuldig. Ich kann mir übrigens als juristischer Laie vorstellen, dass ein Jurist zu einem ähnlichen Urteil kommt, wenn er den Unterschied zwischen der Interpretation eines technischen Mailheaders in einer Quelltextansicht der Mail und einer in die Mailsoftware nahtlos integrierten Anzeige der korrekten Signatur und einer Schlüsselverwaltung in einer grafischen Benutzeroberfläche beurteilen soll – zumal die Verwendung digitaler Signaturen alles andere als eine unzumutbare technische Herausforderung ist.

Denken sie bitte darüber nach, bevor die inzwischen massenhaft verfügbaren Datensätze für perfide kriminelle Angriffe benutzt werden! Und treffen sie eine gute Entscheidung, beginnen sie damit, die Mails an ihre Kunden digital zu signieren!

Mit freundlichen Grüßen

Der Nachtwächter

Spam mit DNS-Redirects

Montag, 8. August 2011

Die Pest der Spam findet immer wieder neue Wege. Leider.

Auch die Internet-Zugangsanbieter wollen bei der Spam – also beim massenhaften technischen Aufzwängen unerwünschter und überrumpelnder Reklame – nicht zurückstehen, ist sie doch billig „herzustellen“ und ein „gutes“ Geschäft:

Das Berkeley-Team fand nun im Rahmen ihres Netalyzr-Projekts erstaunliches heraus. Bei gut 2.000 ausgewerteten Sessions stellten sie quer über 12 verschiedene amerikanische ISP fest, dass nicht nur die fast schon üblichen Vertipper-Redirects stattfanden. Vielmehr wurde hier auch der Suchtraffic umgeleitet. Sobald der Websurfer eines von gut 170 markennahen Keywords eingegeben hatte, leiteten die Paxfire HTTP Proxies die Suchanfrage auf entsprechend vorbereitete Marketingwebsites um.

Ja, es geht um Suchbegriffe, die bei Google eingegeben wurden. Sie führen in diesen Fällen nicht zu einem Google-Ergebnis, sondern zu einer vom Zugangsprovider vorsätzlich untergeschobenen Reklameseite, die den Eindruck eines Suchergebnisses erwecken sollen. Der normale Surfer geht davon aus, dass er ein Suchergebnis sieht, aber er hat unerwünschte und – mit Verlaub – äußerst hinterhältig und schurkenhaft untergeschobene Werbung vor Augen. Spam von seinem Zugangsprovider…

Die ganze widerliche Geschichte – und auch einige Worte zur „ganz normalen DNS-Spam vom Zugangsprovider“, wie man sie auch bei deutschen Anbietern erleben kann – bitte bei t3n weiterlesen: „Wenn du bei Google suchst, aber das Ergebnis nicht von Google stammt: Wie ISPs das Web manipulieren“.

Diese Form der Spam lässt sich übrigens vermeiden, indem man einen anderen DNS-Server einstellt als den vom Provider automatisch eingestellten und zusätzlich – falls der Provider illegalerweise auch den Datenverkehr mitlesen, auswerten und manipulieren sollte – die Suchmaschine seiner Wahl ausschließlich über HTTPS nutzt. Wie man einen DNS-Server einstellt, steht in der Dokumentation des Betriebssystems, und IP-Adressen von sauberen DNS-Servern lassen sich leicht auffinden. Ich empfehle die kurze Anleitung des Chaos Computer Club, die auch für Laien geeignet ist und zudem eine kurze Einführung gibt, was so ein DNS-Server eigentlich ist – allerdings ist der Anlass dieser Anleitung die versuchte Einführung einer Internetzensur in der Bundesrepublik Deutschland.

Unfassbar, an welchen Stellen man inzwischen belästigt werden kann!

Ein Tag ohne Drecksmail

Freitag, 29. Juli 2011

Ich sage ja öfter mal, dass die Zeiten der E-Mail-Spam vorbei gehen, dass die Spammer aber ihr geistloses Treiben auf anderen Kanälen – im Moment vor allem das so genannte „Web Zwo Null“ – verlagern, und ich kann seit über einem Jahr einen kontinuierlichen Rückgang der E-Mail-Spam feststellen.

Aber so etwas wie heute habe ich lange nicht mehr erlebt, das letzte Mal war es deutlich vor dem Jahr 2000. Innerhalb von 24 Stunden habe ich auf meiner regulären Mailadresse, die ich nicht besonders geheim halte und die deshalb leider auch in den Datenbanken der Spammer zu finden ist, keine einzige Spammail erhalten. Und ja, der Mailserver läuft… 😉

Das ist wirklich erfreulich. Ich befürchte jedoch, dass es nicht so bleiben wird, denn die Kriminellen verwandeln zurzeit in einer großen Aktion wieder viele Rechner von Privatpersonen in Bots für ihre wenig erquicklichen Machenschaften. Schade, denn es gibt kein Blog, das ich so gern „mangels Masse“ einstellen möchte, wie „Unser täglich Spam“.

Wer sich übrigens davor schützen möchte, dass sein Rechner von Verbrechern übernommen und zur Spamschleuder umgestaltet wird, sollte grundsätzlich Websites nicht das Ausführen von JavaScript gestatten. Mit dieser einen Sicherheitsmaßnahme laufen alle Angriffe der letzten Jahre ins Leere. Da es natürlich doch Websites gibt, denen man vertraut und die nur mit aktiviertem JavaScript zu benutzen sind, ist ein Plugin wie NoScript für Firefox sehr hilfreich, da es gezielte Ausnahmen ermöglicht.