Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Kategoriearchiv „Allgemein“

Was euch die Journalisten verschweigen…

Dienstag, 16. Mai 2017

Hier geht es nicht um eine Spam, sondern um eine möglicherweise auch für einige Leser von Unser täglich Spam interessante Beobachtung.

In mehreren journalistischen Produkten gab es in den letzten Stunden aus aktuellem Anlass teils längere Artikel darüber, wie man sich vor dem Befall durch einen Trojaner wie „WannaCry“ schützen kann, etwa bei Spiegel Online und bei Heise Online. Diese Artikel haben allesamt folgende zwei Gemeinsamkeiten:

  1. Es werden Antivirus-Programme empfohlen, obwohl sämtliche nennenswerten Antivirus-Programme anfangs gegen „WannaCry“ versagt haben. Antivirus-Programme sind und bleiben weitgehend wirkungsloses Schlangenöl und bieten bestenfalls eine Ergänzung zu anderen Maßnahmen.
  2. Es wird mit keinem Wort erwähnt oder auch nur angedeutet, dass man sich mit einem Adblocker vor dem wichtigsten und gefährlichsten „Infektionsweg“ im Web schützen kann, nämlich vor Werbebannern, die Schadsoftware transportieren. Selbst das Bundesamt für Sicherheit in der Informationstechnik weist inzwischen deutlich auf diesen „Infektionsweg“ hin. Journalisten im Brote der Contentindustrie tun dies niemals. Eher offerieren sie ihren Lesern im mutmaßlicher Schleichwerbe-Partnerschaft mit ihren großen Werbekunden ganz andere, vollkommen wirkungslose und gefährliche Vorschläge¹.

Die Frage, ob der im zweiten Punkt von mir gemutmaßte Vorsatz einer völligen Fehlinformation der FAZ-Leser (bei gleichzeitigem Verschweigen einer lebenspraktisch wichtigen Information, die davor schützt, Opfer von Kriminellen zu werden) wirklich ein Vorsatz ist, oder ob in der FAZ-Redaktion irgendwelche Leute Fake News über Themen verbreiten können, die von diesen Themen nicht die geringste Ahnung haben, kann ich leider im Lande des vollumfänglichen Rechtsschutzes für beleidigte Leberwürste nicht beantworten. Aber auch Letzteres würfe kein gutes Licht auf den FAZ-Journalismus, vor allem dann nicht, wenn man sich vor Augen hält, dass andere Themenbereiche – in denen ich mich zufällig etwas weniger auskenne – wohl mit genau so geringer Sorgfalt, Kenntnis und Fähigkeit und mit genau so großer Gefährlichkeit für die Leser behandelt werden.

So lange Journalisten lieber ihre Leser als ihr (unseriöses) Geschäftsmodell durch Reklamevermarktung gefährden, kann ich nur davon abraten, sich aus journalistischen Produkten zu informieren.

Vielen Dank an meinen Leser S.S. für diesen Hinweis.

¹Die Grundregel der Computersicherheit ist: Mach alles so einfach wie möglich! Die so genannte „Cloud“ – ein Lügenwort von Lügenwerbern, das nur bedeutet, auf den Rechnern anderer Leute Daten zu speichern und zu rechnen – schützt nicht vor Angriffen, sondern fügt einen weiteren möglichen Angriffsvektor hinzu. Und wenn ein mit der „Cloud“ synchronisiertes Verzeichnis verschlüsselt wird, dann werden auch die in der „Cloud“ liegenden Daten verschlüsselt und gehen möglicherweise verloren, wenn nicht an eine angemessene Backup-Strategie gedacht wurde.

Wider die Werbung

Freitag, 5. Mai 2017

Hier geht es nicht um eine Spam, sondern um einen Hinweis auf eine interessant klingende Kritik des Buches „Werbung – Nein Danke“ von Christan Kreiß:

Weil die Werbeindustrie keine realen Güter produziere, müssten die anderen Arbeitnehmer ihren Unterhalt erwirtschaften. Würde man das Werbevolumen deutlich reduzieren, postuliert der Autor, würden die Märkte effizienter arbeiten, unnötiger Konsum reduziert und Ressourcen für beispielsweise mehr Urlaub frei

Ich habe dem, was ich eben in der kurzgefassten Buchkritik von Marie Theresa Kaufmann gelesen habe, nichts hinzufügen – und auch die Rezensentin hatte offenbar so wenig an dem „meinungsstarken Buch“ auszusetzen, dass sie Aussagen einfach nur wiedergab. Dass sie wahr sind, ist nämlich genau dann offensichtlich, wenn man hinschaut.

In eigener Sache

Dienstag, 28. Februar 2017

Zehn Jahre "Unser täglich Spam"

Heute vor genau zehn Jahren schrieb ich mein erstes Blogposting in diesem Blog – natürlich war das „Thema“ die Pest der damaligen Zeit, die Casino-Spam, die inzwischen selten geworden ist, weil sie von der Binäre-Optionen-Spam abgelöst wurde. Das „Geschäftsmodell“ ist allerdings genau das gleiche: Die Spammer kassieren Affiliate-Geld dafür, dass sie halbseidenen, abzockerischen oder gar offen betrügerischen Geschäftemachern neue Kunden zutreiben.

Auch ansonsten hat sich in den letzten zehn Jahren nicht viel verändert.

Noch immer ist Spam ein illegales „Geschäftsmodell“, das sich für die Spammer lohnt, denn noch immer gibt es genügend Menschen, die darauf hereinfallen und klicken, weil sie eine Mitteilung von einem anonym bleibenden Gegenüber erhalten haben. Spam ist für den Spammer billig. Sie lohnt sich schon, wenn nur ein paar Promille der Empfänger in der gewünschten Weise reagieren.

Noch immer sind Banken, Gewerbetreibende, Internet-Dienstleister und dergleichen nicht dazu übergegangen, ihre legitimen E-Mails digital zu signieren, um dem Empfänger die Möglichkeit zu geben, den Absender einer E-Mail jenseits jedes vernünftigen Zweifels sicher zu stellen. Diese Vorgehensweise ist meiner Meinung nach – wenn sie langfristig erfolgt und mit einer Aufklärung von Kunden und Nutzern einhergeht – die einzige Möglichkeit, den Phishing-Sumpf trockenzulegen, so dass diese moderne Form des Trickbetruges endlich Geschichte wird. Das ist angesichts der Tatsache, dass digitale Signatur von E-Mails keine obskure „Raketentechnologie“ ist und nicht einmal Geld kostet, erschreckend. Tatsächlich gibt es dafür nur eine Erklärung, und die widerspricht der Reklame der Banken, Gewerbetreibenden und Internet-Dienstleister diametral: Die Sicherheit der Kunden und Nutzer vor primitiven Betrügereien und den damit verbundenen finanziellen Schäden ist diesen Unternehmungen völlig gleichgültig.

Noch immer findet das Thema der Spam im Journalismus nicht das Maß an Beachtung, das es verdient, so dass viele Neulinge völlig unaufgeklärt ihr „Lehrgeld“ an mafiös organisierte Verbrecher bezahlen. Das, was ich vor ebenfalls zehn Jahren in die FAQ zu Unser täglich Spam schrieb, ist uneingeschränkt weiter gültig:

Fragen sie ihre Tageszeitung, warum es keine Informationen und Warnungen zu den jeweils aktuellen Phishing- und Spam-Wellen an auffälliger Stelle gibt. Das Internet ist schließlich keine Spielwiese der Nerds mehr, es ist eine Massenerscheinung, an der auch ganz gewöhnliche Menschen in verschiedener Weise Teil haben. Auch die Journaille muss unter solchen Umständen einen Beitrag zur Verbrechensverhinderung leisten. Jeder andere Trickbetrüger bringt es doch auch als Warnung in die Presse, warum also nicht ein gefährlicher Phisher, der bei Erfolg Menschen um tausende von Euros erleichtern und sogar an den Rand des persönlichen wirtschaftlichen Ruins bringen kann? Wenden sie sich an ihren bevorzugten Radio- oder Fernsehsender und fragen sie, warum es zwar Unwetterwarnungen gibt, aber keinen Hinweis auf gefährliche Schadsoftware, die ihren Weg über Spam auf die Rechner ganz gewöhnlicher Mitbürger findet und die diese Rechner in fernsteuerbare Zombies der Spam-Mafia verwandelt?

Das größte Problem im Zusammenhang der Spam ist die gefährliche Unwissenheit vieler Menschen. Das beste Mittel gegen Unwissenheit ist besonnene, den Fakten verpflichtete und hilfreiche Aufklärung.

In diesem Kontext finde ich es allerdings erfreulich, dass wenigstens das Landeskriminalamt Niedersachsen vor einigen Jahren damit begonnen hat, eine Informations- und Aufklärungssite über gängige Formen der Internetkriminalität zu pflegen. Sicher, ich habe daran auch einiges auszusetzen, aber es war ein wichtiger und lobenswerter Schritt in die richtige Richtung. Leider ist zu befürchten, dass viele, die es sehr nötig hätten, nicht rechtzeitig davon erreicht werden.

Noch immer ist es durchaus normal, dass Menschen, die von einem gewerbsmäßigen Internetbetrüger abgezockt wurden, sich zu ihrem Schaden auch noch des Spottes ihrer Mitmenschen erwehren müssen, wenn sie von ihrer Erfahrung erzählen. Spammer leben davon, dass Menschen auf ihren Betrug hereinfallen, und sie können sich dabei überraschend viel Mühe geben, in ihrer Mitteilung so seriös und glaubwürdig auszusehen, dass nicht nur ein Dummkopf darauf hereinfällt. Hochmut ist völlig fehl am Platze. Ein bisschen Hilfe nicht.

Tatsächlich wäre ich vor einigen Jahren beinahe selbst auf ein Phishing hereingefallen, wenn ich mir nicht eine Reihe von Verhaltensweisen angewöhnt hätte, die leider immer noch viel zu selten sind.

Das war im Kontext eines Crackerangriffes auf Unser täglich Spam, der erschreckend weit auf dem Server vorgedrungen war. Die Angreifer haben sogar Menschen aus meinem Bekanntenkreis angerufen, angemailt und angeIMst, um ihnen meine Passwörter zu entlocken, falls sie diese kennen – und unter den so von Verbrechern ausgequetschten Menschen ist nur einem etwas aufgefallen (so dass ich schnell davon erfahren habe und zum Glück weiteren Schaden begrenzen konnte), obwohl ich grundsätzlich nach Möglichkeit nur signierte E-Mail versende und niemals eine unsignierte E-Mail versenden würde, wenn es wichtig wäre. Ich konnte im Zuge dieses Angriffes nicht mehr abschätzen, was mein unsichtbares Gegenüber (Klingonen hätten gesagt, dass es „ehrenhaft“ kämpft) schon hat und kann. In genau dieser stressreichen Situation bekam ich eine 08/15-Phishingmail „von PayPal“, die mich natürlich sehr alarmierte. Was mich gerettet hat? Die einfache Angewohnheit, niemals in eine E-Mail zu klicken. Als ich ganz normal PayPal im Browser aufrief – es gibt dafür seit dem Mosaic Netscape 0.9 beta aus dem Jahr 1994 diese praktischen Lesezeichen – und bei dieser Gelegenheit flugs das möglicherweise kompromittierte Passwort änderte, wurde mir klar, dass es sich um Phishing handelte und dass das angebliche Problem einer von mir veranlassten, recht hohen Zahlung an ein obskures Unternehmen aus Russland gar nicht existierte.

Kurz: Unter bestimmten Umständen kann jeder auf so etwas hereinfallen. Ich selbst habe eine Phishing-Mail einmal kurz für „echt“ gehalten. Ist das ein Grund, über mich zu lachen? Wenn ja, dann tun sie sich keinen Zwang an! Es erleichtert ja, und leider tut es dies oft, ohne notwendige Denkprozesse anzustoßen, die zu mehr Vernunft im Alltag führen.

Und noch immer trainiert PayPal seine Nutzer und Kunden nicht darin, niemals in eine E-Mail zu klicken. Ganz im Gegenteil. Da ist das viele erfolgreiche Phishing auf PayPal-Konten nicht weiter überraschend – zumal PayPal noch immer darauf verzichtet, seine E-Mails an seine Kunden digital zu signieren.

Kurzum: Es gibt keinen Grund, inne zu halten und irgendetwas zu feiern.

Aber ich hatte weder die Absicht noch die Möglichkeit, etwas Nennenswertes zur Bekämpfung der Spam zu leisten.

Als ich heute vor zehn Jahren mit diesem Blog begann, habe ich mir das damalige WordPress-Standardlayout „Kubrick“ genommen, die Titelgrafik gegen „etwas mit Spamdosen“ ausgetauscht und beinahe nichts am Design verändert, um schnell loslegen zu können. Ich tat es in einer Zeit, in der ich jeden verdammten Tag zwischen zweihundert und vierhundert Spammails bekam. Das zumindest hat sich etwas gebessert – weil inzwischen ein Großteil der Betrugsnummern über Social-Media-Sites und Smartphone-IM der Marke „WhatsApp“ läuft, während im Postfach nur noch ein Rinnsal anstelle der früheren Flut ankommt. Was über „Facebook“ läuft, erfahre ich bestenfalls einmal aus zweiter Hand, denn ich bin immer noch nicht dazu bereit, das Angebot eines Unternehmens zu nutzen, das sein Geschäftsmodell mit illegaler und asozialer Spamwerbung aufgebaut hat. Das „Adressmaterial“ für die Spamwerbung wurde übrigens mit trojanischen Apps von Smartphones naiver Nutzer abgezogen. Inzwischen sind die Trojaner von Facebook oft so auf Smartphones vorinstalliert, dass man sie nicht mehr ohne Verlust der Gewährleistung deinstallieren kann, und erwachsene Menschen lassen sich diese kalte, enteignende Unverschämtheit gefallen oder finden sie sogar noch erfreulich.

Ich habe angefangen, über Spam zu bloggen, weil ich den täglichen Wahnsinn nicht mehr passiv hinnehmen wollte. Außerdem bereitet es mir Freude, die Dummheit der Spammer ans Tageslicht zu zerren und den Kriminellen hin und wieder einmal in ihre Suppe zu pinkeln. Dass es dabei zu kriminellen Angriffen gegen das Blog kommt, ist wohl unvermeidlich.

Immer noch verwendet Unser täglich Spam in seiner Standarddarstellung eine Bearbeitung des alten Standard-Themes „Kubrick“, die allerdings inzwischen erheblich ist. Das Blog wirkt optisch wie ein Anachronismus, und ich habe nicht die Absicht, das zu verändern. Mein einziges Zugeständnis an die veränderten Internetgewohnheiten vieler Menschen ist, dass ich für Smartphones und Tablets ein anderes, deutlich reduziertes Design für die gleichen Inhalte verwende. Zurzeit geht ein gutes Viertel der Zugriffe auf Unser täglich Spam von Smartphones aus. Es sind eben die Geräte, auf denen jetzt viele Menschen ihre Spam empfangen. Die Technik ist moderner, die tägliche Spam ist die gleiche, und sie scheint sich immer noch zu lohnen. :(

Ich wollte dieses Blog schon mehrmals einfach einstellen oder zumindest damit aufhören, es mit neuen Inhalten zu befüllen. Es gibt kein anderes Internetprojekt von mir, das ich so gern einstellen würde wie Unser täglich Spam. Meine Motivation ist gering geworden, die tägliche Spam ist die gleiche, und sie scheint sich immer noch… ich wiederhole mich.

In diesem Sinne hoffe ich, dass es nicht zu einem zwanzigsten Bloggeburtstag kommt.

Wer jetzt noch etwas Unterhaltung sucht und gerne lacht, der wandele heiteren Geistes durch die Hall of Shame, in der sich die narrengüldnen Glanzstücke zehnjährigens Bloggens über Spam finden. Ebenfalls sind jene spammigen Kommunikationsversuche, die ich unter dem Schlagwort „Dada“ abgelegt habe, oft von großem Unterhaltungswert.

Wer hingegen nichts dagegen hat, wenn ihm das Lachen richtig vergeht, schaue sich an, wie die Spammer und andere Verbrecher an ihre Daten kommen und sei sich gewahr, dass diese Vorfälle nur die Spitze des Eisberges sind.

Wie oft wurde ich schon ausgelacht, wenn ich anderen Menschen sagte, dass es nur einen Datenschutz gibt, und zwar den, den man selbst in die Hände nimmt, indem man keine Daten von sich preisgibt! Das Lachen erleichtert ja, und leider tut es dies oft, ohne notwendige Denkprozesse anzustoßen, die zu mehr Vernunft im Alltag führen.

Aber ich wiederhole mich…

Wie so oft.

Heise Online desinformiert (manchmal) seine Leser

Samstag, 10. Dezember 2016

Dies ist keine Spam, sondern ein Hinweis auf eine gefährliche journalistische Desinformation durch Weglassen wesentlicher Information, die in dieser Form der Organisierten Internet-Kriminalität direkt zuarbeitet.

Wieder einmal wird Schadsoftware über (diesmal aufwändig) verseuchte Ads verbreitet. Und, was empfiehlt Heise Online seinen Lesern?

Schützen kann man sich gegen solche Angriffe eigentlich nur, indem man immer die aktuellen Versionen von Betriebssystem, Browser und Erweiterungen einsetzt

Natürlich ist das halb wahr, und deshalb als Unwahrheit auch so gefährlich. Ein aktueller Systemstand und aktuelle Software ohne bekannte Sicherheitslücken, die von Kriminellen ausgenutzt werden können, sind die Grundlage der Computersicherheit. Nur ein beseitigter Fehler ist ein guter Fehler.

Aber gegen Schadsoftware in Ads hilft vor allem anderen ein wirksamer Adblocker, der nicht nur diesen Transportweg an der Wurzel unterbindet, sondern dazu auch noch das gesamte Web viel genießbarer und schneller macht. Weil nahezu jeder Webbrowser-Angriff der letzten Jahre Javascript verwendete, empfehle ich zusätzlich einen guten, konfigurierbaren Javascript-Blocker, der es möglich macht, das Privileg einer Javascript-Ausführung gezielt an vertrauenswürdige Websites zu vergeben. Es ist einfach keine gute Idee, jedem anonymen Gegenüber die Möglichkeit zu geben, Programmcode im Browser auszuführen. Viele empfinden einen Javascript-Blocker allerdings als etwas „nervig“, zumal zurzeit sehr viele Websites teilweise aufdringlich dazu auffordern, Javascript zu gestatten, obwohl es keinen technischen Grund dafür gibt (und mit dieser Haltung ebenfalls die Organisierte Internet-Kriminalität fördern). Der Adblocker muss aber in jedem Fall sein, und er ist das genaue Gegenteil von „nervig“. ;)

Warum Heise Online das seinen Lesern nicht empfiehlt? Weil Heise Online über eingeblendete Reklame finanziert wird und eine solche, wirksame Empfehlung dieses Geschäftsmodell beeinträchtigen würde. So leistet die (leider legale) Reklame im Web und die trotz ihrer derzeitigen Allgegenwärtigkeit äußerst halbseidene Idee einer Monetarisierung von Websites durch Reklame aus allerlei Quellen einen Beitrag zum Erfolg der Schadsoftware.

Und nein: Das Antivirus-Programm hilft nicht! Die (für die Verbrecher aufwändig) über Ads verbreitete Schadsoftware ist meist der neueste Schrei der kriminellen Kunst und kann im Regelfall für mehrere Tage von den Antivirus-Programmen nicht zuverlässig erkannt werden.

Deshalb: Niemals einen Browser ohne Adblocker benutzen! Egal, was Journalisten sagen und schreiben! Es handelt sich um eine unverzichtbare Schutzmaßnahme. Wer darauf verzichtet, handelt verantwortungslos.

Das Landgericht Hamburg über Adblocker

Freitag, 2. Dezember 2016

Es folgt das Zitat des Jahres:

Die Internetnutzer haben ein schutzwürdiges Interesse an der Abwehr unerwünschter Werbung, an Schutz vor Schadprogrammen sowie an der Kontrolle über ihre Daten.

Begründung der Entscheidung des LG Hamburg in der Sache Spiegel Online gegen Eyeo

Und ich habe dem nichts hinzuzufügen. Außer die Aufforderung, immer an diese Feststellung einer an sich kaum der Rede werten Selbstverständlichkeit durch das Landgericht Hamburg zu denken, wenn ihr mit der teilweise sehr aufdringlich und regelmäßig völlig desinformativ dargebotenen Aufforderung auf Presseverlags-Websites konfrontiert seid, doch eure Adblocker abzuschalten. Adblocker sind und bleiben eine unverzichtbare und sehr wirksame Sicherheitssoftware zum Schutz des Computers und seiner Nutzer vor kriminellen Machenschaften beim „Surfen“ im Web.

Zitat des Tages

Montag, 24. Oktober 2016

Keine Spam, sondern ein Zitat:

Dieser quantitative Linkaufbau über Webkataloge, Artikelverzeichnisse, Linkkauf, Bookmarkverzeichnisse & Kommentar/Forenspam war natürlich immer schon ein Verstoß gegen die Google Richtlinien [sic! Deppen Leer Zeichen]. Die meisten Beteiligten waren sich dessen auch bewusst. Deswegen kann ich das ganze Gejammere jetzt nur sehr begrenzt nachvollziehen

Ich mag Google nicht besonders, aber ich wünsche Google von ganzem Herzen viel Erfolg bei seinen Bemühungen gegen die asozialen Matschbirnen – Selbstbezeichnung: „SEOs“ – die seit vielen Jahren das ganze Web und damit indirekt Google vollspammen, um Google-Suchergebnisse zu manipulieren!

Falls sie SEO sind und hier einen ihrer Spamlinks, der mir beim Abarbeiten der Kommentare entgangen ist, löschen lassen möchten: Hier ist eine kurze Anleitung.

Kurz verlinkt

Freitag, 3. Juni 2016

Wer einem „dahergelaufenen Blogger“ wie mir nicht glaubt, wenn ich so einen Rat gebe, glaubt vielleicht den Beamten des Landeskriminalamtes Niedersachsen, wenn sie den gleichen Rat geben, den ich auch immer gebe:

Öffnen Sie niemals Anhänge oder Links aus Mails, die Sie nicht kennen oder erwarten!!! Fragen Sie im Zweifelsfall beim bekannten Versender (z.B. Telefon oder per neuer Mail und nicht per Antwort) nach. Loggen Sie sich ggf. alternativ beim echten Anbieter über den Ihnen bekannten Link (nicht aus der Mail folgen) ein, wenn Sie eine Mail bekommen, bei der Sie tatsächlich Kunde sind. Die Behauptung aus der Mail (z.B. Sperrung des Kundenzuganges) müsste dort dann wiederzufinden sein […] Derzeit ist das Hauptziel der Täter noch das Windowssystem der Empfänger. Andere Betriebssysteme sind aktuell nicht so sehr gefährdet. Dennoch ist nicht auszuschließen, dass nicht auch Schadsoftware für alternative Betriebssysteme (z.B. Android) in den Umlauf gerät. Aus diesem Grund sollten die Anhänge niemals auf irgendeinem Gerät geöffnet werden!

Für diesen sehr deutlichen Hinweis geht mein ausdrücklicher Dank an die Polizeibeamten!

Angesichts der täglichen Pest derartiger Spams (und angesichts des mit Abstand längsten Kommentarthreads auf Unser täglich Spam) wünsche ich mir eine offensive Pressearbeit der Polizei zu diesem Thema, damit auch wirklich jeder erreicht wird. E-Mail ist nun einmal nicht nur unendlich praktisch, sondern auch sehr gefährlich, weil sie auch Kriminellen die Zustellung beliebiger Dateien ermöglicht. Der Absender ist dabei kinderleicht fälschbar (man kann eine beliebige Absenderadresse eintragen, vom Papst über Microsoft bis zur mittelständischen Unternehmung ist der Phantasie keine Grenze gesetzt). Oft wird hochaktuelle Schadsoftware in einem Mailanhang zugestellt, die vom Antivirusprogramm noch nicht erkannt wird. Deshalb ist es wichtig, jedem Mailanhang mit der größtmöglichen Skepsis zu begegnen und niemals den Anhang einer Mail zu öffnen, wenn man diesen nicht vorher über einen anderen Kanal als E-Mail explizit verabredet hat. Im Zweifelsfall immer vor dem Öffnen nachfragen!

Und natürlich ist ein Klick in eine E-Mail genau so gefährlich wie das Öffnen eines Anhanges.

Die wichtigste „Software“ zum Schutz des Computers bleibt das Gehirn.

Hallo eBay, ist noch alles knusper bei euch‽

Freitag, 15. April 2016

Nutzer der Handy-App von eBay¹ können den folgenden Hinweis in ihrer App sehen:

Screenshot der eBay-App. Im unteren Bereich ist ein Overlay mit folgendem Text eingeblendet: 'Helfen Sie uns, Ihr eBay-Konto zu schützen (Link) Bestätigen Sie Ihre persönlichen Daten'.

Helfen Sie uns, Ihr eBay-Konto zu schützen
Bestätigen Sie Ihre persönlichen Daten

Es handelt sich hier nicht um einen Phishing-Versuch.

Ich war mir auf dem ersten Blick völlig sicher, dass es Phishing ist, und meine einzige Frage war, wie die Phisher es wohl geschafft hätten, ihre Phishing-Einleitung als Overlay in die eBay-App einzublenden. (Ich halte es nicht für unmöglich, dass Kriminelle solche Möglichkeiten finden und ausnutzen – Smartphones sind leider sehr gefährliche und für kriminelle Versuche sehr offene Geräte.)

Ich habe mich (zum Glück) getäuscht.

Diese Meldung kommt wirklich von eBay. Und diese Meldung ist wirklich sehr dumm gestaltet, denn sie drückt bei ihren Empfängern auf die gleichen psychologischen Knöpfe wie typische Phishing-Mails:

  1. Bereits bekannte Kundendaten sollen noch einmal bestätigt werden;
  2. dies soll nicht etwa über einen von der Mitteilung unabhängigen Aufruf der eBay-Website, sondern über einen Link geschehen; und
  3. es ist wegen „der Sicherheit“, wegen „des Schutzes des Kontos“ erforderlich.

Das ist – wenn man einmal von dem von Phishern gern angewendeten zusätzlichen Druckmittel einer Fristsetzung oder aufkommender Kosten absieht – genau die gleiche Ausdrucksweise, mit der Menschen sonst dazu gebracht werden sollen, ihre Konten und persönlichen Daten der Organisierten Kriminalität zur Verfügung zu stellen, indem sie die Zugangsdaten in schnell aufgeschäumten Webseiten im Design der entsprechenden Unternehmen eingeben und absenden. (In jüngerer Zeit wird auch häufig ein HTML-Dokument an die E-Mail angehängt, das man ausfüllen und absenden soll – mit gleichem Ergebnis.)

Auch die unter diesem Link hinterlegte Seite sieht so aus, wie ich es von der ersten Seite eines Phishing-Versuches gewohnt bin, der zunächst Accountdaten haben will, bevor weitere Dateneingaben (Anschrift, Bankverbindung, Kreditkarte) erschlichen werden [die unkenntliche Telefonnummer im Screenshot ist nicht von eBay]:

Screenshot der eBay-Seite zur Datenbestätigung -- Helfen Sie uns, Ihr eBay-Konto zu schützen -- Für noch mehr Sicherheit vergewissern Sie sich bitte, dass Ihre personenbezogenen Daten auf dem aktuellen Stand sind. -- E-Mail -- Mobiltelefon

Und genau das führt eBay gegenüber seinen Kunden als gewöhnliche Form der Kommunikation von eBay zum Kunden ein. Ganz so, als sei das Problem mit Phishing noch nicht groß genug; als müsse man seine Kunden zudem daran gewöhnen, dass genau die gleichen Kommunikationsmuster aus typischen Betrugsmails eine gewöhnliche Form der geschäftlichen Kommuniaktion seien und den Betrug auf diese Weise mit Autorität und Glaubwürdigkeit „aufladen“.

Das erschwert die sichere Erkennung von Phishing und zerstört den Schutz durch einen mit ungewöhnlichen Vorgängen und Aufforderungen aufkommenden Verdacht.

Die Folgen dieser dummen Entscheidung eBays werden nicht lange auf sich warten lassen – arglose Nutzer werden vermehrt auf Phishing-Mails hereinfallen, da sie ihren Stil für einen authentischen eBay-Stil halten. Dies gilt in besonderer Weise, als dass den Kriminellen eine sehr umfangreiche Datenbank mit Mailadressen und Accountdaten zur Verfügung steht, die bei eBay benutzt wurden oder noch werden. (Siehe zur Vorgeschichte dieses Datenlecks meine vorsichtig formulierte Mutmaßung hier auf Unser täglich Spam, als auf einmal hochgefährliches eBay- und PayPal-Phishing in Mail an exklusiv für eBay und PayPal benutzte Mailadressen auftauchte.)

eBay führt sich gerade wie ein Freund und Förderer der Organisierten Kriminalität auf; ganz so, als wollte eBay Phishing zu einem Erfolgsrezept für gewerbsmäßige Betrüger machen.

Das ist schlecht. Und es sollte geändert werden.

Von eBay.

So schnell wie möglich, am besten sofort!

¹Ein Dank für die Screenshots und den Hinweis geht an meinen Leser M.S.