Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Kategoriearchiv „Allgemein“

Kurz verlinkt

Freitag, 3. Juni 2016

Wer einem „dahergelaufenen Blogger“ wie mir nicht glaubt, wenn ich so einen Rat gebe, glaubt vielleicht den Beamten des Landeskriminalamtes Niedersachsen, wenn sie den gleichen Rat geben, den ich auch immer gebe:

Öffnen Sie niemals Anhänge oder Links aus Mails, die Sie nicht kennen oder erwarten!!! Fragen Sie im Zweifelsfall beim bekannten Versender (z.B. Telefon oder per neuer Mail und nicht per Antwort) nach. Loggen Sie sich ggf. alternativ beim echten Anbieter über den Ihnen bekannten Link (nicht aus der Mail folgen) ein, wenn Sie eine Mail bekommen, bei der Sie tatsächlich Kunde sind. Die Behauptung aus der Mail (z.B. Sperrung des Kundenzuganges) müsste dort dann wiederzufinden sein […] Derzeit ist das Hauptziel der Täter noch das Windowssystem der Empfänger. Andere Betriebssysteme sind aktuell nicht so sehr gefährdet. Dennoch ist nicht auszuschließen, dass nicht auch Schadsoftware für alternative Betriebssysteme (z.B. Android) in den Umlauf gerät. Aus diesem Grund sollten die Anhänge niemals auf irgendeinem Gerät geöffnet werden!

Für diesen sehr deutlichen Hinweis geht mein ausdrücklicher Dank an die Polizeibeamten!

Angesichts der täglichen Pest derartiger Spams (und angesichts des mit Abstand längsten Kommentarthreads auf Unser täglich Spam) wünsche ich mir eine offensive Pressearbeit der Polizei zu diesem Thema, damit auch wirklich jeder erreicht wird. E-Mail ist nun einmal nicht nur unendlich praktisch, sondern auch sehr gefährlich, weil sie auch Kriminellen die Zustellung beliebiger Dateien ermöglicht. Der Absender ist dabei kinderleicht fälschbar (man kann eine beliebige Absenderadresse eintragen, vom Papst über Microsoft bis zur mittelständischen Unternehmung ist der Phantasie keine Grenze gesetzt). Oft wird hochaktuelle Schadsoftware in einem Mailanhang zugestellt, die vom Antivirusprogramm noch nicht erkannt wird. Deshalb ist es wichtig, jedem Mailanhang mit der größtmöglichen Skepsis zu begegnen und niemals den Anhang einer Mail zu öffnen, wenn man diesen nicht vorher über einen anderen Kanal als E-Mail explizit verabredet hat. Im Zweifelsfall immer vor dem Öffnen nachfragen!

Und natürlich ist ein Klick in eine E-Mail genau so gefährlich wie das Öffnen eines Anhanges.

Die wichtigste „Software“ zum Schutz des Computers bleibt das Gehirn.

Hallo eBay, ist noch alles knusper bei euch‽

Freitag, 15. April 2016

Nutzer der Handy-App von eBay¹ können den folgenden Hinweis in ihrer App sehen:

Screenshot der eBay-App. Im unteren Bereich ist ein Overlay mit folgendem Text eingeblendet: 'Helfen Sie uns, Ihr eBay-Konto zu schützen (Link) Bestätigen Sie Ihre persönlichen Daten'.

Helfen Sie uns, Ihr eBay-Konto zu schützen
Bestätigen Sie Ihre persönlichen Daten

Es handelt sich hier nicht um einen Phishing-Versuch.

Ich war mir auf dem ersten Blick völlig sicher, dass es Phishing ist, und meine einzige Frage war, wie die Phisher es wohl geschafft hätten, ihre Phishing-Einleitung als Overlay in die eBay-App einzublenden. (Ich halte es nicht für unmöglich, dass Kriminelle solche Möglichkeiten finden und ausnutzen – Smartphones sind leider sehr gefährliche und für kriminelle Versuche sehr offene Geräte.)

Ich habe mich (zum Glück) getäuscht.

Diese Meldung kommt wirklich von eBay. Und diese Meldung ist wirklich sehr dumm gestaltet, denn sie drückt bei ihren Empfängern auf die gleichen psychologischen Knöpfe wie typische Phishing-Mails:

  1. Bereits bekannte Kundendaten sollen noch einmal bestätigt werden;
  2. dies soll nicht etwa über einen von der Mitteilung unabhängigen Aufruf der eBay-Website, sondern über einen Link geschehen; und
  3. es ist wegen „der Sicherheit“, wegen „des Schutzes des Kontos“ erforderlich.

Das ist – wenn man einmal von dem von Phishern gern angewendeten zusätzlichen Druckmittel einer Fristsetzung oder aufkommender Kosten absieht – genau die gleiche Ausdrucksweise, mit der Menschen sonst dazu gebracht werden sollen, ihre Konten und persönlichen Daten der Organisierten Kriminalität zur Verfügung zu stellen, indem sie die Zugangsdaten in schnell aufgeschäumten Webseiten im Design der entsprechenden Unternehmen eingeben und absenden. (In jüngerer Zeit wird auch häufig ein HTML-Dokument an die E-Mail angehängt, das man ausfüllen und absenden soll – mit gleichem Ergebnis.)

Auch die unter diesem Link hinterlegte Seite sieht so aus, wie ich es von der ersten Seite eines Phishing-Versuches gewohnt bin, der zunächst Accountdaten haben will, bevor weitere Dateneingaben (Anschrift, Bankverbindung, Kreditkarte) erschlichen werden [die unkenntliche Telefonnummer im Screenshot ist nicht von eBay]:

Screenshot der eBay-Seite zur Datenbestätigung -- Helfen Sie uns, Ihr eBay-Konto zu schützen -- Für noch mehr Sicherheit vergewissern Sie sich bitte, dass Ihre personenbezogenen Daten auf dem aktuellen Stand sind. -- E-Mail -- Mobiltelefon

Und genau das führt eBay gegenüber seinen Kunden als gewöhnliche Form der Kommunikation von eBay zum Kunden ein. Ganz so, als sei das Problem mit Phishing noch nicht groß genug; als müsse man seine Kunden zudem daran gewöhnen, dass genau die gleichen Kommunikationsmuster aus typischen Betrugsmails eine gewöhnliche Form der geschäftlichen Kommuniaktion seien und den Betrug auf diese Weise mit Autorität und Glaubwürdigkeit „aufladen“.

Das erschwert die sichere Erkennung von Phishing und zerstört den Schutz durch einen mit ungewöhnlichen Vorgängen und Aufforderungen aufkommenden Verdacht.

Die Folgen dieser dummen Entscheidung eBays werden nicht lange auf sich warten lassen – arglose Nutzer werden vermehrt auf Phishing-Mails hereinfallen, da sie ihren Stil für einen authentischen eBay-Stil halten. Dies gilt in besonderer Weise, als dass den Kriminellen eine sehr umfangreiche Datenbank mit Mailadressen und Accountdaten zur Verfügung steht, die bei eBay benutzt wurden oder noch werden. (Siehe zur Vorgeschichte dieses Datenlecks meine vorsichtig formulierte Mutmaßung hier auf Unser täglich Spam, als auf einmal hochgefährliches eBay- und PayPal-Phishing in Mail an exklusiv für eBay und PayPal benutzte Mailadressen auftauchte.)

eBay führt sich gerade wie ein Freund und Förderer der Organisierten Kriminalität auf; ganz so, als wollte eBay Phishing zu einem Erfolgsrezept für gewerbsmäßige Betrüger machen.

Das ist schlecht. Und es sollte geändert werden.

Von eBay.

So schnell wie möglich, am besten sofort!

¹Ein Dank für die Screenshots und den Hinweis geht an meinen Leser M.S.

Urteil I ZR 65/14 vom 14. Januar 2016

Freitag, 15. Januar 2016

Hier geht es nicht um eine Spam, sondern um ein aktuelles Urteil des Bundesgerichtshofes; der Titel des Postings ist das Aktenzeichen. Vieles an diesem Text ist Rückblick. Und zwar Rückblick in hilflosem Zorn, der mittlerweile Lust an der Zerstörung bekommt, weil andere Abhilfe nicht mehr möglich zu sein scheint.

Facebook hat vor dem Bundesgerichtshof verloren.

Der Bundesgerichtshof hat festgestellt, dass die auch immer wieder gern in fremdem Namen verfasste Spam von Facebook auch tatsächlich illegale Spam gewesen ist.

Welche Folgen hat das Urteil des Bundesgerichtshofes für Facebook?

Für Facebook hat dieses Urteil keine nennenswerten Folgen. Ein jahrelang durchgezogenes, auf klar illegalen (und damit: kriminellen sowie in ihrer Methodik von der organisierten Internet-Kriminalität abgeschauten) und zudem zutiefst asozialen Machenschaften basierendes Marketing führt in der Bundesrepublik Deutschland zu keinerlei Strafbarkeit. Die Gerichtskosten – für „normale“ Menschen sicherlich ein albtraumhafter Betrag – werden „aus der Portokasse“ bezahlt. Und sie werden selbstverständlich von der geringen Steuer abgesetzt, die Facebook in Irland zahlt. Einzige Einschränkung für Facebook: Das Unternehmen darf ab jetzt nicht mehr so vorgehen.

Um dieses Urteil zu fällen, hat das Rechtssystem der Bundesrepublik Deutschland rd. fünfeinhalb Jahre gebraucht.

Es ist im Rechtsraum der Bundesrepublik Deutschland zurzeit möglich, mit klar erkennbar illegalen Praktiken Milliardenumsätze zu machen, ohne dass das irgendeine Folge hat.

Ich finde das zum Erbrechen widerwärtig.

Worum es in diesem Verfahren und in diesem Urteil nicht ging, das sind die Speicherung und weitere Nutzung der klandestin über trojanische Apps ohne Einverständnis der Betroffenen aus Adressbüchern eingesammelten Mailadressen und weiteren personenbezogenen Daten. Diese neben der Spam ebenfalls klar illegale Praxis – zur Besänftigung der Hure Justitia, deren Waagschalen am liebsten durch Geldbündel bewegt werden: Ich bin kein Jurist und äußere diese Bewertung als juristischer Laie – kann fortgesetzt werden, damit ein Unternehmen ohne seriöses Geschäftsmodell, das mit illegalen Mitteln groß geworden ist, bei nächster Gelegenheit eine Zuordnung dieser personenbezogenen Daten zu vorgehaltenen pseudonymen Nutzerprofilen vornehmen kann, die über den so genannten „Facebook-Button“ systematisch erstellt wurden und werden. Diese illegale und zutiefst asoziale Praxis fand im Urteil des Bundesgerichtshofes nicht einmal eine Erwähnung, sie war nicht Verfahrensgegenstand. Sie kann ungestört weitergehen. Wenn irgendwann in rd. fünfeinhalb Jahren (oder vielleicht auch ein paar Jahre später) mal ein höchstinstanzlicher Richter der Bundesrepublik Deutschland feststellt, dass sie illegal ist, wird dieses Urteil ebenfalls keine Folgen haben. Weder für die Täter, noch für die Betroffenen.

Wer bei Facebook ist, ist Partner und Adressmateriallieferant eines illegal vorgehenden Unternehmens, dass aus einem durch Richterrecht geschaffenen rechtsfreien Raum heraus die Privat- und Intimsphäre von Menschen mit Füßen tritt. Ja, ich habe „Intimsphäre“ geschrieben. Das Wissen um geschäftliche und persönliche Kontakte ragt sehr weit ins Leben hinein.

Worum es in diesem Verfahren und in diesem Urteil ebenfalls nicht ging, ist die unternehmerische Ausspähung des Privatlebens von Menschen durch zur Installation angebotene (oder bei bereits bestehender Marktmacht: auf persönlichen Computern unlöschbar vorinstallierte) trojanische Apps. Es geht ebenfalls nicht um vergleichbare Machenschaften anderer Webanbieter, die vergleichbar asozial und illegal Postfächer mit Spam zuscheißen, um ihr unseriöses und menschenverachtendes „Geschäftsmodell“ voranzutreiben. Mir ist da vor allem LinkedIn sehr unangenehm aufgefallen. Auch diese Machenschaften werden also weitergehen. Nach dem gestrigen Urteil des Bundesgerichtshofes ist ja jedem klar, dass auch jahrelanges klar illegales Vorgehen keinerlei Konsequenzen haben wird.

Dieses Urteil ist ein Signal. Es sagt: Wenn du ein Unternehmen bist, das asoziale und illegale Spam als Bestandteil seines „Geschäftsmodells“ sieht, dann ist das zwar nicht gestattet, aber ansonsten zunächst völlig folgenlos. Eine Einzelfallklärung dauert viele Jahre. Ihr Ergebnis führt zu keiner Strafe, zu keiner Haftung und zu keiner nennenswerten Auflage (wie zum Beispiel einer erzwungenen Datenlöschung) und damit Einschränkung der weiteren geschäftlichen Tätig- und Tätlichkeit. Wie Unternehmen – insbesondere S/M¹-Unternehmen ohne seriöses Geschäftsmodell – mit dieser durch Richterrecht geschaffenen Rechtslage umgehen werden, ist absehbar. Wenn nicht ein Hauch lobenswerten Anstands durch die Addiermaschine weht, die dort zu sitzen scheint, wo richtige Menschen ihr Gehirn haben, ist zum Beispiel die Fortsetzung der systematischen Spamwerbung durch LinkedIn eine sichere Wette.

Dieses Urteil hat Spam und vergleichbar klar illegale Formen der Reklame im Internet gesellschaftsfähiger gemacht. Das ist eine Wirkung, die sich niemand wünschen kann.

Ich finde das – ja, ich wiederhole mich – zum Erbrechen widerwärtig.

Wer eine Welt mit weniger (oder ohne) Spam haben möchte, statt eine Welt mit immer mehr Spam, der hat in dieser vom Bundesgerichtshof hergestellten Situation nur eine Möglichkeit: Die vollständige und ausnahmslose Ächtung aller Unternehmen, die auf Spam setzen oder auf Spam gesetzt haben sowie die vollständige und ausnahmslose Ächtung aller Menschen, die diese Unternehmen mit Adressmaterial und Daten beliefert haben und weiterhin beliefern. Letzteres ist kaum durchführbar. Es bedeutet Kontaktabbruch zu jedem Nutzer eines Smartphones.

Durchführbar ist es aber, die Accounts bei Unternehmen zu löschen, die klar auf illegale und asoziale Spam als Reklamemittel gesetzt haben. Mir fallen da Facebook und LinkedIn ein. Es sind die einzigen derartigen Unternehmen, von denen ich jemals solche Spam bekommen habe.

Ich fordere jeden Menschen dazu auf, Accounts bei den Spammern Facebook und LinkedIn zu löschen, und zwar am besten genau jetzt, in diesem Moment! Wer das nicht tut, ist ein Komplize von Spammern und damit genau so schlimm wie die Spam selbst.

Facebook-Nutzer, du bist die Spam! Wenn du das nicht sein willst, hast du es in der Hand, etwas Erfreulicheres zu werden. Anleitungen, wie man den Account löscht, findest du in diesem Internet. Facebook ist da eher weniger behilflich, habe ich mir sagen lassen…

LinkedIn-Nutzer, du bist die Spam! Wenn du das nicht sein willst, hast du es in der Hand, wieder in Anstand, Würde und Ehre zu leben. Anleitungen, wie man den Account löscht, findest du in diesem Internet.

Vom Recht haben wir jedenfalls nichts mehr zu erwarten.

(Und nein, nicht ein Wort in diesem Text ist satirisch gemeint.)

¹S/M ist übrigens meine Abk. für „social media“. Aus Gründen. Wer dabei spontan BDSM assoziert, hat meine Gründe verstanden.

Wie Heise Online (manchmal) seine Leser verblödet

Donnerstag, 7. Januar 2016

FacepalmHier geht es nicht um eine Spam, sondern um einige wichtige Richtigstellungen und Ergänzungen zu einem aktuellen Artikel auf Heise Online: „Erste Malvertising-Kampagne mit Let’s-Encrypt-Zertifikat“.

Ich halte diesen Artikel für einen der blödesten und für seine weniger kundigen Leser gefährlichsten Texte auf Heise Online, den ich in den letzten Monaten gesehen habe, und glaubt mir, ich habe viel Durchschnittliches und Dummes von Heise ertragen. Um das näher dazulegen, komme ich nicht umhin, etwas größere Teile des Artikels zu zitieren, als ich es gewöhnlicherweise tun würde. Trotz allergrößter Mühe wird es mir dabei nicht immer gelingen, meine Darlegungen frei von ätzender Polemik zu halten.

HTTPS-Webseiten wecken Vertrauen.

Nein. HTTPS bedeutet, dass der Transportweg der Daten verschlüsselt ist. Mehr nicht. (Aber auch nicht weniger.)

Es bedeutet nicht, dass dem Gegenüber vertraut werden kann. Es bedeutet auch nicht, dass die Website frei von Schadsoftware ist. Es bedeutet, dass der Transportweg… ach, ich wiederhole mich.

Verschlüsselung allein weckt noch kein Vertrauen, und schon gar nicht im Web. Oder genauer gesagt: Verschlüsselung allein sollte noch kein Vertrauen erwecken. Auch auf einer Phishing-Seite, die über HTTPS kommt und die Daten verschlüsselt überträgt, gehen die Daten am Ende unverschlüsselt an den Empfänger – im Falle eventuell eingegebener Daten sind dies dann Kriminelle. „Nur“ das Mitlesen durch Dritte wird unterbunden.

Richtig hingegen ist: Kurzschlüssiger, dummer Journalismus, der Menschen niemals richtig über die Bedeutung und Wirkung von Kryptografie aufklärt, sorgt dafür, dass immer wieder einmal von „journalistisch aufgeklärten“ Menschen einer Website von Verbrechern vertraut wird, nur, weil ein kleines Schlösschen im Browser sichtbar ist. (Bei Heise Online übrigens nicht, denn der verschlüsselte Transport der Website würde im Zusammenhang mit den in die Seiten eingebetteten, unverschlüsselt übertragenen Ads zu hässlich aussehenden Warnungen im Browser führen, so dass man es dort lieber unterlässt.)

Doch auch Online-Gauner können sich oft über Umwege vertrauenswürdige Zertifikate ausstellen.

Was für ein Witz! Über „Umwege“! Das geht genau so direkt wie bei jedem anderen, und das ist auch keineswegs eine Neuigkeit, sondern seit mindestens einem Jahr aktuelle kriminelle Praxis.

Nun haben Kriminelle das erste Let’s-Encrypt-Zertifikat genutzt, um Vertrauenswürdigkeit vorzugaukeln.

Die „Neuigkeit“ ist, dass die Kriminellen jetzt nicht mehr eine gephishte Kreditkarte nehmen und die Identität eines anderen Menschen missbrauchen müssen (oder alternativ: Rd. zehn Euro selbst in die Hand nehmen müssen), um sich mit einem über TLS transportierten Phishing einige zehntausend Euro kriminellen Reibach unterm Nagel reißen zu können.

Nun ja, das schreibt Heise Online allerdings auch selbst, nachdem der hochgradig clickbait-verdächtige „quantitätsjournalistische“ Reißerton erst einmal überwunden wurde:

[…] Das [sic!] Online-Gauner SSL-Zertifikate einsetzen, ist nichts neues. Hierbei handelt es sich jedoch um den ersten bekannt gewordenen Fall, in dem Kriminelle ein kostenloses Zertifikat von Let’s Encrypt einsetzen

Geht doch! 😉

Das eigentliche Problem in diesem Fall war auch keineswegs ein kostenloses Zertifikat, sondern, dass es Kriminellen gelungen ist, die DNS-Konfiguration in einer Domain anderer Leute zu verändern – also nichts mit „Let’s Encrypt“ und nicht einmal etwas mit Krypto, sondern administrative Unfähigkeit beim Unternehmen, dessen Domain da offensichtlich von anderen konfiguriert werden konnte.

Und in der Tat, das hat Nachrichtenwert! Aber der Autor im Brote von Heise Online hatte sich dazu entschlossen, über etwas völlig anderes zu schreiben, indem er völlig andere Schwerpunkte setze.

Das Anlegen einer Subdomain ist nicht ohne weiteres möglich. Denkbar wäre, dass die Online-Gauner auf irgendeinem Weg an die Zugangsdaten für die Domain-Verwaltung gekommen sind. Wie das passiert ist, erläutert Trend Mirco nicht

Denn wenn sich ein Journalist der Aufgabe entledigt, über eine Sache zu schreiben, von der er nichts genaueres weiß und nicht einmal weiß, welches Unternehmen davon betroffen ist – es gibt ja ansonsten nur exakt eine Erklärung, wie es dazu kommen konnte: Administrative Unfähigkeit oder unverantwortlicher Leichtsinn in diesem Unternehmen – schreibt er eben über etwas anderes und eher nebensächliches: Darüber, dass „Let’s Encrypt“ es dann auch noch möglich macht, dass ein Schlösschen in der Adresszeile des Browsers sichtbar wird.

Als ob es darauf noch ankommen würde!

Ich will es einmal so sagen: Wenn Kriminelle in der Domain – sagen wir mal als ein an den Haaren herbeigezogenes Beispiel: – der Deutschen Bank herumkonfigurieren können und da eine hypothetische Subdomain wie sicherheit (punkt) deutsche (strich) bank (punkt) de anlegen können, die auf einen von diesen Kriminellen kontrollierten Server verweist, dann wird zum Beispiel das Phishing nach Konto- und Zugangsdaten auch ohne das Schlösschen im Browserfenster sehr gut funktionieren. Und um es noch besser funktionieren zu lassen – ich würde aus dem Bauch schätzen, dass es die Erfolgsquote und damit den kriminellen Reibach verdoppelt – können die Kriminellen zehn Euro ausgeben und ein Zertifikat kaufen oder sich ein kostenloses von „Let’s Encrypt“ holen, damit wirklich niemand mehr einen Verdacht schöpft. Kaum jemand, der vom verdummenden Bullshit-Journalismus jahrelang darauf konditioniert wurde, dass dieses Schlösschen im Browser der Inbegriff der Vertrauenswürdigkeit und Sicherheit sei, wird auf die Idee kommen, mal auf dieses Schlösschen zu klicken und sich die Einzelheiten anzuschauen.

Opfer in Sicherheit wägen

Zur Aufheiterung eine kleine Korinthenkackerei von mir: Es heißt „Opfer in Sicherheit wiegen“. Es hat nichts mit einer Waage zu tun, aber viel damit, ein unmündiges, dummes Kleinkind sanft zu schaukeln, damit es auch schön fest schlafe… :mrgreen:

Und genau dazu leistet jeder Journalist seinen Beitrag, der seinen Lesern immer wieder sagt, dass das Schlösschen in der Adresszeile des Browsers der Inbegriff der Sicherheit und Vertrauenswürdigkeit sei, während es in Wirklichkeit zunächst „nur“ bedeutet, dass der Transportweg der Daten verschlüsselt ist und von Dritten weder mitgelesen noch manipuliert werden kann. Dann kommt es eben dazu…

Mit der legitimen Domain und dem Zertifikat im Rücken wollen die Kriminellen ihre bösartige Webseite, die ein Exploit-Kit beinhaltet und einen Online-Banking-Trojaner verteilt, vertrauenswürdig erscheinen lassen

…dass eine Website von Verbrechern für die Opfer des verblödenden Journalismus „vertrauenswürdig“ aussieht. So ist das eben, wenn man sich ausgerechnet von Journalisten das Sehen beibringen lässt.

Die Fehleinschätzung ist insbesondere dann kein Wunder, wenn es sich um eine Subdomain einer Domain derjenigen Unternehmung handelt, für die sich die Kriminellen bei ihrem gewerbsmäßigen Betrug ausgeben – so etwas würde wohl auch ohne Schlösschen oft für „vertrauenswürdig“ gehalten. Ist es aber nicht, wenn die technischen Administratoren in dieser Unternehmung so unfähig sind, dass sie Dritten die Konfiguration ihres DNS-Servers ermöglichen.

Bleibt noch eine Frage: Wie kommen die Kriminellen an die Seitenbesucher für das Ergebnis ihres beeindruckenden Hacks? Nun, das verrät der Heise-Artikel auch eher so nebenbei, als wenn es nicht das Wichtigste wäre:

Der Schadcode soll sich in einer Werbeanzeige verstecken, die an Webseiten verteilt wird. Aus Gründen der Glaubwürdigkeit soll die Anzeige einen Bezug zur legitimen Domain aufweisen

Mit einer von den Kriminellen gekauften (und vermutlich sogar bezahlten) Ad-Einblendung in andere Websites.

Es gibt also einen höchst effizienten Schutz davor, von einer derartigen Kriminalität überrumpelt zu werden: Die durchgängige Verwendung eines wirksamen Adblockers beim „Surfen“ im Web, der diesen Weg an der Wurzel blockiert. Aber genau das ist es, was Heise Online in seinem gnadenlos schlechten Artikel nicht schreibt, obwohl es für die meisten unkundigen Leser die wichtigste Information sein dürfte. Ob das wohl daran liegt, dass die klare Kommunikation der Tatsache, dass ein wirksamer Adblocker eine unverzichtbare und sehr wirksame Schutzsoftware für das gegenwärtige Web ist, auch das Geschäftsmodell von Heise Online beschädigen könnte? Da weiß man als Leser dann aber gleich, wie scheißegal einem Journalisten die Computersicherheit ist, wenn er über ein Computersicherheitsthema schreibt, um Klickercents mit Reklameeinblendungen generieren zu lassen…

Eine Zusammenfassung

Folgendes ist vorgefallen:

  1. Die Domain einer zurzeit unbekannten Unternehmung war für kriminelle Dritte konfigurierbar, und diese Dritten haben eine Subdomain eingerichtet, die auf einen von Kriminellen betriebenen Server aufgelöst wird. Knackig ausgedrückt: Die technische Administration dieser zurzeit noch unbekannten Unternehmung ist so unfähig, dass sie einen für Kriminelle lukrativ ausbeutbaren Security-SuperGAU produziert hat, indem sie Dritten auf einem noch unbekannten Weg das Konfigurieren ihres DNS-Servers ermöglichte. Glaubt es mir: Es ist gar nicht einfach, jemanden anders solche Möglichkeiten einzuräumen…
  2. Die Kriminellen haben sich über „Let’s Encrypt“ ein Zertifikat für ihre „gekaperte“ Subdomain geholt.
  3. Die Kriminellen haben über diese Subdomain Schadsoftware verteilt.
  4. Damit die Schadsoftware auch bei ihren Opfern ankommt, haben die Kriminellen Ads gebucht, die Schadsoftware von der „gekaperten“ Domain nachladen oder verlinken.
  5. Es gibt einen einfachen und effizienten Schutz gegen die ausgeübte Kriminalitätsform: Einen wirksamen Adblocker. (Wirksam ist ein Adblocker, der jede Werbung von Drittanbietern blockt und nicht wie „AdBlock Plus“ und Konsorten Whitelists mit „weniger unerträglichen“ Werbeformen pflegt, die dann durchgelassen werden.)

Folgendermaßen klingt das in seiner Schwerpunktsetzung bei Heise Online:

  1. Das Schloss im Browser war bislang ein zuverlässiges Symbol des Vertrauens.
  2. Wegen „Let’s Encrypt“ ist das Schloss im Browser kein zuverlässiges Symbol des Vertrauens mehr, „Let’s Encrypt“ zerstört eine Grundlage des Vertrauens im Web, indem es kriminelle Nutzungen ermöglicht.
  3. Da es scheinbar keinen Schutz gegen die „Zerstörung des Vertrauens“ durch „Let’s Encrypt“ gibt, wäre es besser, wenn „Let’s Encrypt“ in die Pflicht genommen würde, aber „Let’s Encrypt“ sieht das natürlich völlig anders.

Folgende Sachverhalte werden bei Heise Online nicht deutlich oder gar nicht erwähnt:

  1. Die Umkonfiguration des DNS-Servers durch irgendwelche Dritte darf einfach nicht passieren und ist zurzeit nur mit Unfähigkeit und/oder verantwortungslosem Leichtsinn zu erklären.
  2. Bei der ausgeübten Kriminalitätsform handelt sich um eine einfache Ausbeutung der Ad-Verteilung im gegenwärtigen Web.
  3. Es gibt einen wirksamen Schutz gegen diese Kriminalitätsform, der nicht einmal Geld kostet und das ganze Web viel schöner und schneller macht.

Jeder möge selbst sein Urteil fällen. Ich habe jedenfalls heute einen journalistischen Offenbarungseid gelesen. Von der normalen Online-Presse, deren Journalisten ihre Arbeitszeit damit verbringen, dass sie die Meldungen der Nachrichtenagenturen halbautomatisch in ein Content-Management-System übertragen, das dann dafür sorgt, dass diese Meldungen mit massenhaft Werbung (und deshalb auch immer wieder einmal: mit krimineller Schadsoftware) vergällt werden, erwarte ich ja gar nichts Besseres mehr. Aber von den Gestalten in der Karl-Wiechert-Allee schon.

Es täte mir nach den ganzen guten Jahren mit Heise, die sich seit zwei bis drei Jahren immer deutlicher zum Ende neigen, schon ein bisschen weh, wenn ich nur noch vom „ehemaligem Fachjournalismus“ schreiben könnte…

Das hier verwendete Facepalm-Piktogramm stammt vom Wikipedia-User Chrkl und ist lizenziert unter den Bedingungen von CC BY-SA 3.0

Warum man niemals ohne Adblocker surft

Mittwoch, 9. Dezember 2015

Hier geht es nicht um eine Spam, sondern um einen weiteren Beleg für die Tatsache, dass es sich beim Adblocker um eine unverzichtbare Sicherheitssoftware handelt und dass es gleichermaßen leichtsinnig, verantwortungslos und dumm ist, keinen wirksamen Adblocker im Browser zu verwenden:

Experten von Malwarebytes berichten, dass das Streaming-Portal Dailymotion über Ihre platzierte Werbung, dass gefährliche Angler-Exploit-Kit an seine Besucher ausgeliefert hat

Bitte im verlinkten Artikel weiterlesen!

Diese Übernahmen von Computern durch Schadsoftware in ausgelieferter Werbung (die auch auf renommierten Websites auftreten kann) werden durch einen Adblocker an der Wurzel verhindert, und zwar selbst dann, wenn das Antivirus-Programm bei der Erkennung der Schadsoftware versagt. Letzteres ist der Regelfall bei Schadsoftware, die über Werbenetzwerke ausgeliefert ist, denn dabei handelt es sich meist um die neueste Brut der Kriminellen.

Die oben verlinkten „Experten der Provider-Initiative“ haben es leider nicht für nötig befunden, auf diesen einfachen Sachverhalt hinzuweisen. Dabei kann es sich um Unwissen handeln, was auch die weiteren Tipps in diesem Artikel zu einem laienhaften Geschwätz entwerten würde. Oder es kann sich um eine Interessenüberschneidung handeln, und damit um die zwischen den Zeilen zu lesende Mitteilung: „Wir vom Verband der Internetwirtschaft e.V. tun zwar gern so, als seien wir um ihre Computersicherheit bemüht, sind dies aber nur insoweit, wie es unseriöse¹ und kriminalitätsfördernde Geschäftsmodelle unserer Mitglieder nicht tangiert“. Ich persönlich halte Letzteres für wahrscheinlicher.

Also: Verwenden sie überall und ausnahmslos Adblocker!

Nachtrag: Ich bitte darum, auch die Antwort des Botfrei-Teams in den Kommentaren zu lesen. Meine gallehaltige Anmerkung bleibt hier aus Archivgründen stehen. 😉

¹Die Vergällung erwünschter Inhalte mit unerwünschten Inhalten ist kein seriöses Geschäftsmodell und hat angesichts der sich gegenwärtig entwickelnden Internet-Kriminalität keine Zukunft.

Vierundfünfzig Prozent…

Dienstag, 1. Dezember 2015

Dies ist keine Spam, sondern ein Hinweis auf eine aktuelle Meldung bei Heise Online.

Vierundfünfzig Prozent der getesteten Polizeibeamten in Berlin haben es nicht geschafft, eine Phishing-Mail zu erkennen und unmittelbar zu löschen, und sieben Prozent der Beamten haben auf eine nicht digital signierte E-Mail hin sogar dienstliche Benutzernamen und Passwörter [!] in eine dafür eingerichtete Website eingegeben – und zwar binnen nur vierzig Minuten:

Der falsche Absender, eine IT-Firma, benutzte das Corporate Design der Polizei mit geringen Abweichungen und forderte die Empfänger auf, ihre dienstlichen und privaten Kennwörter in einem „sicheren Passwortspeicher der Polizei Berlin (SPS)“ zu hinterlegen. 466 Mails wurden bis 13 Uhr verschickt, etwa 40 Minuten später sperrte die IT-Sicherheitsabteilung der Polizei die verlinkte Webseite

Dass es „nur“ sieben Prozent waren, könnte also leicht daran liegen, dass viele Polizeibeamte nicht zu ihrer E-Mail gekommen sind, weil sie auch Dienstaufgaben zu erledigen hatten.

Vielleicht sollte jemand den Polizeibeamten erklären, wie man digitale Signaturen dienstlicher Mails anwendet und die Mitarbeiter schult, nicht auf den beliebig fälschbaren Absender einer E-Mail und nicht auf das beliebig gestaltbare Design einer HTML-formatierten Mail, sondern auf die digitale Signatur zu achten.

Ach!