Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Allgemein“

Urteil I ZR 65/14 vom 14. Januar 2016

Freitag, 15. Januar 2016

Hier geht es nicht um eine Spam, sondern um ein aktuelles Urteil des Bundesgerichtshofes; der Titel des Postings ist das Aktenzeichen. Vieles an diesem Text ist Rückblick. Und zwar Rückblick in hilflosem Zorn, der mittlerweile Lust an der Zerstörung bekommt, weil andere Abhilfe nicht mehr möglich zu sein scheint.

Facebook hat vor dem Bundesgerichtshof verloren.

Der Bundesgerichtshof hat festgestellt, dass die auch immer wieder gern in fremdem Namen verfasste Spam von Facebook auch tatsächlich illegale Spam gewesen ist.

Welche Folgen hat das Urteil des Bundesgerichtshofes für Facebook?

Für Facebook hat dieses Urteil keine nennenswerten Folgen. Ein jahrelang durchgezogenes, auf klar illegalen (und damit: kriminellen sowie in ihrer Methodik von der organisierten Internet-Kriminalität abgeschauten) und zudem zutiefst asozialen Machenschaften basierendes Marketing führt in der Bundesrepublik Deutschland zu keinerlei Strafbarkeit. Die Gerichtskosten – für „normale“ Menschen sicherlich ein albtraumhafter Betrag – werden „aus der Portokasse“ bezahlt. Und sie werden selbstverständlich von der geringen Steuer abgesetzt, die Facebook in Irland zahlt. Einzige Einschränkung für Facebook: Das Unternehmen darf ab jetzt nicht mehr so vorgehen.

Um dieses Urteil zu fällen, hat das Rechtssystem der Bundesrepublik Deutschland rd. fünfeinhalb Jahre gebraucht.

Es ist im Rechtsraum der Bundesrepublik Deutschland zurzeit möglich, mit klar erkennbar illegalen Praktiken Milliardenumsätze zu machen, ohne dass das irgendeine Folge hat.

Ich finde das zum Erbrechen widerwärtig.

Worum es in diesem Verfahren und in diesem Urteil nicht ging, das sind die Speicherung und weitere Nutzung der klandestin über trojanische Apps ohne Einverständnis der Betroffenen aus Adressbüchern eingesammelten Mailadressen und weiteren personenbezogenen Daten. Diese neben der Spam ebenfalls klar illegale Praxis – zur Besänftigung der Hure Justitia, deren Waagschalen am liebsten durch Geldbündel bewegt werden: Ich bin kein Jurist und äußere diese Bewertung als juristischer Laie – kann fortgesetzt werden, damit ein Unternehmen ohne seriöses Geschäftsmodell, das mit illegalen Mitteln groß geworden ist, bei nächster Gelegenheit eine Zuordnung dieser personenbezogenen Daten zu vorgehaltenen pseudonymen Nutzerprofilen vornehmen kann, die über den so genannten „Facebook-Button“ systematisch erstellt wurden und werden. Diese illegale und zutiefst asoziale Praxis fand im Urteil des Bundesgerichtshofes nicht einmal eine Erwähnung, sie war nicht Verfahrensgegenstand. Sie kann ungestört weitergehen. Wenn irgendwann in rd. fünfeinhalb Jahren (oder vielleicht auch ein paar Jahre später) mal ein höchstinstanzlicher Richter der Bundesrepublik Deutschland feststellt, dass sie illegal ist, wird dieses Urteil ebenfalls keine Folgen haben. Weder für die Täter, noch für die Betroffenen.

Wer bei Facebook ist, ist Partner und Adressmateriallieferant eines illegal vorgehenden Unternehmens, dass aus einem durch Richterrecht geschaffenen rechtsfreien Raum heraus die Privat- und Intimsphäre von Menschen mit Füßen tritt. Ja, ich habe „Intimsphäre“ geschrieben. Das Wissen um geschäftliche und persönliche Kontakte ragt sehr weit ins Leben hinein.

Worum es in diesem Verfahren und in diesem Urteil ebenfalls nicht ging, ist die unternehmerische Ausspähung des Privatlebens von Menschen durch zur Installation angebotene (oder bei bereits bestehender Marktmacht: auf persönlichen Computern unlöschbar vorinstallierte) trojanische Apps. Es geht ebenfalls nicht um vergleichbare Machenschaften anderer Webanbieter, die vergleichbar asozial und illegal Postfächer mit Spam zuscheißen, um ihr unseriöses und menschenverachtendes „Geschäftsmodell“ voranzutreiben. Mir ist da vor allem LinkedIn sehr unangenehm aufgefallen. Auch diese Machenschaften werden also weitergehen. Nach dem gestrigen Urteil des Bundesgerichtshofes ist ja jedem klar, dass auch jahrelanges klar illegales Vorgehen keinerlei Konsequenzen haben wird.

Dieses Urteil ist ein Signal. Es sagt: Wenn du ein Unternehmen bist, das asoziale und illegale Spam als Bestandteil seines „Geschäftsmodells“ sieht, dann ist das zwar nicht gestattet, aber ansonsten zunächst völlig folgenlos. Eine Einzelfallklärung dauert viele Jahre. Ihr Ergebnis führt zu keiner Strafe, zu keiner Haftung und zu keiner nennenswerten Auflage (wie zum Beispiel einer erzwungenen Datenlöschung) und damit Einschränkung der weiteren geschäftlichen Tätig- und Tätlichkeit. Wie Unternehmen – insbesondere S/M¹-Unternehmen ohne seriöses Geschäftsmodell – mit dieser durch Richterrecht geschaffenen Rechtslage umgehen werden, ist absehbar. Wenn nicht ein Hauch lobenswerten Anstands durch die Addiermaschine weht, die dort zu sitzen scheint, wo richtige Menschen ihr Gehirn haben, ist zum Beispiel die Fortsetzung der systematischen Spamwerbung durch LinkedIn eine sichere Wette.

Dieses Urteil hat Spam und vergleichbar klar illegale Formen der Reklame im Internet gesellschaftsfähiger gemacht. Das ist eine Wirkung, die sich niemand wünschen kann.

Ich finde das – ja, ich wiederhole mich – zum Erbrechen widerwärtig.

Wer eine Welt mit weniger (oder ohne) Spam haben möchte, statt eine Welt mit immer mehr Spam, der hat in dieser vom Bundesgerichtshof hergestellten Situation nur eine Möglichkeit: Die vollständige und ausnahmslose Ächtung aller Unternehmen, die auf Spam setzen oder auf Spam gesetzt haben sowie die vollständige und ausnahmslose Ächtung aller Menschen, die diese Unternehmen mit Adressmaterial und Daten beliefert haben und weiterhin beliefern. Letzteres ist kaum durchführbar. Es bedeutet Kontaktabbruch zu jedem Nutzer eines Smartphones.

Durchführbar ist es aber, die Accounts bei Unternehmen zu löschen, die klar auf illegale und asoziale Spam als Reklamemittel gesetzt haben. Mir fallen da Facebook und LinkedIn ein. Es sind die einzigen derartigen Unternehmen, von denen ich jemals solche Spam bekommen habe.

Ich fordere jeden Menschen dazu auf, Accounts bei den Spammern Facebook und LinkedIn zu löschen, und zwar am besten genau jetzt, in diesem Moment! Wer das nicht tut, ist ein Komplize von Spammern und damit genau so schlimm wie die Spam selbst.

Facebook-Nutzer, du bist die Spam! Wenn du das nicht sein willst, hast du es in der Hand, etwas Erfreulicheres zu werden. Anleitungen, wie man den Account löscht, findest du in diesem Internet. Facebook ist da eher weniger behilflich, habe ich mir sagen lassen…

LinkedIn-Nutzer, du bist die Spam! Wenn du das nicht sein willst, hast du es in der Hand, wieder in Anstand, Würde und Ehre zu leben. Anleitungen, wie man den Account löscht, findest du in diesem Internet.

Vom Recht haben wir jedenfalls nichts mehr zu erwarten.

(Und nein, nicht ein Wort in diesem Text ist satirisch gemeint.)

¹S/M ist übrigens meine Abk. für „social media“. Aus Gründen. Wer dabei spontan BDSM assoziert, hat meine Gründe verstanden.

Wie Heise Online (manchmal) seine Leser verblödet

Donnerstag, 7. Januar 2016

FacepalmHier geht es nicht um eine Spam, sondern um einige wichtige Richtigstellungen und Ergänzungen zu einem aktuellen Artikel auf Heise Online: „Erste Malvertising-Kampagne mit Let’s-Encrypt-Zertifikat“.

Ich halte diesen Artikel für einen der blödesten und für seine weniger kundigen Leser gefährlichsten Texte auf Heise Online, den ich in den letzten Monaten gesehen habe, und glaubt mir, ich habe viel Durchschnittliches und Dummes von Heise ertragen. Um das näher dazulegen, komme ich nicht umhin, etwas größere Teile des Artikels zu zitieren, als ich es gewöhnlicherweise tun würde. Trotz allergrößter Mühe wird es mir dabei nicht immer gelingen, meine Darlegungen frei von ätzender Polemik zu halten.

HTTPS-Webseiten wecken Vertrauen.

Nein. HTTPS bedeutet, dass der Transportweg der Daten verschlüsselt ist. Mehr nicht. (Aber auch nicht weniger.)

Es bedeutet nicht, dass dem Gegenüber vertraut werden kann. Es bedeutet auch nicht, dass die Website frei von Schadsoftware ist. Es bedeutet, dass der Transportweg… ach, ich wiederhole mich.

Verschlüsselung allein weckt noch kein Vertrauen, und schon gar nicht im Web. Oder genauer gesagt: Verschlüsselung allein sollte noch kein Vertrauen erwecken. Auch auf einer Phishing-Seite, die über HTTPS kommt und die Daten verschlüsselt überträgt, gehen die Daten am Ende unverschlüsselt an den Empfänger – im Falle eventuell eingegebener Daten sind dies dann Kriminelle. „Nur“ das Mitlesen durch Dritte wird unterbunden.

Richtig hingegen ist: Kurzschlüssiger, dummer Journalismus, der Menschen niemals richtig über die Bedeutung und Wirkung von Kryptografie aufklärt, sorgt dafür, dass immer wieder einmal von „journalistisch aufgeklärten“ Menschen einer Website von Verbrechern vertraut wird, nur, weil ein kleines Schlösschen im Browser sichtbar ist. (Bei Heise Online übrigens nicht, denn der verschlüsselte Transport der Website würde im Zusammenhang mit den in die Seiten eingebetteten, unverschlüsselt übertragenen Ads zu hässlich aussehenden Warnungen im Browser führen, so dass man es dort lieber unterlässt.)

Doch auch Online-Gauner können sich oft über Umwege vertrauenswürdige Zertifikate ausstellen.

Was für ein Witz! Über „Umwege“! Das geht genau so direkt wie bei jedem anderen, und das ist auch keineswegs eine Neuigkeit, sondern seit mindestens einem Jahr aktuelle kriminelle Praxis.

Nun haben Kriminelle das erste Let’s-Encrypt-Zertifikat genutzt, um Vertrauenswürdigkeit vorzugaukeln.

Die „Neuigkeit“ ist, dass die Kriminellen jetzt nicht mehr eine gephishte Kreditkarte nehmen und die Identität eines anderen Menschen missbrauchen müssen (oder alternativ: Rd. zehn Euro selbst in die Hand nehmen müssen), um sich mit einem über TLS transportierten Phishing einige zehntausend Euro kriminellen Reibach unterm Nagel reißen zu können.

Nun ja, das schreibt Heise Online allerdings auch selbst, nachdem der hochgradig clickbait-verdächtige „quantitätsjournalistische“ Reißerton erst einmal überwunden wurde:

[…] Das [sic!] Online-Gauner SSL-Zertifikate einsetzen, ist nichts neues. Hierbei handelt es sich jedoch um den ersten bekannt gewordenen Fall, in dem Kriminelle ein kostenloses Zertifikat von Let’s Encrypt einsetzen

Geht doch! 😉

Das eigentliche Problem in diesem Fall war auch keineswegs ein kostenloses Zertifikat, sondern, dass es Kriminellen gelungen ist, die DNS-Konfiguration in einer Domain anderer Leute zu verändern – also nichts mit „Let’s Encrypt“ und nicht einmal etwas mit Krypto, sondern administrative Unfähigkeit beim Unternehmen, dessen Domain da offensichtlich von anderen konfiguriert werden konnte.

Und in der Tat, das hat Nachrichtenwert! Aber der Autor im Brote von Heise Online hatte sich dazu entschlossen, über etwas völlig anderes zu schreiben, indem er völlig andere Schwerpunkte setze.

Das Anlegen einer Subdomain ist nicht ohne weiteres möglich. Denkbar wäre, dass die Online-Gauner auf irgendeinem Weg an die Zugangsdaten für die Domain-Verwaltung gekommen sind. Wie das passiert ist, erläutert Trend Mirco nicht

Denn wenn sich ein Journalist der Aufgabe entledigt, über eine Sache zu schreiben, von der er nichts genaueres weiß und nicht einmal weiß, welches Unternehmen davon betroffen ist – es gibt ja ansonsten nur exakt eine Erklärung, wie es dazu kommen konnte: Administrative Unfähigkeit oder unverantwortlicher Leichtsinn in diesem Unternehmen – schreibt er eben über etwas anderes und eher nebensächliches: Darüber, dass „Let’s Encrypt“ es dann auch noch möglich macht, dass ein Schlösschen in der Adresszeile des Browsers sichtbar wird.

Als ob es darauf noch ankommen würde!

Ich will es einmal so sagen: Wenn Kriminelle in der Domain – sagen wir mal als ein an den Haaren herbeigezogenes Beispiel: – der Deutschen Bank herumkonfigurieren können und da eine hypothetische Subdomain wie sicherheit (punkt) deutsche (strich) bank (punkt) de anlegen können, die auf einen von diesen Kriminellen kontrollierten Server verweist, dann wird zum Beispiel das Phishing nach Konto- und Zugangsdaten auch ohne das Schlösschen im Browserfenster sehr gut funktionieren. Und um es noch besser funktionieren zu lassen – ich würde aus dem Bauch schätzen, dass es die Erfolgsquote und damit den kriminellen Reibach verdoppelt – können die Kriminellen zehn Euro ausgeben und ein Zertifikat kaufen oder sich ein kostenloses von „Let’s Encrypt“ holen, damit wirklich niemand mehr einen Verdacht schöpft. Kaum jemand, der vom verdummenden Bullshit-Journalismus jahrelang darauf konditioniert wurde, dass dieses Schlösschen im Browser der Inbegriff der Vertrauenswürdigkeit und Sicherheit sei, wird auf die Idee kommen, mal auf dieses Schlösschen zu klicken und sich die Einzelheiten anzuschauen.

Opfer in Sicherheit wägen

Zur Aufheiterung eine kleine Korinthenkackerei von mir: Es heißt „Opfer in Sicherheit wiegen“. Es hat nichts mit einer Waage zu tun, aber viel damit, ein unmündiges, dummes Kleinkind sanft zu schaukeln, damit es auch schön fest schlafe… :mrgreen:

Und genau dazu leistet jeder Journalist seinen Beitrag, der seinen Lesern immer wieder sagt, dass das Schlösschen in der Adresszeile des Browsers der Inbegriff der Sicherheit und Vertrauenswürdigkeit sei, während es in Wirklichkeit zunächst „nur“ bedeutet, dass der Transportweg der Daten verschlüsselt ist und von Dritten weder mitgelesen noch manipuliert werden kann. Dann kommt es eben dazu…

Mit der legitimen Domain und dem Zertifikat im Rücken wollen die Kriminellen ihre bösartige Webseite, die ein Exploit-Kit beinhaltet und einen Online-Banking-Trojaner verteilt, vertrauenswürdig erscheinen lassen

…dass eine Website von Verbrechern für die Opfer des verblödenden Journalismus „vertrauenswürdig“ aussieht. So ist das eben, wenn man sich ausgerechnet von Journalisten das Sehen beibringen lässt.

Die Fehleinschätzung ist insbesondere dann kein Wunder, wenn es sich um eine Subdomain einer Domain derjenigen Unternehmung handelt, für die sich die Kriminellen bei ihrem gewerbsmäßigen Betrug ausgeben – so etwas würde wohl auch ohne Schlösschen oft für „vertrauenswürdig“ gehalten. Ist es aber nicht, wenn die technischen Administratoren in dieser Unternehmung so unfähig sind, dass sie Dritten die Konfiguration ihres DNS-Servers ermöglichen.

Bleibt noch eine Frage: Wie kommen die Kriminellen an die Seitenbesucher für das Ergebnis ihres beeindruckenden Hacks? Nun, das verrät der Heise-Artikel auch eher so nebenbei, als wenn es nicht das Wichtigste wäre:

Der Schadcode soll sich in einer Werbeanzeige verstecken, die an Webseiten verteilt wird. Aus Gründen der Glaubwürdigkeit soll die Anzeige einen Bezug zur legitimen Domain aufweisen

Mit einer von den Kriminellen gekauften (und vermutlich sogar bezahlten) Ad-Einblendung in andere Websites.

Es gibt also einen höchst effizienten Schutz davor, von einer derartigen Kriminalität überrumpelt zu werden: Die durchgängige Verwendung eines wirksamen Adblockers beim „Surfen“ im Web, der diesen Weg an der Wurzel blockiert. Aber genau das ist es, was Heise Online in seinem gnadenlos schlechten Artikel nicht schreibt, obwohl es für die meisten unkundigen Leser die wichtigste Information sein dürfte. Ob das wohl daran liegt, dass die klare Kommunikation der Tatsache, dass ein wirksamer Adblocker eine unverzichtbare und sehr wirksame Schutzsoftware für das gegenwärtige Web ist, auch das Geschäftsmodell von Heise Online beschädigen könnte? Da weiß man als Leser dann aber gleich, wie scheißegal einem Journalisten die Computersicherheit ist, wenn er über ein Computersicherheitsthema schreibt, um Klickercents mit Reklameeinblendungen generieren zu lassen…

Eine Zusammenfassung

Folgendes ist vorgefallen:

  1. Die Domain einer zurzeit unbekannten Unternehmung war für kriminelle Dritte konfigurierbar, und diese Dritten haben eine Subdomain eingerichtet, die auf einen von Kriminellen betriebenen Server aufgelöst wird. Knackig ausgedrückt: Die technische Administration dieser zurzeit noch unbekannten Unternehmung ist so unfähig, dass sie einen für Kriminelle lukrativ ausbeutbaren Security-SuperGAU produziert hat, indem sie Dritten auf einem noch unbekannten Weg das Konfigurieren ihres DNS-Servers ermöglichte. Glaubt es mir: Es ist gar nicht einfach, jemanden anders solche Möglichkeiten einzuräumen…
  2. Die Kriminellen haben sich über „Let’s Encrypt“ ein Zertifikat für ihre „gekaperte“ Subdomain geholt.
  3. Die Kriminellen haben über diese Subdomain Schadsoftware verteilt.
  4. Damit die Schadsoftware auch bei ihren Opfern ankommt, haben die Kriminellen Ads gebucht, die Schadsoftware von der „gekaperten“ Domain nachladen oder verlinken.
  5. Es gibt einen einfachen und effizienten Schutz gegen die ausgeübte Kriminalitätsform: Einen wirksamen Adblocker. (Wirksam ist ein Adblocker, der jede Werbung von Drittanbietern blockt und nicht wie „AdBlock Plus“ und Konsorten Whitelists mit „weniger unerträglichen“ Werbeformen pflegt, die dann durchgelassen werden.)

Folgendermaßen klingt das in seiner Schwerpunktsetzung bei Heise Online:

  1. Das Schloss im Browser war bislang ein zuverlässiges Symbol des Vertrauens.
  2. Wegen „Let’s Encrypt“ ist das Schloss im Browser kein zuverlässiges Symbol des Vertrauens mehr, „Let’s Encrypt“ zerstört eine Grundlage des Vertrauens im Web, indem es kriminelle Nutzungen ermöglicht.
  3. Da es scheinbar keinen Schutz gegen die „Zerstörung des Vertrauens“ durch „Let’s Encrypt“ gibt, wäre es besser, wenn „Let’s Encrypt“ in die Pflicht genommen würde, aber „Let’s Encrypt“ sieht das natürlich völlig anders.

Folgende Sachverhalte werden bei Heise Online nicht deutlich oder gar nicht erwähnt:

  1. Die Umkonfiguration des DNS-Servers durch irgendwelche Dritte darf einfach nicht passieren und ist zurzeit nur mit Unfähigkeit und/oder verantwortungslosem Leichtsinn zu erklären.
  2. Bei der ausgeübten Kriminalitätsform handelt sich um eine einfache Ausbeutung der Ad-Verteilung im gegenwärtigen Web.
  3. Es gibt einen wirksamen Schutz gegen diese Kriminalitätsform, der nicht einmal Geld kostet und das ganze Web viel schöner und schneller macht.

Jeder möge selbst sein Urteil fällen. Ich habe jedenfalls heute einen journalistischen Offenbarungseid gelesen. Von der normalen Online-Presse, deren Journalisten ihre Arbeitszeit damit verbringen, dass sie die Meldungen der Nachrichtenagenturen halbautomatisch in ein Content-Management-System übertragen, das dann dafür sorgt, dass diese Meldungen mit massenhaft Werbung (und deshalb auch immer wieder einmal: mit krimineller Schadsoftware) vergällt werden, erwarte ich ja gar nichts Besseres mehr. Aber von den Gestalten in der Karl-Wiechert-Allee schon.

Es täte mir nach den ganzen guten Jahren mit Heise, die sich seit zwei bis drei Jahren immer deutlicher zum Ende neigen, schon ein bisschen weh, wenn ich nur noch vom „ehemaligem Fachjournalismus“ schreiben könnte…

Das hier verwendete Facepalm-Piktogramm stammt vom Wikipedia-User Chrkl und ist lizenziert unter den Bedingungen von CC BY-SA 3.0

Warum man niemals ohne Adblocker surft

Mittwoch, 9. Dezember 2015

Hier geht es nicht um eine Spam, sondern um einen weiteren Beleg für die Tatsache, dass es sich beim Adblocker um eine unverzichtbare Sicherheitssoftware handelt und dass es gleichermaßen leichtsinnig, verantwortungslos und dumm ist, keinen wirksamen Adblocker im Browser zu verwenden:

Experten von Malwarebytes berichten, dass das Streaming-Portal Dailymotion über Ihre platzierte Werbung, dass gefährliche Angler-Exploit-Kit an seine Besucher ausgeliefert hat

Bitte im verlinkten Artikel weiterlesen!

Diese Übernahmen von Computern durch Schadsoftware in ausgelieferter Werbung (die auch auf renommierten Websites auftreten kann) werden durch einen Adblocker an der Wurzel verhindert, und zwar selbst dann, wenn das Antivirus-Programm bei der Erkennung der Schadsoftware versagt. Letzteres ist der Regelfall bei Schadsoftware, die über Werbenetzwerke ausgeliefert ist, denn dabei handelt es sich meist um die neueste Brut der Kriminellen.

Die oben verlinkten „Experten der Provider-Initiative“ haben es leider nicht für nötig befunden, auf diesen einfachen Sachverhalt hinzuweisen. Dabei kann es sich um Unwissen handeln, was auch die weiteren Tipps in diesem Artikel zu einem laienhaften Geschwätz entwerten würde. Oder es kann sich um eine Interessenüberschneidung handeln, und damit um die zwischen den Zeilen zu lesende Mitteilung: „Wir vom Verband der Internetwirtschaft e.V. tun zwar gern so, als seien wir um ihre Computersicherheit bemüht, sind dies aber nur insoweit, wie es unseriöse¹ und kriminalitätsfördernde Geschäftsmodelle unserer Mitglieder nicht tangiert“. Ich persönlich halte Letzteres für wahrscheinlicher.

Also: Verwenden sie überall und ausnahmslos Adblocker!

Nachtrag: Ich bitte darum, auch die Antwort des Botfrei-Teams in den Kommentaren zu lesen. Meine gallehaltige Anmerkung bleibt hier aus Archivgründen stehen. 😉

¹Die Vergällung erwünschter Inhalte mit unerwünschten Inhalten ist kein seriöses Geschäftsmodell und hat angesichts der sich gegenwärtig entwickelnden Internet-Kriminalität keine Zukunft.

Vierundfünfzig Prozent…

Dienstag, 1. Dezember 2015

Dies ist keine Spam, sondern ein Hinweis auf eine aktuelle Meldung bei Heise Online.

Vierundfünfzig Prozent der getesteten Polizeibeamten in Berlin haben es nicht geschafft, eine Phishing-Mail zu erkennen und unmittelbar zu löschen, und sieben Prozent der Beamten haben auf eine nicht digital signierte E-Mail hin sogar dienstliche Benutzernamen und Passwörter [!] in eine dafür eingerichtete Website eingegeben – und zwar binnen nur vierzig Minuten:

Der falsche Absender, eine IT-Firma, benutzte das Corporate Design der Polizei mit geringen Abweichungen und forderte die Empfänger auf, ihre dienstlichen und privaten Kennwörter in einem „sicheren Passwortspeicher der Polizei Berlin (SPS)“ zu hinterlegen. 466 Mails wurden bis 13 Uhr verschickt, etwa 40 Minuten später sperrte die IT-Sicherheitsabteilung der Polizei die verlinkte Webseite

Dass es „nur“ sieben Prozent waren, könnte also leicht daran liegen, dass viele Polizeibeamte nicht zu ihrer E-Mail gekommen sind, weil sie auch Dienstaufgaben zu erledigen hatten.

Vielleicht sollte jemand den Polizeibeamten erklären, wie man digitale Signaturen dienstlicher Mails anwendet und die Mitarbeiter schult, nicht auf den beliebig fälschbaren Absender einer E-Mail und nicht auf das beliebig gestaltbare Design einer HTML-formatierten Mail, sondern auf die digitale Signatur zu achten.

Ach!

Adblockerblocker verteilt Schadsoftware

Montag, 2. November 2015

Dies ist keine Spam, sondern ein wichtiger Hinweis auf einen aktuellen Artikel bei Heise Online:

Anti-Adblock-Spezialist Pagefair verteilt Malware

Pagefairs Analytics-Dienst soll in erster Linie feststellen, ob die Nutzer einer Website einen Werbeblocker einsetzen. Diesen Nutzern soll anschließend über Pagefair vermittelte nicht-belästigende und sichere [sic!] Werbung präsentiert werden. Gleichzeitig hat das Unternehmen aber auch Techniken im Angebot, um Werbeblocker zu umgehen oder zu blockieren

Bitte den ganzen Artikel bei Heise lesen!

Einer ethischen Wertung der Tätigkeit von „Pagefair“ möchte ich mich enthalten, weil die dafür unverzichtbaren deutlichen Worte juristische Konsequenzen für mich haben könnten.

Nach wie vor gilt: Ein wirksamer Adblocker im Webbrowser ist eine unverzichtbare Sicherheitssoftware – in vielen alltäglichen Nutzungsszenarien wichtiger und wirksamer als ein so genanntes „Antivirus-Programm“ – die einen wichtigen Infektionsweg an der Wurzel blockiert, statt nachträglich etwas zu flicken; und dies selbst dann, wenn das Antivirus-Schlangenöl versagt. Bitte lasst euch niemals, niemals, niemals von Inhaltevermarktern dazu verführen, euren Adblocker abzuschalten – ihr würdet ja auch nicht euer Antivirus-Programm beenden, weil euch jemand aus dem Internet darum bittet, damit sein Geschäftsmodell besser funktioniert.

Übrigens: Im eben verlinkten Blogeintrag (den ich aus Archivgründen unverändert lasse) empfahl ich noch Adblock Plus. Diesen Adblocker kann ich nicht mehr empfehlen, weil er in seiner Standardeinstellung „unaufdringliche“ Werbung durchlässt und damit ein Einfallstor für Schadsoftware öffnet. Bitte benutzt stattdessen uBlock Origin und lebt ohne diese aus niederem und verantwortungslosem Gewinnstreben in Adblock Plus verbaute Sicherheitslücke!

Warum man maximal datensparsam ist…

Montag, 12. Oktober 2015

Dies ist keine Spam (weil ich heute nur Standard habe), sondern ein kleiner Lesetipp:

Wer immer noch nicht verstanden hat, warum man immer so sparsam wie möglich mit dem Angeben persönlicher Daten im Internet ist, lese bitte beim NDR weiter: Wie Kriminelle gestohlene Identitäten missbrauchen. [Weil die von Rundfunkgebührenzahlern längst bezahlten Inhalte der öffentlich-rechtlichen Anstalten immer noch wegen geltenden Lobbygesetzen der Presseverleger „depubliziert“ werden müssen, hier ein Link auf eine dauerhaft archivierte Version, ergänzt um meine Bitte, keine Zeitung oder Zeitschrift aus der Bundesrepublik Deutschland mehr zu kaufen.]

Ja, der Artikel hat seine Schwächen, zugegeben. Aber das Thema wird so selten behandelt, obwohl es sich um eine sehr häufige Kriminalitätsform handelt, dass ich auch einen schlechten Artikel verlinke.

Und nein, dass genügend persönliche Daten für einen kriminellen Missbrauch der Identität in die Hände von Verbrechern fallen, kann einem keineswegs nur bei kleinen Klitschen mit einem Online-Shop passieren, wie der Artikel in seinen schwächeren Passagen suggeriert. Solange Datenschutz eine gesetzliche Forderung ist, die bei Missachtung und grober Fahrlässigkeit zu keinerlei Strafbarkeit und Haftung für die Schäden führt, kann ich nur davon abraten, überhaupt noch persönliche Daten anzugeben.

Denn Datenvermeidung ist der einzige Datenschutz, der auch funktioniert.

Warum Adblocker auch weiterhin unverzichtbar sind

Donnerstag, 8. Oktober 2015

Keine Spam, nur ein Hinweis auf einen Artikel bei Heise Online:

Doch wie kommen die Opfer überhaupt in Kontakt mit den Angler-Servern? Meistens arbeiten die Täter mit iFrames oder Werbeschaltungen. Talos fand die bösartige Werbung auf großen Nachrichten-, Immobilien- und Popkultur-Webseiten.

Wer immer noch ohne Adblocker im Web unterwegs ist, sollte es ganz lesen! Heise Online: Exploit-Kit Angler macht Millionen mit Erpressungs-Trojanern. Und danach unbedingt und möglichst sofort einen Adblocker installieren, der für die Computersicherheit beim täglichen „Surfen“ wesentlich wichtiger als ein Antivirus-Programm ist! Außerdem ist er sehr schnell installiert, kostet nichts und macht das ganze Web viel schneller und schöner. Ich empfehle (und verwende selbst) uBlock Origin.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.