Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Kategoriearchiv „Informatives“

Bewerbung für die ausgeschriebene Stelle

Freitag, 10. Mai 2019

Leider ist diese Spam mit Schadsoftware-Anhang nicht bei mir angekommen (ich habe ja auch keine offenen Stellen anzubieten), so dass ich nur zum Heise-Artikel mit weiteren Informationen verlinken kann. Zu diesem Artikel ist es aber noch eine Anmerkung zu machen, die auch über die laufende Schadsoftware-Kampagne hinaus gültig bleibt:

Die Drahtzieher von dieser Kampagne nutzen einen simplen Trick, um das Word-Dokument an Antiviren-Software vorbeizuschmuggeln: Sie habe es schlicht mit einem Passwort versehen, sodass Virenscanner nicht rein gucken und den Makro-Code als böse einstufen können […] Damit Opfer das Dokument öffnen können, haben die Drahtzieher das Passwort in die Mail geschrieben

Clipart eines Ordners, auf dem das Wort Virus stehtImmer, wenn eine E-Mail einen verschlüsselten Anhang hat und das Passwort im Klartext in der E-Mail steht, handelt es sich um einen Versuch, Schadsoftware an einem Antivirus-Scan auf dem Mailserver vorbeizumogeln.

Es gibt keinen einzigen anderen Grund, warum jemand so vorgehen sollte.

Die Verschlüsselung des Anhanges mit einem Passwort, das in der unverschlüsselten E-Mail steht, schafft keine zusätzliche Sicherheit oder Vertraulichkeit. Die E-Mail geht offen wie eine Postkarte durch das Internet. Auf jedem Server auf dem Transportweg kann sie gelesen (und sogar inhaltlich verändert) werden. Auf jedem Server auf dem Transportweg könnte also auch jemand das Passwort lesen und damit den Anhang öffnen, lesen oder verändern.

Es ist, als ob man seine Wohnungstür zum Schutz vor Dieben abschlösse, den Schlüssel unter die Fußmatte legte und einen unübersehbaren Zettel an die Türe klebte, auf dem in großen, freundlichen und leicht lesbaren Buchstaben steht, dass der Schlüssel unter der Fußmatte liegt.

Es ist völlig sinnlos, Anhänge auf diese Weise zu verschlüsseln – außer, man hat als Krimineller die Absicht, dafür zu sorgen, dass eine Schadsoftware bei einem Virenscan auf dem Mailserver nicht erkannt werden kann. Und genau das ist bei solchen E-Mails regelmäßig der Fall.

Diese Vorgehensweise ist nicht einmal neu. Die erste E-Mail mit im Text angegebenen Passwort für ein angehängtes verschlüsseltes ZIP-Archiv habe ich im Jahr 2015 gesehen. Alles, was ich damals geschrieben habe, gilt auch heute noch unverändert.

Jemand, der Vertraulichkeit herstellen will – was ich bei den weit in die Privatsphäre hineinreichenden Bewerbungsunterlagen erstmal nicht für eine schlechte Idee halte – wird wirksamere Methoden verwenden. Zum Beispiel richtige E-Mail-Verschlüsselung (inklusive einer digitalen Signatur, die unveränderte Übermittlung über ein unsicheres Netzwerk sicherstellt) mit PGP. Aber dafür müsste der Mailempfänger einen öffentlichen Schlüssel bereitstellen, und das ist zurzeit, nur rd. dreißig Jahre nach der Spezfikation und Implementation von PGP und unter den Bedingungen benutzerfreundlich verwendbarer und kostenloser Addons für jede ernstzunehmende Mailsoftware, beinahe niemals der Fall. Auch bei großen Unternehmen nicht. Und so werden eben weiterhin Bewerbungsunterlagen offen wie Postkarten durch das Internet versendet. :(

NIEMALS in einem über E-Mail zugestellten Office-Dokument die Ausführung von Makros erlauben! (Dabei auch nicht vom Absender der E-Mail beirren lassen. Die Absenderangabe in einer E-Mail spielt für den Mailtransport keine Rolle und kann beliebig gefälscht werden, ganz ähnlich wie der angegebene Absender auf einem Briefumschlag.)

Ein Makro ist ein innerhalb des Office-Programmes laufendes Programm, das alles kann, was jedes andere Programm für Microsoft Windows auch kann. Wenn das Dokument von einem spammenden Verbrecher stammt, kann und wird der angerichtete Schaden sehr groß werden.

Es gibt keinen einzigen Grund, warum man jemals zum Lesen und Ausdrucken eines Dokumentes die Ausführung eingebetteten Programmcodes zulassen müsste. Irgendwelche Tricks, mit denen Menschen zur Aktivierung von Makros überrumpelt werden sollen, kommen trotzdem immer wieder vor. NIEMALS sollte man darauf reinfallen! Die angeblichen Gründe, die in solchen Dokumenten genannt werden, sind Lüge.

Ganz kurze Zusammenfassung:

  1. Generell niemals Mailanhänge unsignierter E-Mails öffnen, die nicht über einen anderen Kanal als E-Mail explizit abgesprochen wurden. Dettelbach ist überall! Im Zweifelsfall kurz anrufen.
  2. Mailanhänge mit ZIP-Archiv sind besonders gefährlich, da diese wegen des deutlich erhöhten Aufwandes auf dem Mailserver oft nicht nach Schadsoftware gescannt werden.
  3. Mailanhänge mit einem ZIP-Archiv, dass passwortgeschützt ist, bei denen aber das Passwort in der E-Mail steht, sind Gift. Diese „Verschlüsselung“ hat nur einen Sinn: Einen Antivirus-Scan auf dem Mailserver zu verhindern.
  4. Und schließlich etwas, was ich hier gar nicht erwähnt habe, was aber sicherlich bald wieder aktuell wird: Klickbare Links in E-Mail sind genau so gefährlich wie Anhänge. Alles Gesagte gilt also auch für Links in einer Mail.

Wer vorsichtig ist, hat nicht hinterher das Nachsehen. ;)

Was SEO-Spam mit der Google-Suche macht…

Dienstag, 23. April 2019

SEO-Spam – also diese als „Suchmaschinenoptmierung“ bezeichnete, gezielt auf Suchmaschinen gerichtete Spam, um die Indizes von Suchmaschinen zu manipulieren und Schwächen ihrer Algorithmen zu exploiten – führt dazu, dass Menschen nicht mehr das finden, was sie suchen, sondern das, was SEO-Spammer sie finden lassen wollen. Hier nur ein kleines und aktuelles Beispiel der Folgen, wenn eifrig spendensammelnde Institutionen wie Greenpeace und SEO Kinderdorf… ähm… SOS Kinderdorf an den Suchindizes rumfummeln und scheinbar beide nicht davor zurückschrecken, beliebige, auch fernliegende Themen durch Keywordspamming zu übernehmen:

Screenshot Twitter. @erdgeist@twitter.com zeigt einen Screenshot einer Google-Suche nach 'spenden netzpolitik', an erster Stelle steht greenpeace.de, erst an zweiter Stelle netzpolitik.org; @Linuzifer@twitter.com macht die gleiche Suche und hat an erster Stelle SOS-Kinderdorf und erst an zweiter Stelle netzpolitik.org.

Großes kotzendes SmileyDie eigentlich gesuchte Website ist hier in zwei Fällen auf die zweite Position des Suchergebnisses verdrängt worden.

Überflüssig zu erwähnen, dass ich eine derart spammige Manipulation von angezeigten Suchergebnissen nicht gerade als eine Empfehlung betrachte, solchen Institutionen auch noch Geld zu geben. Ganz im Gegenteil. Man sieht ja, für was für schädliche Tätig- und Tätlichkeiten das gespendete und zum tieferen Hohn auch noch steuerlich absetzbare Geld dort dann ausgegeben wird. Für Spam zum Schaden aller Menschen eben. Und nein, weder Greenpeace noch SOS Kinderdorf machen irgendetwas in Sachen Netzpolitik – aber das sollte eigentlich jeder schon gemerkt haben. Spenden sammeln tun sie allerdings, und dabei scheint jedes Mittel recht zu sein…

Wer weniger manipulierte Suchergebnisse haben möchte, die widerspiegeln, was man eigentlich gesucht hat und nicht, was Spammer einen finden lassen wollen, sollte unbedingt eine andere Websuchmaschine als ausgerechnet Google verwenden – ich benutze seit einigen Jahren nur noch DuckDuckGo und bekomme den ganzen Spamdreck (und die ganze von Google klammheimlich direkt im Suchergebnis untergejubelte Reklame) gar nicht mehr mit. Das Ergebnis der gleichen Suche sieht dort übrigens so aus:

Screenshot DuckDuckGo bei der Suche nach 'netzpolitik spenden' -- an erster Stelle erscheinen die Spendenmöglichkeiten von netzpolitik.org

Das dürfte ziemlich genau dem entsprechen, was jemand gesucht hat, der das Web nach „Spende Netzpolitik“ durchsucht.

Deshalb: Finger weg von Google! Es ist schlecht, Google zu benutzen. Es konfrontiert einen mit Spam an einer unerwarteten Stelle, wenn man Google benutzt. Und darüber hinaus hat Google eine ausgesprochen fragwürdige Methode der Werbeplatzvermarktung unter Inkaufnahme einer weitgehenden Überwachung aller Internetnutzer nebst Anlage und Führung langjähriger Akten über ihr Verhalten, die meiner Meinung nach illegal sein sollte.

Google ist nicht nur eine ziemlich widerliche Unternehmung, sondern darüber hinaus in seiner immer noch viel zu beliebten Suchmaschine eine Spamhölle, die permanent von SEO-Spammern in Lohn und Dienst zwielichtiger Geschäftemacher manipuliert wird. Und zwar zum Schaden aller Menschen, die mit Google im Web nach etwas suchen.

Gut, dass es Alternativen zur Google-Suche gibt!

Dass man mit einer Suchmaschine wie DuckDuckGo auch keine „personalisierten Suchergebnisse“ mehr sieht, die einen psychologisch manipulieren und überrumpeln sollen und oft einfach nur von Google ungekennzeichnete Reklame sind, wird hoffentlich niemand als Verlust empfinden. ;)

Google-Screenshots: @erdgeist@twitter.com, @Linuzifer@twitter.com.
Zugesteckt von @benediktg5@twitter.com

48 hours to pay… Auch im Jahr 2018

Montag, 15. Oktober 2018

FacepalmAuch im Jahr 2018 – wir erinnern uns: Das Internet ist nach gewissen Anlaufschwierigkeiten inzwischen längst eine Alltagserfahrung für den größten Teil der Menschen in der BRD – kann man immer noch Menschen mit dem Absender einer E-Mail so weitgehend beeindrucken, dass sie auf eine plumpe, substanzlose Erpressung hereinfallen:(

Leute!

Bitte merkt es euch und vergesst es niemals wieder, wenn ihr eure Mail abarbeitet: Der Absender einer E-Mail ist beliebig fälschbar. Die Fälschung ist kinderleicht und erfordert keine vertieften technischen Kenntnisse. Sie ist genau so leicht wie die Fälschung des Absenders auf einem Briefumschlag, wo man auch einfach hinschreiben kann, was man will. Jeder, der das will, kann das. Jeder fünfjährige Nachwuchshacker auf dem Pisspott hat in nur zwei Minuten sein Erfolgserlebnis. Der Absender einer E-Mail sagt gar nichts. Die Mail kann von jedem beliebigen Menschen kommen. Aus dem ganzen Internet. Und da gibt es wirklich eine Menge übler, asozialer Halunken. (Das ist übrigens der Grund, weshalb man sich angewöhnen sollte, E-Mail immer und ausnahmslos digital zu signieren. Das kostet nichts und ist einfach. Und es ist im Gegensatz zur Absenderadresse nicht fälschbar ohne Kenntnis des privaten Schlüssels, der zum Signieren verwendet wurde.)

Wenn ihr eine E-Mail mit eurem eigenen Absender bekommt, die ihr nicht selbst geschrieben habt (um zum Beispiel etwas zu testen), dann wurde nicht eurer Mailaccount gecrackt, sondern der Absender gefälscht. Da besteht kein Grund zur Panik. Wie gesagt: Jedes Kind kann den Absender fälschen. Und deshalb könnt ihr eine derartige E-Mail einfach ungelesen löschen und eure Lebenszeit für angenehmere Dinge aufwänden – denn denkt mal darüber nach! Was für Lichtgestalten für Lichtallergiker haben es wohl nötig, mit gefälschtem Absender zu mailen? Es sind keine, deren geistlose und meist verbrecherische Kommunikationsversuche eine Bereicherung fürs Leben wären.

Aber ihr könnt mal eure Journalisten fragen, warum die euch nicht darüber aufklären. :(

Das hier verwendete Facepalm-Piktogramm stammt vom Wikipedia-User Chrkl und ist lizenziert unter den Bedingungen von CC BY-SA 3.0.

DSGVO: Cyberkriminelle nutzen Unsicherheit

Dienstag, 12. Juni 2018

Keine Spam, sondern ein Hinweis auf einen beachtenswerten Artikel der ARD-Tagesschau [dauerhaft archiverte Version] über Phishing-Mails zur DSGVO:

Die Datenschutzgrundverordnung spülte in den vergangenen Wochen eine wahre Flut immer gleicher E-Mails in die Postfächer: „Bitte bestätigen Sie, dass wir Ihnen auch weiterhin unsere Neuigkeiten zuschicken können“, hieß es da. Außer dieser gab es eine zweite Mail-Welle: Cyberkriminelle nutzten das Thema für sogenannte Phishing-Angriffe – das geschickte Abgreifen von Passwörtern

Bitte nicht darauf hereinfallen!

Generell niemals in eine E-Mail klicken und niemals einen Link aus einer E-Mail benutzen! Wer diese sehr einfach zu merkende Regel beherzigt, kann nicht von Kriminellen überrumpelt und „gephisht“ werden.

Der Absender einer E-Mail ist beliebig fälschbar, und leider benutzt praktisch niemand digitale Signaturen, die den Absender jenseits jedes vernünftigen Zweifels sicherstellen könnten, obwohl das kein Geld kosten würde und nur geringen Aufwand verursachte. Websites, bei denen man ein Benutzerkonto hat, bitte ausschließlich über die Lesezeichenfunktionen des Webbrowsers besuchen! Dies gilt insbesondere auf Websites, bei denen es direkt um Geld oder geldwerte Güter geht (Amazon, eBay, PayPal, Online-Banking etc.) und bei Websites, über deren Konten Logins auf anderen Websites möglich sind (Twitter, Facebook etc.). Diese einfache Vorsichtsmaßnahme kann eine Menge Ärger, Laufereien und Geld einsparen. Und es ist nicht schwierig, die Lesezeichen-Funktion (Freunde des Internet-Exploiters lesen hier: Favoriten) des Webbrowsers zu nutzen.

Ja, E-Mail ist ein praktisches Medium, aber es ermöglicht jedem Menschen im Internet, anderen Menschen irgendwelche beliebig formulierten und gestalteten Texte mit falschem Absender zuzustellen, voller giftiger Links oder Anhänge. Und das Internet ist leider auch voller Gestalten, die nur von ihrer Mutter vermisst würden, wenn es sie nicht gäbe. Also: Immer vorsichtig bleiben, und ganz besonders vorsichtig bei E-Mail!

Oder, um es mit der ARD-Tagesschau zu sagen, die in erfreulicher Klarheit ebenfalls das Wichtigste mitteilt:

Die gute Nachricht: Mit nur drei Schritten sind selbst gut gemachte Phishing-Mails keine Gefahr mehr: Bei unerwarteten Mails nie auf enthaltene Links klicken, keine angehängten Dateien öffnen und einfach nicht antworten

Ist doch gar nicht so schwierig. ;)

Antivirus-Schlangenöl: Der Freund des Spammers

Donnerstag, 24. Mai 2018

Hier mal ein kleines Zitat von @wernermue@twitter.com, der heute folgendes mit seinem Antivirus-Schlangenöl erlebte:

Tweet von @wernermue@twitter.com vom 23. Mai 2018, 21:52 Uhr: #DSGVO ausgehebelt 🧐 Email mit Bitte um Zustimmung kommt um 10:29 Email mit Dank bzgl der Zustimmung kommt um 10:30 Beide Emails nicht mal geöffnet Nachforschung ergibt: #Virenschutz SW öffnet alle #URL in #EmailMarketing Dadurch wird #Zustimmung ausgelöst @maxschrems @NOYBeu

Facepalm!Was heißt das?

Das im Hintergrund laufende Antivirus-Programm, das ja mit dem Versprechen zusätzlichen Schutzes an den leider meist allzu gläubigen Nutzer gebracht wird, liest jede einkommende E-Mail mit und untersucht auch die Links in dieser E-Mail, indem diese geöffnet werden.

Warum ist das eine ganz schlechte Idee?

Spam-E-Mail enthält nahezu immer spezielle Links, die im URI-Parameter eine ID enthalten, an der ein Empfänger eindeutig identifiziert werden kann. Wenn ein solcher Link geöffnet wird, erfährt der Spammer, dass…

  1. …die Spam unter der zugespammten Adresse ankommt, und
  2. …vom Empfänger sogar gelesen und beklickt wird.

In der Folge gilt die E-Mail-Adresse unter Spammern als „lukrativ“ und wird weiterhin und sogar vermehrt zugespammt. Zudem werden Datenbanken mit „lukrativen“ Mailadressen unter Spammern gehandelt.

Das bedeutet, dass so vorgehende Antivirus-Schlangenöle der Grund dafür sind, dass ihre Nutzer immer mehr illegale und asoziale Spam erhalten, auch solche mit gefährlicher Schadsoftware. Gleichzeitig bietet das Antivirus-Programm, das mit dieser dummen Vorgehensweise die Schadsoftware herbeiruft, nur einen völlig ungenügenden Schutz gegen die kriminelle Übernahme eines Computers. Das eigentlich vom Antivirus-Programm adressierte Problem wird also durch den Einsatz des Antivirus-Programmes größer.

Dass auf diesem Wege außerdem „automatisch“ Zustimmungen durch Abklicken eines Links gegeben werden, die im Zweifelsfalle Verträge begründen, von denen der Nutzer des Antivirus-Programmes noch nicht einmal Kenntnis genommen hat, macht diese Vorgehensweise einiger Antivirus-Schlangenöle besonders dumm und gefährlich. Tatsächlich muss angesichts unerwünschter Rechtsfolgen durch ein solches Vorgehen die Frage gestellt werden, ob dergestalt vorgehende Antivirus-Software nicht zu gefährlich für den Einsatz auf einem Computer ist.

Wer glaubt, ein Antivirus-Schlangenöl zu benötigen und deshalb eines einsetzt, sollte wenigstens in den Einstellungen derartige Automatismen abstellen, um sich besser vor der Internetkriminalität zu schützen.

Via @qbi@mastodon.social.

Facepalm-Foto: Urheber daveoratox, Lizenz CC BY 2.0.

BGH-Urteil, AZ I ZR 154/16

Donnerstag, 19. April 2018

Adblocker sind in der Bundesrepublik Deutschland zulässig. [Archivversion der Tagesschau-Meldung¹]

Sehr gut. Denn Adblocker sind und bleiben eine unentbehrliche Software zum Schutz der Privatsphäre und der Computersicherheit. Der Kommentar, den ich dazu schreiben müsste, ist zum Glück schon lange geschrieben, so dass ein kleiner Link ausreichen möge.

Den Vertretern der Presseverleger gefällt dieses Grundsatzurteil gar nicht, und es werden die ganz lauten „Argumente“ herausgeholt, um jetzt mit einer Verfassungsbeschwerde nachzulegen:

Dazu gehöre auch Werbung. Werbeblocker, meint Rechtsanwalt Lehment, würden gegen die Pressefreiheit verstoßen: „Nicht nur die redaktionellen Inhalte, sondern auch die Werbeinhalte sind ausdrücklich vom Grundrechtsschutz umfasst: einmal als unentbehrliche Finanzierungsgrundlage, und zum anderen, weil sie selbst auch Nachrichten sind, wie das Bundesverfassungsgericht festgestellt hat.“

Ein paar Worte für Presseverleger und den Axel-Springer-Verlag

Nun, meine werten Herren vom Axel-Springer-Verlag, die sie ihre eigenen Leser offenbar als Feinde betrachten und behandeln: Es gibt im Geltungsbereich des Grundgesetzes für die Bundesrepublik Deutschland zwar eine Pressefreiheit als ihr Grundrecht, aber es gibt zum Glück für den nicht verlegerisch tätigen Rest der Bevölkerung noch kein „Grundrecht“ des Presseverlegers, dass alles in der Presse Veröffentlichte auch wahrgenommen und gelesen werden müsste. Ansonsten kämen die Menschen in der Bundesrepublik Deutschland aus der gesetzlich erzwungenen Dauerlektüre auch gar nicht mehr heraus. Angesichts der Tatsache, dass es sich bei der aus Drittquellen in ihre Websites eingebetteten Werbung nicht um passive Texte, sondern um aktiv im Webbrowser ausgeführten Programmcode handelt, der Schadsoftware nicht nur transportieren kann, sondern in der Vergangenheit immer wieder transportiert hat und der mit ausgefeilten, ja, hinterhältigen bis grenzkriminellen Trackingtechniken heimlich in die Privatsphäre von Lesern eindringt, gehe ich davon aus, dass das Bundesverfassungsgericht ihre lächerliche Verfassungsbeschwerde zurückweisen wird.

Vielleicht sollten sie, meine werten Herren von Axel-Springer-Verlag, einfach damit aufhören, ihre Leser als Feinde zu behandeln und sich die Organisierte Kriminalität im Internet zu Freunden zu machen. Dann könnte es mit ihrem Geschäft gleich ein bisschen besser laufen. Oh, sie haben gar kein seriöses Geschäftsmodell mehr… nun gut, dann wünsche ich ihnen von ganzem Herzen viel Freude mit dem Insolvenzverwalter! Möge ihnen die Wartezeit nicht zu lang werden!

Ach ja, und wo ich gerade ein bisschen persönlich werde: Bis dahin können sie sich ja noch einmal für das von ihnen lobbyistisch erwirkte „Leistungsschutzrecht für Presseverleger“ bei ihren Freunden in der Politik bedanken, mit dem sie zwei meiner Webprojekte, an denen mir wirklich etwas lag, kaputtgemacht haben, weil diese unter den von ihnen geschaffenen rechtlichen Rahmenbedinungen nicht mehr rechtssicher zu betreiben waren – und zwar völlig erwartungsgemäß ganz ohne, dass Google daraufhin gleich eine Rechtspflicht sah, mit ihnen Verträge abzuschließen und ihnen auch Geld dafür zu geben, dass Google ihnen Umsätze ermöglicht. Wissen sie eigentlich schon, dass nicht der Schwanz mit dem Hund, sondern der Hund mit dem Schwanz wedelt? Sie sitzen auch weiterhin mit ihren Freibiergesichtern an der Theke und verlangen vom Wirt auch noch Trinkgeld. Das zeigt Charakter. Und was für einen verkommenen, nichtsnutzigen, widerlichen Charakter! Gehen sie doch einfach nach drüben, wenn es ihnen im freien Internet nicht gefällt!

Sie, meine werten Herren Presseverleger, erwürgen mit aller ihrer Kraft das Internet. Da freut es mich, dass ihnen selbst auch langsam die Luft zum Atmen ausgeht.

Eine Aufforderung an alle anderen Menschen

Alle anderen Menschen fordere ich auf: Benutzen sie immer wirksame Werbeblocker im Webbrowser und schalten sie diese Werbeblocker niemals ab, weil sie jemand darum bittet! Warum? Darum, darum, darum, darum, darum, darum, darum, darum, darum, darum oder darum. (Diese Liste ist natürlich unvollständig und enthält nur größere Vorfälle.) Beim „Surfen“ im Web bieten Werbeblocker einen zuverlässigeren Schutz vor der Übernahme des Computers durch Kriminelle als so genannte „Antivirus-Programme“. Selbst das Landgericht Hamburg – von mir gern „liebevoll“ als „Hamburger Dunkelkammer“ bezeichnet – hat sich zu meiner großen Überraschung in einem seiner Urteile dieser Auffassung angeschlossen.

Lassen sie sich auf gar keinen Fall einschüchtern! Benutzen sie selbst dann weiterhin Adblocker, falls diese demnächst in der bundesrepublikanischen Lobbykratie gesetzlich verboten werden sollten! Verlassen sie sich unter keinen Umständen in dieser Sache auf „Informationen“ der Presseverleger und des öffentlich-rechtlichen Rundfunks, denn dort werden sie einseitig informiert, dort werden ihnen wichtige Tatsachen verschwiegen und sie werden zuweilen sogar offen belogen.

Übrigens: Das Web wird mit einem wirksamen Adblocker auch viel angenehmer, schneller und hübscher. ;)

¹Diese Archivversion ist übrigens erforderlich, weil im Großen und Ganzen die gleichen Presseverleger durch Lobbyismus dafür gesorgt haben, dass mit Rundfunkgebühren längst bezahlte Inhalte aus dem Internet gelöscht – oder in Verdummungsdeutsch: „depubliziert“ – werden müssen.

Wo haben Spammer meine Mailadresse her?

Mittwoch, 3. Januar 2018

Keine Spam, sondern eine Leseempfehlung für einen aktuellen Artikel auf Heise Online:

Viele Webseiten beinhalten Tracking-Skripte von Drittanbietern, die E-Mail-Adressen aus Login-Managern im Browser extrahieren und an entfernte Server schicken

Wie „Skripte von Drittanbietern“ in irgendwelche Websites geraten können, macht Heise Online leider nicht deutlich, weil es gegen das unseriöse Geschäftsmodell der Website „Heise Online“ geht, nämlich das Vermarkten von Werbeplätzen. Dafür erfahren sie es hier auf Unser täglich Spam, damit sie es wissen und sich davor schützen können: Über die Werbung in Websites.

Auch, wenn die gegenwärtig auffälligen Skripten keine Mailadressen für Spamzwecke einzusammeln scheinen, sondern über dieses Verfahren eine pseudonyme Identifikation (ähnlich zu einem site-übergreifenden Cookie, aber nicht abschaltbar und nicht automatisch löschbar wie ein Cookie) verwirklichen, wäre es eine Kleinigkeit, auch die Mailadressen abzugreifen. Jetzt, wo die Methode bekannt ist, können sie davon ausgehen, dass die erste kriminelle Spyware dieser Machart bereits in Werbebannern und auf gecrackten Websites auf ihren Webbrowser losgelassen wird.

Selbstverständlich könnten Kriminelle mit genau der gleichen Vorgehensweise auch Kreditkartendaten oder den Login für Amazon, eBay, PayPal, Social-Media-Sites, Kontodaten und dergleichen abgreifen, um die so gewonnenen Daten für ihre betrügerischen „Geschäfte“ zu benutzen. Den ganzen Ärger und die Laufereien dafür bekommt ausgerechnet der Mensch aufgebürdet, der vorher schon durch den kriminellen Angriff geschädigt wurde – der kriminelle Missbrauch der Identität kann jahrelang erhebliche Probleme (etwa bei der Wohnungssuche, beim Wechsel der Arbeitsstelle oder der Beantragung eines Darlehens) und auch Kosten bereiten. Einmal ganz davon abgesehen, dass man immer wieder (als Beschuldigter ohne Lohnerstattung) Staatsanwälten und Untersuchungsrichtern ein Stündchen lang seine Geschichte erzählen „darf“.

Sich unter derartigen Umständen auf sein Glück zu verlassen, ist eine dumme Entscheidung. Seien sie nicht so dumm!

Zurzeit besteht der beste Schutz gegen derartige Machenschaften – neben dem Abschalten von „Autofill“ im Webbrowser – in der Verwendung eines wirksamen Adblockers, ergänzt um NoScript, um nicht jeder Website das Privileg einzuräumen, Programmcode innerhalb des Browsers auszuführen, wie es die gefährliche und kriminalitätsfördernde Standardeinstellung heutiger Webbrowser vorsieht. Das ist zwar mit einigen Einschränkungen verbunden, weil sich vor allem journalistische Websites zu dienstbaren Komplizen der Organisierten Kriminalität im Internet machen (Innenminister, Journalisten und andere Ahnungslose sprechen vom „Cybercrime“, obwohl es nichts mit Kybernetik zu tun hat), es ist allerdings sehr leicht, mit ein paar Klicks Ausnahmen für solche Fälle zu konfigurieren und sich dann darauf zu verlassen, dass der Adblocker die Spyware aus Drittquellen vollständig unterdrückt.

Bitte verzichten sie auf gar keinen Fall auf diesen Schutz! Egal, was für Lügen sie dann auf Websites von Presseverlegern lesen müssen! Die Menschen und Unternehmen, die sie so belügen, sind genau so ihre Feinde wie die diversen Betrüger, die sie einfach nur mit ein paar Tricks ausnehmen wollen. Mit einer einzigen Ausnahme – und damals ging es um einen Fehler im integrierten PDF-Anzeiger des Mozilla Firefox – haben in den letzten Jahren alle gegen den Webbrowser gerichteten Angriffe auf Computer zwingend das Privileg benötigt, Javascript im Webbrowser ausführen zu können. Seien sie sparsam mit der Erteilung dieses Privilegs an Websites, gestatten sie Javascript ausschließlich dort, wo sie guten Grund zum Vertrauen haben und bewahren sie sich vor den Folgen übler, asozialer Kriminalität!

Übrigens: Unser täglich Spam funktioniert hervorragend ohne Javascript. Probieren sie es gleich mal aus! ;)

Nachbetrachtung: Was heißt „unsichtbar“?

Ich würde mich auf keinen Fall darauf verlassen, dass Webbrowser in Zukunft unsichtbare Eingabefelder erkennen und diese dann einfach nicht ausfüllen. Mir fallen spontan, also ohne intensives Nachdenken darüber, schon fünf verschiedene, sehr einfach anzuwendende Möglichkeiten ein, wie man ein Eingabefeld in einer Website unsichtbar machen kann:

  1. CSS-Attribut visibility: hidden setzen, um das Feld unsichtbar zu machen;
  2. Eingabefeld außerhalb des im Browser dargestellten Anzeigebereiches anzeigen lassen;
  3. Schrift- und Hintergrundfarbe an die Hintergrundfarbe des dargestellten Dokumentes anpassen oder der Schrift- und Hintergrund eine (auch nur nahezu) vollständige Transparenz geben sowie keinen Rahmen um das Eingabefeld zeichnen lassen;
  4. Eingabefeld mit einer Höhe von null, einem oder zwei Pixeln, das auf der Website nicht auffällt, obwohl es prinzipiell sichtbar ist, desgleichen ist auch eine Schrifthöhe möglich, die den Inhalt des Feldes nicht als Schrift erscheinen lässt; oder
  5. Überdecken des Eingabefeldes mit einem anderen, undurchsichtigen Element, das absolut positioniert wird.

Jemand, der kriminelle Energie und eine dazu passende Herangehensweise hat, wird wohl noch einige weitere Möglichkeiten finden – vielleicht auch unter Ausbeutung von Fehlern in den verbreiteten Webbrowsern.

Das Problem ist also keineswegs so einfach lösbar – wenn man einmal davon absieht, dass das automatische Ausfüllen von Formularen wegen solcher Probleme komplett unterbunden oder vom Anwender abgeschaltet wird. Und das geht mit einem „Komfortverlust“ einher und wird deshalb vermutlich nicht von den Herstellern der großen Browser zum Standard gemacht.

Javascript abschalten (und nur in begründeten Ausnahmefällen zulassen) und Adblocker benutzen hilft. Bitte verlassen sie sich nicht auf ihr Glück!

Die AGB von PayPal ändern sich

Donnerstag, 2. November 2017

Vorab: Es geht hier nicht um eine Spam, sondern um eine echte E-Mail von PayPal. Diese ist allerdings ausgesprochen dumm und ein Beitrag PayPals dazu, dass sich das kriminelle Phishing nach Login-Daten von PayPal-Nutzern auch in Zukunft lohnen wird.

Diese E-Mail von PayPal ist echt (nur die schwarzen Balken sind von mir):

Screenshot der Ansicht der PayPal-Mail im Thunderbird

Ebenso echt ist die Warnung von Thunderbird, dass diese Nachricht ein Betrugsversuch sein könnte. Diese Warnung hat auch einen guten Grund. Sämtliche Links in der Mail von PayPal gehen nicht auf die Website in der Domain von PayPal, sondern stattdessen in die Domain paypal (strich) communication (punkt) com. Das ist sehr dumm von PayPal, und diese Dummheit ist sehr gefährlich für naive PayPal-Kunden.

Denn so trägt die E-Mail von PayPal alle Kennzeichen einer Phishing-Spam.

PayPal-Kunden gewöhnen sich durch dumme E-Mails wie diese daran, dass eine echte E-Mail von PayPal „aussieht wie eine Phishing-Spam“, weil Links aus der E-Mail in andere Domains gehen. Sie werden so auch daran gewöhnt, in derartige E-Mails zu klicken – was im Falle eines echten Phishings auf eine „liebevoll“ nachgemachte PayPal-Seite in einer anderen Domain führen würde, wo man Gelegenheit erhält, Kriminellen die Zugangsdaten zum PayPal-Konto zuzustecken, damit diese Leute ihre „Geschäfte“ über dieses Konto machen können.

Mir als denkenden Menschen ist es ja schon unbegreiflich, warum eine E-Mail von PayPal nicht standardmäßig digital signiert ist, um jedem Empfänger wenigstens die Möglichkeit zu gewähren, diese digitale Signatur zu überprüfen und damit den Absender und den unverfälschten Inhalt der E-Mail jenseits jedes vernünftigen Zweifels sicherzustellen. Verbunden mit einer sinnvollen Aufklärung der Kunden (und vielleicht sogar der Erstellung von Addons für beliebte E-Mail-Software, die dann die Signatur überprüfen) könnte eine solche Maßnahme wie keine zweite einen Phishing-Sumpf austrocknen, der übrigens auch die Reputation PayPals als die eines „sicheren Zahlungsdienstleisters“ beschädigt. Erfreulicherweise würde eine digitale Signatur von E-Mail noch nicht einmal Geld kosten, aber Schäden in einer derzeit nur PayPal genauer bekannten Größenordnung abzuwenden helfen.

PayPal ist dazu nicht bereit. PayPal scheint wichtigere Anliegen und Pläne als den Kampf gegen die Internetkriminalität zu haben. Das ist schade. Leider kann ich es auch nicht ändern. PayPal könnte es ändern. Aber dort hat man ja leider wichtigere Anliegen und Pläne. Ja, ich werde etwas ätzend, ich merke es ja selbst…

Aber wenn man die E-Mail schon nicht digital signiert, obwohl das kein Geld kostete und mit relativ geringem Aufwand durchführbar wäre, dann kann man doch wenigstens die verlinkten Seiten in der eigenen Domain halten, die jedem PayPal-Kunden vertraut sein sollte.

Ich kann durchaus verstehen, wenn man die Website unter www (punkt) paypal (punkt) com leicht durchschaubar halten möchte und sie deshalb nicht mit solchen Texten „vollmachen“ mag. Aber auch dafür gibt es eine einfache, kostenlose und weisere Lösung, nämlich die Verwendung einer anderen Subdomain. Die Links aus einer derartigen E-Mail würden dann zum Beispiel in eine dafür vorgesehene Domain tos (punkt) paypal (punkt) com gehen, und es wäre klar, dass diese Domain vom Betreiber der Domain paypal (punkt) com eingerichtet wurde. Neben der Kostenlosigkeit eines solchen Vorgehens hätte dies sogar noch einen weiteren Vorteil: Die DNS-Konfiguration für eine zweite Domain würde wegfallen, an ihre Stelle träte eine einzige zusätzliche Zeile in der Konfigurationsdatei für die Domain paypal (punkt) com.

Es hätte also nur Vorteile, wenn man es so machte. Und man müsste schon ein bisschen dumm sein, wenn man es anders machte – etwa so, wie PayPal es hier in seiner E-Mail mit der Mitteilung geänderter AGB vorgemacht hat.

Vor allem, weil ein Mailclient den Empfänger dann auch gleich in rotesten Alarmfarben vor Phishing warnt, weil es nicht nur dumm wäre, sondern auch wie Phishing aussähe. Oh, es wäre ja nicht nur dumm. Der Konjunktiv ist eine Möglichkeitsform, aber diese E-Mail ist bittere Realität. Es ist dumm. Egal, aus welchem Blickwinkel man es betrachtet, sieht es bei genauerem Hinschauen nur immer dümmer aus.

Und es nützt nur der Organisierten Kriminalität.

Sonst hat niemand einen Nutzen davon. Ganz im Gegenteil.

Ich sage ja: Es ist dumm. Es ist gefährlich und unverantwortlich dumm, was PayPal hier tut. Und es wäre gut für alle, wenn PayPal klüger vorginge.

Leider ist diese Dummheit bei PayPal regelmäßig und offenbar völlig beabsichtigt. Meinem Offenen Brief vom 10. Januar 2014 habe ich auch heute kein weiteres Wort hinzuzufügen.