Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Kategoriearchiv „Informatives“

Warum man immer mit Adblocker surft!

Samstag, 8. August 2015

Hier geht es nicht um eine Spam, sondern um eine aktuelle Meldung zur Computersicherheit.

Vielleicht haben viele schon mitbekommen, dass es einen Fehler im integrierten PDF-Viewer des Firefox gab, der das Auslesen beliebiger lokaler Dateien und ihre Übermittlung an Kriminelle ermöglicht hat.

Wie haben die Kriminellen nun aber dafür gesorgt, dass verseuchte PDF-Dateien im Firefox dargestellt wurden? Nun, auf dem Weg, auf dem viele neue Angriffe gegen einen Browser vorgetragen werden:

Unbekannte haben ein Exploit der Schwachstelle über eine Anzeige auf einer russischen Webseite verbreitet

Über Werbung in Websites.

Wieder einmal.

Wer einen aktiven, wirksamen Adblocker hatte, konnte von diesem Angriff nicht erreicht werden. Nach wie vor handelt es sich bei den Adblockern um eine elementare Software zur Erhöhung der Computersicherheit, die einen wesentlichen Weg für Schadsoftware blockieren¹, so dass das – bei neuen Formen der Schadsoftware weitgehend machtlose – Antivirus-Schlangenöl² gar nicht erst scheitern kann. Und dieser einfach zu erzielende Zugewinn an Sicherheit verbindet sich mit einem schnelleren und ungestörteren Web-Erlebnis.

Dazu kann niemand „Nein“ sagen, der noch bei Troste ist.

Deshalb sollte man auch niemals ohne aktivierten Adblocker surfen!

In diesem Fall wären sogar Linux-Rechner angegriffen worden. Aber ein Werbeblocker hätte es an der Wurzel verhindert. Auf jedem Betriebssystem.

Und ganz wichtig: Wer noch nicht hat, sollte sich spätestens jetzt den aktuellen Firefox holen! Ein Fehler, der nicht mehr da ist, kann auch nicht mehr von Verbrechern ausgebeutet werden.

¹Wer jetzt sagt: „Aber Websites müssen sich doch finanzieren“, klicke bitte auf den Link und lese den Text bis zum Ende, denn ich gehe darauf ein.

²Wer sich an diesem zugegebenermaßen unsachlichen Wort für Antivirus-Produkte stört und meint, ich würde Menschen zu Leichtsinn aufrufen, lese bitte hier weiter und lasse sich von der völligen Sinnlosigkeit des Antivirus-Schlangenöls überzeugen. Wer dann immer noch meint, dass es einen Zugewinn an Sicherheit bietet, wenn man sich solche Technoquacksalberei auf seinem Computer holt, kann vermutlich durch nichts mehr dazu gebracht werden, einer dummen, allmedialen Reklame für irgendein Zeug zu misstrauen. Und ja: Auch die scheinbar redaktionellen Texte aus der Presse sind oft Werbung. Ich weiß aus eigener Erfahrung, wie stinkefaul und saudumm Journalisten sind und wie willfährig und wahllos sie gut gewählte Formulierungen einfach abschreiben, um sich dafür selbst als tolle Schreiber zu feiern. Wer sich aus Presse und Glotze informiert, wird eigentlich rund um die Uhr mit Reklame konfrontiert, davon in die gewünschte „Form“ gebracht und bleibt ansonsten dumm. Denn dumm kauft „gut“.

Re Gewinnbenachrichtigung.

Dienstag, 21. Juli 2015

Lange nichts im Spamlotto gewonnen…

Absender: Internationale Lotteriekommission <andrealcate (at) gmail (punkt) com>

Genau! Von einem „Lotterieveranstalter“, der nicht die paar Euro für eine eigene Domain und einen eigenen Mailserver übrig hat und deshalb eine kostenlos und anonym verfügbare Mailadresse bei einem Freemail-Anbieter für seine geschäftliche Kommunikation verwendet, der sich in seinen Nutzungsbedingungen das unverschämte Recht rausnimmt, jede E-Mail mitzulesen und für Reklamevermarktungszwecke auszuwerten. Es geht ja nur um viel Geld, wer will denn da noch Diskretion?

Wir freuen uns, mitteilen zu kцnnen, die Verцffentlichung des preisgekrцnten Benachrichtigung. Beigefьgt ist die Originalkopie der preisgekrцnte Anzeigeschreiben.

Herzliche Glьckwьnsche.

GrьЯe
RAUL J. GONZALEZ..


This email has been checked for viruses by Avast antivirus software.
https://www.avast.com/antivirus

Tja, bei einer so kurzen und dabei doch so peinlich fehlerhaften Mail fehlt nur noch der Blick in die „Originalkopie [!] der preisgekrönte Anzeigeschreiben“; ein Blick der bei Deutschlehrern Gruseln und bei den meisten anderen Menschen spontane Heiterkeit auslöst. Es handelt sich um das folgende PDF-Dokument – zum Vergrößern einfach das Vorschaubild anklicken:

Screenshot der angeblichen Gewinnbenachrichtigung zur Einleitung eines Vorschussbetruges

Detail aus der angeblichen Gewinnbenachrichtigung: Siegel mit dem Text 'El Gordo Money back 100% guaranteed'.Das absolut Besteste daran: Wenn einem der Gewinn nicht gefällt, gibts eine hundertprozentige Geld-zurück-Garantie. So wird einem schon bei der erfreulichen Mitteilung, dass man ohne jeden Kauf eines Lotterieloses 950.000 Øre gewonnen hat, weil ein Agent der Lotteriekommission den Namen gekauft hat, völlig klar, dass da wohl doch noch eine Menge Geld zu löhnen ist, bevor das (nicht-existente) Milliönchen kommt. „Nett“ auch, dass sich der „Lotterieveranstalter“, der zwar Millionengewinne ausschüttet, aber die paar Euro zwanzig für einen richtigen Dolmetscher nicht entbehren kann, bei allen Empfängern für die Teilnahme bedankt, obwohl niemand freiwillig und bewusst teilgenommen haben kann.

Aber warum sollten sich miese Vorschussbetrüger auch nur ein bisschen Mühe mit ihren Nummern und ihren Texten geben? Dann könnten sie doch auch gleich arbeiten gehen… :mrgreen:

Wer einmal vergleichen möchte: Das angehängte PDF ist praktisch identisch mit der Gewinnbenachrichtigung aus dem Mai dieses Jahres, und auch ansonsten haben die Vorschussbetrüger nichts an ihrer schlecht vorgetragenen Nummer verbessert.

Das kann leider nur eines bedeuten: Die haben damit genug Erfolg. 🙁

Es gibt also Menschen, die nach so einer E-Mail mit einem derartigen Anhang wirklich

  1. …an einen möglichen Lotteriegewinn glauben, obwohl sie bei der Lotterie niemals ein Los gekauft haben;
  2. …ein mies gestaltetes Formular aus der E-Mail eines unbekannten Absenders mit genug Daten für einen kriminellen Identitätsmissbrauch ausfüllen;
  3. …keine Zweifel entwickeln, wenn ein Lotterieveranstalter die Millionengewinne nicht von einer preisgünstigen Bank verwahren lässt (und Zinsen dafür kassieren kann), sondern in Form bunter Läppchen bei einer obskuren und hohe Gebühren fordernden „Sicherheitsfirma“ hinterlegt;
  4. …für möglich halten, dass derartige „Sicherheitsfirmen“ zwar Millionenbeträge verwalten, aber dennoch keine Bankkonten haben und deshalb weder eine Banküberweisung noch einen Scheck empfangen können, so dass man ihnen alles Geld vollständig anonymisiert über Western Union, MoneyGram und Konsorten übertragen muss; und
  5. …sich nicht eine einzige verdammte Sekunde lang daran stören, dass die gesamte E-Mail-Kommunikation über derartige Angelegenheiten – immer daran denken: Wenn die Geschichten stimmten, ginge es um verdammt viel Geld – in unverschlüsselter, beim Transport durchs Internet offen wie eine Postkarte lesbarer, nicht digital signierter E-Mail abgewickelt wird, die ausschließlich über kostenlose, anonyme Mailadressen bei Freemail-Anbietern läuft.

Nun, ich finde dieses Maß an Dummheit, Leichtgläubigkeit, Unwissenheit und digitalem Analphabetismus ziemlich gruselig – wenn da jemand, sagen wir mal: ein Professor an einer bundesdeutschen Universität, denkt „Das sieht ja alles so amtlich aus, das wird schon stimmen“ und Geld an Unbekannte überweist. Wegen einer E-Mail.

Schade, dass Dummheit kein Evolutionsnachteil mehr ist, der sich langsam rausmendelt, sondern geradezu gesellschaftlich gefördert wird!

YOUR EMAIL ACCOUNT IS FULL UPGRADE NOW

Samstag, 27. Juni 2015

Nein, die folgende, sehr auffällig in HTML gesetzte Spam kommt nicht von einem E-Mail-Provider, sondern von einem Spammer. Sie kommt auch auf Mailadressen an, die keinerlei Probleme mit dem Speicherplatz auf der Server haben. Sie sieht so aus:

Screenshot der Spam

Bitte auf keinen Fall diese Spam beklicken! Einfach löschen und vergessen! Sie kommt nicht von einem E-Mail-Provider. (Ja, ich wiederhole mich.) Das behauptete Problem liegt nicht vor. Jeder kann diese Spam bekommen! Es handelt sich offenbar um einen Phishing-Versuch, vielleicht sogar um etwas wesentlich Übleres.

Dear sag (at) ich (punkt) net

„Liebe Mailadresse“ ist immer eine gute Anrede!

We noticed your e-mail account has almost exceed it’s limit. And you may not be able to send or receive messages any moment from now

Ihr sendet zwar mit gefälschter Absenderadresse aus der Domain admin (punkt) com und habt nichts mit dem Server zu tun, auf dem eure Opfer ihre Mail empfangen, aber ihr wollt wissen, wie viel Platz das Mailpostfach dort belegt. Dafür behauptet ihr in einem hübschen Bildchen, es seien 1969 MiB von verfügbaren 2000, so richtig gucke mal mit Balken, der kaum noch Platz hat.

Your E-mail Account will be closed if you fail to increase Storage capacity Kindly Click here [sic!] to increase your storage capacity by 30.00GB Free..

Die Lösung, die ihr dafür vorschlagt, ist nicht etwa, Platz zu schaffen, indem nicht mehr benötigte Mails gelöscht werden – denn zwei GiB sollten selbst für die Korrespondenz eines neurotischen Zwangsschreibers ausreichend sein¹ – sondern klicki klicki in eine Spam zu machen. Auf den Text „Click here“, den man wirklich nur in Spams und unerwünschter Reklame liest, weil kein fühlendes Wesen so einen dummen Technosprech schreiben würde. Das wird auch nicht besser, wenn ihr mechanonett „kindly“ davor schreibt, dann aber das Wichtigste „vergesst“, nämlich, diesen Text auch noch zu verlinken.

Macht aber nichts, habt ihr euch gesagt, dann tippen wir eben nochmal „Click here“, diesmal aber mit einem Link.

Click here to add up free 20GB storage.

Großes Kino aus einem kleinen Gehirn! :mrgreen:

Natürlich geht der Link nicht in die Domain, in der die Empfänger ihre Mail empfangen. Die „Reise“ geht stattdessen in die Domain turbolinktar (punkt) info, und der Link funkt über einen URI-Parameter zurück, dass die Spam angekommen ist und welche Mailadresse der Empfänger hatte.

Erstaunlicherweise funktioniert der Phishzug noch nicht einmal. Die Domain turbolinktar (punkt) info existiert zwar (und sie ist sogar alt), sie wird aber zurzeit zu keiner IP-Adresse aufgelöst. Das sieht ein kleines bisschen danach aus, als hätte ein Hosting-Provider, der die kriminellen Machenschaften dieses Packs mitbekommen hat, die Notbremse gezogen. Leider bedeutet das nicht, dass das Phishing auf E-Mail-Konten (denn genau darum scheint es sich hier zu handeln) nicht schon in einer halben Stunde über einen anderen, flugs angemieteten Server irgendwo in der Welt wieder läuft.

Ach ja, wenn man mit dem Klicken nicht schnell macht…

If not gotten from you in the next 24 hours, We shut down your E-mail Account,

…wird übrigens der Mailaccount plattgemacht. Nur, damit man auch nicht lange überlegt. Nichts macht einem Spammer nämlich so viel Sorge wie die Vorstellung, dass ein „an sich geeignetes“ Opfer durch einfaches Nachdenken bemerkt, wie dumm und dünn der Bullshit in der Spam ist. Und deshalb hetzen Spammer gern, insbesondere beim Phishing. Da wird dann erzählt, dass man nur ganz wenig Zeit hat, um Druck aufzubauen; wohlwissend, dass Stress dumm macht.

Until after proper verification before you can access your E-mail Account Again….!!!

Wow, „verification“ kenne ich sonst immer von den Banken, bei denen ich nicht Kunde bin und „von denen“ ich „E-Mail“ kriege, um mein Konto zu verifizieren. Denen darf ich dann immer alles noch mal sagen, was die Banken längst schon wissen. Aber natürlich nie auf deren eigenen Servern, immer nur an eher obskuren Orten im Internet… :mrgreen:

Thanks.
Domain Security 2014/2015.

Wie, nächstes Jahr wollt ihr aufhören? Das wär schön! 😀

Und nun noch etwas ganz Wichtiges!

Da die Website der Spammer zurzeit nicht existiert, weiß ich nicht, worum es wirklich ging. Es scheint mir aber sicher, dass es sich um Phishing handelt, mutmaßlich auf E-Mail-Passwörter (und damit vor allem auch auf Leute, die für viele verschiedene Dienste immer wieder das gleiche Passwort benutzen).

Bitte, achtet immer darauf, wo ihr eure Passwörter eingebt!

Ein Passwort ist eine Sicherheitsmaßnahme, die nur funktionieren kann, wenn das Passwort geheimgehalten und nur dort verwendet wird, wo man sich mit diesem Passwort identifiziert. Deshalb sollte man bei jeder Passworteingabe besonders aufmerksam sein und sich immer vor der Eingabe vergewissern, dass man das Passwort wirklich dort verwendet, wo man sich mit diesem Passwort identifiziert. Bei einem Webdienst kann man dies etwa tun, indem man in die Adresszeile seines Browsers schaut.

Diese Vorsicht ist der einzige und wichtigste Schutz gegen den Missbrauch von Zugangsdaten. Sobald dieses Passwort einem Dritten mitgeteilt wurde, ist es kompromittiert.

Bitte seid so vorsichtig! Wenn diese Vorsicht mit einem klug gewählten Passwort kombiniert wird, das in keinem Wörterbuch zu finden ist, keinen Namen und kein Geburtsdatum enthält, das im günstigsten Falle eine völlig sinnlose Zeichenfolge ist, dann ist viel für die Sicherheit im Internet getan. Und das sollte es wert sein.

Danach stellt sich nur noch eine Frage: Ist mein Passwort sicher genug? 😉

Danke, M., dass du mir das weitergeleitet hast.

¹Zum Vergleich: Unser täglich Spam ist ein Blog, das seit beinahe achteinhalb Jahren nahezu täglich mit Text befüllt wird. Es enthält ferner Leserkommentare. Das Blogsystem speichert bei Korrekturen auch die vorherigen Versionen, und ich lösche die im allgemeinen nicht. Der gesamte Datenbestand – mit technischen Zusatzdaten wie Schlagwörtern, Kategorien, Metadaten aller Art – in der Datenbank umfasst in diesem Moment 21,1 MiB, dazu wurden 153 MiB weitere Daten (hauptsächlich Bilder) hochgeladen. Wenn ich für dieses Blog „nur“ zwei GiB zur Verfügung hätte, dann hätte ich in diesen achteinhalb Jahren lediglich ein Zehntel davon belegt. Kein Mensch bekommt leicht ein Gibibyte voll! Es ist verdammt viel Platz!

Aus aktuellem Anlass: mTAN-Phishing

Dienstag, 23. Juni 2015

Ein aktueller Hinweis auf einen Artikel bei Heise Online – ich selbst habe die Spam noch nicht gesehen und kann mir gut vorstellen, dass es sich um eine personalisierte¹, „gut“ gemachte Spam handelt, die vor allem Kunden zu Gesicht bekommen:

mTAN-Trojaner hat es erneut auf Android-Nutzer abgesehen

Gefälschte E-Mails im Namen der Postbank machen aktuell die Runde und fordern Nutzer dazu auf, eine SSL-Zertifikat-App zu installieren

Das ist mal etwas deutlich anderes als „Bestätigen sie ihre Information weil… ähm… wissen schon, wegen der Sicherheit“ und der Aufforderung, einer „Bank“ auf einer obskuren Website alles noch einmal zu sagen, was die Bank schon längst weiß.

Ich kann mir kaum vorstellen, dass diese Form des Phishings erfolgreich sein könnte, aber wenn ich nur etwas länger drüber nachdenke, gilt das für beinahe jeden Betrug, den ich jeden Tag zu Gesicht bekomme. Leider fällt immer wieder jemand darauf herein.

Deshalb noch einmal ganz klar für jeden Menschen zum Mitschreiben, Merken und Mitteilen: Wenn ihre Bank sie in einer E-Mail dazu auffordert, eine App für ihr Smartphone oder Tablet aus einer unbekannten Quelle zu installieren, rufen sie sofort den Kundendienst ihrer Bank an und fragen sie so deutlich und genervt wie nur irgend möglich, was die Technik-Spezialexperten bei ihrer Bank geraucht haben, um diese Idee zu entwickeln! Vielleicht bekommen sie ja etwas von diesem tollen Kraut ab… 😉

Etwas weniger flappsig gesagt: Wenn sie wirklich Kunde bei einer Bank sind, die allen Ernstes von ihnen einfordert [!], dass sie aus Sicherheitsgründen [!!] Apps für Smartphone und Tablet aus unbekannter Quelle [!!!] installieren, um „Online-Banking“ betreiben zu können [!!!!], dann wechseln sie sofort fristlos die Bank und stellen sie ihrer jetzigen Bank sämtliche ihnen dabei entstehenden Kosten in Rechnung² und überlegen sich schon einmal in aller Ruhe eine Schadenersatzforderung für den sonstigen ihnen entstehenden Aufwand! Es handelte sich bei einem solchen Schritt nur um eine Maßnahme zum Selbstschutz vor den Folgen der Organisierten Kriminalität im Internet. Die Bank, bei der sie Kunde sind, setzte ihre Sicherheit nämlich grob fahrlässig aufs Spiel, und sie hätte damit jede Vertrauensgrundlage für irgendein Vertragsverhältnis zerstört.

Ich hoffe aber, dass kein wirkliches Kreditinstitut jemals auf eine dermaßen dämliche, solches Phishing geradezu mit dem Megafon herbeirufende und den Kriminellen offen zuarbeitende Idee käme. Und deshalb sind sie vermutlich gut beraten, solche Spam einfach unbesehen zu löschen, genau so, wie auch die anderen Phishing-Spams.

Ich muss allerdings eingestehen, dass die meisten Banken noch nicht einmal dazu bereit sind, ihre E-Mail digital zu signieren, so dass die Kunden überhaupt erst die Möglichkeit hätten, den Absender und den unveränderten Inhalt einer E-Mail „der Bank“ zu überprüfen. Und das, obwohl diese defensive Maßnahme, die jedes Phishing erschwerte, im Betrieb keinen Cent Geld kostete, in der technischen Einrichtung aus der Portokasse bezahlbar wäre und die gesamte dafür erforderliche Technik kostenlos und frei zur Verfügung stünde. Von daher würde mich auch eine weitergehende, grob fahrlässige Dämlichkeit bei einigen Banken nicht überraschen. Vielleicht sollten sie das ihrer Bank auch mal deutlich mitteilen. Damit es besser wird. Damit es weniger Arbeit für die Kriminalpolizei gibt. Damit es weniger Geldwäsche über fremde Konten gibt. Damit es weniger Betrug gibt. Damit weniger Opfer der Internet-Kriminalität ihre Geschichte bei der Polizei oder gar vor einem Untersuchungsrichter erklären müssen, weil sie als Kontoinhaber ins Visier der Ermittler geraten sind. Für die Bank kostenlos. Für alle anderen Menschen – ja, fast jeder kann vom Betrug betroffen sein – eine Verbesserung des Lebens.

Auf diesem trüben Hintergrund würde es mich nicht wundern, wenn diese interessante (und für mich neue) Form des Phishings darauf zurückginge, dass einige Banken ihren Kunden sehr ähnliche Zumutungen aufbürdeten.

¹Nach den diversen Datenlecks der letzten Jahre haben die Verbrecher sehr viel Material, um sehr gezieltes Phishing zu machen, wenn sie wollen.

²Dies versteht sich als lebenspraktischer Ratschlag, der dem „gesunden Menschenverstand“ folgt, nicht als juristische Beratung.

„Sourcepoint Surfer“: Ein Kommentar

Samstag, 20. Juni 2015

Nein, es geht hier nicht um eine Spam, sondern um eine aktuelle Meldung auf Heise Online, die ich hier nur in ihren wesentlichsten Bruchstücken zitiere:

Ein ehemaliger Google-Mitarbeiter will mit einem neuen Startup namens Sourcepoint Surfer dazu bringen, sich freiwillig Werbung anzusehen. Dabei setzt er vor allem auf Dialog und gegenseitiges Verständnis, aber auch auf das technische Umgehen von Adblockern, wenn diese trotz Opt-in eingeschaltet bleiben […] Barokas findet mitunter harte Worte für das technische Unterbinden von Werbeeinblendungen und nennt den Vorgang „Erpressung“ […] Sollte ein Leser diesem Opt-in-Modell jedoch zugestimmt haben, wäre das fortgesetzte Blockieren von Werbung zumindest auf dieser Webseite nach Barokas‘ Ansicht „illegal“

Was ich zu Adblockern zu sagen habe, habe ich bereits am 13. Mai 2013 aus einem konkreten Anlass heraus gesagt und werde es hier nicht wiederholen. Im soeben verlinkten Artikel habe ich auch klar formuliert, dass es sich bei den von Drittanbietern eingebetteten „Ads“ um einen durchaus häufigen und ausgesprochen gefährlichen Transportweg von Schadsoftware handelt, dass Adblocker deshalb als eine elementare Sicherheitssoftware – wichtiger noch als ein Antivirusprogramm, weil die Übernahme des Computers an der Wurzel verhindert werden kann, ohne dass krimineller Code erst auf den Rechner kommen muss, und dies selbst noch für Schädlinge, die von Antivirusprogrammen noch nicht erkannt werden – zu betrachten sind und unter welchen Umständen und in welcher technischen Darreichungsform eingeblendete Werbung zur Finanzierung von Internet-Angeboten überhaupt erst diskutabel wird. Nichts daran hat sich geändert. Und die ätzende Polemik in diesem Artikel ist heute noch genau so angemessen wie vor zwei Jahren.

Stattdessen werde ich auf den Versuch eines Dienstleisters für Unternehmen ohne seriöses Geschäftsmodell – der Versuch, Profit über die Vergällung erwünschter Inhalte mit im Regelfall unerwünschten, gleichermaßen die Privatsphäre als auch die Computersicherheit gefährdenden „Inhalten“ zu erwirtschaften, ist weder seriös noch dauerhaft tragfähig – eingehen, der scheinbar die „Dienstleistung“ anzubieten beabsichtigt, Menschen etwas aufzuzwingen, was sie aus gutem Grund nicht wollen.

Nun, ich fasse mich kurz. (Ich hätte beinahe geschrieben: Ich komme zum Ende.)

  1. Kriminell sind nicht die Menschen, die mit einem Adblocker sicherstellen, dass von ihnen erwünschte Inhalte nicht durch unerwünschte, die Privatsphäre und die Computersicherheit gefährdende Zusatzinhalte von dubiosen Drittanbietern „vergällt“ werden, sondern diejenigen Betreiber von Websites, die Werbung von Drittanbietern in ihre Websites einbetten. Das klandestine, site-übergreifende Tracking und Anlegen von pseudonymen, mit weiteren Daten eventuell persönlich zuzuordnenden Surfprofilen ist ein Ausspähen von Daten, das lt. Heise-Bericht von „Sourcepoint Surfer“ mit kriminellen Programmiertricks versuchte Überwinden technischer Schutzmaßnahmen ist eine Computersabotage, desgleichen ist der immer wieder vorkommende Transport von Schadsoftware über eingebettete Ads von Drittanbietern eine Computersabotage, meist in Tateinheit mit gewerbsmäßigem Betrug zu ihren Lasten. Der von „Sourcepoint Surfer“ angebotene „Opt-In“ dürfte angesichts dieser Tatsachen juristisch unwirksam sein, denn ich darf auch nicht in ihre Wohnung einbrechen, nur, weil ich ihnen unter Ableiern vorsätzlich irreführender Phrasen ein Einverständnis mit einem schweren Diebstahl abgerungen habe.
  2. Erpresserisch ist es keineswegs, wenn man als Internetnutzer selbst entscheidet, welche Inhalte man haben will und welche nicht. Es handelt sich um ganz gewöhnliche Internetnutzung. Ich glaube zum Beispiel kaum, dass sie sich von mir vorschreiben ließen, welche Websites sie jetzt besuchen sollen, und ich glaube noch weniger, dass sie sich einer spontanen Heiterkeit erwehren könnten, wenn ich diese ihre Weigerung, mir bei einem aus ihrer Sicht unsinnigen Wunsch zu folgen, als eine „Erpressung“ bezeichnen würde. Tatsächlich sind in der Bundesrepublik Deutschland Menschen schon für deutlich geringere Realitätsverluste in eine psychiatrische Klinik eingewiesen worden.
  3. Illegal ist es auch nicht, frei und freiwillig ins Internet gestellte Inhalte wahrzunehmen und zu nutzen, sondern es ist der ganze und einzige Zweck des Internet. Seit Jahrzehnten. Und es ist auch niemand dazu gezwungen, seine Inhalte frei und freiwillig in das Internet zu stellen. Daran ändert sich nichts dadurch, dass sich jemand hinstellt, die Welt mit seinem gnadenlosen Bullshit unterhält und die Nutzung frei und freiwillig ins Internet gestellter Inhalte für „illegal“ erklärt. Es bleibt Sitebetreibern übrigens unbenommen, technische Vorrichtungen zu treffen, die Besucher mit Adblockern auszusperren versuchen¹. Ich meine, dass die bloße Tatsache, dass das noch niemand ernsthaft versucht hat, deutlich genug belegt, dass selbst noch der dümmste Journalist oder Presseverleger nach kurzem Nachdenken bemerkt, dass ein solches Aussperren von Lesern, die Adblocker nutzen, wirtschaftlich dumm ist.
  4. Computersicherheit ist für jeden Menschen wichtig. Ads von Drittanbietern sind ein häufiges Einfallstor für Schadsoftware, und zwar selbst auf renommierten Websites, denen die meisten Menschen vertrauen. Wer zum Abschalten des Adblockers aufruft, der solche Angriffe an der Wurzel unterbindet, ist nicht anders als jemand, der sie auffordert, dass sie ihr Antivirusprogramm abschalten und/oder ein Loch in ihre Firewall bohren, nur, damit sein Geschäftsmodell besser läuft. Ich hoffe, sie kommen niemals auf die Idee, einer solchen Aufforderung Folge zu leisten.
  5. Privatsphäre ist für viele Menschen wichtig. Das site-übergreifende Tracking und damit das systematische Ausspähen von Neigungen und Interessen durch Ads von Drittanbietern ist eine große Gefahr für die Privatsphäre. Wie würden sie es finden, wenn ihnen ein Stalker nachstellte, der große und wichtige Teile ihres Daseins auskundschaftet? Genau so ein Stalker ist die Werbeindustrie im Internet.
  6. Bullshit ist kein Ersatz für ein seriöses Geschäftsmodell. Auch dann nicht, wenn der Bullshit von einem früheren Google-Mitarbeiter – man beachte: Google ist der größte Werbevermarkter der Welt, der übrigens selbst schon Schadsoftware ausgeliefert hat – ausgesprochen wird, um Menschen durch systematische und medial unterstützte Ausbreitung von Furcht, Ungewissheit und Zweifel daran zu hindern, ihren persönlichen Lebensbereich vor grenzkriminellen bis offen verbrecherischen Methoden der Werbewirtschaft und der Organisierten Internet-Kriminalität zu schützen.

Ende der Mitteilung.

tl;dr – Verwenden sie niemals einen Browser ohne aktivierten Adblocker! Es ist nicht nur ihr Recht, es ist angesichts der gegenwärtigen Internet-Kriminalität sogar ihre Pflicht! Egal, was irgendwelche unseriösen Klitschen PResseerklären lassen! Danke.

¹Ebenso bleibt es Sitebetreibern übrigens unbenommen, nach einem seriöseren Geschäftsmodell als der Vergällung der ins Internet gestellten erwünschten Inhalte durch im Regelfall völlig unerwünschte Ads von Drittanbietern zu suchen.

Elias Schwerdtfeger new incoming video mail outbreaks

Donnerstag, 4. Juni 2015

Screenshot der Spam mit dem Text 'new incoming video mail', einem nicht funktionierendem Link 'Description', ein paar völlig sinnfreien technischen Angaben und einem großen, grünen Button 'Play' von '© 2015 All Rights Reserved'

Oh, eine Videomail über das Videomailsystem der bekannten Firma „All Rights Reserved“. Sehr überzeugend! 😀

Wer bei dieser Spam auf „Play“ klickt, hat verloren.

Der Link auf dem „Play-Button“ führt zunächst auf eine nicht vorhandene Unterseite eines offenbar von Crackern übernommenen russischsprachigen Blogs, dort gibt es – offenbar konnten die Cracker den Webserver konfigurieren und eine eigene Fehlerseite hinterlegen – eine vollständig sinnlose Seite (so etwas habe ich schon öfter gesehen), deren einziger Zweck eine Javascript-Weiterleitung auf eine andere Seite ist. Die Spammer haben sich übrigens die Mühe gemacht, jedesmal anderes Javascript und andere „Inhalte“ auszuliefern, um eine automatische Erkennung ihrer kriminellen Sabotageversuche zu unterbinden.

Nach ein paar weiteren Weiterleitungen gibt es einen… ähm… „kostenlosen Sicherheitscheck“ des verwendeten Browsers und aller seiner Addons von Schwerkriminellen, die auf neuestem technischen Stand sind. Wenn dabei irgendeine ausbeutbare Lücke gefunden wurde, dann steht hinterher ein Computer anderer Leute auf dem Schreibtisch.

Wer auf einen derartigen Link geklickt hat, sollte sich unbedingt auf einem sauberen Computer das bootfähige Image des Antivirus-Unternehmens seiner Wahl herunterladen, damit eine DVD brennen oder einen bootfähigen Speicherstick machen, den Computer damit hochfahren und das System überprüfen, ohne das überprüfte Betriebssystem selbst zu verwenden. Am sichersten ist es, den möglicherweise infizierten Rechner ein, zwei Tage lang gar nicht zu benutzen, damit eventuell installierte Schadsoftware gegen aktualisierte Signaturen geprüft werden und erkannt werden kann.

Wichtiger Hinweis zum Selbstschutz: Ein effizienter und im Gegensatz zu Antivirus-Schlangenölen – die ja immer nur gegen bereits bekannte Schadsoftware helfen – hochwirksamer Schutz gegen derartige Machenschaften ist es, wenn man nicht jeder Website das Ausführen von Javascript gestattet. Das Browser-Addon NoScript ist eine unverzichtbare elementare Sicherheitssoftware, die jeder Webnutzer installieren sollte. Es ermöglicht in bequemer Weise, Javascript nur für diejenigen Websites freizuschalten, denen man vertraut. Eine derartige Überrumpelung wird damit an der Wurzel unterbunden, und nicht erst, wenn Schadcode auf dem Rechner gelangt ist – und wenn derartige „Benachrichtigungen“ einmal besser gemacht werden, kann diese Art von Spam sehr gefährlich sein.

Warum man E-Mail-Anhänge nur noch mit der Kneifzange anfasst

Donnerstag, 28. Mai 2015

Keine Spam, sondern „nur“ ein Link zu einem Artikel über den aktuellen Schadsoftware-Wahnsinn auf Heise Online:

Ein Dienst im Tor-Netzwerk generiert kostenlos maßgeschneiderte Krypto-Trojaner. Und das ist erschreckend einfach: Nach einer kurzen Registrierung fragt der Dienst nur noch, wie viel Lösegeld der Tox gekaufte Trojaner [sic!] von seinen zukünftigen Opfern erpressen soll. Optional kann der angehende Online-Ganove noch eine persönliche Botschaft eingeben, die nach der Infektion angezeigt wird. Ist das kurze Formular ausgefüllt, generiert der Dienst den individuellen Schädling und der Download startet. Es handelt sich um eine .scr-Datei mit Word-Icon.

Hauptverbreitungsweg für diese Pest sind E-Mail-Anhänge. Das Antivirus-Schlangenöl ist regelmäßig machtlos, weil es bei der Überprüfung nur mit Mustern bekannter Schadsoftware abgleicht.

Es gibt gegen diese kriminelle Pest nur einen sicheren Schutz, und der hat wenig mit dem Computer und darauf laufender Software, aber dafür viel mit dem Gehirn des Menschen am Computer zu tun: Äußerste Vorsicht im Umgang mit E-Mail-Anhängen. Niemals einen Mailanhang öffnen, dessen Zusendung nicht explizit vorher abgesprochen wurde! Das gilt auch für scheinbar sichere Dokumentformate wie PDF¹. Wenn der Anhang aus einer Datei besteht, die in einem ZIP-Archiv verpackt wurde, handelt es sich beinahe immer um Schadsoftware – mit der Verwendung eines Archivformates versuchen die verbrecherischen Spammer, eine Erkennung der Schadsoftware mit Antivirus-Schlangenölen auf den Mailservern zu erschweren. Und selbst dann vorsichtig bleiben, weil der Absender einer E-Mail beliebig gefälscht sein kann. Um sicher zu gehen, von wen eine Mail wirklich kommt, helfen nur digitale Signaturen zu jeder einzelnen Mail – eine Technik, die fertig ist und seit zwanzig Jahren darauf wartet, einfach nur noch benutzt zu werden. Die Software dafür ist übrigens nicht nur kostenlos, sondern frei.

Ein aktuelles und typisches Beispiel dafür, mit welchen Tricks die Verbrecher die Empfänger ihrer Spam zum Öffnen der Anhänge „motivieren“ wollen, findet sich im Ratgeber Internetkriminalität des LKA Niedersachsen.

¹Es war eh relativ dumm von diesen kriminellen Geschäftemachern, ein Word-Piktogramm zu verwenden. Einem PDF wird viel mehr „vertraut“.

Verdächtige Zahlung erkannt

Dienstag, 18. November 2014

Wie die Kriminellen mit den ganzen abgegriffenen Daten aus den Datenlecks diverser Unternehmen machen? Zum Beispiel gefährliche, personalisierte Betrugsmaschen. So sieht etwa eine gut gemachte, personalisierte Phishing-Spam aus:

Screenshot der Phishing-Spam

Zugegeben, der Text ohne das Layout wirkt gar nicht mehr so großartig:

Liebe/r Frank xxxxx,

Durch das von uns entwickelte System zur Erkennung von Betrugsversuchen was unter anderem Ihren Standort der Bezahlvorgänge miteinander vergleicht, war es uns nicht möglich diesen Vorgang eindeutig Ihrem Handeln zuzuordnen.

Bei der letzten Überprüfung ihres Accounts sind uns ungewöhnliche Aktivitäten aufgefallen, im Bezug auf ihre hinterlegten Zahlungsmittel und ihr Zahlverhalten.
Bitte bestätigen Sie ihre hinterlegten Informationen, damit sie ihren Account wieder in vollem Umfang nutzen können.

Klicken sie hier um ihre Daten zu bestätigen

Der Link zum „Bestätigen der Daten“ – übrigens wird weder Amazon noch irgendein anderer Internetanbieter jemals seine Kunden dazu auffordern, aus angeblichen Sicherheitsgründen Daten anzugeben, die dort schon längst bekannt sind, es sei denn, es handele sich um Passwörter, Sicherheitsfragen oder dergleichen – geht natürlich nicht zu amazon (punkt) de, sondern nach einem Umweg über einen URL-Kürzer in die Subdomain amazon der Domain de (strich) webapps (strich) online (punkt) net, die gestern erst über einen Whois-Anonymisierer aus dem sonnigen Panama registriert wurde und die vorsätzlich den Eindruck erwecken soll, eine Domain von Amazon zu sein. Alle Daten, die man dort eingibt…

Erste Stufe der Phishing-Site, Eingabe von Mailadresse und Passwort

…wie zum Beispiel eine Kombination aus Mailadresse und Passwort (die bei vielen Menschen zur Anmeldung an diversen Diensten verwendet werden kann, aber auch so die Übernahme des Amazon-Kontos ermöglicht) und…

Zweite Stufe der Phishing-Site, Eingabe der Postanschrift, der Telefonnummer, des Geburtsdatums und der Kreditkartendaten

…die Postanschrift, die Telefonnummer, das Geburtsdatum und die Kreditkartendaten gehen direkt zu Kriminellen, die damit ganz sicher allerlei „Geschäfte“ machen werden.

Ich finde es immer wieder erstaunlich, wie viel überzeugender eine Phishing-Spam aussieht, wenn sie eine persönliche Ansprache des Empfängers hat. Wer nicht – wie Frank, der mir dieses Machwerk zugesteckt hat – gewohnheitsmäßig vor jedem Klick erstmal in die Statuszeile seiner Mailsoftware schaut, um zu sehen, wo der Link überhaupt hingeht, kann „im Eifer des Gefechts“ auf so eine Mail durchaus reinfallen.

Selbstschutz vor Phishing

Deshalb ist es wichtig, sich so gut wie möglich vor Phishing zu schützen. Das ist viel einfacher, als die meisten Menschen glauben:

  1. Immer aufmerksam bleiben! Vor allem, wenn es um Geld geht! Genau hinschauen! Nachdenken! Nicht klicken, ohne nachgedacht zu haben! Nichts ist so eilig, dass nicht fünf Minuten Zeit wären.
  2. Immer daran denken, dass die Absenderadresse einer E-Mail beliebig gefälscht sein kann! Niemals vom Design einer E-Mail verblenden lassen, denn das ist auch beliebig aus anderen E-Mails kopierbar! An einer E-Mail, die nicht digital signiert ist, gibt es (fast) nichts, woran sich überprüfen ließe, ob sie wirklich vom angegebenen Absender kommt – und der mögliche Blick in die Mailheader mit anschließender Prüfung einer IP-Adresse ist für Laien… ähm… etwas abschreckend.
  3. Beim E-Mails, die zu „Sicherheitsüberprüfungen“ mit „Bestätigung von Daten“ auffordern, diese Aufmerksamkeit noch verdoppeln. Auch, wenn es nicht um Geld geht. Es bringt für die Sicherheit nach einem „Hack“ objektiv nichts, wenn noch einmal längst bekannte Daten angegeben werden, und kein Anbieter wird seine Nutzer oder Kunden dazu auffordern. Jemand, der zum Beispiel ein Amazon-Konto kriminell übernommen hat, kann nicht nur alle diese Daten lesen, sondern sie sogar ändern. Das gleiche gilt für Bankkonten und Accounts bei Webdiensten und auch sonst überall.
  4. Bei regelmäßig benutzten Websites wie Social-Media-Sites, Webshops, Händlern, Banken angewöhnen, niemals die Seite zu besuchen, indem man in eine E-Mail klickt! Immer über den Browser gehen! So folgt man (zumindest nicht so einfach) falschen Links, und eine wichtige Mitteilung wird auch nach einer Anmeldung auf der Amazon-Site präsentiert werden¹.
  5. Mailadressen kosten nichts, und deshalb unbedingt für jeden Dienst, der eine Registrierung mit Mailadresse erfordert, eine eigene Mailadresse benutzen. Den zwei Minuten Aufwand für die Einrichtung einer Mailadresse steht ein erheblicher Zugewinn an Sicherheit gegenüber. Eine Phishing-Mail an eine falsche Adresse kann nicht erschrecken und dadurch zu übereilten Reaktionen führen. Und wenn doch einmal eine dieser Mailadressen durch eines der vielen Datenlecks im Lande des nicht wirklich durchgesetzten und beim Scheitern mit keinem Haftungsrisiko für den Datensammler verbundenen „Datenschutzes“ in kriminelle Hände gerät, bleibt der Rest unkompromittiert, so dass es auch einfach und ohne „Nebenwirkungen“ möglich ist, die unbrauchbar gewordene Mailadresse stillzulegen.
  6. Natürlich sollte nicht überall das gleiche Passwort verwendet werden. Und es sollte niemals vergessen werden, was die wichtigste Regel für Passwortsicherheit ist.
  7. Und: Immer aufmerksam bleiben, wenn man über ein anonymisierendes Medium wie dem Internet mit Geld umgeht! Auch bei Übermüdung, Eile, Streit, Stress, ernsthaften Problemen. Auch, wenn man glaubt, dass man etwas inzwischen schnell und nebenbei erledigen kann. Immer aufmerksam bleiben! Nicht überrumpeln lassen! Keine Panikreaktionen wegen einer Mail! Phishing funktioniert selbst bei schlechter Präsentation viel zu häufig, und es gibt inzwischen auch recht „gut“ gemachte Phishing-Mails.
  8. Schließlich: Angesichts der diversen Datenlecks, bei denen auch Telefonnummern in die Hände von Verbrechern gerieten, auch am Telefon aufmerksam bleiben. Es ist nur eine Frage der Zeit, bis die Phisher dazu übergehen, einfach anzurufen und die Daten – „Wir haben gerade einen Angriff auf ihr Konto“ – nach gezielt ausgelöster Panik telefonisch abzufragen. Dabei immer darüber klar sein, dass die angezeigte Telefonnummer des Anrufers ebenfalls gefälscht werden kann!

Internet! Vor jedem Klick auf einen Link: Gehirn bentzen!

¹Natürlich kann der verwendete Rechner mit einem Trojaner befallen sein, der den gesamten Netzwerkverkehr manipuliert, aber dann ist Phishing das kleinste Problem…