Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Kategoriearchiv „Informatives“

Warum Adblocker auch weiterhin unverzichtbar sind…

Montag, 22. September 2014

Warum Adblocker im Browser auch weiterhin eine unverzichtbare Sicherheitssoftware sind, vollkommen unabhängig davon, dass einige Websitebetreiber ihre Leser und Nutzer immer wieder einmal zum Abschalten derartiger Sicherheitssoftware auffordern? Das beleuchtet unter anderem die heutige Horrormeldung auf Heise Online:

Das große Werbenetzwerk Zedo und die Google-Tochter Doubleclick sollen nach Angaben eines Antivirenherstellers fast einen Monat lang Schadcode über ihre Werbung verteilt haben

Von einem solchen gelungenen Angriff der Schadsoftware-Verbrecher auf einen großen Ad-Vermarkter ist natürlich ein sehr großer und für viele Menschen vertrauenswürdiger Teil des Internet betroffen, und es ist deshalb auch davon auszugehen, dass die Kriminellen sich in bei einer solchen Möglichkeit ganz besonders große Mühe geben, einen Schadcode zu verwenden, der von der Mehrzahl der Antivirus-Schlangenöle nicht erkannt wird. (Diese erkennen nur bekannten Schadcode, und es ist oft möglich, sie durch triviale Änderungen auszutricksen.) Je geringer die Erkennung, desto länger gibts den bequemen Infektionsweg über namhafte und angesehene Websites.

Und deshalb sollten sie immer, ohne eine einzige Ausnahme, auf jeder Website, die sie besuchen, einen wirksamen Adblocker einsetzen, der diesen ansonsten sehr gefährlichen Infektionsweg an der Wurzel unterbindet – und dabei ganz nebenbei das Web schneller und schöner macht. Wenn sie noch mehr Sicherheit haben möchten und sich nicht daran stören, dass sie für einige Websites Privilegien von Hand gewähren müssen, die ansonsten der Browser automatisch für sie gewährt, dann installieren sie zusätzlich NoScript und gehen sie sehr sparsam mit dem Recht für Websites um, Skripten im Browser auszuführen. Ein „Einfangen“ von Schadsoftware über den Browser ist dann sehr sehr unwahrscheinlich geworden und nur noch über ausgebeutete Programmierfehler im Browser möglich. (Deshalb sollte immer ein aktueller Browser verwendet werden.) Wenn der Autor bei Heise Online schreibt, dass ein aktueller Virenscanner den Angriff wahrscheinlich in fast allen Fällen verhindert hätte, ohne auch nur ein paar Codefragmente gegen zum Angriffszeitpunkt aktuelle Virenscanner zu überprüfen, so kann ich ohne Rückgriff auf einschränkende Wörter wie „wahrscheinlich“ entgegnen: Ein Adblocker hätte diesen Angriff ganz sicher überall dort verhindert, wo er verwendet worden wäre und keine Ausnahmen beim Blocken konfiguriert wurden! Da es hier um Doubleclick-Anzeigen geht, kann ein derartiger Angriff beinahe auf jeder Website laufen, auch auf der Website ihrer Lieblingszeitung! Oder auf der Website von Heise Online, genau dort, wo auf ein schweres, die Computersicherheit von Lesern gefährendes Problem beim Ad-Vermarkter Doubleclick gemeldet wird:

Screenshot meines Editors mit dem Seitenquelltext der oben verlinkten Meldung auf Heise Online. Gezeigt wird der Ausschnitt des Quelltextes, der über JavaScript ein Ad von Doubleclick einbettet.

Die Frage, wie viel ihre Computersicherheit dort wert ist, wo „Content“ durch Werbeeinblendungen monetarisiert werden soll, hat sich damit hoffentlich geklärt.

Und ja! Wenn sie das ausschließliche Surfen mit Adblock Edge und NoScript mit einer großen Vorsicht beim Öffnen von E-Mail-Anhängen verbinden, haben sie mehr Schutz vor „Infektionen“ aus dem Internet, als ihnen jedes Antivirus-Programm zeitgenössischer Machart gibt oder überhaupt geben kann. Das Problem einer möglichen Übernahme des Rechners durch „verseuchte“ USB-Geräte und dergleichen wird allerdings so nicht gelöst… hier müssen sie entweder eine strikte Keuschheit des Computers durchsetzen (schwierig!), doch auf Antivirus-Schlangenöl zurückgreifen, um überhaupt etwas Schutz zu haben oder aber lernen, wie sich die vielen „bequemen“ Automatismen ihres Betriebssystems beim Anstecken eines Speichersticks abstellen lassen und ein paar Einstellungen vornehmen. Ich bin mir jedenfalls sicher, dass sie es im Alltag nicht benötigen, wenn ohne ihr Zutun Code auf einem Speicherstick oder einer angesteckten Kamera im Hintergrund ausgeführt wird. Niemand benötigt das. Ein paar Klicks sind nicht so schwierig, dass sie einem abgenommen werden müssten. Eventuelle Hassmails in dieser Sache bitte an Microsoft senden, den Hersteller des beliebtesten Betriebssystemes der Organisierten Kriminalität.

Elias Schwerdtfeger 1 messages marked as unread interpol

Dienstag, 5. August 2014

Wichtiger Hinweis vorweg: Diese E-Mail kommt nicht von Facebook. Es handelt sich um eine ziemlich gefährliche Spam.

Facebook-Logo -- Here's some activity you may have missed -- 1 Messages marked as unread -- Button: View Messages, Button: See all notifications -- The message was send to xxx. If you don't want to receive these messages in the future, please unsubscribe

Anders, als man auf den ersten Blick meinen möchte, geht es hier nicht um Phishing.

Es ist völlig gleichgültig, ob man auf die ungelesene Nachricht, auf „View Messages“, auf „See All Notifications“ oder „unsubscribe“ klickt. Alle Links führen auf die selbe URL, und zwar auf eine hochgeladene PHP-Datei in einer mutmaßlich gecrackten WordPress-Installation eines unbeteiligten Dritten.

Wer darauf klickt, bekommt dafür… ähm… einen kostenlosen, in JavaScript, Java, Flash, präparierten PDF-Dokumenten und missbrauchtem CSS gecodeten Sicherheitscheck seines Browsers, seiner Plugins und seines Betriebssystems. Wenn diese automatische Überprüfung des Computers durch Kriminelle eine ausbeutbare Lücke zeigt, steht hinterher ein Computer anderer Menschen auf dem Schreibtisch, und was dieses Pack dann damit anfängt, kann keinem gefallen. Da es sich um sehr aktuelle Schadsoftware handelt, dürften die meisten Antivirus-Schlangenöle bei der Erkennung versagen.

Deshalb ist es wichtig, solche Spam als Spam zu erkennen. Es gibt hier mehrere Punkte, die sofort Verdacht erwecken sollten, obwohl es eine Ansprache mit korrektem Namen gab:

  1. Die Sprache stimmt nicht. Wenn ich bei Facebook wäre – was ich allein deshalb nicht bin, weil Facebook in seiner Aufbauphase versucht hat, neue Nutzer mit asozialer und illegaler Spam anzuwerben – dann würde ich natürlich Deutsch einstellen und bekäme derartige Mail von Facebook auch in Deutsch.
  2. Die (gefälschte) Absenderadresse liegt nicht in der Domain von Facebook. Das war sehr dumm vom Spammer und hat es möglich gemacht, diesen Dreck sicher als Spam zu erkennen, ohne lange hineinzuschauen.
  3. Wenn man mit der Maus über einen der Links geht, sieht man in der Statuszeile seiner Mailsoftware, wo der Link hinführt. Dabei wird sofort klar, dass es kein Link in die Website von Facebook ist. Und das sollte bei so einer Mail sämtliche Alarmglocken klingeln lassen. Ein kleiner Blick auf die Statuszeile vor der Klick auf einen Link ist sehr wichtig, denn eine Fahrt ins Blaue macht nur in einem Umfeld Spaß, in dem es nicht derartige Verbrecher gibt.

Darüber hinaus verhindert die Verwendung des Browser-Addons NoScript derartige Angriffe an der Wurzel, indem die Ausführung aktiver Inhalte (JavaScript, Plugins) unterdrückt wird. Der relativ geringe Aufwand, einige vertrauenswürdige Websites einmalig freizuschalten, mag zwar nerven, aber zur Belohnung dafür gibt es ein Maß an zusätzlicher Browsersicherheit, das durch kein Antivirus-Schlangenöl erreicht werden kann. Mit Leichtigkeit kann wochen- oder gar monatelanger Ärger durch Datenverluste, Erpressungsversuche, überwachtes und manipuliertes Online-Banking, Missbrauch des Computers und der Internetleitung für kriminelle Aktivitäten und Spamversand und dergleichen vermieden werden. Die Installation von NoScript im Browser ist – neben der Verwendung eines wirksamen Adblockers – eine elementare Sicherheitsmaßnahme, wesentlich wichtiger und wirksamer als ein so genannter Virenscanner. Die Frage, warum eine derart wichtige Funktionalität nicht zum Standardumfang gehört¹, stellen sie bitte dem Browserhersteller ihres Vertrauens! Aber nicht darüber wundern, dass man beim von halbseidenen Reklame- und Tracking-Firmen wie Google finanzierten Firefox-Projekt ganz andere Vorstellungen hat, auch wenn das auf Kosten der Computersicherheit der Nutzer geht.

¹In früheren Opera-Versionen konnte man etwa relativ bequem JavaScript ausschalten und seitenspezifisch wieder einschalten.

Bestellnummer 37862105779

Montag, 2. Juni 2014

Die Nummer ist in jeder Mail anders, auch die anderen Zahlen und der eine oder andere kleine Textbestandteil. Es werden ständig andere gefälschte Absenderadressen verwendet. Meine Exemplare kamen alle von einer dynamischen IP-Adresse eines italienischen Zugangsproviders, also nicht von einem gewöhnlichen Mailserver, sondern von einem mit Schadsoftware übernommenen Privatrechner. Oder anders gesagt: Es handelt sich hier um die Mail von Kriminellen, die mit Schadsoftware übernommene Privatrechner für ihre Kriminalität benutzen.

Vielen Dank dafür, dass Sie Dienste unseres Geschäfts ausnutzen [sic!]!

Das pseudohöfliche „Vielen Dank“ soll darüber hinwegtäuschen, dass der angebliche Kunde, der die „Dienste unseres Geschäftes“ ausnutzt, keinen Namen hat, und…

Ihre Bestellung #37862105779 wird 07-06-2014 verschickt werden.

…die Bestellnummer so wie die anderen Nonsens-Daten…

Datum: 02-06-2014 15:35:17
Summe: €155.34
Bezahlungstyp: Kreditkarte
Transaktionsnummer: FB6732282B

…sollen mit viel sinnlosem Text die Spam füllen, ohne irgendeine aus Kundensicht relevante Information zu geben – also die Frage zu beantworten, was da bei wem bestellt wurde, wann dies geschah und wohin das geliefert wird. Dies sind alles Angaben, bei denen ein echtes Unternehmen darauf achten würde, dass keine Missverständnisse aufkommen können. Auch auf die Angabe der Kreditkartennummer wird verzichtet. Stattdessen gibts eine lustige Tasse Buchstabensuppe als angebliche „Transaktionsnummer“.

Warum das so ist?

Na, weil jede dieser Informationen jedem Empfänger sofort klar machen würden, dass alles in dieser Spam Unsinn ist, der nichts mit irgendeiner Bestellung zu tun hat. Und dann würde die Spam wohl einfach lachend gelöscht. Das will der Spammer freilich nicht, er will stattdessen…

Die Gesamtrechnung werden Sie in der Datei buchung6755.zip finden

…dass das angehängte ZIP-Archiv aufgemacht wird, in dem sich nicht etwa ein Dokument, sondern eine ausführbare Binärdatei für Microsoft Windows, die von Verbrechern zugestellt wurde befindet – leicht an der Dateinamenserweiterung .exe zu erkennen, wenn man diese im Windows Explorer anzeigen lässt¹.

Wer es immer noch verstanden hat: Es handelt sich um eine Kollektion aktueller Schadsoftware. Zurzeit wird diese Schadsoftware von nur einem Antivirusprogramm aus einer Liste von 53 Antivirusprogrammen erkannt. (Ich habe dieses Ergebnis mal durch einen Screenshot dokumentiert, falls mir eine Woche später mal wieder niemand mehr glaubt.) Fast alle Empfänger dieses kriminellen Mists, die sich auf ihr Antivirus-Schlangenöl verlassen haben, sind verlassen und haben nach dem Starten der angehängten Schadsoftware einen Rechner anderer Leute auf ihrem Schreibtisch stehen, ohne dass es zu einem Alarm kommt – und dies völlig unabhängig davon, ob das Schlangenöl Geld gekostet hat oder nicht².

Deshalb ist es umso wichtiger, derartigen Müll selbst zu erkennen und zu löschen. Das war in diesem Fall nicht weiter schwierig. Alle Spams, die ihre Empfänger zum Ausführen von Schadsoftware überrumpeln wollen, haben folgende Merkmale:

  1. Es wird innere Unruhe erzeugt, etwa mit der Behauptung von Geldforderungen, mit angeblichen Rechnungen, Mahnungen oder mit angeblichen Rechtsangelegenheiten. Manchmal sind es auch kurze „Liebesbriefe“ oder „Gutscheine“ von Unbekannten. Eine Übersicht derartiger Maschen findet sich hier auf Unser täglich Spam unter dem Schlagwort „Schadsoftware“.
  2. Alles, was im Text der Mail über den angeblichen Sachverhalt steht, ist völlig nichtssagend und – im Falle angeblicher Mahnungen oder Rechnungen – oft einschüchternd technokratisch formuliert. (Irgendwelche Nummern, technische Angaben und dergleichen, Menschen sind in unserer Maschinerie unbedeutend, du musst unserer Maschinerie gehorchen, es ist mechanisch, ein Fehler durch menschliches Versagen ist völlig ausgeschlossen: Man beachte unter diesem Aspekt das in der vorliegenden Spam gewählte, technisch anmutende Datumsformat.)
  3. Die einzige Möglichkeit, zu erfahren, um was es eigentlich geht, liegt darin, einen Mailanhang zu öffnen.
  4. Dieser Mailanhang ist ein ZIP-Archiv. Jede E-Mail mit einem angehängten ZIP-Archiv ist gefährlich. Diese „Verpackung“ wird von den Verbrechern vorgenommen, um gefährliche Dateitypen an den Spamfiltern vorbeizumogeln.
  5. Im ZIP-Archiv liegt eine einzige Datei. Das Piktogramm der Datei sieht meistens wie ein PDF oder wie ein Word-Dokument aus, aber es handelt sich in Wirklichkeit um eine ausführbare Datei für Microsoft Windows.

Der Doppelklick auf das angebliche „Dokument“ installiert dann die Schadsoftware. Diese ist in aller Regel so „neu“ (also so aus bestehender Schadsoftware abgeleitet, dass Antivirus-Programme beim Erkennen versagen), dass es bei vielen Menschen nicht zu einer Warnung kommt.

Mit freundlichen Grüßen,
Verkaufsabteilung
Hasica Becht

Wenn das die „Freundlichkeit“ ist, will ich die Feindschaft nicht mehr kennenlernen.

Und weil diese Spammer ganz besonders asozial sind, haben sie noch eine Innovation dieser Masche im Angebot:

+49-3533-7386-xxx [von mir unkenntlich gemacht]

Ich kann nur hoffen, dass die verwendeten Telefonnummern nicht existieren – denn die armen Menschen, die sich ansonsten mit vielen hunderten erboster Anrufe herumschlagen müssten, die können mir nur leid tun.

Die asozialen und kriminellen Spammer sind freilich von solchen menschlichen Regungen unbeeinflusst. Diesem Pack ist alles egal.

¹Das ist nicht die Voreinstellung von Microsoft. Hassmails wegen dieser idiotischen Entscheidung bitte an Microsoft senden! Aber noch wichtiger: Eine bessere Einstellung machen, die sofort klar macht, dass es sich trotz des PDF-Piktogramms nicht um ein PDF handelt!

²Sorry, liebe „Spammitgenießer“ vom LKA Niedersachsen, aber euer Hinweis, dass gekaufte wirkungslose Software besser ist als kostenlose wirkungslose Software, ist ein dermaßen gefährlicher Humbug, dass mir alle Worte fehlen. Ansonsten ist euer Präventionsportal wirklich ein lobenswerter Schritt in die richtige Richtung, den ich so viele Jahre lang vermisst habe.

Das eBay-Datenleck: Ein kleiner Rückblick

Mittwoch, 21. Mai 2014

Am 13. Februar dieses Jahres vermutete ich hier auf Unser täglich Spam, dass entweder bei PayPal oder bei eBay ein Datenleck vorliegen könne, weil mir ein Fall bekannt wurde, in dem ein Mensch sehr gezielt auf zwei Mailadressen Phishing-Mails erhalten hat:

Die mir vorliegende Spam – sie wurde mir übrigens von einem Leser „zugesteckt“ – ist keine „Streumunition“, sondern sehr gezielt. Sie ging an zwei verschiedene E-Mail-Adressen, die exklusiv für PayPal […] verwendet wurden. Zudem wurden die PayPal-Konten mit den beiden verschiedenen E-Mail-Adressen gegenüber verschiedenen Geschäftspartnern auf eBay verwendet.

Eine dieser E-Mail-Adressen wurde vor kurzem stillgelegt, die andere hingegen wurde neu eingerichtet und bis zum Empfang dieser Spam nur für eine einzige Transaktion verwendet.

Diese Vermutung scheint sich heute bestätigt zu haben, denn lt. Bericht des „Spiegel“ hat bei eBay ein nennenswertes Datenleck vorgelegen, das möglicherweise „eine große Zahl“ von Nutzern betrifft:

Dabei seien persönliche Kundendaten wie Namen, verschlüsselte Passwörter, Adressen, E-Mail-Adressen, Geburtstage und Telefonnummern erbeutet worden. Offenbar konnten die Angreifer Login-Daten von Mitarbeitern abgreifen und sich so Zugang zu den Kundendaten verschaffen. Es gebe allerdings keine Anzeichen, dass die Angreifer Zugriff auf Finanzinformationen wie Kreditkarten gehabt hätten.

Es war einzelnen Betroffenen damals möglich, dieses Datenleck frühzeitig zu erkennen (und mir einen Hinweis zuzustecken), weil sie E-Mail-Adressen eingerichtet haben, die nur für eBay oder PayPal verwendet wurden, die dann für (zum Glück sehr schlechte) Phishing-Spams benutzt wurden. Diese frühe Erkennung des möglichen Problems – immerhin ganze drei Monate, bevor es von eBay offiziell eingeräumt wurde – hat überhaupt erst die Möglichkeit geschaffen, präventiv einem Missbrauch der erbeuteten Daten durch die Organisierte Kriminalität entgegenzutreten.

Und genau deshalb kann ich es jedem nur empfehlen, für jeden benutzten Dienst im Internet eine eigene E-Mail-Adresse zu verwenden und beim ersten Aufkommen von Spam diese Mailadresse stillzulegen sowie den betroffenen Account ebenfalls stillzulegen oder doch wenigstens das Passwort zu ändern und mit deutlich erhöhter Aufmerksamkeit an diesen Account heranzugehen¹. E-Mail-Adressen gibt es ohne Ende. Dieser recht kleine Aufwand kann im Falle eines derartigen Datenlecks leicht sehr viel Ärger und Geld einsparen.

Die unerfreuliche Datenschleuder-Seite mit sicher erkannten Datenlecks renommierter Unternehmen und Institutionen hat jetzt auch einen weiteren Eintrag bekommen. Wer diese immer länger werdende Liste auch nur kurz überfliegt, findet hoffentlich auch, dass sich dieser kleine Aufwand (jeweils wenige Minuten für die Einrichtung einer E-Mail-Adresse) lohnt.

Denn wer sich auf die Datenschutz-Versprechungen anderer verlässt, der ist schnell verlassen.

Nachtrag 23. Mai, 12:45 Uhr: Es waren 145 Millionen [!] Kundendatensätze. Es ist erst Mai, aber eBay ist jetzt schon ein Kandidat für die Datenschleuder des Jahres.

¹Weil bei eBay Kundenbewertungen sehr wichtig sind, kann ein Stilllegen des Accounts schmerzhaft sein.

Das Quizduell der ARD: Eine Datenschleuder

Dienstag, 13. Mai 2014

Hier geht es nicht um eine Spam, sondern um eine Frage, die sehr häufig bei Menschen aufkommt, die zum ersten Mal mit Spam konfrontiert sind: Woher haben die Spammer meine Mailadresse. Oft lautet die Frage sogar: Woher haben sie meinen Namen. Weil diese Frage so häufig ist, habe ich nur dafür eine eigene Seite in Unser täglich Spam, die mögliche Antworten auf diese Frage skizziert.

In der dort gepflegten, stets wachsenden Liste großer und mittelgroßer Datenschutzversäumnisse renommierter Firmen und Institutionen gibt es nämlich einen Neuankömmling, den ich ganz besonders „warm“ begrüßen möchte: Die Arbeitsgemeinschaft der öffentlich-rechtlichen Rundfunkanstalten Deutschlands, besser bekannt als ARD, hat 50.000 vollständige Datensätze von Handyspiel-Teilnehmern des gestrigen „Quizduells“ mit Jörg Pilawa „veröffentlicht“. Die Datensätze (Name, Anschrift, Mailadresse, Geburtsdatum) sind für einen kriminellen Identitätsmissbrauch ebenso hinreichend wie für sehr gefährliches, personalisiertes Phishing.

Eine kurze, unsachliche Stellungnahme

Wer es nicht spätestens jetzt begreift, dass Datenschutz bedeutet, gegenüber allem und jedem sparsam mit seinen persönlichen Daten zu sein, wer nicht spätestens jetzt bemerkt, dass die Datenschutzversprechungen auch renommierter Unternehmen und Institutionen nicht die Elektronen wert sind, mit denen sie durchs Internet befördert werden, der wirds vermutlich gar nicht mehr begreifen und auch weiterhin für jedes alberne Spiel mit Journaille- und TV-Hintergrund – „Oh, da kann ich ja auch was gewinnen, da mache ich mal mit“ – oder jeden Nullwertdienst eines Unternehmens ohne seriöses Geschäftsmodell einen freizügigen Datenstriptease über ein abstraktes Medium hinlegen. Es sind alles erwachsene Menschen, und ich kann auch niemanden daran hindern, so zu tun, aber mein Mitleid mit Leuten, die eine solche Haltung haben und irgendwann zu Opfern von Verbrechern werden, hält sich doch sehr in Grenzen, ja, es spukt wie der Geist eines längst entschwundenen Mitleids vor sich hin. Und jeder, der ein Internet hat und trotzdem doofblickend in die Welt sagt, dass er doch nichts von solchen Risiken gewusst habe, möge bitte vor seinem Gemaule in den Kommentaren lernen, wie man Websuchmaschinen benutzt, um sich zu informieren und sich anschließend diese Haltung angewöhnen. Und nein, in der Glotze, diesem flackernden Volksempfänger, gibt es keine Information. (Jedenfalls nicht zu Sendezeiten, die einem arbeitenden Menschen das Zuschauen ermöglichen würden.) Da gibts konzentrierte und verdummende Dummheit mit psychisch ungesunder Affektheischerei. Und zwar auf jedem stinkenden Kanal.

Ein bisschen Information zum persönlichen Datenschutz gibt es schon hier, auf meiner eigens dafür eingerichteten Seite.

Zalando und Haken Baskan? Verdächtige Zahlung erkannt?

Donnerstag, 8. Mai 2014

Hier nur ein schneller Link, weil der Text schon an anderer Stelle fertig geschrieben ist.

Was es mit der flutartig in die Postfächer strömenden „Mail von PayPal“ auf sich hat, weil eine Zahlung an Zalando mit der Lieferadresse eines angeblichen „Haken Baskan“ (nicht einmal einen richtigen türkischen Namen haben die Spammer hinbekommen) fehlgeschlagen ist, kann man bei Mimikama nachlesen.

Allein die Tatsache, dass ich das hier erwähne, macht hoffentlich schon klar, dass diese Mail nicht von PayPal kommt, sondern ganz gewöhnliches Phishing ist. Die verlinkte Website ist ein Betrug. Sie gehört nicht zu PayPal. Alles, was dort eingegeben wird – der PayPal-Login und alle weiteren Daten – geht in die Hände von Verbrechern, die dafür „Nutzungsformen“ finden werden, die niemandem gefallen können.

Bitte den Müll einfach löschen.

Schutz vor Phishing

PayPal spricht alle Kunden in echten PayPal-Mails mit ihrem Namen an. (Das ist kein sicheres Erkennungsmerkmal, aber hier hätte es funktioniert.) Und PayPal fordert niemals dazu auf, sich auf einer anderen Website als der von PayPal anzumelden oder irgendwelche Daten einzugeben, die PayPal schon längst bekannt sind. (Die Links aus Phishing-Mails gehen natürlich niemals zu PayPal.)

Fast alle angeblichen Mails von „PayPal“, die bei mir ankommen, sind Phishing-Spams. Allein das sollte Grund genug sein, niemals in eine Mail von PayPal zu klicken, sei sie eine Spam oder sei sie echt. Der ganze Schaden durch PayPal-Phishing lässt sich vollständig vermeiden, wenn man immer in die Adresszeile seines Browsers paypal (punkt) com eingibt (oder etwas unsicherer, weil durch trojanische Browser-Addons und andere Schadsoftware manipulierbar: wenn man sich ein entsprechendes Lesezeichen im Browser anlegt, über das man die Seite aufruft), statt in die Mail zu klicken. Dieser Arbeitsaufwand in der Größenordnung von Sekunden kann sehr viel Ärger, Schreibkram, unangenehme Bekanntschaft mit der Polizei und Geld ersparen – die Kombination aus geplüdertem Konto und Identitätsmissbrauch durch die organisierte Kriminalität (über die persönlichen Daten, die nach einem Paypal-Login eingesehen werden können) ist nicht lustig.

Deshalb: Niemals die Website einer Bank, eines Online-Shops oder eines ähnlichen Anbieters, wo es um Geld geht, aufrufen, indem man in eine E-Mail klickt! Diese Vorsicht ist in einer Zeit, in der die Spammer riesige Datenbanken mit Zuordnungen von Namen zu Mailadressen haben und sogar persönliche Ansprachen überzeugend hinbekommen, die wichtigste Vorbeugung, um nicht zum Opfer der Phisher zu werden – eine sinnvolle Ergänzung dazu ist es, für jeden wichtigen Webdienst eine eigene E-Mail-Adresse zu verwenden.

Ihre Online-Rechnung 0658320903 vom 18.01.2014

Dienstag, 18. Februar 2014

Hey, Spammer, wir haben inzwischen Februar!

Der Absender der Mail ist info (at) weltbild (punkt) de. Dieser Absender ist gefälscht. Die Mail kommt nicht von der Verlagsgruppe Weltbild GmbH. Es ist keine Rechnung. Es ist gefährlicher, krimineller Sondermüll.

Sehr geehrte,

Liebes Unbekannt!

zu Ihrer Kunden-Nr. 946571797 senden wir Ihnen als Anhang Ihre

Rechnung-Nr.: 1094953814
vom: 18.01.2014
zum Auftrag-Nr.: 992893312

Du hast eine Menge lustiger Nummern und bekommst Rechnungen für irgendwas, was nicht weiter erwähnt wird. Ist ja auch unwichtig, wofür man die Rechnung bekommt. Da reicht eine Nummer. Für mehr Text… ähm… war in der E-Mail gerade kein Platz mehr frei, deshalb wurden…

als pdf-Datei, welche Sie bedenkenlos öffnen und wenn Sie möchten ausdrucken können.
Die bestellten Artikel werden getrennt von dieser Rechnung geliefert.

…knapp 146 KiB an die Mail angehängt. Diesen Anhang kannst du bedenkenlos öffnen, wenn du ein Opfer werden willst, aber es handelt sich weder…

  1. …um ein PDF-Dokument, noch…
  2. …um eine Rechnung, noch…
  3. …um etwas, was man ausdrucken könnte.

Es ist ein ZIP-Archiv, in dem eine Datei liegt, deren Name auf .pdf.exe endet. Es handelt sich um ein ausführbares Programm für Microsoft Windows, das von einem Spammer unter Vorspiegelung falscher Tatsachen mit einer E-Mail mit gefälschtem Absender zugestellt wurde. Wie üblich bei dieser Masche – den Empfänger mit nichtssagenden Nonsens-Rechnungen oder Mahnungen in Aufregung versetzen, zu denen angeblich weitere Informationen im Anhang stehen, damit der Empfänger auch ja schön aufgeregt und unvorsichtig in eine Spam klickt – wurde wieder sehr aktuelle Schadsoftware verbreitet. Nur etwas mehr als ein Drittel der Antivirus-Schlangenöle erkennen diese Schadsoftware zurzeit als solche, so dass viele Menschen, die sich auf die „bequeme Sicherheit“ irgendwelcher „Schutzprogramme“ verlassen haben, nach dem Doppelklick auf die .exe ihren Computer und ihre Internetleitung an Leute übergeben haben, die besser mit einer Gefängniszelle bedient wären.

Warum noch nicht jedes Antivirus-Schlangenöl sofort und unmissverständlich Alarm schlägt, wenn sich eine Datei .pdf.exe nennt, fragen sie bitte den Schlangenöl-Händler ihres Vertrauens. Es gibt keinen legitimen Grund, mit einem solchen Dateinamenstrick einen falschen Eindruck vom Dateitypen zu erwecken. Von daher ist es erstaunlich, dass dieser Trick aus dem Spam-Neolithikum auch nach vielen Jahren noch zu funktionieren scheint.

Ach ja, und die Spammer konnten die bestellten Waren übrigens nicht an die Mail anhängen. 😀

Daten für die Überweisung finden Sie ebenfalls in der pdf-Datei

Klar, alles Informative ist im Anhang. Und in der Mail war dann kein Platz mehr dafür. Es gibt keinen vernünftigen Grund, geschäftliche Mails so zu verfassen.

Für eine bequeme Onlinebezahlung klicken Sie auf nachfolgenden Link.

https://www.weltbild.de/index.html

P.S. Zum Lesen der Rechnung benötigen Sie das Programm Adobe Reader. Falls es auf Ihrem Rechner nicht installiert sein sollte, können Sie es hier für alle Betriebssysteme kostenlos herunterladen:
http://www.adobe.de/products/acrobat/readstep.html

Und das ist auch der Grund, weshalb richtige E-Mail-Rechnungen in einer Klartext-Mail kämen. Kein Gewerbetreibender im Internet würde sich freiwillig darauf verlassen, dass jemand optional zu installierende Software auch installiert hat, jeder würde spätestens nach den ersten hundert (teuren) Missverständnissen dafür sorgen, dass die wichtigen Dinge ohne zusätzliche Zugangshürden gelesen werden könnten.

Falls Sie Fragen haben, können Sie jederzeit mit unserem Kundenservice Kontakt aufnehmen:
Mail: info (at) weltbild (punkt) de
Unsere AGB/Lieferbedingungen finden Sie unter:
www.weltbild.de/agb

Übrigens: Abonnieren Sie unseren kostenlosen Weltbild-Newsletter! Entdecken Sie jede Woche Top-Angebote, Neuheiten, Bestseller sowie tolle Gewinnspiele und Aktionen.
Gratis anmelden: https://www.weltbild.de/newsletter

Dieser Text ist vermutlich aus einer echten Mail des Weltbild-Verlages herauskopiert worden. Anstelle des Inhaltes der Rechnung gibts Reklame.

Freundliche Grüße aus Augsburg

Verlagsgruppe Weltbild GmbH

Sitz der Gesellschaft: Augsburg
Handelsregister Augsburg HRB 6035
Ust-ID-Nr: DE 127501299

Geschäftsführung:
Carel Halff (Vorsitzender), Dr. Martin Beer, Josef Schultheis

Vorsitzender des Aufsichtsrats:
Generalvikar DDr. Peter Beer

Und natürlich kam diese Spam nicht aus Augsburg, sondern aus den Vereinigten Arabischen Emiraten. Zumindest stand dort der Computer, über den sie ins Netz gemacht wurde – vermutlich ist es ein mit Schadsoftware übernommener Privatrechner.

Ach, Entf!

Wie schützt man sich davor?

Wer sich vor dieser Masche schützen will, sollte sich nicht auf sein Antivirus-Programm verlassen, sondern sein Gehirn benutzen. Und zwar am besten immer, wenn er ein anonymisierendes Medium verwendet, das auch für viele kriminelle Nummern missbraucht wird. Das Internet ist nur so lange ein Paradies für Verbrecher, wie es viele naive Menschen gibt, die sich auf den unverstandenen Zauber irgendwelcher Schutzprogramme verlassen und sich deshalb leicht überrumpeln lassen. Ja, ich glaube allen Ernstes, dass Antivirus-Programme und so genannte „personal firewalls“ dazu beitragen, dass sich das „Geschäft“ der Kriminellen noch lange, lange lohnt.

Bei dieser Spam gab es mehrere, hier nach steigender Komplexität aufgezählte Möglichkeiten, sie als kriminelle Spam zu erkennen und nach dieser Erkennung nur noch mit der Kneifzange anzufassen:

  1. Die Anrede…
    Wer so eine Anrede sieht und die Spam nicht erkennt, sollte sich besser nach einem anderen Hobby als dem Internet umschauen. Zum Beispiel Briefmarken. Oder Bierdeckel.
  2. Der Zahlensalat…
    Würde ein Gewerbetreibender vier aufeinanderfolgende Zeilen seiner Mail mit irgendwelchen kontextlosen, für den Empfänger zunächst nichtssagenden Zahlen füllen? Ja, das kann passieren, wenn jemand seine Kunden verachtet. Aber selbst dann würde als Rechnungsnummer vermutlich die gleiche verwendet werden, die schon im Betreff steht, weil es sich um eine richtige Rechnungsnummer handelte. Die Spammer haben einfach irgendwelche Zufallszahlen benutzt, und wie man eine Zahl in einer Variablen speichert, um sie im Text der Spam mehrfach zu verwenden, übersteigt wohl die Programmierkünste dieser zertifizierten Hohlnieten.
  3. Die bestellten Artikel…
    So ein Fehler passiert schon einmal einem Spammer, der gar nicht richtig Deutsch kann, wenn er den Text eines Briefes mit einer Rechnung in eine Mail überträgt. Natürlich erwartet niemand, dass ein gedrucktes Buch, ein dekoratives Objekt, ein Werkzeug oder Küchenzubehör zusammen mit einer E-Mail kommt, der Text ist also in diesem Kontext vollständig überflüssig. Einem echten Versandhandel würde so etwas nicht passieren.
  4. Der Anhang…
    Welchen Sinn sollte es haben, eine Rechnung als Anhang zu versenden, aber nichts zum Inhalt dieser Rechnung in der Mail zu schreiben? Die Rechnung ist nicht zugestellter, als wenn der Text der Rechnung einfach in der E-Mail gestanden hätte – und da es sich um eine HTML-formatierte Mail handelt, wäre sogar eine tabellarische Aufbereitung der Rechnungspositionen möglich. Und zwar schon seit 1994. Und natürlich könnte auch in einer Textmail durch Einrückungen tabuliert werden.
  5. Der Dateinamenstrick…
    Das .pdf.exe wird sofort sichtbar, wenn man in den Ansichtsoptionen des Windows-Explorers das Häkchen vor „Dateinamenserweiterungen bekannter Dateitypen ausblenden“ wegmacht. (Ich weiß nicht genau, wie das präzise heißt, weil ich nur sehr selten an einem Windows-Rechner sitze – also einfach mal jemanden fragen, der sich besser auskennt, wenn man es nicht findet aber freundlicherweise steht es hier schon als Kommentar.) Ein Klick, ein weiterer Klick auf „Für alle Ordner anwenden“, und schon kann man immer sehen, wenn mit einem Dateinamenstrick und einem irreführenden Piktogramm ein falscher Eindruck vom Dateityp erweckt wird. Es gibt keinen legitimen Grund, so etwas zu tun. Wenn man so einen Dateinamen sieht, handelt es sich also immer um einen Versuch, anderen Leuten etwas „unterzujubeln“. Warum Microsoft seit 1995 der Meinung ist, diesen sehr einfachen Schutz vor derartigen Überrumpelungen – trotz einer organisierten Kriminalität, die diese Lücke seit Jahren immer und immer wieder ausnutzt – standardmäßig abstellen zu müssen, gehört zu den Fragen, die man Microsoft stellen müsste.
  6. Das ZIP-Archiv…
    Es gibt keinen objektiven Grund, eine Rechnung in ein ZIP-Archiv zu verpacken. PDF kann bereits komprimiert werden, so dass die Dateigröße dadurch nicht nennenwert verkleinert würde. PDF-Dokumente können digital signiert werden. Der Grund, weshalb Spammer das machen, ist, dass sie sich an den Spamfiltern vorbeimogeln wollen. (Aber aufgepasst, zum Beispiel versendet die Deutsche Telekom Rechnungen in dieser Form, und zwar wegen der fürs Finanzamt angebrachten digitalen Signatur. Das ist also kein so sicheres Merkmal wie die vorgenannten.)
  7. Die Mailheader…
    Nach Ansicht des Quelltextes der Mail und der Überprüfung der IP-Adresse des Absenders durch whois ist schnell klar, dass es sich um eine IP-Adresse eines Zugangsproviders aus den Vereinigten Arabischen Emiraten handelt. Sehr unwahrscheinlich, dass der Weltbild-Verlag seine E-Mail so versenden würde, wo er doch einen kleinen Serverpark in Deutschland herumstehen hat.

An den ersten vier Punkten hätte jeder die Spam als solche erkennen können, und die Windows-Einstellung für den fünften Punkt setzt nur normale Anwenderkenntnisse voraus, sollte also auch von nahezu jedem (im Zweifelsfall mit einer kleinen Hilfestellung) zu bewältigen sein. Der Schutz vor Online-Kriminalität ist tatsächlich einfacher, als die meisten Menschen denken, und er hat nur wenig mit Antivirus-Programmen zu tun, die in diesem Fall häufig vollkommen nutzlos gewesen wären. Stattdessen ist es nötig, nachzudenken, eine gute Mailsoftware zu verwenden und den Browser mit ein paar Addons ein wenig zu härten, so dass nicht jede Seite im Web Code im Browser ausführen oder Plugin-Inhalte darstellen kann. Eine wichtige browser-seitige Sicherung sind übrigens Werbeblocker. Wer es noch sicherer haben möchte, verwendet nach Möglichkeit ein anderes Betriebssystem als Microsoft Windows¹.

Dass die Herstelller von Antivirus-Programmen das alles in ihrer Reklame und in ihren Presseerklärungen ganz anders darstellen, ist nicht verwunderlich, es ist schließlich ihr Geschäftsmodell. Reklame verdummt die Menschen und macht die Welt insgesamt schlechter, und die verdeckte Reklame durch Presseerklärungen ist da geradezu verheerend. Diese Spam habe ich bekommen, weil Verbrecher andere Computer übernehmen können, und sie war ein Versuch, auch meinen Computer zu übernehmen. Ich befürchte, dieser Versuch wird bei einigen Menschen erfolgreich gewesen sein – und ich befürchte, diese Menschen sind sorglos, weil sie ein Antivirus-Programm haben.

¹Nein, nicht weil… sagen wir mal… Linux sicherer ist. Windows wird auch so oft übernommen, weil es so verbreitet und damit das Standardziel der Verbrecher ist. Mir fallen eine Menge Wege ein, wie man Schadcode für Linux-Rechner programmieren kann, und teilweise ist das sogar erschreckend einfach.

„Yahoo!“ jubelt die organisierte Kriminalität

Montag, 6. Januar 2014

Warum man grundsätzlich, immer und auf jeder Website einen Adblocker verwendet, erklärt euch heute einmal zur Abwechslung die Redaktion der Tagesschau (dauerhaft archiverte Version gegen die „Depublizierung“):

Schätzungen der Firma zufolge wurden die Schadprogramme an rund 300.000 Nutzer pro Stunde geschickt. Dies entspreche rund 27.000 Infizierungen pro Stunde. Am stärksten betroffen seien Frankreich, Großbritannien und Rumänien

Natürlich sind die hier angegebenen Zahlen für die feindliche Übernahme von Computern durch die organisierte Kriminalität nur geschätzt (und die indirekte Rede macht klar, dass die Tagesschau-Redaktion hier eine nicht genannte externe Quelle wiedergibt). Es ist für Yahoo zwar möglich, zu wissen, welche Seiten wie oft aufgerufen wurden – aber ob es dabei auch zu einer Ausführung von Schadsoftware kam, kann nur „erraten“ werden. Eine „Erfolgsquote“ von neun Prozent (wegen anfälliger Browser, anfälliger Plugins, anfälliger Betriebssysteme) kommt mir dabei eher etwas gering angesetzt vor. Moderne Schadsoftware für den „Infektionsweg Browser“ prüft sämtliche bekannten Schwachstellen.

Zu einer Verteilung von Schadsoftware über eingeblendete Werbebanner kommt es immer wieder einmal, und regelmäßig sind auch große, renommierte Websites davon betroffen. Da es sich dabei um aktuelle Schadsoftware handelt, sind so genannte „Antivirusprogramme“ wirkungslos und lassen ihren Anwender schutzlos zurück. Die Verwendung eines wirksamen Adblockers beseitigt hingegen diese gefährliche Angriffsmöglichkeit an ihrer Wurzel und macht zudem das Web zu einem schöneren und schnelleren Erlebnis. Ich empfehle Adblock Edge.

Also: Immer einen Adblocker verwenden! Niemals den Adblocker ausschalten! Egal, was irgendwelche Jornalisten, Verleger und Web-Geschäftemacher ohne seriöses Geschäftsmodell zu diesem Thema noch sagen mögen! Sie würden ja auch nicht ihren Virenschutz und ihre personal firewall abschalten, nur weil ihnen jemand sagt, dass das besser für seine Geschäfte sei… 😉

Und ja, es ist Zufall, dass es Yahoo erwischt hat. Meine etwas hämische Wortspielerei im Titel ist inhaltlich bedeutungslos. Es kann jede Website erwischen, die Werbung über externe Anbieter einbettet. Zum Beispiel auch die Website ihrer Lieblingszeitung, ihres bevorzugten Fernsehsenders oder dergleichen. Das automatische Einbetten von Code irgendwelcher Reklamefirmen ist das Problem. Und das gilt nicht nur für den Code „kleiner Werbeklitschen“, sondern auch für Google und Microsoft. Ganz im Gegenteil: Die großen Anbieter sind für die Kriminellen aus naheliegenden Gründen ungleich interessanter, da in der kurzen verfügbaren Zeit mehr Computer übernommen werden können. Und dann kommt es zum Beispiel zum manipulierten Online-Banking