Kategoriearchiv „Informatives“

Das eBay-Datenleck: Ein kleiner Rückblick

Mittwoch, 21. Mai 2014

Am 13. Februar dieses Jahres vermutete ich hier auf Unser täglich Spam, dass entweder bei PayPal oder bei eBay ein Datenleck vorliegen könne, weil mir ein Fall bekannt wurde, in dem ein Mensch sehr gezielt auf zwei Mailadressen Phishing-Mails erhalten hat:

Die mir vorliegende Spam – sie wurde mir übrigens von einem Leser „zugesteckt“ – ist keine „Streumunition“, sondern sehr gezielt. Sie ging an zwei verschiedene E-Mail-Adressen, die exklusiv für PayPal […] verwendet wurden. Zudem wurden die PayPal-Konten mit den beiden verschiedenen E-Mail-Adressen gegenüber verschiedenen Geschäftspartnern auf eBay verwendet.

Eine dieser E-Mail-Adressen wurde vor kurzem stillgelegt, die andere hingegen wurde neu eingerichtet und bis zum Empfang dieser Spam nur für eine einzige Transaktion verwendet.

Diese Vermutung scheint sich heute bestätigt zu haben, denn lt. Bericht des „Spiegel“ hat bei eBay ein nennenswertes Datenleck vorgelegen, das möglicherweise „eine große Zahl“ von Nutzern betrifft:

Dabei seien persönliche Kundendaten wie Namen, verschlüsselte Passwörter, Adressen, E-Mail-Adressen, Geburtstage und Telefonnummern erbeutet worden. Offenbar konnten die Angreifer Login-Daten von Mitarbeitern abgreifen und sich so Zugang zu den Kundendaten verschaffen. Es gebe allerdings keine Anzeichen, dass die Angreifer Zugriff auf Finanzinformationen wie Kreditkarten gehabt hätten.

Es war einzelnen Betroffenen damals möglich, dieses Datenleck frühzeitig zu erkennen (und mir einen Hinweis zuzustecken), weil sie E-Mail-Adressen eingerichtet haben, die nur für eBay oder PayPal verwendet wurden, die dann für (zum Glück sehr schlechte) Phishing-Spams benutzt wurden. Diese frühe Erkennung des möglichen Problems – immerhin ganze drei Monate, bevor es von eBay offiziell eingeräumt wurde – hat überhaupt erst die Möglichkeit geschaffen, präventiv einem Missbrauch der erbeuteten Daten durch die Organisierte Kriminalität entgegenzutreten.

Und genau deshalb kann ich es jedem nur empfehlen, für jeden benutzten Dienst im Internet eine eigene E-Mail-Adresse zu verwenden und beim ersten Aufkommen von Spam diese Mailadresse stillzulegen sowie den betroffenen Account ebenfalls stillzulegen oder doch wenigstens das Passwort zu ändern und mit deutlich erhöhter Aufmerksamkeit an diesen Account heranzugehen¹. E-Mail-Adressen gibt es ohne Ende. Dieser recht kleine Aufwand kann im Falle eines derartigen Datenlecks leicht sehr viel Ärger und Geld einsparen.

Die unerfreuliche Datenschleuder-Seite mit sicher erkannten Datenlecks renommierter Unternehmen und Institutionen hat jetzt auch einen weiteren Eintrag bekommen. Wer diese immer länger werdende Liste auch nur kurz überfliegt, findet hoffentlich auch, dass sich dieser kleine Aufwand (jeweils wenige Minuten für die Einrichtung einer E-Mail-Adresse) lohnt.

Denn wer sich auf die Datenschutz-Versprechungen anderer verlässt, der ist schnell verlassen.

Nachtrag 23. Mai, 12:45 Uhr: Es waren 145 Millionen [!] Kundendatensätze. Es ist erst Mai, aber eBay ist jetzt schon ein Kandidat für die Datenschleuder des Jahres.

¹Weil bei eBay Kundenbewertungen sehr wichtig sind, kann ein Stilllegen des Accounts schmerzhaft sein.

Das Quizduell der ARD: Eine Datenschleuder

Dienstag, 13. Mai 2014

Hier geht es nicht um eine Spam, sondern um eine Frage, die sehr häufig bei Menschen aufkommt, die zum ersten Mal mit Spam konfrontiert sind: Woher haben die Spammer meine Mailadresse. Oft lautet die Frage sogar: Woher haben sie meinen Namen. Weil diese Frage so häufig ist, habe ich nur dafür eine eigene Seite in Unser täglich Spam, die mögliche Antworten auf diese Frage skizziert.

In der dort gepflegten, stets wachsenden Liste großer und mittelgroßer Datenschutzversäumnisse renommierter Firmen und Institutionen gibt es nämlich einen Neuankömmling, den ich ganz besonders „warm“ begrüßen möchte: Die Arbeitsgemeinschaft der öffentlich-rechtlichen Rundfunkanstalten Deutschlands, besser bekannt als ARD, hat 50.000 vollständige Datensätze von Handyspiel-Teilnehmern des gestrigen „Quizduells“ mit Jörg Pilawa „veröffentlicht“. Die Datensätze (Name, Anschrift, Mailadresse, Geburtsdatum) sind für einen kriminellen Identitätsmissbrauch ebenso hinreichend wie für sehr gefährliches, personalisiertes Phishing.

Eine kurze, unsachliche Stellungnahme

Wer es nicht spätestens jetzt begreift, dass Datenschutz bedeutet, gegenüber allem und jedem sparsam mit seinen persönlichen Daten zu sein, wer nicht spätestens jetzt bemerkt, dass die Datenschutzversprechungen auch renommierter Unternehmen und Institutionen nicht die Elektronen wert sind, mit denen sie durchs Internet befördert werden, der wirds vermutlich gar nicht mehr begreifen und auch weiterhin für jedes alberne Spiel mit Journaille- und TV-Hintergrund – „Oh, da kann ich ja auch was gewinnen, da mache ich mal mit“ – oder jeden Nullwertdienst eines Unternehmens ohne seriöses Geschäftsmodell einen freizügigen Datenstriptease über ein abstraktes Medium hinlegen. Es sind alles erwachsene Menschen, und ich kann auch niemanden daran hindern, so zu tun, aber mein Mitleid mit Leuten, die eine solche Haltung haben und irgendwann zu Opfern von Verbrechern werden, hält sich doch sehr in Grenzen, ja, es spukt wie der Geist eines längst entschwundenen Mitleids vor sich hin. Und jeder, der ein Internet hat und trotzdem doofblickend in die Welt sagt, dass er doch nichts von solchen Risiken gewusst habe, möge bitte vor seinem Gemaule in den Kommentaren lernen, wie man Websuchmaschinen benutzt, um sich zu informieren und sich anschließend diese Haltung angewöhnen. Und nein, in der Glotze, diesem flackernden Volksempfänger, gibt es keine Information. (Jedenfalls nicht zu Sendezeiten, die einem arbeitenden Menschen das Zuschauen ermöglichen würden.) Da gibts konzentrierte und verdummende Dummheit mit psychisch ungesunder Affektheischerei. Und zwar auf jedem stinkenden Kanal.

Ein bisschen Information zum persönlichen Datenschutz gibt es schon hier, auf meiner eigens dafür eingerichteten Seite.

Zalando und Haken Baskan? Verdächtige Zahlung erkannt?

Donnerstag, 8. Mai 2014

Hier nur ein schneller Link, weil der Text schon an anderer Stelle fertig geschrieben ist.

Was es mit der flutartig in die Postfächer strömenden „Mail von PayPal“ auf sich hat, weil eine Zahlung an Zalando mit der Lieferadresse eines angeblichen „Haken Baskan“ (nicht einmal einen richtigen türkischen Namen haben die Spammer hinbekommen) fehlgeschlagen ist, kann man bei Mimikama nachlesen.

Allein die Tatsache, dass ich das hier erwähne, macht hoffentlich schon klar, dass diese Mail nicht von PayPal kommt, sondern ganz gewöhnliches Phishing ist. Die verlinkte Website ist ein Betrug. Sie gehört nicht zu PayPal. Alles, was dort eingegeben wird – der PayPal-Login und alle weiteren Daten – geht in die Hände von Verbrechern, die dafür „Nutzungsformen“ finden werden, die niemandem gefallen können.

Bitte den Müll einfach löschen.

Schutz vor Phishing

PayPal spricht alle Kunden in echten PayPal-Mails mit ihrem Namen an. (Das ist kein sicheres Erkennungsmerkmal, aber hier hätte es funktioniert.) Und PayPal fordert niemals dazu auf, sich auf einer anderen Website als der von PayPal anzumelden oder irgendwelche Daten einzugeben, die PayPal schon längst bekannt sind. (Die Links aus Phishing-Mails gehen natürlich niemals zu PayPal.)

Fast alle angeblichen Mails von „PayPal“, die bei mir ankommen, sind Phishing-Spams. Allein das sollte Grund genug sein, niemals in eine Mail von PayPal zu klicken, sei sie eine Spam oder sei sie echt. Der ganze Schaden durch PayPal-Phishing lässt sich vollständig vermeiden, wenn man immer in die Adresszeile seines Browsers paypal (punkt) com eingibt (oder etwas unsicherer, weil durch trojanische Browser-Addons und andere Schadsoftware manipulierbar: wenn man sich ein entsprechendes Lesezeichen im Browser anlegt, über das man die Seite aufruft), statt in die Mail zu klicken. Dieser Arbeitsaufwand in der Größenordnung von Sekunden kann sehr viel Ärger, Schreibkram, unangenehme Bekanntschaft mit der Polizei und Geld ersparen – die Kombination aus geplüdertem Konto und Identitätsmissbrauch durch die organisierte Kriminalität (über die persönlichen Daten, die nach einem Paypal-Login eingesehen werden können) ist nicht lustig.

Deshalb: Niemals die Website einer Bank, eines Online-Shops oder eines ähnlichen Anbieters, wo es um Geld geht, aufrufen, indem man in eine E-Mail klickt! Diese Vorsicht ist in einer Zeit, in der die Spammer riesige Datenbanken mit Zuordnungen von Namen zu Mailadressen haben und sogar persönliche Ansprachen überzeugend hinbekommen, die wichtigste Vorbeugung, um nicht zum Opfer der Phisher zu werden – eine sinnvolle Ergänzung dazu ist es, für jeden wichtigen Webdienst eine eigene E-Mail-Adresse zu verwenden.

Ihre Online-Rechnung 0658320903 vom 18.01.2014

Dienstag, 18. Februar 2014

Hey, Spammer, wir haben inzwischen Februar!

Der Absender der Mail ist info (at) weltbild (punkt) de. Dieser Absender ist gefälscht. Die Mail kommt nicht von der Verlagsgruppe Weltbild GmbH. Es ist keine Rechnung. Es ist gefährlicher, krimineller Sondermüll.

Sehr geehrte,

Liebes Unbekannt!

zu Ihrer Kunden-Nr. 946571797 senden wir Ihnen als Anhang Ihre

Rechnung-Nr.: 1094953814
vom: 18.01.2014
zum Auftrag-Nr.: 992893312

Du hast eine Menge lustiger Nummern und bekommst Rechnungen für irgendwas, was nicht weiter erwähnt wird. Ist ja auch unwichtig, wofür man die Rechnung bekommt. Da reicht eine Nummer. Für mehr Text… ähm… war in der E-Mail gerade kein Platz mehr frei, deshalb wurden…

als pdf-Datei, welche Sie bedenkenlos öffnen und wenn Sie möchten ausdrucken können.
Die bestellten Artikel werden getrennt von dieser Rechnung geliefert.

…knapp 146 KiB an die Mail angehängt. Diesen Anhang kannst du bedenkenlos öffnen, wenn du ein Opfer werden willst, aber es handelt sich weder…

…um ein PDF-Dokument, noch…
…um eine Rechnung, noch…
…um etwas, was man ausdrucken könnte.

Es ist ein ZIP-Archiv, in dem eine Datei liegt, deren Name auf .pdf.exe endet. Es handelt sich um ein ausführbares Programm für Microsoft Windows, das von einem Spammer unter Vorspiegelung falscher Tatsachen mit einer E-Mail mit gefälschtem Absender zugestellt wurde. Wie üblich bei dieser Masche – den Empfänger mit nichtssagenden Nonsens-Rechnungen oder Mahnungen in Aufregung versetzen, zu denen angeblich weitere Informationen im Anhang stehen, damit der Empfänger auch ja schön aufgeregt und unvorsichtig in eine Spam klickt – wurde wieder sehr aktuelle Schadsoftware verbreitet. Nur etwas mehr als ein Drittel der Antivirus-Schlangenöle erkennen diese Schadsoftware zurzeit als solche, so dass viele Menschen, die sich auf die „bequeme Sicherheit“ irgendwelcher „Schutzprogramme“ verlassen haben, nach dem Doppelklick auf die .exe ihren Computer und ihre Internetleitung an Leute übergeben haben, die besser mit einer Gefängniszelle bedient wären.

Warum noch nicht jedes Antivirus-Schlangenöl sofort und unmissverständlich Alarm schlägt, wenn sich eine Datei .pdf.exe nennt, fragen sie bitte den Schlangenöl-Händler ihres Vertrauens. Es gibt keinen legitimen Grund, mit einem solchen Dateinamenstrick einen falschen Eindruck vom Dateitypen zu erwecken. Von daher ist es erstaunlich, dass dieser Trick aus dem Spam-Neolithikum auch nach vielen Jahren noch zu funktionieren scheint.

Ach ja, und die Spammer konnten die bestellten Waren übrigens nicht an die Mail anhängen. 😀

Daten für die Überweisung finden Sie ebenfalls in der pdf-Datei

Klar, alles Informative ist im Anhang. Und in der Mail war dann kein Platz mehr dafür. Es gibt keinen vernünftigen Grund, geschäftliche Mails so zu verfassen.

Für eine bequeme Onlinebezahlung klicken Sie auf nachfolgenden Link.

https://www.weltbild.de/index.html

P.S. Zum Lesen der Rechnung benötigen Sie das Programm Adobe Reader. Falls es auf Ihrem Rechner nicht installiert sein sollte, können Sie es hier für alle Betriebssysteme kostenlos herunterladen:
http://www.adobe.de/products/acrobat/readstep.html

Und das ist auch der Grund, weshalb richtige E-Mail-Rechnungen in einer Klartext-Mail kämen. Kein Gewerbetreibender im Internet würde sich freiwillig darauf verlassen, dass jemand optional zu installierende Software auch installiert hat, jeder würde spätestens nach den ersten hundert (teuren) Missverständnissen dafür sorgen, dass die wichtigen Dinge ohne zusätzliche Zugangshürden gelesen werden könnten.

Falls Sie Fragen haben, können Sie jederzeit mit unserem Kundenservice Kontakt aufnehmen:
Mail: info (at) weltbild (punkt) de
Unsere AGB/Lieferbedingungen finden Sie unter: www.weltbild.de/agb

Übrigens: Abonnieren Sie unseren kostenlosen Weltbild-Newsletter! Entdecken Sie jede Woche Top-Angebote, Neuheiten, Bestseller sowie tolle Gewinnspiele und Aktionen.
Gratis anmelden: https://www.weltbild.de/newsletter

Dieser Text ist vermutlich aus einer echten Mail des Weltbild-Verlages herauskopiert worden. Anstelle des Inhaltes der Rechnung gibts Reklame.

Freundliche Grüße aus Augsburg

Verlagsgruppe Weltbild GmbH

Sitz der Gesellschaft: Augsburg
Handelsregister Augsburg HRB 6035
Ust-ID-Nr: DE 127501299

Geschäftsführung:
Carel Halff (Vorsitzender), Dr. Martin Beer, Josef Schultheis

Vorsitzender des Aufsichtsrats:
Generalvikar DDr. Peter Beer

Und natürlich kam diese Spam nicht aus Augsburg, sondern aus den Vereinigten Arabischen Emiraten. Zumindest stand dort der Computer, über den sie ins Netz gemacht wurde – vermutlich ist es ein mit Schadsoftware übernommener Privatrechner.

Ach, Entf!

Wie schützt man sich davor?

Wer sich vor dieser Masche schützen will, sollte sich nicht auf sein Antivirus-Programm verlassen, sondern sein Gehirn benutzen. Und zwar am besten immer, wenn er ein anonymisierendes Medium verwendet, das auch für viele kriminelle Nummern missbraucht wird. Das Internet ist nur so lange ein Paradies für Verbrecher, wie es viele naive Menschen gibt, die sich auf den unverstandenen Zauber irgendwelcher Schutzprogramme verlassen und sich deshalb leicht überrumpeln lassen. Ja, ich glaube allen Ernstes, dass Antivirus-Programme und so genannte „personal firewalls“ dazu beitragen, dass sich das „Geschäft“ der Kriminellen noch lange, lange lohnt.

Bei dieser Spam gab es mehrere, hier nach steigender Komplexität aufgezählte Möglichkeiten, sie als kriminelle Spam zu erkennen und nach dieser Erkennung nur noch mit der Kneifzange anzufassen:

Die Anrede…
Wer so eine Anrede sieht und die Spam nicht erkennt, sollte sich besser nach einem anderen Hobby als dem Internet umschauen. Zum Beispiel Briefmarken. Oder Bierdeckel.
Der Zahlensalat…
Würde ein Gewerbetreibender vier aufeinanderfolgende Zeilen seiner Mail mit irgendwelchen kontextlosen, für den Empfänger zunächst nichtssagenden Zahlen füllen? Ja, das kann passieren, wenn jemand seine Kunden verachtet. Aber selbst dann würde als Rechnungsnummer vermutlich die gleiche verwendet werden, die schon im Betreff steht, weil es sich um eine richtige Rechnungsnummer handelte. Die Spammer haben einfach irgendwelche Zufallszahlen benutzt, und wie man eine Zahl in einer Variablen speichert, um sie im Text der Spam mehrfach zu verwenden, übersteigt wohl die Programmierkünste dieser zertifizierten Hohlnieten.
Die bestellten Artikel…
So ein Fehler passiert schon einmal einem Spammer, der gar nicht richtig Deutsch kann, wenn er den Text eines Briefes mit einer Rechnung in eine Mail überträgt. Natürlich erwartet niemand, dass ein gedrucktes Buch, ein dekoratives Objekt, ein Werkzeug oder Küchenzubehör zusammen mit einer E-Mail kommt, der Text ist also in diesem Kontext vollständig überflüssig. Einem echten Versandhandel würde so etwas nicht passieren.
Der Anhang…
Welchen Sinn sollte es haben, eine Rechnung als Anhang zu versenden, aber nichts zum Inhalt dieser Rechnung in der Mail zu schreiben? Die Rechnung ist nicht zugestellter, als wenn der Text der Rechnung einfach in der E-Mail gestanden hätte – und da es sich um eine HTML-formatierte Mail handelt, wäre sogar eine tabellarische Aufbereitung der Rechnungspositionen möglich. Und zwar schon seit 1994. Und natürlich könnte auch in einer Textmail durch Einrückungen tabuliert werden.
Der Dateinamenstrick…
Das .pdf.exe wird sofort sichtbar, wenn man in den Ansichtsoptionen des Windows-Explorers das Häkchen vor „Dateinamenserweiterungen bekannter Dateitypen ausblenden“ wegmacht. (Ich weiß nicht genau, wie das präzise heißt, weil ich nur sehr selten an einem Windows-Rechner sitze – ~~also einfach mal jemanden fragen, der sich besser auskennt, wenn man es nicht findet~~ aber freundlicherweise steht es hier schon als Kommentar.) Ein Klick, ein weiterer Klick auf „Für alle Ordner anwenden“, und schon kann man immer sehen, wenn mit einem Dateinamenstrick und einem irreführenden Piktogramm ein falscher Eindruck vom Dateityp erweckt wird. Es gibt keinen legitimen Grund, so etwas zu tun. Wenn man so einen Dateinamen sieht, handelt es sich also immer um einen Versuch, anderen Leuten etwas „unterzujubeln“. Warum Microsoft seit 1995 der Meinung ist, diesen sehr einfachen Schutz vor derartigen Überrumpelungen – trotz einer organisierten Kriminalität, die diese Lücke seit Jahren immer und immer wieder ausnutzt – standardmäßig abstellen zu müssen, gehört zu den Fragen, die man Microsoft stellen müsste.
Das ZIP-Archiv…
Es gibt keinen objektiven Grund, eine Rechnung in ein ZIP-Archiv zu verpacken. PDF kann bereits komprimiert werden, so dass die Dateigröße dadurch nicht nennenwert verkleinert würde. PDF-Dokumente können digital signiert werden. Der Grund, weshalb Spammer das machen, ist, dass sie sich an den Spamfiltern vorbeimogeln wollen. (Aber aufgepasst, zum Beispiel versendet die Deutsche Telekom Rechnungen in dieser Form, und zwar wegen der fürs Finanzamt angebrachten digitalen Signatur. Das ist also kein so sicheres Merkmal wie die vorgenannten.)
Die Mailheader…
Nach Ansicht des Quelltextes der Mail und der Überprüfung der IP-Adresse des Absenders durch whois ist schnell klar, dass es sich um eine IP-Adresse eines Zugangsproviders aus den Vereinigten Arabischen Emiraten handelt. Sehr unwahrscheinlich, dass der Weltbild-Verlag seine E-Mail so versenden würde, wo er doch einen kleinen Serverpark in Deutschland herumstehen hat.

An den ersten vier Punkten hätte jeder die Spam als solche erkennen können, und die Windows-Einstellung für den fünften Punkt setzt nur normale Anwenderkenntnisse voraus, sollte also auch von nahezu jedem (im Zweifelsfall mit einer kleinen Hilfestellung) zu bewältigen sein. Der Schutz vor Online-Kriminalität ist tatsächlich einfacher, als die meisten Menschen denken, und er hat nur wenig mit Antivirus-Programmen zu tun, die in diesem Fall häufig vollkommen nutzlos gewesen wären. Stattdessen ist es nötig, nachzudenken, eine gute Mailsoftware zu verwenden und den Browser mit ein paar Addons ein wenig zu härten, so dass nicht jede Seite im Web Code im Browser ausführen oder Plugin-Inhalte darstellen kann. Eine wichtige browser-seitige Sicherung sind übrigens Werbeblocker. Wer es noch sicherer haben möchte, verwendet nach Möglichkeit ein anderes Betriebssystem als Microsoft Windows¹.

Dass die Herstelller von Antivirus-Programmen das alles in ihrer Reklame und in ihren Presseerklärungen ganz anders darstellen, ist nicht verwunderlich, es ist schließlich ihr Geschäftsmodell. Reklame verdummt die Menschen und macht die Welt insgesamt schlechter, und die verdeckte Reklame durch Presseerklärungen ist da geradezu verheerend. Diese Spam habe ich bekommen, weil Verbrecher andere Computer übernehmen können, und sie war ein Versuch, auch meinen Computer zu übernehmen. Ich befürchte, dieser Versuch wird bei einigen Menschen erfolgreich gewesen sein – und ich befürchte, diese Menschen sind sorglos, weil sie ein Antivirus-Programm haben.

¹Nein, nicht weil… sagen wir mal… Linux sicherer ist. Windows wird auch so oft übernommen, weil es so verbreitet und damit das Standardziel der Verbrecher ist. Mir fallen eine Menge Wege ein, wie man Schadcode für Linux-Rechner programmieren kann, und teilweise ist das sogar erschreckend einfach.

„Yahoo!“ jubelt die organisierte Kriminalität

Montag, 6. Januar 2014

Warum man grundsätzlich, immer und auf jeder Website einen Adblocker verwendet, erklärt euch heute einmal zur Abwechslung die Redaktion der Tagesschau (dauerhaft archiverte Version gegen die „Depublizierung“):

Schätzungen der Firma zufolge wurden die Schadprogramme an rund 300.000 Nutzer pro Stunde geschickt. Dies entspreche rund 27.000 Infizierungen pro Stunde. Am stärksten betroffen seien Frankreich, Großbritannien und Rumänien

Natürlich sind die hier angegebenen Zahlen für die feindliche Übernahme von Computern durch die organisierte Kriminalität nur geschätzt (und die indirekte Rede macht klar, dass die Tagesschau-Redaktion hier eine nicht genannte externe Quelle wiedergibt). Es ist für Yahoo zwar möglich, zu wissen, welche Seiten wie oft aufgerufen wurden – aber ob es dabei auch zu einer Ausführung von Schadsoftware kam, kann nur „erraten“ werden. Eine „Erfolgsquote“ von neun Prozent (wegen anfälliger Browser, anfälliger Plugins, anfälliger Betriebssysteme) kommt mir dabei eher etwas gering angesetzt vor. Moderne Schadsoftware für den „Infektionsweg Browser“ prüft sämtliche bekannten Schwachstellen.

Zu einer Verteilung von Schadsoftware über eingeblendete Werbebanner kommt es immer wieder einmal, und regelmäßig sind auch große, renommierte Websites davon betroffen. Da es sich dabei um aktuelle Schadsoftware handelt, sind so genannte „Antivirusprogramme“ wirkungslos und lassen ihren Anwender schutzlos zurück. Die Verwendung eines wirksamen Adblockers beseitigt hingegen diese gefährliche Angriffsmöglichkeit an ihrer Wurzel und macht zudem das Web zu einem schöneren und schnelleren Erlebnis. Ich empfehle Adblock Edge.

Also: Immer einen Adblocker verwenden! Niemals den Adblocker ausschalten! Egal, was irgendwelche Jornalisten, Verleger und Web-Geschäftemacher ohne seriöses Geschäftsmodell zu diesem Thema noch sagen mögen! Sie würden ja auch nicht ihren Virenschutz und ihre personal firewall abschalten, nur weil ihnen jemand sagt, dass das besser für seine Geschäfte sei… 😉

Und ja, es ist Zufall, dass es Yahoo erwischt hat. Meine etwas hämische Wortspielerei im Titel ist inhaltlich bedeutungslos. Es kann jede Website erwischen, die Werbung über externe Anbieter einbettet. Zum Beispiel auch die Website ihrer Lieblingszeitung, ihres bevorzugten Fernsehsenders oder dergleichen. Das automatische Einbetten von Code irgendwelcher Reklamefirmen ist das Problem. Und das gilt nicht nur für den Code „kleiner Werbeklitschen“, sondern auch für Google und Microsoft. Ganz im Gegenteil: Die großen Anbieter sind für die Kriminellen aus naheliegenden Gründen ungleich interessanter, da in der kurzen verfügbaren Zeit mehr Computer übernommen werden können. Und dann kommt es zum Beispiel zum manipulierten Online-Banking…

Spammangelüberbrückung: Einige Hinweise

Donnerstag, 2. Januar 2014

Es ist kaum zu glauben, aber ich habe gerade Spammangel. Nein, es ist natürlich nicht so, dass ich keine Spam mehr bekäme, aber ich bekomme keine neue Spam. Stattdessen immer wieder die gleichen hirntoten Texte der Marke „Uns vom Ruby Palace ist Ihr Gewinnpotenzial äußerst wichtig“. Ah, ja!

Das ist eine gute Gelegenheit, hier einige allgemeine Hinweise zu geben und den einen oder anderen Link zu setzen. 😉

Ein Tipp zur Erkennung von E-Mail-Spam

Meinem Leser F. L. habe ich den folgenden Tipp zur leichteren Erkennung von E-Mail-Spam zu verdanken – allerdings ist die Benutzung eines Mailclients wie Mozilla Thunderbird Vorraussetzung, es wird so nicht mit Webmailern funktionieren. Weil der Thunderbird schlicht der beste frei verfügbare Mailclient ist, beschreibe ich die Vorgehensweise dort:

Sehr viel E-Mail-Spam enthält – ebenso wie die Mehrzahl der legitimen E-Mail-Verteiler – keine normale Empfängeradresse. Die Empfänger werden technisch als BCC-Header angegeben, als Empfänger ist so etwas wie „undisclosed-recipients“ eingetragen, die Verteilung der Mail erfolgt durch den Mailserver.

Wenn man in der Listendarstellung im Posteingang also auch die Empfängeradresse sehen kann, lässt sich ein Teil der Spam sehr einfach als Spam erkennen und behandeln. Natürlich wird der Empfänger standardmäßig nicht angezeigt, weil er in legitimer E-Mail klar ist.

Erfreulicherweise ist es möglich, auch den Empfänger in der Liste der Mails einzublenden. Das geht so:

Öffnen sie das Kontextmenü über den Spaltentiteln in der Liste mit den E-Mails. Dazu bewegen sie den Mauszeiger über die Titel und klicken mit der rechten Maustaste. Es wird ein Menü sichtbar, in dem sie auswählen können, welche Spalten in der Liste angezeigt werden. Dieses Menü sieht so aus…

…und es sollte sich von selbst erklären. 😉

Natürlich ist das allein kein sicheres Erkennungsmerkmal. Bei typischen Phishing-Mails, beim Vorschussbetrug und bei Mails mit Schadsoftware-Anhang wird beinahe immer die Mailadresse des Empfängers eingetragen. (Es ist auch nicht besonders schwierig, ein Skript zu schreiben, das jede Mail einzeln versendet.) Aber ich kann mir durchaus vorstellen, dass diese Ansicht vielen Menschen hilft, der täglichen Flut von Müll besser Herr zu werden. Eine Spam, die gar nicht erst gelesen wird, spart schließlich etwas von der beschränkten Lebenszeit, mit der man doch lieber Erfreulicheres anstellt…

Spam, Phishing, Fakes und Betrug auf Facebook

Als jemand, der nicht bei Facebook – von mir „liebevoll“ Fratzenbuch genannt – ist, bekomme ich die dort umlaufenden Spams (zum Glück) nicht mit und kann nicht darüber schreiben.

Das macht aber nichts, denn Mimikama leistet hier hervorragende Arbeit mit leichtverständlicher Aufklärung in einem deutlich sachlicheren Ton als dem, den ich hier gewöhnlicherweise auf Unser täglich Spam pflege.

Wer bei Facebook ist, sollte Mimikama regelmäßig lesen oder den Mitteilungen auf Facebook folgen. [Hinweis für Allergiker: Der Link geht zu Facebook] Einige der auf Facebook umlaufenden Phishing-Nummern sind durchaus gefährlich.

Übrigens: Ein E-Mail-Passwort sollte niemals irgendwo anders im Internet als gegenüber dem Mailserver an- oder eingegeben werden, und schon gar nicht zusammen mit der Mailadresse. Es ist für niemanden anders nötig, das Passwort eines E-Mail-Kontos zu kennen, und damit kann auch nichts „verifiziert“ werden. Nur Spammer kommen so an frische, „unverdächtige“ Mailserver und Adressen für ihre Tätigkeiten, die niemand vermisste, wenn es sie nicht mehr gäbe.

Missbrauch der Spamblockfunktion auf Twitter

Auf Twitter – von mir „liebevoll“ Zwitscherchen genannt – gibt es einige politisch umtriebige Mensch_innen, die aus der relativen Anonymität Twitters heraus dazu auffordern, bestimmte Benutzer mit in ihren Augen missliebigen Meinungen zu spamblocken, um auf diese Weise solche Meinungen aus Twitter zu entfernen.

Ich rate strikt davon ab, solchen Aufforderungen Folge zu leisten. Solche Aufforderungen sind dumm und erschweren Twitter die Bekämpfung der Spam, was ein Schaden für alle Nutzer ist. Letztlich arbeitet der angestrebte Missbrauch der Spam-Melde-Funktion den kriminellen Spammern zu, und zwar zum Schaden aller derjenigen Twitter-Nutzer, die später zum Opfer der diversen kriminellen Maschen werden.

Twitter kennt zwei Formen der Blockade.

Nutzer blockieren
Das bedeutet, dass man den Nutzer nicht mehr in der eigenen Timeline sehen kann und somit auch seine Äußerungen nicht mehr ertragen muss – mit dem manchmal nachteiligen Nebeneffekt, dass man sie auch nicht mehr mitbekommt, um dazu Stellung nehmen zu können. Anders, als viele Nutzer spontan annehmen, bedeutet das nicht, dass der blockierte Nutzer nicht mehr die eigenen Tweets lesen kann. Tweets in einem nicht auf privat gesetzten Twitter-Kanal sind öffentlich, sie können sogar von Menschen eingesehen werden, die gar nicht bei Twitter angemeldet sind und mithilfe der Twitter-Suche aufgefunden werden. Wer das aus irgendeinem Grund – mir fallen da sehr viele ein¹ – nicht möchte, muss seinen gesamten Twitter-Kanal auf „privat“ setzen, um für jeden, der daran teilhaben möchte, einzeln zu entscheiden, ob die Tweets gelesen werden können. Diese Einstellung ist – im Gegensatz etwa zu den Privatsphäre-Einstellungen bei Facebook – sehr einfach und ihre Bedeutung lässt sich in einem einzigen Satz erklären: Es gibt nur öffentliche und private Kanäle. Generell ist es übrigens ziemlich dämlich und zeugt sowohl von sozialer als auch technischer Inkompetenz, empfindliche und schützenswerte private Kommunikation über einen öffentlichen Kanal laufen zu lassen.
Nutzer als Spam melden
Das blockiert den Nutzer – wie im letzten Punkt beschrieben – und meldet ihn zusätzlich gegenüber Twitter als Spam. Natürlich hat Twitter ein Interesse daran, Spam zu bekämpfen, und von daher führt eine Häufung von Spammeldungen dazu, dass ein Twitter-Account von Twitter stillgelegt wird. Spam besteht etwa in spammigen @-Mitteilungen, im betrügerischem Missbrauch Twitters, aber auch in der „klassischen“ massenhaften Follow-Spam, die manchmal leicht zu erkennen ist, fast immer inhaltsleer stammelnd daher kommt, zuweilen aber auch mit „simulierten Inhalten“ und die darauf baut, dass häufig halbmechanisch zurückgefolgt wird, um so ein großes (und übrigens in gewissen Kreisen auch verkäufliches) Auditorium für spätere Spamtweets zu schaffen. Etwas als Spam zu melden, ist ein Hinweis an Twitter, dass ein Account für Spam missbraucht wird und deshalb entfernt werden sollte. Das ist selbst für minder aufgeweckte Zeitgenoss_innen nicht allzu schwierig zu verstehen.

Nun haben also einige Mensch_innen „entdeckt“, dass man mit Spammeldungen andere Menschen bei Twitter „wegbeißen“ kann und machen daraus öffentliche Aufforderungen, so vorzugehen – jetzt, nach recht scharfem Gegenwind, auch ohne öffentlich sichtbaren Aufforderungscharakter wie etwa in diesem prangerhaften Kanal².

Was bedeutet das von der Seite Twitters aus gesehen.

Nun, ich muss einräumen, dass ich selbst einmal als „Nazi“ – nein, das ist kein Witz, es gibt da draußen Menschen, die mich zwar nicht kennen, mich aber für einen „Nazi“ halten und mich als solchen bezeichnen³ – zum Opfer eines solchen rudelhaften Spamblockens geworden bin und zu meiner Überraschung eines Tages feststellte, dass mein Twitter-Account nicht mehr bestand.

Natürlich habe ich mich bei Twitter gemeldet, und natürlich wurde mein Account dort binnen zweier Tage vollständig wiederhergestellt, da es schon durch kurze Einsicht offensichtlich ist, dass ich kein Spammer bin.

Der Vorgang hat also einen nicht algorithmisch behandelbaren Arbeitsaufwand bei Twitter verursacht, der Twitter Geld für die aufgewändete Arbeitszeit kostet. Natürlich wird Twitter als gewinnorientierte Unternehmung dafür Sorge tragen, dass diese Art von Kosten so gering wie nur möglich ist und deshalb an seinen Algorithmen „schrauben“, die für die Einordnung eines Nutzers als Spammer verantwortlich sind. Wenn unbegründete Spammeldungen zunehmen, wird dies zur Folge haben, dass selbst häufig gemeldete Spammer seltener geblockt werden. Der zunehmende Missbrauch der Spammeldefunktion als „Stummschalttaste“ für unerwünschte Meinungen arbeitet also direkt asozialen Spammern zu, die auf Twitter mehr Zeit für ihre „Opferfindung“ und ihre üblen „Geschäfte“ zur Verfügung haben – und das vor allem zum Schaden naiver und somit besonders schützenswerter Nutzer.

Und deshalb ist dieser Missbrauch der Twitter-Funktion „Als Spam melden“ so dumm und so asozial wie die Spam selbst.

Wer für sich und andere einen quasi-offenen Kommunikationsbereich schaffen will, in dem bestimmte Meinungen und Menschen nicht auftreten können, sollte sich vielleicht einfach mit kostenloser und freier Software ein Webforum aufsetzen, in welchem die angestrebte inhaltliche Restriktion bequem administrativ durchgesetzt werden kann. Das ist auch für technisch ungeübte Mensch_innen mit aufschreiendem Grimme-Preis-Hintergrund gar nicht weiter schwierig und bequem binnen eines Tages zu bewältigen. Aber die eigene Stimme in eine Öffentlichkeit zu tragen, um gleichzeitig die Pluralität von Erfahrungen, Meinungen und Macken dieser Öffentlichkeit mit einer dummen und gegenüber anderen Menschen verantwortungslosen Wahllosigkeit der dabei angewandten Mittel bekämpfen zu wollen, ist eine Haltung, die vor allem eines verrät: Einen gleichsam totalitären wie völlig gedankenlosen Charakter.

Punkt.

Fußnoten

¹Schüler möchten miteinander in einer Gruppe kommunizieren, ohne dass ihre Lehrer mitlesen; abhängig Beschäftigte möchten nicht, dass ihre Chefs mitlesen und dergleichen mehr…

²Hier nur ein Screenshot zu Archivzwecken, ich mag so etwas nicht auch noch mit einer Verlinkung „adeln“.

³Was bedeutet es eigentlich, wenn der Begriff „Nazi“ dermaßen frei verwendet wird, dass er auf jeden Menschen anderer Meinung, Ausdrucksweise, Wertung passt, ja, trotz des an erster Stelle stehenden Wortbestandteils „National“ sogar auf einen Anarchisten wie mich, der (ohne große Hoffnung, aber mit großer Aussicht) Staaten für ein Konzept hält, das möglichst schnell kulturell überwunden werden muss? Das Wort „Nazi“ verliert jede Bedeutung. Es wird ein Schimpfwort wie „Arschloch“, das man letztlich auf jeden Menschen und auf alles legen kann – nur notdürftig rationalisiert durch eine pseudopolitische Deutung der anderen zugesprochenen „Arschlochhaftigkeit“. Der Preis dafür ist die Verharmlosung eines wenig erfreulichen Teils der deutschen Geschichte und der immer noch gegenwärtigen, ideologisch motivierten Gewalt gegen Menschen anderer Herkunft; geheiligt durch den hehren moralischen Anspruch unter dem wehenden Banner des „Antifaschismus“. Leute, das kann es doch nicht sein, oder?! Mein hier in einigen Worten durchschimmernder, beißender Spott gilt vor allem jenen, die zum verzerrten Spiegelbild derer werden, die sie zu bekämpfen vorgeben.

Was ist denn das für Schadsoftware?

Freitag, 22. November 2013

Eine Frage, die immer wieder einmal aufkommt, lautet: Was ist denn das für Schadsoftware, die an die Mail gehängt wurde; was passiert denn, wenn ich die Datei im Anhang öffne?

Diese Frage zu beantworten ist selbst für einen Experten schwieriger, als die meisten Menschen glauben möchten, denn…

…ist Schadsoftware oft vorsätzlich so geschrieben, dass eine Analyse erschwert wird, und
…besteht moderne Schadsoftware aus einem oft nur kleinen Programm, das vorhandene Sicherheitsmechanismen aushebelt und weitere Komponenten aus verschiedenen Internet-Quellen nachlädt.

Der einfachste Weg ist es, die Schadsoftware in einer Wegwerf-Installation zu starten, den Netzwerkverkehr zu überwachen und hinterher zu schauen, welche Teile des Betriebssystems verändert wurden und was bei der Nutzung des kompromittierten Computers passiert – also genau das zu tun, was ein Opfer tun sollte. Das Landeskriminalamt Niedersachsen scheint sich bei den umlaufenden „Rechnungen“, „Mahnungen“, „Bestellbestätigungen“, „Lieferscheinen“ etc. mit Schadsoftware-Anhang einmal genau diese Mühe gemacht zu haben:

Die Schadsoftware, die diese Kette an Aktionen ausgelöst hat, stammt aus einer E-Mail, die eine angebliche Rechnung als Dateianhang beinhaltete

Wer sich mal gruseln möchte, lese bitte einfach beim LKA Niedersachsen weiter. Hoffentlich kuriert diese Lektüre von jeder Leichtfertigkeit im Umgang mit E-Mail.

Ich kann es nicht oft genug sagen: Mailanhänge in geschäftlicher E-Mail stinken!

Es gibt keinen objektiven Grund für ein Unternehmen, inhaltlich nichtssagende (aber im Falle von Spam dabei meist alarmierend formulierte) Mail zu schreiben, um alle relevanten Informationen zur angeblichen Sache erst im Anhang zu offenbaren. Im Kommentarthread zu einer relativ frühen angeblichen „Mahnung“ dieser kriminellen Masche finden sich viele Zitate aus derartigen Spams, und beim Überfliegen sollte jedem klar werden, was ich mit dem Wort „inhaltlich nichtssagende Mail“ meine: Alle wichtigen Informationen befinden sich angeblich im Anhang, in der Mail stehen nur bedeutungslose Nummern.

Ein Anwaltsschreiben – das ist eine beliebte Angst-Masche der Spammer – kommt übrigens immer auf rechtssicherem Weg mit der Sackpost und wird bestenfalls vorab zur Information per E-Mail zugestellt, wobei halbwegs seriöse Rechtsanwälte darauf achten, dass immer im Textkörper der eigentlichen E-Mail eine Telefonnummer für eine eventuelle Rückfrage angegeben wird.

Wenn der Anhang ein ZIP-Archiv ist, in dem sich ein „Dokument“ befindet, sollte Alarmstufe Rot herrschen! Im Zweifelsfall nicht öffnen! Auch nicht vom Absender verblenden lassen, denn die Absenderadresse einer E-Mail kann sehr leicht und völlig beliebig gefälscht werden. Wenn es sich um Unternehmen handelt, mit denen man bislang nichts zu tun hatte, handelt es sich praktisch immer um Spam, die unbesehen gelöscht werden sollte. Wenn eine derartige Mail doch einmal plausibel erscheint – etwa, weil man wirklich etwas bestellt hat oder dort Kunde ist – lieber einmal telefonisch nachfragen, ob die Mail echt ist, bevor Anhänge aus einem ZIP-Archiv geöffnet werden.

Ein einziger unbedachter Klick kann sehr schnell erheblichen Ärger nach sich ziehen, von dem man monatelang „etwas hat“. Und natürlich ist das manipulierte Online-Banking nur eine mögliche Schadfunktion von vielen, wenn auch vermutlich oft die teuerste für die Betroffenen…

Und nein: Antivirusprogramme helfen nicht gegen die aktuellen Schädlinge, sondern nur gegen Schadsoftware, die bei den Antivirus-Unternehmen schon bekannt ist. Bei dieser Form der Spam ist das Antivirusprogramm oft vollkommen wirkungslos. Dies gilt auch, wenn die Kriminalpolizei auf der verlinkten Seite ihren in diesem Kontext ungeeigneten Textbaustein eingefügt hat¹. Der beste Virenschutz ist BRAIN.EXE…

¹Ein Tipp, den die Kriminalpolizei nicht gibt, der aber viel wirksamer als die „gefühlte Sicherheit“ durch Antivirus-Schlangenöl ist: Einfach ein anderes Betriebssystem als Microsoft Windows benutzen! Das kostet kein Geld, und ist zurzeit die beste Abwehr gegen alle Schadsoftware, die mir bislang untergekommen ist.

RechnungOnline Monat Oktober 2013

Montag, 30. September 2013

Die Mails mit dem gefälschten Absender rechnungonline (punkt) (at) telekom (punkt) de, die verblüffend ähnlich wie eine echte Mail der Deutschen Telekom aussehen, sind natürlich keine Mails der Deutschen Telekom. Mein soeben erhaltenes Exemplar wurde von einer dynamisch vergebenen IP-Adresse aus Italien, also vermutlich über einen mit Schadsoftware zum Bot gemachten Privatrechner, versendet. Das Layout und der Text entspricht vollständig dem kriminellen Versuch aus dem Februar dieses Jahres.

Ihre Rechnung für Oktober 2013

Guten Tag,
mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat Oktober 2013 beträgt: 41,67 Euro.

Spätestens beim Fehlen der persönlichen Anrede sollte klar sein, dass es sich nicht um eine Mail der Deutschen Telekom handelt. Kein Unternehmen wird seine Kunden unpersönlich ansprechen. Da die Spammer inzwischen viele Zuordnungen von Namen zu Mailadressen in ihrem Datenbestand haben, ist aber auch eine persönliche Ansprache in keinem Fall mehr ein hinreichendes Indiz, dass die Mail wirklich von der Deutschen Telekom stammt.

Ziel dieser Spam ist es, dass der Empfänger den Anhang öffnet. Es handelt sich um ein ZIP-Archiv, in dem sich eine Datei befindet, deren Name auf .pdf.exe endet, also eine direkt ausführbare Datei für Microsoft Windows, die von Verbrechern mit gefälschtem Absender unter Erweckung eines falschen Eindruckes zugestellt wurde – und die als kostenlose Zusatzleistung klar macht, wie die Verbrecher wohl an ihr Botnetz für den Spamversand gekommen sind. Nach dem „Öffnen“ dieser Datei hat man einen Computer anderer Leute auf seinem Schreibtisch stehen und muss damit leben, dass die Internetleitung von Verbrechern genutzt wird, dass sämtliche Tastatureingaben an die Verbrecher gehen und dass alle auf diesem Rechner bewusst oder unbewusst gespeicherten Daten kompromittiert sind.

Wer Microsoft Windows in den Standardeinstellungen belassen hat, glaubt zu sehen, dass der Dateiname auf .pdf endet, weil Microsoft der Meinung ist, dass der wirkliche Dateiname vor dem Anwender verborgen bleiben muss und mit dieser dummen und leider – trotz der Wucht der organisierten Internet-Kriminalität der Zehner Jahre – niemals korrigierten Entscheidung aus der Mitte der Neunziger Jahre eine derartige Überrumpelung überhaupt erst ermöglicht.

Die Schadsoftware wird zurzeit nur von einem Drittel der gängigen Antivirus-Programme erkannt. Wer sich auf diesen „Schutz“ verlassen hat, ist wieder einmal verlassen.

Warum die Hersteller des Antivirus-Schlangenöls¹ nicht dazu imstande sind, eine Datei mit einem Namen wie .pdf.exe allein deshalb als verdächtig zu behandeln, weil eine solche Benennung außerhalb der Trojanerverbreitung durch Überrumpelung vollständig sinnlos wäre, gehört zu den Fragen, die sie am besten einmal dem Antivirus-Schlangenölhersteller ihrer Wahl stellen. Nachdem derartige Nummern schon seit einigen Jahren laufen und großen Schaden anrichten, habe ich nicht mehr das geringste Verständnis dafür, dass dieses sehr einfache Muster einer doppelten Dateinamenserweiterung von .exe-Dateien nicht erkannt wird.

Wenn diese Spam mit einer namentlichen Ansprache bei einem Telekom-Kunden angekommen wäre, hätte er kaum Chancen gehabt, sie als Spam zu erkennen. Als letztes verdächtiges Anzeichen bleibt der leicht zu übersehene, überflüssige Punkt in der gefälschten Absenderadresse. Diese Schwäche wird vermutlich in zukünftigen Spamwellen dieser Masche verschwinden.

Es gilt weiterhin: Anhänge in E-Mails stinken und sollten nur mit äußerster Vorsicht behandelt werden. Dies gilt in ganz besonderem Maße, wenn der Anhang ein ZIP-Archiv ist, in dem sich ein angebliches „Dokument“ wie eine Rechnung, eine Auftragsbestätigung, eine Mahnung oder dergleichen befindet. In diesen Fällen handelt es sich beinahe ausschließlich um Schadsoftware, die an einen serverseitigen Spamfilter vorbeigemogelt werden soll – auf den meisten Servern wird nämlich darauf verzichtet, bei der Spamerkennung Archivformate auszupacken, um zu vermeiden, dass mit einer Archivbombe der Server „abgeschossen“ werden kann.

Wenn sie eine Rechnung als E-Mail erhalten, und im Anhang dieser Mail befindet sich ein ZIP-Archiv, das die eigentliche Rechnung enthält, können sie diese Mail bereits löschen. Es besteht keinerlei sachliche Notwendigkeit, echte Rechnungen in ein Archiv zu verpacken und auf diese Weise für den Empfänger umständlicher handhabbar zu machen (weil PDF-Dokumente bereits selbst komprimiert werden können). Aber es gibt einen „guten“ Grund für die Spam-Verbrecher, ihren hochgefährlichen Sondermüll in dieser Darreichungsform zu versenden. Schließlich leben die Halunken davon, dass die Mail nicht in Spamfiltern hängenbleibt, sondern ankommt und arglose Menschen dazu bringt, das zu tun, was die Halunken wollen.

Also: Äußerste Vorsicht bei E-Mail mit Anhang! Egal, wer der Absender zu sein scheint!

¹Wenn eine derartig primitive Masche auch nach Jahren noch dazu benutzt werden kann, einem naiven Anwender eine Software von Verbrechern unterzujubeln, dann belegt das nur eines: Den Herstellern von Antivirus-Programmen sind die realen Verbreitungswege der Schadsoftware und die davon betroffenen Menschen egal. Ihnen reicht das Geschäft mit der gefühlten Sicherheit, das sie sich gut bezahlen lassen. Sie sind wie Quacksalber, die einem Menschen mit einer lebensbedrohlichen Lungenentzündung überteuerte Hustenbonbons verkaufen und auf die Placebo-Wirkung hoffen. Es ist nur noch Schlangenöl, kein Bemühen mehr um das, was eigentlich verkauft wird: Ein leidlich vor den Attacken der Kriminellen abgesicherter Computer.