Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Kategoriearchiv „Informatives“

„Yahoo!“ jubelt die organisierte Kriminalität

Montag, 6. Januar 2014

Warum man grundsätzlich, immer und auf jeder Website einen Adblocker verwendet, erklärt euch heute einmal zur Abwechslung die Redaktion der Tagesschau (dauerhaft archiverte Version gegen die „Depublizierung“):

Schätzungen der Firma zufolge wurden die Schadprogramme an rund 300.000 Nutzer pro Stunde geschickt. Dies entspreche rund 27.000 Infizierungen pro Stunde. Am stärksten betroffen seien Frankreich, Großbritannien und Rumänien

Natürlich sind die hier angegebenen Zahlen für die feindliche Übernahme von Computern durch die organisierte Kriminalität nur geschätzt (und die indirekte Rede macht klar, dass die Tagesschau-Redaktion hier eine nicht genannte externe Quelle wiedergibt). Es ist für Yahoo zwar möglich, zu wissen, welche Seiten wie oft aufgerufen wurden – aber ob es dabei auch zu einer Ausführung von Schadsoftware kam, kann nur „erraten“ werden. Eine „Erfolgsquote“ von neun Prozent (wegen anfälliger Browser, anfälliger Plugins, anfälliger Betriebssysteme) kommt mir dabei eher etwas gering angesetzt vor. Moderne Schadsoftware für den „Infektionsweg Browser“ prüft sämtliche bekannten Schwachstellen.

Zu einer Verteilung von Schadsoftware über eingeblendete Werbebanner kommt es immer wieder einmal, und regelmäßig sind auch große, renommierte Websites davon betroffen. Da es sich dabei um aktuelle Schadsoftware handelt, sind so genannte „Antivirusprogramme“ wirkungslos und lassen ihren Anwender schutzlos zurück. Die Verwendung eines wirksamen Adblockers beseitigt hingegen diese gefährliche Angriffsmöglichkeit an ihrer Wurzel und macht zudem das Web zu einem schöneren und schnelleren Erlebnis. Ich empfehle Adblock Edge.

Also: Immer einen Adblocker verwenden! Niemals den Adblocker ausschalten! Egal, was irgendwelche Jornalisten, Verleger und Web-Geschäftemacher ohne seriöses Geschäftsmodell zu diesem Thema noch sagen mögen! Sie würden ja auch nicht ihren Virenschutz und ihre personal firewall abschalten, nur weil ihnen jemand sagt, dass das besser für seine Geschäfte sei… 😉

Und ja, es ist Zufall, dass es Yahoo erwischt hat. Meine etwas hämische Wortspielerei im Titel ist inhaltlich bedeutungslos. Es kann jede Website erwischen, die Werbung über externe Anbieter einbettet. Zum Beispiel auch die Website ihrer Lieblingszeitung, ihres bevorzugten Fernsehsenders oder dergleichen. Das automatische Einbetten von Code irgendwelcher Reklamefirmen ist das Problem. Und das gilt nicht nur für den Code „kleiner Werbeklitschen“, sondern auch für Google und Microsoft. Ganz im Gegenteil: Die großen Anbieter sind für die Kriminellen aus naheliegenden Gründen ungleich interessanter, da in der kurzen verfügbaren Zeit mehr Computer übernommen werden können. Und dann kommt es zum Beispiel zum manipulierten Online-Banking

Spammangelüberbrückung: Einige Hinweise

Donnerstag, 2. Januar 2014

Es ist kaum zu glauben, aber ich habe gerade Spammangel. Nein, es ist natürlich nicht so, dass ich keine Spam mehr bekäme, aber ich bekomme keine neue Spam. Stattdessen immer wieder die gleichen hirntoten Texte der Marke „Uns vom Ruby Palace ist Ihr Gewinnpotenzial äußerst wichtig“. Ah, ja!

Das ist eine gute Gelegenheit, hier einige allgemeine Hinweise zu geben und den einen oder anderen Link zu setzen. 😉

Ein Tipp zur Erkennung von E-Mail-Spam

Meinem Leser F. L. habe ich den folgenden Tipp zur leichteren Erkennung von E-Mail-Spam zu verdanken – allerdings ist die Benutzung eines Mailclients wie Mozilla Thunderbird Vorraussetzung, es wird so nicht mit Webmailern funktionieren. Weil der Thunderbird schlicht der beste frei verfügbare Mailclient ist, beschreibe ich die Vorgehensweise dort:

Sehr viel E-Mail-Spam enthält – ebenso wie die Mehrzahl der legitimen E-Mail-Verteiler – keine normale Empfängeradresse. Die Empfänger werden technisch als BCC-Header angegeben, als Empfänger ist so etwas wie „undisclosed-recipients“ eingetragen, die Verteilung der Mail erfolgt durch den Mailserver.

Wenn man in der Listendarstellung im Posteingang also auch die Empfängeradresse sehen kann, lässt sich ein Teil der Spam sehr einfach als Spam erkennen und behandeln. Natürlich wird der Empfänger standardmäßig nicht angezeigt, weil er in legitimer E-Mail klar ist.

Erfreulicherweise ist es möglich, auch den Empfänger in der Liste der Mails einzublenden. Das geht so:

Öffnen sie das Kontextmenü über den Spaltentiteln in der Liste mit den E-Mails. Dazu bewegen sie den Mauszeiger über die Titel und klicken mit der rechten Maustaste. Es wird ein Menü sichtbar, in dem sie auswählen können, welche Spalten in der Liste angezeigt werden. Dieses Menü sieht so aus…

Anpassung der Darstellung im Posteingang

…und es sollte sich von selbst erklären. 😉

Natürlich ist das allein kein sicheres Erkennungsmerkmal. Bei typischen Phishing-Mails, beim Vorschussbetrug und bei Mails mit Schadsoftware-Anhang wird beinahe immer die Mailadresse des Empfängers eingetragen. (Es ist auch nicht besonders schwierig, ein Skript zu schreiben, das jede Mail einzeln versendet.) Aber ich kann mir durchaus vorstellen, dass diese Ansicht vielen Menschen hilft, der täglichen Flut von Müll besser Herr zu werden. Eine Spam, die gar nicht erst gelesen wird, spart schließlich etwas von der beschränkten Lebenszeit, mit der man doch lieber Erfreulicheres anstellt…

Spam, Phishing, Fakes und Betrug auf Facebook

Als jemand, der nicht bei Facebook – von mir „liebevoll“ Fratzenbuch genannt – ist, bekomme ich die dort umlaufenden Spams (zum Glück) nicht mit und kann nicht darüber schreiben.

Das macht aber nichts, denn Mimikama leistet hier hervorragende Arbeit mit leichtverständlicher Aufklärung in einem deutlich sachlicheren Ton als dem, den ich hier gewöhnlicherweise auf Unser täglich Spam pflege.

Wer bei Facebook ist, sollte Mimikama regelmäßig lesen oder den Mitteilungen auf Facebook folgen. [Hinweis für Allergiker: Der Link geht zu Facebook] Einige der auf Facebook umlaufenden Phishing-Nummern sind durchaus gefährlich.

Übrigens: Ein E-Mail-Passwort sollte niemals irgendwo anders im Internet als gegenüber dem Mailserver an- oder eingegeben werden, und schon gar nicht zusammen mit der Mailadresse. Es ist für niemanden anders nötig, das Passwort eines E-Mail-Kontos zu kennen, und damit kann auch nichts „verifiziert“ werden. Nur Spammer kommen so an frische, „unverdächtige“ Mailserver und Adressen für ihre Tätigkeiten, die niemand vermisste, wenn es sie nicht mehr gäbe.

Missbrauch der Spamblockfunktion auf Twitter

Auf Twitter – von mir „liebevoll“ Zwitscherchen genannt – gibt es einige politisch umtriebige Mensch_innen, die aus der relativen Anonymität Twitters heraus dazu auffordern, bestimmte Benutzer mit in ihren Augen missliebigen Meinungen zu spamblocken, um auf diese Weise solche Meinungen aus Twitter zu entfernen.

Ich rate strikt davon ab, solchen Aufforderungen Folge zu leisten. Solche Aufforderungen sind dumm und erschweren Twitter die Bekämpfung der Spam, was ein Schaden für alle Nutzer ist. Letztlich arbeitet der angestrebte Missbrauch der Spam-Melde-Funktion den kriminellen Spammern zu, und zwar zum Schaden aller derjenigen Twitter-Nutzer, die später zum Opfer der diversen kriminellen Maschen werden.

Twitter kennt zwei Formen der Blockade.

  1. Nutzer blockieren
    Das bedeutet, dass man den Nutzer nicht mehr in der eigenen Timeline sehen kann und somit auch seine Äußerungen nicht mehr ertragen muss – mit dem manchmal nachteiligen Nebeneffekt, dass man sie auch nicht mehr mitbekommt, um dazu Stellung nehmen zu können. Anders, als viele Nutzer spontan annehmen, bedeutet das nicht, dass der blockierte Nutzer nicht mehr die eigenen Tweets lesen kann. Tweets in einem nicht auf privat gesetzten Twitter-Kanal sind öffentlich, sie können sogar von Menschen eingesehen werden, die gar nicht bei Twitter angemeldet sind und mithilfe der Twitter-Suche aufgefunden werden. Wer das aus irgendeinem Grund – mir fallen da sehr viele ein¹ – nicht möchte, muss seinen gesamten Twitter-Kanal auf „privat“ setzen, um für jeden, der daran teilhaben möchte, einzeln zu entscheiden, ob die Tweets gelesen werden können. Diese Einstellung ist – im Gegensatz etwa zu den Privatsphäre-Einstellungen bei Facebook – sehr einfach und ihre Bedeutung lässt sich in einem einzigen Satz erklären: Es gibt nur öffentliche und private Kanäle. Generell ist es übrigens ziemlich dämlich und zeugt sowohl von sozialer als auch technischer Inkompetenz, empfindliche und schützenswerte private Kommunikation über einen öffentlichen Kanal laufen zu lassen.
  2. Nutzer als Spam melden
    Das blockiert den Nutzer – wie im letzten Punkt beschrieben – und meldet ihn zusätzlich gegenüber Twitter als Spam. Natürlich hat Twitter ein Interesse daran, Spam zu bekämpfen, und von daher führt eine Häufung von Spammeldungen dazu, dass ein Twitter-Account von Twitter stillgelegt wird. Spam besteht etwa in spammigen @-Mitteilungen, im betrügerischem Missbrauch Twitters, aber auch in der „klassischen“ massenhaften Follow-Spam, die manchmal leicht zu erkennen ist, fast immer inhaltsleer stammelnd daher kommt, zuweilen aber auch mit „simulierten Inhalten“ und die darauf baut, dass häufig halbmechanisch zurückgefolgt wird, um so ein großes (und übrigens in gewissen Kreisen auch verkäufliches) Auditorium für spätere Spamtweets zu schaffen. Etwas als Spam zu melden, ist ein Hinweis an Twitter, dass ein Account für Spam missbraucht wird und deshalb entfernt werden sollte. Das ist selbst für minder aufgeweckte Zeitgenoss_innen nicht allzu schwierig zu verstehen.

Nun haben also einige Mensch_innen „entdeckt“, dass man mit Spammeldungen andere Menschen bei Twitter „wegbeißen“ kann und machen daraus öffentliche Aufforderungen, so vorzugehen – jetzt, nach recht scharfem Gegenwind, auch ohne öffentlich sichtbaren Aufforderungscharakter wie etwa in diesem prangerhaften Kanal².

Was bedeutet das von der Seite Twitters aus gesehen.

Nun, ich muss einräumen, dass ich selbst einmal als „Nazi“ – nein, das ist kein Witz, es gibt da draußen Menschen, die mich zwar nicht kennen, mich aber für einen „Nazi“ halten und mich als solchen bezeichnen³ – zum Opfer eines solchen rudelhaften Spamblockens geworden bin und zu meiner Überraschung eines Tages feststellte, dass mein Twitter-Account nicht mehr bestand.

Natürlich habe ich mich bei Twitter gemeldet, und natürlich wurde mein Account dort binnen zweier Tage vollständig wiederhergestellt, da es schon durch kurze Einsicht offensichtlich ist, dass ich kein Spammer bin.

Der Vorgang hat also einen nicht algorithmisch behandelbaren Arbeitsaufwand bei Twitter verursacht, der Twitter Geld für die aufgewändete Arbeitszeit kostet. Natürlich wird Twitter als gewinnorientierte Unternehmung dafür Sorge tragen, dass diese Art von Kosten so gering wie nur möglich ist und deshalb an seinen Algorithmen „schrauben“, die für die Einordnung eines Nutzers als Spammer verantwortlich sind. Wenn unbegründete Spammeldungen zunehmen, wird dies zur Folge haben, dass selbst häufig gemeldete Spammer seltener geblockt werden. Der zunehmende Missbrauch der Spammeldefunktion als „Stummschalttaste“ für unerwünschte Meinungen arbeitet also direkt asozialen Spammern zu, die auf Twitter mehr Zeit für ihre „Opferfindung“ und ihre üblen „Geschäfte“ zur Verfügung haben – und das vor allem zum Schaden naiver und somit besonders schützenswerter Nutzer.

Und deshalb ist dieser Missbrauch der Twitter-Funktion „Als Spam melden“ so dumm und so asozial wie die Spam selbst.

Wer für sich und andere einen quasi-offenen Kommunikationsbereich schaffen will, in dem bestimmte Meinungen und Menschen nicht auftreten können, sollte sich vielleicht einfach mit kostenloser und freier Software ein Webforum aufsetzen, in welchem die angestrebte inhaltliche Restriktion bequem administrativ durchgesetzt werden kann. Das ist auch für technisch ungeübte Mensch_innen mit aufschreiendem Grimme-Preis-Hintergrund gar nicht weiter schwierig und bequem binnen eines Tages zu bewältigen. Aber die eigene Stimme in eine Öffentlichkeit zu tragen, um gleichzeitig die Pluralität von Erfahrungen, Meinungen und Macken dieser Öffentlichkeit mit einer dummen und gegenüber anderen Menschen verantwortungslosen Wahllosigkeit der dabei angewandten Mittel bekämpfen zu wollen, ist eine Haltung, die vor allem eines verrät: Einen gleichsam totalitären wie völlig gedankenlosen Charakter.

Punkt.

Fußnoten

¹Schüler möchten miteinander in einer Gruppe kommunizieren, ohne dass ihre Lehrer mitlesen; abhängig Beschäftigte möchten nicht, dass ihre Chefs mitlesen und dergleichen mehr…

²Hier nur ein Screenshot zu Archivzwecken, ich mag so etwas nicht auch noch mit einer Verlinkung „adeln“.

³Was bedeutet es eigentlich, wenn der Begriff „Nazi“ dermaßen frei verwendet wird, dass er auf jeden Menschen anderer Meinung, Ausdrucksweise, Wertung passt, ja, trotz des an erster Stelle stehenden Wortbestandteils „National“ sogar auf einen Anarchisten wie mich, der (ohne große Hoffnung, aber mit großer Aussicht) Staaten für ein Konzept hält, das möglichst schnell kulturell überwunden werden muss? Das Wort „Nazi“ verliert jede Bedeutung. Es wird ein Schimpfwort wie „Arschloch“, das man letztlich auf jeden Menschen und auf alles legen kann – nur notdürftig rationalisiert durch eine pseudopolitische Deutung der anderen zugesprochenen „Arschlochhaftigkeit“. Der Preis dafür ist die Verharmlosung eines wenig erfreulichen Teils der deutschen Geschichte und der immer noch gegenwärtigen, ideologisch motivierten Gewalt gegen Menschen anderer Herkunft; geheiligt durch den hehren moralischen Anspruch unter dem wehenden Banner des „Antifaschismus“. Leute, das kann es doch nicht sein, oder?! Mein hier in einigen Worten durchschimmernder, beißender Spott gilt vor allem jenen, die zum verzerrten Spiegelbild derer werden, die sie zu bekämpfen vorgeben.

Was ist denn das für Schadsoftware?

Freitag, 22. November 2013

Eine Frage, die immer wieder einmal aufkommt, lautet: Was ist denn das für Schadsoftware, die an die Mail gehängt wurde; was passiert denn, wenn ich die Datei im Anhang öffne?

Diese Frage zu beantworten ist selbst für einen Experten schwieriger, als die meisten Menschen glauben möchten, denn…

  1. …ist Schadsoftware oft vorsätzlich so geschrieben, dass eine Analyse erschwert wird, und
  2. …besteht moderne Schadsoftware aus einem oft nur kleinen Programm, das vorhandene Sicherheitsmechanismen aushebelt und weitere Komponenten aus verschiedenen Internet-Quellen nachlädt.

Der einfachste Weg ist es, die Schadsoftware in einer Wegwerf-Installation zu starten, den Netzwerkverkehr zu überwachen und hinterher zu schauen, welche Teile des Betriebssystems verändert wurden und was bei der Nutzung des kompromittierten Computers passiert – also genau das zu tun, was ein Opfer tun sollte. Das Landeskriminalamt Niedersachsen scheint sich bei den umlaufenden „Rechnungen“, „Mahnungen“, „Bestellbestätigungen“, „Lieferscheinen“ etc. mit Schadsoftware-Anhang einmal genau diese Mühe gemacht zu haben:

Die Schadsoftware, die diese Kette an Aktionen ausgelöst hat, stammt aus einer E-Mail, die eine angebliche Rechnung als Dateianhang beinhaltete

Wer sich mal gruseln möchte, lese bitte einfach beim LKA Niedersachsen weiter. Hoffentlich kuriert diese Lektüre von jeder Leichtfertigkeit im Umgang mit E-Mail.

Ich kann es nicht oft genug sagen: Mailanhänge in geschäftlicher E-Mail stinken!

Es gibt keinen objektiven Grund für ein Unternehmen, inhaltlich nichtssagende (aber im Falle von Spam dabei meist alarmierend formulierte) Mail zu schreiben, um alle relevanten Informationen zur angeblichen Sache erst im Anhang zu offenbaren. Im Kommentarthread zu einer relativ frühen angeblichen „Mahnung“ dieser kriminellen Masche finden sich viele Zitate aus derartigen Spams, und beim Überfliegen sollte jedem klar werden, was ich mit dem Wort „inhaltlich nichtssagende Mail“ meine: Alle wichtigen Informationen befinden sich angeblich im Anhang, in der Mail stehen nur bedeutungslose Nummern.

Ein Anwaltsschreiben – das ist eine beliebte Angst-Masche der Spammer – kommt übrigens immer auf rechtssicherem Weg mit der Sackpost und wird bestenfalls vorab zur Information per E-Mail zugestellt, wobei halbwegs seriöse Rechtsanwälte darauf achten, dass immer im Textkörper der eigentlichen E-Mail eine Telefonnummer für eine eventuelle Rückfrage angegeben wird.

Wenn der Anhang ein ZIP-Archiv ist, in dem sich ein „Dokument“ befindet, sollte Alarmstufe Rot herrschen! Im Zweifelsfall nicht öffnen! Auch nicht vom Absender verblenden lassen, denn die Absenderadresse einer E-Mail kann sehr leicht und völlig beliebig gefälscht werden. Wenn es sich um Unternehmen handelt, mit denen man bislang nichts zu tun hatte, handelt es sich praktisch immer um Spam, die unbesehen gelöscht werden sollte. Wenn eine derartige Mail doch einmal plausibel erscheint – etwa, weil man wirklich etwas bestellt hat oder dort Kunde ist – lieber einmal telefonisch nachfragen, ob die Mail echt ist, bevor Anhänge aus einem ZIP-Archiv geöffnet werden.

Ein einziger unbedachter Klick kann sehr schnell erheblichen Ärger nach sich ziehen, von dem man monatelang „etwas hat“. Und natürlich ist das manipulierte Online-Banking nur eine mögliche Schadfunktion von vielen, wenn auch vermutlich oft die teuerste für die Betroffenen…

Und nein: Antivirusprogramme helfen nicht gegen die aktuellen Schädlinge, sondern nur gegen Schadsoftware, die bei den Antivirus-Unternehmen schon bekannt ist. Bei dieser Form der Spam ist das Antivirusprogramm oft vollkommen wirkungslos. Dies gilt auch, wenn die Kriminalpolizei auf der verlinkten Seite ihren in diesem Kontext ungeeigneten Textbaustein eingefügt hat¹. Der beste Virenschutz ist BRAIN.EXE

¹Ein Tipp, den die Kriminalpolizei nicht gibt, der aber viel wirksamer als die „gefühlte Sicherheit“ durch Antivirus-Schlangenöl ist: Einfach ein anderes Betriebssystem als Microsoft Windows benutzen! Das kostet kein Geld, und ist zurzeit die beste Abwehr gegen alle Schadsoftware, die mir bislang untergekommen ist.

RechnungOnline Monat Oktober 2013

Montag, 30. September 2013

Die Mails mit dem gefälschten Absender rechnungonline (punkt) (at) telekom (punkt) de, die verblüffend ähnlich wie eine echte Mail der Deutschen Telekom aussehen, sind natürlich keine Mails der Deutschen Telekom. Mein soeben erhaltenes Exemplar wurde von einer dynamisch vergebenen IP-Adresse aus Italien, also vermutlich über einen mit Schadsoftware zum Bot gemachten Privatrechner, versendet. Das Layout und der Text entspricht vollständig dem kriminellen Versuch aus dem Februar dieses Jahres.

Ihre Rechnung für Oktober 2013

Guten Tag,
mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat Oktober 2013 beträgt: 41,67 Euro.

Spätestens beim Fehlen der persönlichen Anrede sollte klar sein, dass es sich nicht um eine Mail der Deutschen Telekom handelt. Kein Unternehmen wird seine Kunden unpersönlich ansprechen. Da die Spammer inzwischen viele Zuordnungen von Namen zu Mailadressen in ihrem Datenbestand haben, ist aber auch eine persönliche Ansprache in keinem Fall mehr ein hinreichendes Indiz, dass die Mail wirklich von der Deutschen Telekom stammt.

Ziel dieser Spam ist es, dass der Empfänger den Anhang öffnet. Es handelt sich um ein ZIP-Archiv, in dem sich eine Datei befindet, deren Name auf .pdf.exe endet, also eine direkt ausführbare Datei für Microsoft Windows, die von Verbrechern mit gefälschtem Absender unter Erweckung eines falschen Eindruckes zugestellt wurde – und die als kostenlose Zusatzleistung klar macht, wie die Verbrecher wohl an ihr Botnetz für den Spamversand gekommen sind. Nach dem „Öffnen“ dieser Datei hat man einen Computer anderer Leute auf seinem Schreibtisch stehen und muss damit leben, dass die Internetleitung von Verbrechern genutzt wird, dass sämtliche Tastatureingaben an die Verbrecher gehen und dass alle auf diesem Rechner bewusst oder unbewusst gespeicherten Daten kompromittiert sind.

Wer Microsoft Windows in den Standardeinstellungen belassen hat, glaubt zu sehen, dass der Dateiname auf .pdf endet, weil Microsoft der Meinung ist, dass der wirkliche Dateiname vor dem Anwender verborgen bleiben muss und mit dieser dummen und leider – trotz der Wucht der organisierten Internet-Kriminalität der Zehner Jahre – niemals korrigierten Entscheidung aus der Mitte der Neunziger Jahre eine derartige Überrumpelung überhaupt erst ermöglicht.

Die Schadsoftware wird zurzeit nur von einem Drittel der gängigen Antivirus-Programme erkannt. Wer sich auf diesen „Schutz“ verlassen hat, ist wieder einmal verlassen.

Warum die Hersteller des Antivirus-Schlangenöls¹ nicht dazu imstande sind, eine Datei mit einem Namen wie .pdf.exe allein deshalb als verdächtig zu behandeln, weil eine solche Benennung außerhalb der Trojanerverbreitung durch Überrumpelung vollständig sinnlos wäre, gehört zu den Fragen, die sie am besten einmal dem Antivirus-Schlangenölhersteller ihrer Wahl stellen. Nachdem derartige Nummern schon seit einigen Jahren laufen und großen Schaden anrichten, habe ich nicht mehr das geringste Verständnis dafür, dass dieses sehr einfache Muster einer doppelten Dateinamenserweiterung von .exe-Dateien nicht erkannt wird.

Wenn diese Spam mit einer namentlichen Ansprache bei einem Telekom-Kunden angekommen wäre, hätte er kaum Chancen gehabt, sie als Spam zu erkennen. Als letztes verdächtiges Anzeichen bleibt der leicht zu übersehene, überflüssige Punkt in der gefälschten Absenderadresse. Diese Schwäche wird vermutlich in zukünftigen Spamwellen dieser Masche verschwinden.

Es gilt weiterhin: Anhänge in E-Mails stinken und sollten nur mit äußerster Vorsicht behandelt werden. Dies gilt in ganz besonderem Maße, wenn der Anhang ein ZIP-Archiv ist, in dem sich ein angebliches „Dokument“ wie eine Rechnung, eine Auftragsbestätigung, eine Mahnung oder dergleichen befindet. In diesen Fällen handelt es sich beinahe ausschließlich um Schadsoftware, die an einen serverseitigen Spamfilter vorbeigemogelt werden soll – auf den meisten Servern wird nämlich darauf verzichtet, bei der Spamerkennung Archivformate auszupacken, um zu vermeiden, dass mit einer Archivbombe der Server „abgeschossen“ werden kann.

Wenn sie eine Rechnung als E-Mail erhalten, und im Anhang dieser Mail befindet sich ein ZIP-Archiv, das die eigentliche Rechnung enthält, können sie diese Mail bereits löschen. Es besteht keinerlei sachliche Notwendigkeit, echte Rechnungen in ein Archiv zu verpacken und auf diese Weise für den Empfänger umständlicher handhabbar zu machen (weil PDF-Dokumente bereits selbst komprimiert werden können). Aber es gibt einen „guten“ Grund für die Spam-Verbrecher, ihren hochgefährlichen Sondermüll in dieser Darreichungsform zu versenden. Schließlich leben die Halunken davon, dass die Mail nicht in Spamfiltern hängenbleibt, sondern ankommt und arglose Menschen dazu bringt, das zu tun, was die Halunken wollen.

Also: Äußerste Vorsicht bei E-Mail mit Anhang! Egal, wer der Absender zu sein scheint!

¹Wenn eine derartig primitive Masche auch nach Jahren noch dazu benutzt werden kann, einem naiven Anwender eine Software von Verbrechern unterzujubeln, dann belegt das nur eines: Den Herstellern von Antivirus-Programmen sind die realen Verbreitungswege der Schadsoftware und die davon betroffenen Menschen egal. Ihnen reicht das Geschäft mit der gefühlten Sicherheit, das sie sich gut bezahlen lassen. Sie sind wie Quacksalber, die einem Menschen mit einer lebensbedrohlichen Lungenentzündung überteuerte Hustenbonbons verkaufen und auf die Placebo-Wirkung hoffen. Es ist nur noch Schlangenöl, kein Bemühen mehr um das, was eigentlich verkauft wird: Ein leidlich vor den Attacken der Kriminellen abgesicherter Computer.

Retourenlabel zu Ihrer DHL Sendung 401696982

Montag, 26. August 2013

Gefälschter Absender ist no (strich) reply (at) deutschepost (punkt) de, aber natürlich hat diese Spam nichts mit DHL oder der Deutschen Post zu tun. Das Fälschen eines Absenders ist nun einmal sehr leicht. Die sehr viel schwierigere Aufgabe, einigermaßen ruckelfreies Deutsch zu schreiben, haben die Spammer zugegebenermaßen gut bewältigt.

BITTE ANTWORTEN SIE NICHT AUF DIESE EMAIL

Die Mail zu beantworten wäre auch reichlich witzlos, denn der Absender ist gefälscht.

Sehr geehrte Damen und Herren,

Großes Kino! Der Empfänger hat also angeblich ein Paket bekommen, das bestimmt nicht an die E-Mail-Adresse zugestellt wurde, sondern an einen Menschen, aber trotzdem weiß DHL nicht, wie der Empfänger heißt.

Bitte drucken Sie das beigefügte Retourenlabel aus und bringen es auf Ihrem Retourenpaket an. Ihr Retourenpaket können Sie deutschlandweit abgeben:
– bei allen [rund 2.500] DHL Packstationen oder [rund 1.000] Paketboxen
– in einer der [über 14.000] Filialen in Ihrer Nähe
– bei Ihrem Paketzusteller
Auf Wunsch können Sie Ihr Paket auf eigene Kosten abholen lassen. Einfach online eine Abholung beauftragen unter:
www.dhl.de/abholauftrag

Das „beigefügte Retourenlabel“ – die Spammer wissen also immer noch nicht, wie man einen Mailanhang so bezeichnen kann, dass das Gehirn beim Lesen nicht stolpert – ist das Übliche: Ein ZIP-Archiv, in dem eine Datei mit der Namenserweiterung .pdf.exe liegt, also eine von Verbrechern mit einer Spam zugestellte ausführbare Datei für Microsoft Windows, die so tun will, als sei sie ein PDF-Dokument. Wer sich das angebliche PDF auf seinem unter Microsoft Windows laufenden Rechner anschauen will, führt also Software von Kriminellen aus. Zurzeit erkennt nur die Hälfte der gängigen Antivirusprogramme in dieser Schadsoftware etwas, was eine Warnung rechtfertigt. Es besteht also durchaus trotz Virenschutz-Schlangenöl eine Gefahr… außer, man macht bei derartigen Mails mit Anhang in einem ZIP-Archiv das einzig richtige: Einmal auf die Löschtaste drücken und sich angenehmeren Dingen zuwenden.

So, und jetzt noch mein offener Brief…

An die Hersteller von Antivirus-Programmen

Ein frohes Hallo in die große Runde der Schlangenölhändler!

Ihr „seht“ sicher jeden Tag mehr Schadsoftware als ich in meinem ganzen Leben. Ihr müsst euch jeden Tag etwas einfallen lassen, wie ihr diesen ganzen Dreck erkennt und unschädlich macht.

Das ist sicher keine leichte Aufgabe, und es mag für Nutzer häufig angegriffener Systeme mit langer Sicherheitsvorgeschichte wie Microsoft Windows auch eine wichtige Ergänzung zur Benutzung des handelsüblichen Verstandes sein, wenn eure Software im Hintergrunde Strom in Wärme verwandelt, um eine Übernahme des Computers durch Kriminelle zu erschweren.

Ihr sucht in Binaries nach Mustern, die eine eindeutige Erkennung ermöglichen, damit es nicht zu peinlichen Fehlern kommt. Und die Spammer sind euch immer einen bis zwei Tage voraus, so dass eure gesamte Mühe nur gegen ältere Schädlinge hilft, aber nur selten gegen die Pest, die jeden Tag in stinkenden Fluten ins Postfach strömt.

Ich habe an euch nur eine kleine, aber vielleicht nicht ganz unwichtige Frage:

Die erste, hier auf Unser täglich Spam wiedergegebene Müllmail, in der eine Datei mit der Namenserweiterung .pdf.exe auftrat, habe ich am 15. Mai 2009, also vor 1564 Tagen, gesehen. Diese spezielle Masche wurde seitdem immer und immer wieder einmal mit den unterschiedlichsten „Begründungen“ versucht, zum Beispiel als Telekom-Rechnung, als MMS, als Rechnung mit namentlicher Ansprache, als Bestellbestätigung, als Zustellungshinweis für ein Paket oder als Mahnschreiben eines Inkasso-Anwalts.

Es handelt sich also wirklich nicht mehr um eine neue Nummer der Spammer.

Aber es handelt sich immer noch um eine brandgefährliche Nummer. Das erkenne ich auch daran, dass ich beinahe jeden Tag eine solche Datei als Anhang einer Spam sehe. Derartige Mails mit angeblichen PDF-Anhängen dürften jeden Tag zur Folge haben, dass hunderte von Menschen ihren Rechner zu einem Computer anderer Leute machen. Sie dürften also einen erheblichen Schaden durch abgegriffene Passwörter, manipuliertes Online-Banking, Identitätsmissbrauch, Spam und andere unerfreuliche Tätigkeiten verursachen.

Dieser Schaden wird auch verursacht, weil derartige Mails von eurem Schlangenöl immer noch nicht als potenziell schädlich erkannt werden.

Aus Nutzersicht erscheint der Anhang als ein PDF-Dokument. Er hat das passende Piktogramm und heißt irgendetwas mit .pdf am Ende, was keinen Alarm auslöst. Er ist, wenn die Standardeinstellungen von Windows belassen wurden, völlig unverdächtig. Aber es handelt sich um eine .exe für Microsoft Windows.

Dass Microsoft aus vermutlich nicht nur für mich nicht nachvollziehbaren Gründen den echten Namen der Datei vorm Nutzer verbirgt und damit diese Nummer erst möglich macht, gehört zu den Dingen, die ihr auch nicht ändern könnt. Es ist neben anderen vergleichbar hirnlosen Entscheidungen aus Redmond einer der vielen kleinen Gründe dafür, dass Microsoft Windows das Lieblingsbetriebssystem der organisierten Kriminalität ist.

Aber, ihr Hersteller von Antivirus-Schlangenöl! Erklärt mir bitte nur eine einzige Kleinigkeit: Welchen halbwegs legitimen Grund kann es geben, eine Datei als .pdf.exe zu benennen, um einen völlig falschen Eindruck von der wirklichen Natur dieser Datei zu erwecken? Mir fällt beim besten Willen kein Grund ein, warum jemand das tun sollte, wenn er nicht gerade mit dieser Überrumpelung jemanden anders eine Schadsoftware unterjubeln möchte.

Und wenn auch euch kein Grund einfällt – wovon ich ausgehe – ist hier meine kleine Frage: Warum zum hackenden Henker werden solche Dateien von euch nicht als Schadsoftware aussortiert? Ihr braucht dafür nicht einmal in die Dateien hineinzuschauen und sie mit euren Virussignaturen abzugleichen. Ein einziger Blick auf den Dateinamen reicht. Wenn er .pdf.exe, .pdf.scr, .pdf.pif, .pdf.com oder vergleichbar lautet, oder wenn da statt pdf so etwas wie docx, doc, odt, ppt, xls oder dergleichen steht, handelt es sich immer um einen Versuch, eine potenziell gefährliche, ausführbare Datei als ein harmloseres Dokumentformat zu tarnen.

Seid ihr einfach nur gedankenlos? Oder seid ihr in der Suche nach guten Signaturen für Schadsoftware so „betriebsblind“ geworden, dass euch einfache Muster gar nicht mehr auffallen?

Oder ist es euch egal, ob eure Software gegen den ganzen Müll funktioniert, weil ihr eh wisst, dass eure Produkte keinen zuverlässigen Schutz bieten und hofft ihr stattdessen nur noch darauf, dass das Geschäft damit trotzdem noch eine Zeitlang läuft?

Nur eine kleine Frage von eurem Spam „genießenden“
Nachtwächter

Leider konnte die Lastschrift von Ihrem Bankkonto nicht durchgeführt werden

Freitag, 16. August 2013

Derartige Spams sind zurzeit eine stinkende Flut. Es gibt viele verschiedene, vermutlich aus Bausteinen zusammengesetze Texte für die immer gleiche Masche. Häufig erscheint dabei der richtige Name in der Anrede, was die Spam noch gefährlicher macht.

Dies ist nur einer dieser Texte, wie er aktuell verwendet wird – übrigens mit einer bemerkenswert guten Formulierung und Rechtschreibung für eine Spam:

Sehr geehrter Kunde Vorname Nachname¹,

Sie haben Ihre Bestellung vom 01.07.2013 bis heute nicht beglichen. Die Summe konnte nicht von Ihrem Konto abgezogen werden. [sic!]

Unser Anwaltsbüro wurde beauftragt den fälligen Betrag für Ihre Bestellung einzufordern. Der Rechnungsbetrag der Bestellung entspricht 201,30 Euro. Zuzüglich wird Ihnen eine Mahngebühr von 21,00 Euro verrechnet und die Gebühren unserer Tätigkeit von 33,98 Euro.

Wir geben Ihnen bis zum 18.08.2013 Zeit das Geld zu zahlen. [Was denn sonst, wenn nicht das Geld?] Falls Sie die Überweisung verweigern [sic! Und das Komma fehlt.] müssen Sie mit sehr erheblichen Kosten [sic!] rechnen. Die Lieferdaten der Bestellung und die Kontonummer sind im angehängten Ordner. [sic!]

Mit freundlichen Grüßen

Anwaltschaft Bastian Cuspinian

Es ist – wie schon gesagt – immer die gleiche Masche.

Eine Rechnung oder eine Mahnung über einen durchaus plausibel wirkenden Betrag kommt per Mail an. In dieser Mail steht nicht, was in Rechnung gestellt wird und auf welches Konto das Geld überwiesen werden soll. Es gibt keine Telefonnummer für eine Rückfrage, um einen Fehler oder ein Missverständnis schnell aufzuklären. Wenn man die Mail ganz nüchtern und frei von der ersten Panik liest, steht eigentlich gar nichts drin – aber das wurde wirklich einschüchternd formuliert. Und natürlich ist eine Frist gesetzt.

Und sie kommt von einem angeblichen „Anwalt“, die Spam. Für den juristisch ungebildeten Durchschnittsmenschen in Deutschland – der als Opfer seiner von staatlichen Schulen erteilten „Bildung“ nicht einmal gelernt hat, was ein Vertrag nach BGB ist, wie er zustande kommt und wie er nicht zustande kommt – bedeutet dieses Wort vor allem eines: Dass es teuer wird, wenn man irgendetwas falsch macht…

Als ob eine unbegründete Forderung begründeter würde, wenn sie von einem „Anwalt“ verfasst wurde! Das wird sie natürlich nicht. Sonst würden Heerscharen von Anwälten davon leben, dass sie jeden Tag hundert Briefe mit dem Text „Zahlen sie mir bitte sofort und völlig grundlos 300 Euro“ absenden und anschließend diese Forderungen gerichtlich vollstrecken ließen. Es ist reine Einschüchterung. Dem Empfänger soll möglichst viel Angst gemacht werden, weil die Verbrecher wissen, dass Angst dumm macht. Und dumme Menschen sind sehr hilfreich für Kriminelle, die andere Menschen überrumpeln wollen.

Apropos Anwalt: Natürlich würde kein Anwalt ein derartiges Mahnschreiben nur mit einer E-Mail versenden – außer als Vorabinformation, der ein in der Regel in der Mail angekündigtes Original auf dem Postweg folgt. Eine E-Mail ist nämlich keine rechtssichere Zustellung, und die Fristsetzung wäre so für die Katz. Dafür nennt jeder richtige Anwalt in jeder auch noch so unwichtig scheinenden E-Mail seine Anschrift und seine Telefonnummer, um Rückfragen zu ermöglichen und Missverständnisse auf einfache Weise ausräumen zu können. Das gilt zumindest für jeden Anwalt, dessen Mail ich bislang lesen durfte, und das waren einige… 😉

Diese Spams haben ein völlig anderes Ziel.

Es geht nicht ums Geld. Der genannte Geldbetrag ist nur ein psychisches Druckmittel. Der Empfänger einer solchen Spam soll, nachdem er die alarmierend formulierte E-Mail gelesen hat, in der objektiv keine hilfreichen Informationen über den Grund des Alarms stehen, den Anhang der Spam öffnen – oder, um es in der etwas unbeholfenen Formulierung des hier genannten Beispiels zu sagen: Den „angehängten Ordner“.

Und dieser Anhang ist in aller Regel ein ZIP-Archiv. In diesem liegt in aller Regel eine Datei mit der Namenserweiterung .pdf.exe oder .docx.exe, die wegen einiger in meinen Augen idiotischer Standardeinstellungen von Microsoft Windows dann als .pdf oder .docx erscheint und so verbirgt, dass es sich um ein direkt ausführbares Programm für Microsoft Windows handelt, das von einem völlig Unbekannten mit einer E-Mail zugestellt wurde. Wenn das Piktogramm dann auch noch wie ein PDF oder wie ein Word-Dokument aussieht, ist die Illusion leider ziemlich gut. Natürlich kann jedem Programm jedes beliebige Piktogramm gegeben werden, so dass dieser Mummenschanz für die Verbrecher einfach durchzuführen ist.

Was das ist?

Es ist jeweils die frischeste Brut der kriminellen Spammer. Wenn man einige Tage wartet, bis die gängigen Antivirus-Programme den Schädling kennen, wird er von mindestens der Hälfte dieser Programme auch sicher erkannt – und von vielen Programmen selbst ein paar Tage später noch nicht. Kurz nach dem Empfang der Mail ist der Schädling jedoch neu und wird nicht erkannt. Beinahe jedes Antivirus-Programm erweist sich als wirkungslos, wenn Menschen dazu gebracht werden können, einfach aktuellen Code von Kriminellen auf ihrem Computer auszuführen. Obwohl man ständig eine „Schutzsoftware“ im Hintergrund laufen lässt, die den Rechner verlangsamt und den Stromverbrauch erhöht, ist man für den konkreten Angriff ungeschützt und hat nach einem unbedachten, in Panik ausgeführten Klick einen Computer anderer Leute auf seinem Schreibtisch stehen – die mit Rechner und Internetleitung machen können, was immer ihnen beliebt.

Deshalb sollte man keine Anhänge in E-Mails von Unbekannten öffnen – und, weil sich die Absenderadresse einer Mail beliebig fälschen lässt, auch keine Anhänge von Bekannten, die nicht vorher abgesprochen wurden. Wie gesagt: Ein richtiger Rechtsanwalt schreibt übrigens immer eine Telefonnummer in die Mail, um Rückfragen zu ermöglichen. 😉

Hier noch einmal eine kurze Zusammenfassung:

Kurze Checkliste für E-Mails mit Anhang

  1. Ist es eine E-Mail von einem Unbekannten? Wenn ja: Äußerste Vorsicht!
  2. Ist es eine E-Mail von einem Bekannten oder von einem Unternehmen, bei dem man Kunde ist? Wenn ja: Immer darüber im Klaren sein, dass der Absender einer E-Mail beliebig gefälscht werden kann! Vorsichtig bleiben! Das gilt besonders, wenn der „eigentliche Inhalt“ der E-Mail ein Anhang ist.
  3. Schreibt eine Unternehmung oder ein Anwalt, ohne dass eine einfache, schnelle Kontaktmöglichkeit für Rückfragen angegeben ist? Das ist immer ein Zeichen für mangelnde Seriosität oder fehlende Sorgfalt.
  4. Ist die E-Mail alarmierend und beängstigend formuliert (mit Angstworten wie: Mahnung, Anwalt, Polizei, Vertragsbruch, Gericht, Frist), aber enthält im Text keine konkreten Angaben zum Vorgang? Muss zusätzlich ein Anhang geöffnet werden, um zu erfahren, um was es eigentlich geht? Wenn ja: Finger weg! Es gibt keinen objektiven Grund für Anwälte und Unternehmer, so zu schreiben. Auf der anderen Seite bestehen sehr viele gute und geldwerte Gründe, geschäftliche Mail so zu formulieren, dass beim Empfänger keine Missverständnisse aufkommen können.
  5. Ist es eine finanzielle Forderung, ohne dass aus dem Text der Mail heraus klar wird, wofür diese Forderung genau erhoben wird? Wenn ja: Löschen! Briefe und Mails der Gattung „Zahlen sie bitte grundlos und sofort einen Haufen Geld“ sind es nicht wert, dass man ihnen auch nur ein Quäntchen der beschränkten Lebenszeit und -kraft widmet. Sie gehören in die „Rundablage“.
  6. Ist der Anhang ein ZIP-Archiv, gern als „beigefügter“ oder „angehänger Ordner“ im Text der Mail verklausuliert? Wenn ja: Es handelt sich fast immer um Schadsoftware. Das Verpacken in ein Archivformat soll den Virenscan erschweren und Spamfiltern die Arbeit schwerer machen. Es gibt keinen Grund, ein bereits komprimierendes Dokumentformat wie PDF noch einmal zu komprimieren.
  7. Erscheint als E-Mail-Anhang eine Datei mit der Erweiterung .pdf oder .docx, obwohl man sonst niemals Dateinamenserweiterungen in Windows sieht, weil die Standardeinstellung nicht geändert wurde? Wenn ja: Es ist Schadsoftware! Die Datei wird in Wirklichkeit .pdf.exe heißen und ein per E-Mail zugestelltes ausführbares Programm sein.
  8. Wer Microsoft Windows benutzt, sollte sich die halbe Minute Mühe machen, die Kriminalität mit so untergeschobenen ausführbaren Dateien an der Wurzel zu unterbinden. Hierzu in den Exploreroptionen unter Extras ▷ Ordneroptionen ▷ Ansicht das Häkchen bei „Erweiterungen bei bekannten Dateitypen ausblenden“ entfernen. Danach ist ein Trick der Marke .pdf.exe unmittelbar sichtbar – und was es zu bedeuten hat, wenn jemand in einer E-Mail solche Tricks benötigt, wird wohl jedem einleuchten. Warum Microsoft das nicht standardmäßig so einstellt, um Windows ein bisschen sicherer und Verbrechern das Leben ein bisschen schwerer zu machen? Das ist eine gute Frage, die ich leider nicht beantworten kann, ohne Mutmaßungen und spekulative böse Worte über Microsoft zu sagen – die eventuell von einem echten Anwaltsbrief gefolgt würden… 😉
  9. Wer Microsoft Windows benutzt, sollte so bald wie möglich mindestens auf Windows 7² updaten. Dann wird eine ausführbare Datei nicht mehr ohne Rückfrage ausgeführt, wenn sie nicht von einer vertrauenswürdigen Stelle kryptographisch signiert wurde. Das gewährt zwar auch keine vollständige Sicherheit, da die Zertifizierungsstellen angreifbar sind, aber es ist besser als nichts. Natürlich hilft eine solche Sicherheitsabfrage nur, wenn Systemmeldungen auch gelesen und nicht einfach mit Klick auf „OK“ weggemacht werden…

¹Hier stand der richtige Name.

²Mir ist vor ein paar Tagen erst aufgefallen, dass beinahe alle Spamkommentare, die hier aus Botnetzen abgesetzt wurden, von Rechnern kamen, die unter Windows XP liefen. Feindlich übernommene Windows-7-Rechner waren die Ausnahme. Das kann natürlich ein Zufall sein, aber ich fand das Muster auffällig genug, um es einmal zu erwähnen. Wer noch sicherer gehen möchte, sollte übrigens – wenn das möglich ist – das Betriebssystem wechseln. Gute Alternativen sind frei und kostenlos verfügbar. Es ist dumm, sie einfach liegenzulassen.

Die zitierte Spam ist ein Zustecksel meiner Leserin W. M. und ist sehr typisch für diese Gattung Spam, aber durch die persönliche Ansprache des Empfängers hochgefährlich.

Informationen bezüglich Ihres PayPal-Kontos

Freitag, 5. Juli 2013

Endlich habe ich auch einmal eine Mail mit einer Klarnamen-Ansprache – und ich kann wegen der verwendeten Mailadresse ganz genau sagen, wo dieser Name herkommt: Er kommt aus dem Impressum einer Website. Die Mailadresse wird von mir an keiner anderen Stelle verwendet.

Die Daten für die Mails mit namentlicher Ansprache scheinen also wirklich aus diversen Quellen zusammengeführt zu werden. Eine Quelle sind dabei gesetzlich erzwungene Angaben auf Websites. Oder, um es mal etwas schärfer zu sagen: Die absurde, in der BRD geltende Impressumspflicht auch auf privaten Websites arbeitet direkt der organisierten Internet-Kriminalität zu. Ob sie darüber hinaus für irgendjemanden irgendeinen Vorteil hat? Außer vielleicht für Abmahnanwälte und sonstige Juratrolle, die nicht extra whois tippen müssen, um eine ladefähige Anschrift zu erhalten?

Ach! 🙁

Ich bitte zu beachten, wie gut diese Phishing-Mail formuliert wurde. Auch ihr Layout entspricht dem, was ein PayPal-Kunde gewohnt ist. Ich halte diese Spam für sehr gefährlich.

Sehr geehrter Herr Elias Schwerdtfeger,

In der Tat, so heiße ich!

im Rahmen unserer aktuellen Sicherheitsprüfungen haben wir bezüglich Ihres PayPal-Kontos einige Unstimmigkeiten entdeckt. Um alle Unstimmigkeiten zu klären, ist es nötig Sie als eindeutigen Inhaber zu ermitteln.

Moment mal, ihr könnt mich anmailen und ihr sprecht von „meinem Konto“, aber ihr haltet es für nötig, mich als „eindeutigen Inhaber“ zu ermitteln. Wegen irgendwelcher nicht einmal angedeuteter „Unstimmigkeiten“ Das klingt jetzt aber doof und wenig überzeugend. Man könnte auch von einer „Unstimmigkeit“ sprechen…

Wie geht es jetzt weiter?

Na, ist doch klar: Ich lösche den Müll. Aber nein, das kann ein Spammer mir doch nicht empfehlen

Bitte klicken Sie auf „Konfliktlösungen“. Dort ist ganz genau beschrieben, weshalb wir diese Prüfung durchführen und welche Informationen wir von Ihnen benötigen.

Konfliktlösungen

Wer auf den Link – der übrigens mit CSS im Stile einer Schaltfläche gestaltet wurde – klickt, landet nicht auf der PayPal-Website, sondern auf einer Site unter der Domain paypal (strich) konflikt45920 (punkt) net.

Die Phishing-Seite ist inzwischen vom Netz. Man hätte dort – genau wie bei früheren Versionen der Phishing-Masche – Gelegenheit erhalten, Kriminellen die Login-Daten zum PayPal-Konto und im zweiten Schritt alle für einen Betrug erforderlichen Kreditkartendaten zu geben. Die Frage, warum man Daten noch einmal eingeben soll, die PayPal schon längst bekannt sind, soll man sich dabei natürlich nicht stellen. Schon nach dem angeblichen „Login“ können die Verbrecher das PayPal-Konto beliebig missbrauchen.

Wer darauf reingefallen ist, sollte sofort sein Passwort ändern und sich mit PayPal in Verbindung setzen. Wer im folgenden Schritt Kreditkartendaten angegeben hat, sollte ebenfalls sofort Kontakt mit seiner kontoführenden Bank aufnehmen und seine Kreditkarte sperren lassen.

Vielen Dank für Ihr Verständnis und Ihre Mithilfe in dieser Angelegenheit.

Herzliche Grüße,
Ihr PayPal-Team

Das ausgesprochen patzig und formelhaft wirkende „vielen Dank“ in einem solchen Kontext ist die letzte Schwäche dieser Phishingmail.

Copyright © 1999-2013 PayPal. Alle Rechte vorbehalten. PayPal (Europe) S.à r.l. et Cie, S.C.A., Société en Commandite par Actions. Eingetragener Firmensitz: 22-24 Boulevard Royal, L-2449 Luxembourg RCS Luxembourg B 118 349.

Nein, diese Spam kommt nicht von PayPal. Aber es ist eine verdammt gute Phishing-Mail, auf die viele arglosere Menschen hereinfallen können.

Übrigens: Würde PayPal (und jeder andere Dienstleister) dazu übergehen, alle seine Mails digital zu signieren, so dass jeder Empfänger in die Lage versetzt wäre, sich davon überzeugen zu können, dass Mails wirklich von PayPal kommen und inhaltlich unverändert sind; würde PayPal (und jeder andere Dienstleister) einen solchen Schritt mit Aufklärung und Unterstützung seiner Kunden in Sachen PGP begleiten, so dass nach kurzer Zeit wenigstens jeder Kunde von dieser Möglichkeit gehört hat… ja, dann würde dem Phishing ganz schnell das Wasser abgegraben, und niemand würde diese Form der Kriminalität vermissen, außer vielleicht drei Handvoll Verbrecher, die nur ihre Mutter liebhaben kann. Aber vermutlich ist PayPal (und jeder andere Dienstleister) mit dem Einsatz einer seit fünfzehn Jahren verfügbaren Technik überfordert und bedarf der kompetenten technischen Unterstützung, und vermutlich ist wegen der Wirtschaftskrise nicht das Geld dafür übrig, kompetente Fachleute für die Implementation einer kryptografischen Signatur der versendeten E-Mail zu bezahlen. Dass PayPal (und jedem anderen Dienstleister) die Kunden und ihre möglichen finanziellen Schäden scheißegal sind, möchte doch niemand annehmen, oder?

Das sähe ja wie Kundenverachtung aus… :mrgreen:

Lassen sie sich nicht bestupsen!

Montag, 13. Mai 2013

Verschiedene Medien der Contentindustrie – Golem, Zeit Online, die Frankfurter Allgemeine, Spiegel Online, die Süddeutsche Zeitung, und die Rheinische Post – fordern heute ihre Leser in teilweise aufdringlicher Form dazu auf, ihre Websites ohne Adblocker zu benutzen, damit sich deren Geschäft mit eingeblendeter Reklame besser lohne.

Ich habe dieser im moralisierenden Ton, also völlig ohne inhaltliches Argument daherkommenden Aufforderung ebenfalls eine Aufforderung entgegenzusetzen:

Verwenden sie überall und ausnahmslos Adblocker!

Wenn sie noch keinen Adblocker verwenden, fangen sie jetzt damit an, einen Adblocker zu verwenden! Wenn Firefox ihr Browser ist, gehen sie hier lang¹; wenn es Chrome oder Chromium ist, gehen sie hier lang; wenn es Opera ist, gehen sie hier lang; wenn es Microsoft Edge ist, gehen sie hier lang; wenn es Safari ist, gehen sie hier lang. Von der Benutzung des Internet Explorers rate ich aus einer Vielzahl hier nicht näher erläuterter Gründe ab, aber wenn sie diesen Browser trotzdem benutzen möchten, werden sie schon eine Version von uBlock Origin finden.

Die Installation eines Adblocker-Plugins für ihren Browser kostet sie nicht einmal eine Minute Zeit. Und wenn sie gerade dabei sind, installieren sie sich auch gleich ein Addon zum bequemen Blockieren von JavaScript!

Warum sollten sie überall und ausnahmslos Adblocker verwenden?

Wer hier regelmäßig mitliest oder einen Blick in die FAQ geworfen hat, weiß sicherlich aus der einen oder anderen etwas galligen Anmerkung, dass ich generell etwas gegen Reklame habe. Aus dieser Beobachtung heraus könnte man denken, dass meine imperativ gegebene Aufforderung an alle Leser Teil meines „Kampfes gegen Windmühlenflügel“ ist.

Das ist nicht der Fall… jedenfalls nicht nur. 😉

Es gibt, unabhängig davon, wie man zur Werbung steht, einen sehr guten Grund für sie, immer und ausnahmslos Adblocker zu verwenden. Dieser Grund ist die Sicherheit ihres Computers.

Die über Ad-Server zum Einbetten in andere Sites ausgelieferte Werbung wurde in der Vergangenheit immer wieder einmal zum Schadsoftware-Transportmittel für die organisierte Kriminalität. Dies geschah keineswegs nur auf halbseidenen Websites, sondern auch auf renommierten Sites, denen die meisten Menschen großes Vertrauen entgegenbringen.

Bei diesen Angriffen ist das, was den technischen Laien unter dem Begriff „Antivirusprogramm“ als Computersicherheit verkauft wird, wirkungslos. Diese Schlangenöl-Gattung der Software erkennt nur Schädlinge, die schon bekannt sind. Sie hilft nicht gegen einen neuartigen Schädling, zumal davon auszugehen ist, dass die Kriminellen ihre jeweils neueste Brut mit den gängigen Programmen testen – sie leben schließlich davon, dass ihre Angriffe wenigstens zwei, drei Tage lang funktionieren.

Ein Adblocker verhindert die Angriffsmöglichkeit über eingebettete Ads an der Wurzel. Dass er zudem den Genuss der Website verbessert und die Ladezeiten der Website reduziert, ist einer der seltenen Fälle, in denen erhöhte Sicherheit mit einem Zugewinn an Komfort und Geschwindigkeit einhergeht. Zu dieser Kombination kann niemand, der noch bei Troste ist, „nein“ sagen.

Was würden sie jemanden entgegnen, der sie dazu auffordert, ungeschützt in einem vor Kriminalität und Abzockernummern nur so wimmelnden Internet unterwegs zu sein? Wie schätzten sie den Geisteszustand eines Mitmenschen ein, der ihnen sagt, dass sie seinetwillen ihr Auto nicht mehr abschließen und ihre Haustür weit geöffnet lassen sollen? Was würden sie jemandem sagen, der sie im weinerlich-moralischem Tone dazu auffordert, dass sie doch bitte ihr Antivirusprogramm und ihre Personal Firewall deinstallieren sollen, damit sein Geschäft besser läuft? Würden sie jemanden, der ihnen diese Aufforderung gibt, nicht einen Vogel zeigen? Mindestens?

Genau so eine Aufforderung zur schutzlosen Internetnutzung wird zurzeit auf den oben genannten Websites gegeben.

Man könnte diese Aufforderung etwas flapsig umformulieren, damit ihre gnadenlose Dämlichkeit und Intelligenzverachtung offensichtlich wird: „Tragen sie einfach ein bisschen Risiko, denn das schadet uns nicht und ist gut für unser Geschäft mit der Reklame. Über ihren kriminell übernommenen Rechner werden sie dann zwei Tage später in einem unserer gewohnt ‚guten‘ Artikel informiert, und an den Identitätsmissbräuchen, Betrugsgeschäften, manipulierten Online-Banking und dem kriminellen Missbrauch ihres Rechners und ihrer Internetleitung haben sie dann halt monatelange Nacharbeit in nervlich aufwühlendem Schriftverkehr mit Banken, Polizeien und Staatsanwaltschaften“. Ein wirklich toller Vorschlag, toll wie aus dem Tollhaus!

Nun, es ist nicht verboten, Menschen zu so etwas aufzufordern. Dummheit ist leider nicht strafbar, nicht einmal in einem solchen, für andere Menschen möglicherweise sehr schädlichen Fall. Aber lassen sie sich bitte niemals von einer derartigen journalistischen Dummheit zu eigener Dummheit verleiten und verwenden sie überall und ausnahmslos Adblocker!

Aber die müssen sich doch finanzieren…

Ja, die müssen sich „finanzieren“, wie man das Erwirtschaften von Profit in so einem Falle neusprechdeutsch nennt, um den Eigennutz im dummen und verdummenden Moralgeflenne zu verbergen. Und wenn sie das nicht hinbekommen, dann gehen sie den Weg jeder anderen Unternehmung, die mehr kostet, als sie einbringt. Ich habe die journalistischen Machwerke, die zurzeit diese Massenverdummung betreiben, nicht ins Web gebeten, sie haben diese nicht ins Web gebeten und niemand anders hat das getan. Sie sind selbst dorthin gegangen. Freiwillig. Aktiv. Absichtlich. Mit einem gewissen finanziellen Aufwand. Weil sie sich Profit davon versprochen haben, ihre für den Druck auf Papier schon quasi-industriell erstellten Texte noch einmal zusammen mit mechanisch eingeblendeter Reklame im Web zu publizieren. Wenn das die einzige Geschäftsidee ist (und so sieht es seit Jahren immer wieder aus), und wenn diese Geschäftsidee auch nach zehn Jahren noch mehr Kosten verursacht, als sie Geld hereinbringt, ist es an der Zeit, sie einfach einzustellen – oder sie in eine Geschäftsidee zu transformieren, die zum gewünschten Profit führt. Jeder Flohmarkthändler wäre zu dieser trivialen Einsicht imstande. Und zwar nach deutlich weniger als zehn Jahren Erfahrung. Journalisten… sorry… ich meine natürlich „Qualitätsjournalisten“… scheinen von solchen „komplizierten“ Gedankengängen überfordert zu sein.

Und morgen in der gleichen Zeitung: Das aus Presseerklärungen kritiklos abgeschriebene Gefasel von der Leistungsgesellschaft und von erforderlichen „Anreizen“ für Arbeitslose, damit sie weiterhin unter dem peitschenden Kommandorhythmus der „neuen sozialen Marktwirtschaft“ bis zur Keuchgrenze ums soziale Überleben rennend „Reise nach Jerusalem“ spielen – allerdings mit ein paar Millionen fehlender Arbeitsplätze. Moral ist etwas, wovon der Jornalismus zu profitieren hat; da hat sie ihr Werk getan, die olle Moral, und für die Menschen gibts dann den Wettbewerb. Oh, ich werde zynisch… wird nicht noch einmal passieren… 😈

Ist das denn völlig indiskutabel?

Ja. Es ist völlig indiskutabel.

Es könnte allerdings diskutabel werden, wenn die Werbevermarktung anders praktiziert würde, als dies im Moment der Fall ist.

Zurzeit besteht die Werbung aus eingebetteten Inhalten von Drittanbietern. Diese Inhalte unterliegen nicht der redaktionellen Kontrolle dessen, der sie mit Gewinnerzielungsabsicht einbettet. Sie fügen einen in der Vergangenheit immer wieder kriminell ausgebeuteten Angriffsvektor zu einem Webauftritt hinzu – einmal ganz davon abgesehen, dass es auch zum Transport von Werbung für halbseidene oder kriminelle Angebote in einem als vertrauenswürdig geltenden Zusammenhang kommt, und dass das ebenfalls kein Einzelfall ist. Wenn so etwas durch seinen Kontext mit der Seriosität des Journalismus „aufgeladen“ wird, ist es gleich noch gefährlicher. Neben dem direkten Problem der Computersicherheit besteht auch ein psychisches Problem der „Überrumpelung“ durch Kriminelle und lichtscheue Gestalten, das ebenfalls nicht zu unterschätzen ist.

Das Datenschutzproblem durch das site-übergreifende Tracking der großen Werbevermarkter will ich hier gar nicht erst streifen, obwohl dieses Problem bereits groß genug ist, um die Verwendung eines Adblockers zu einer vernünftigen Entscheidung zu machen.

Würden die journalistischen Websites damit beginnen, ihre Werbung nicht mehr über Drittanbieter einzubetten, sondern sie auf der eigenen Site in eigener Verantwortung zu hosten; wäre es so, dass nicht mehr unkontrolliert und für den Sitebesucher eher intransparent Inhalte von Drittanbietern mit allen damit verbundenen Problemen und Risiken eingebettet würden, dann erst wäre ein solcher Appell diskutabel. Golem, eine populäre deutschsprachige Website mit IT-Nachrichten, hat etwa in einem bis zur Brechreizerregung moralverwürzten Artikel voller irreführender Scheininformation die externen Inhalte von sechs verschiedenen Anbietern verbaut. (Von einer Ansicht des hier gegebenen Links ohne Adblocker kann ich natürlich nur abraten. Warum? Siehe weiter oben.)

Selbst gehostete Werbung hätte noch einen weiteren Vorteil. Dadurch, dass die Connection im HTT-Protokoll Version 1.1 keep-alive bleiben könnte, würde die Site beim Laden der Werbung nicht mehr so sehr ausgebremst. Auch die JavaScript-Tricksereien zum Einbetten der Inhalte von Fremdanbietern wären nicht mehr erforderlich. Was bliebe, wäre eine oft unerwünschte Reklame – allerdings ohne die schwerwiegenden Nachteile der gegenwärtigen Vorgehensweise und hoffentlich oft besser in den Kontext passend als das zurzeit oft der Fall ist.

Ende meiner halbwegs sachlichen Vorschläge in dieser Angelegenheit.

tl;dr

Wenn ein moralischer Zeigefinger eines „Qualitätsjournalisten“ auf sie deutet, dann deuten drei Finger auf ihn selbst zurück. Lassen sie ihren Adblocker immer und überall eingeschaltet! Denken sie erst darüber nach, wenn die Leute, die sie gerade zum Abschalten von Sicherheitsmaßnahmen auffordern, etwas dafür tun, dass diese Sicherheitsmaßnahmen auf ihren Websites nicht nötig sind! Und bis dahin lachen sie darüber, denn lachen ist gesund.

Und eins noch…

Wofür sie niemals eine Werbung sehen werden? Für Werbeblocker. :mrgreen:

¹Ich habe den ehemaligen Link zu „Adblock Plus“ am 5. November 2015 gegen einen Link auf uBlock Origin ausgetauscht, weil „Adblock Plus“ inzwischen kein Schutz mehr ist. Nutzer anderer Browser als Firefox suchen sich bitte selbst eine Alternative.