Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Informatives“

Informationen bezüglich Ihres PayPal-Kontos

Freitag, 5. Juli 2013

Endlich habe ich auch einmal eine Mail mit einer Klarnamen-Ansprache – und ich kann wegen der verwendeten Mailadresse ganz genau sagen, wo dieser Name herkommt: Er kommt aus dem Impressum einer Website. Die Mailadresse wird von mir an keiner anderen Stelle verwendet.

Die Daten für die Mails mit namentlicher Ansprache scheinen also wirklich aus diversen Quellen zusammengeführt zu werden. Eine Quelle sind dabei gesetzlich erzwungene Angaben auf Websites. Oder, um es mal etwas schärfer zu sagen: Die absurde, in der BRD geltende Impressumspflicht auch auf privaten Websites arbeitet direkt der organisierten Internet-Kriminalität zu. Ob sie darüber hinaus für irgendjemanden irgendeinen Vorteil hat? Außer vielleicht für Abmahnanwälte und sonstige Juratrolle, die nicht extra whois tippen müssen, um eine ladefähige Anschrift zu erhalten?

Ach! 🙁

Ich bitte zu beachten, wie gut diese Phishing-Mail formuliert wurde. Auch ihr Layout entspricht dem, was ein PayPal-Kunde gewohnt ist. Ich halte diese Spam für sehr gefährlich.

Sehr geehrter Herr Elias Schwerdtfeger,

In der Tat, so heiße ich!

im Rahmen unserer aktuellen Sicherheitsprüfungen haben wir bezüglich Ihres PayPal-Kontos einige Unstimmigkeiten entdeckt. Um alle Unstimmigkeiten zu klären, ist es nötig Sie als eindeutigen Inhaber zu ermitteln.

Moment mal, ihr könnt mich anmailen und ihr sprecht von „meinem Konto“, aber ihr haltet es für nötig, mich als „eindeutigen Inhaber“ zu ermitteln. Wegen irgendwelcher nicht einmal angedeuteter „Unstimmigkeiten“ Das klingt jetzt aber doof und wenig überzeugend. Man könnte auch von einer „Unstimmigkeit“ sprechen…

Wie geht es jetzt weiter?

Na, ist doch klar: Ich lösche den Müll. Aber nein, das kann ein Spammer mir doch nicht empfehlen

Bitte klicken Sie auf „Konfliktlösungen“. Dort ist ganz genau beschrieben, weshalb wir diese Prüfung durchführen und welche Informationen wir von Ihnen benötigen.

Konfliktlösungen

Wer auf den Link – der übrigens mit CSS im Stile einer Schaltfläche gestaltet wurde – klickt, landet nicht auf der PayPal-Website, sondern auf einer Site unter der Domain paypal (strich) konflikt45920 (punkt) net.

Die Phishing-Seite ist inzwischen vom Netz. Man hätte dort – genau wie bei früheren Versionen der Phishing-Masche – Gelegenheit erhalten, Kriminellen die Login-Daten zum PayPal-Konto und im zweiten Schritt alle für einen Betrug erforderlichen Kreditkartendaten zu geben. Die Frage, warum man Daten noch einmal eingeben soll, die PayPal schon längst bekannt sind, soll man sich dabei natürlich nicht stellen. Schon nach dem angeblichen „Login“ können die Verbrecher das PayPal-Konto beliebig missbrauchen.

Wer darauf reingefallen ist, sollte sofort sein Passwort ändern und sich mit PayPal in Verbindung setzen. Wer im folgenden Schritt Kreditkartendaten angegeben hat, sollte ebenfalls sofort Kontakt mit seiner kontoführenden Bank aufnehmen und seine Kreditkarte sperren lassen.

Vielen Dank für Ihr Verständnis und Ihre Mithilfe in dieser Angelegenheit.

Herzliche Grüße,
Ihr PayPal-Team

Das ausgesprochen patzig und formelhaft wirkende „vielen Dank“ in einem solchen Kontext ist die letzte Schwäche dieser Phishingmail.

Copyright © 1999-2013 PayPal. Alle Rechte vorbehalten. PayPal (Europe) S.à r.l. et Cie, S.C.A., Société en Commandite par Actions. Eingetragener Firmensitz: 22-24 Boulevard Royal, L-2449 Luxembourg RCS Luxembourg B 118 349.

Nein, diese Spam kommt nicht von PayPal. Aber es ist eine verdammt gute Phishing-Mail, auf die viele arglosere Menschen hereinfallen können.

Übrigens: Würde PayPal (und jeder andere Dienstleister) dazu übergehen, alle seine Mails digital zu signieren, so dass jeder Empfänger in die Lage versetzt wäre, sich davon überzeugen zu können, dass Mails wirklich von PayPal kommen und inhaltlich unverändert sind; würde PayPal (und jeder andere Dienstleister) einen solchen Schritt mit Aufklärung und Unterstützung seiner Kunden in Sachen PGP begleiten, so dass nach kurzer Zeit wenigstens jeder Kunde von dieser Möglichkeit gehört hat… ja, dann würde dem Phishing ganz schnell das Wasser abgegraben, und niemand würde diese Form der Kriminalität vermissen, außer vielleicht drei Handvoll Verbrecher, die nur ihre Mutter liebhaben kann. Aber vermutlich ist PayPal (und jeder andere Dienstleister) mit dem Einsatz einer seit fünfzehn Jahren verfügbaren Technik überfordert und bedarf der kompetenten technischen Unterstützung, und vermutlich ist wegen der Wirtschaftskrise nicht das Geld dafür übrig, kompetente Fachleute für die Implementation einer kryptografischen Signatur der versendeten E-Mail zu bezahlen. Dass PayPal (und jedem anderen Dienstleister) die Kunden und ihre möglichen finanziellen Schäden scheißegal sind, möchte doch niemand annehmen, oder?

Das sähe ja wie Kundenverachtung aus… :mrgreen:

Lassen sie sich nicht bestupsen!

Montag, 13. Mai 2013

Verschiedene Medien der Contentindustrie – Golem, Zeit Online, die Frankfurter Allgemeine, Spiegel Online, die Süddeutsche Zeitung, und die Rheinische Post – fordern heute ihre Leser in teilweise aufdringlicher Form dazu auf, ihre Websites ohne Adblocker zu benutzen, damit sich deren Geschäft mit eingeblendeter Reklame besser lohne.

Ich habe dieser im moralisierenden Ton, also völlig ohne inhaltliches Argument daherkommenden Aufforderung ebenfalls eine Aufforderung entgegenzusetzen:

Verwenden sie überall und ausnahmslos Adblocker!

Wenn sie noch keinen Adblocker verwenden, fangen sie jetzt damit an, einen Adblocker zu verwenden! Wenn Firefox ihr Browser ist, gehen sie hier lang¹; wenn es Chrome oder Chromium ist, gehen sie hier lang; wenn es Opera ist, gehen sie hier lang; wenn es Microsoft Edge ist, gehen sie hier lang; wenn es Safari ist, gehen sie hier lang. Von der Benutzung des Internet Explorers rate ich aus einer Vielzahl hier nicht näher erläuterter Gründe ab, aber wenn sie diesen Browser trotzdem benutzen möchten, werden sie schon eine Version von uBlock Origin finden.

Die Installation eines Adblocker-Plugins für ihren Browser kostet sie nicht einmal eine Minute Zeit. Und wenn sie gerade dabei sind, installieren sie sich auch gleich ein Addon zum bequemen Blockieren von JavaScript!

Warum sollten sie überall und ausnahmslos Adblocker verwenden?

Wer hier regelmäßig mitliest oder einen Blick in die FAQ geworfen hat, weiß sicherlich aus der einen oder anderen etwas galligen Anmerkung, dass ich generell etwas gegen Reklame habe. Aus dieser Beobachtung heraus könnte man denken, dass meine imperativ gegebene Aufforderung an alle Leser Teil meines „Kampfes gegen Windmühlenflügel“ ist.

Das ist nicht der Fall… jedenfalls nicht nur. 😉

Es gibt, unabhängig davon, wie man zur Werbung steht, einen sehr guten Grund für sie, immer und ausnahmslos Adblocker zu verwenden. Dieser Grund ist die Sicherheit ihres Computers.

Die über Ad-Server zum Einbetten in andere Sites ausgelieferte Werbung wurde in der Vergangenheit immer wieder einmal zum Schadsoftware-Transportmittel für die organisierte Kriminalität. Dies geschah keineswegs nur auf halbseidenen Websites, sondern auch auf renommierten Sites, denen die meisten Menschen großes Vertrauen entgegenbringen.

Bei diesen Angriffen ist das, was den technischen Laien unter dem Begriff „Antivirusprogramm“ als Computersicherheit verkauft wird, wirkungslos. Diese Schlangenöl-Gattung der Software erkennt nur Schädlinge, die schon bekannt sind. Sie hilft nicht gegen einen neuartigen Schädling, zumal davon auszugehen ist, dass die Kriminellen ihre jeweils neueste Brut mit den gängigen Programmen testen – sie leben schließlich davon, dass ihre Angriffe wenigstens zwei, drei Tage lang funktionieren.

Ein Adblocker verhindert die Angriffsmöglichkeit über eingebettete Ads an der Wurzel. Dass er zudem den Genuss der Website verbessert und die Ladezeiten der Website reduziert, ist einer der seltenen Fälle, in denen erhöhte Sicherheit mit einem Zugewinn an Komfort und Geschwindigkeit einhergeht. Zu dieser Kombination kann niemand, der noch bei Troste ist, „nein“ sagen.

Was würden sie jemanden entgegnen, der sie dazu auffordert, ungeschützt in einem vor Kriminalität und Abzockernummern nur so wimmelnden Internet unterwegs zu sein? Wie schätzten sie den Geisteszustand eines Mitmenschen ein, der ihnen sagt, dass sie seinetwillen ihr Auto nicht mehr abschließen und ihre Haustür weit geöffnet lassen sollen? Was würden sie jemandem sagen, der sie im weinerlich-moralischem Tone dazu auffordert, dass sie doch bitte ihr Antivirusprogramm und ihre Personal Firewall deinstallieren sollen, damit sein Geschäft besser läuft? Würden sie jemanden, der ihnen diese Aufforderung gibt, nicht einen Vogel zeigen? Mindestens?

Genau so eine Aufforderung zur schutzlosen Internetnutzung wird zurzeit auf den oben genannten Websites gegeben.

Man könnte diese Aufforderung etwas flapsig umformulieren, damit ihre gnadenlose Dämlichkeit und Intelligenzverachtung offensichtlich wird: „Tragen sie einfach ein bisschen Risiko, denn das schadet uns nicht und ist gut für unser Geschäft mit der Reklame. Über ihren kriminell übernommenen Rechner werden sie dann zwei Tage später in einem unserer gewohnt ‚guten‘ Artikel informiert, und an den Identitätsmissbräuchen, Betrugsgeschäften, manipulierten Online-Banking und dem kriminellen Missbrauch ihres Rechners und ihrer Internetleitung haben sie dann halt monatelange Nacharbeit in nervlich aufwühlendem Schriftverkehr mit Banken, Polizeien und Staatsanwaltschaften“. Ein wirklich toller Vorschlag, toll wie aus dem Tollhaus!

Nun, es ist nicht verboten, Menschen zu so etwas aufzufordern. Dummheit ist leider nicht strafbar, nicht einmal in einem solchen, für andere Menschen möglicherweise sehr schädlichen Fall. Aber lassen sie sich bitte niemals von einer derartigen journalistischen Dummheit zu eigener Dummheit verleiten und verwenden sie überall und ausnahmslos Adblocker!

Aber die müssen sich doch finanzieren…

Ja, die müssen sich „finanzieren“, wie man das Erwirtschaften von Profit in so einem Falle neusprechdeutsch nennt, um den Eigennutz im dummen und verdummenden Moralgeflenne zu verbergen. Und wenn sie das nicht hinbekommen, dann gehen sie den Weg jeder anderen Unternehmung, die mehr kostet, als sie einbringt. Ich habe die journalistischen Machwerke, die zurzeit diese Massenverdummung betreiben, nicht ins Web gebeten, sie haben diese nicht ins Web gebeten und niemand anders hat das getan. Sie sind selbst dorthin gegangen. Freiwillig. Aktiv. Absichtlich. Mit einem gewissen finanziellen Aufwand. Weil sie sich Profit davon versprochen haben, ihre für den Druck auf Papier schon quasi-industriell erstellten Texte noch einmal zusammen mit mechanisch eingeblendeter Reklame im Web zu publizieren. Wenn das die einzige Geschäftsidee ist (und so sieht es seit Jahren immer wieder aus), und wenn diese Geschäftsidee auch nach zehn Jahren noch mehr Kosten verursacht, als sie Geld hereinbringt, ist es an der Zeit, sie einfach einzustellen – oder sie in eine Geschäftsidee zu transformieren, die zum gewünschten Profit führt. Jeder Flohmarkthändler wäre zu dieser trivialen Einsicht imstande. Und zwar nach deutlich weniger als zehn Jahren Erfahrung. Journalisten… sorry… ich meine natürlich „Qualitätsjournalisten“… scheinen von solchen „komplizierten“ Gedankengängen überfordert zu sein.

Und morgen in der gleichen Zeitung: Das aus Presseerklärungen kritiklos abgeschriebene Gefasel von der Leistungsgesellschaft und von erforderlichen „Anreizen“ für Arbeitslose, damit sie weiterhin unter dem peitschenden Kommandorhythmus der „neuen sozialen Marktwirtschaft“ bis zur Keuchgrenze ums soziale Überleben rennend „Reise nach Jerusalem“ spielen – allerdings mit ein paar Millionen fehlender Arbeitsplätze. Moral ist etwas, wovon der Jornalismus zu profitieren hat; da hat sie ihr Werk getan, die olle Moral, und für die Menschen gibts dann den Wettbewerb. Oh, ich werde zynisch… wird nicht noch einmal passieren… 😈

Ist das denn völlig indiskutabel?

Ja. Es ist völlig indiskutabel.

Es könnte allerdings diskutabel werden, wenn die Werbevermarktung anders praktiziert würde, als dies im Moment der Fall ist.

Zurzeit besteht die Werbung aus eingebetteten Inhalten von Drittanbietern. Diese Inhalte unterliegen nicht der redaktionellen Kontrolle dessen, der sie mit Gewinnerzielungsabsicht einbettet. Sie fügen einen in der Vergangenheit immer wieder kriminell ausgebeuteten Angriffsvektor zu einem Webauftritt hinzu – einmal ganz davon abgesehen, dass es auch zum Transport von Werbung für halbseidene oder kriminelle Angebote in einem als vertrauenswürdig geltenden Zusammenhang kommt, und dass das ebenfalls kein Einzelfall ist. Wenn so etwas durch seinen Kontext mit der Seriosität des Journalismus „aufgeladen“ wird, ist es gleich noch gefährlicher. Neben dem direkten Problem der Computersicherheit besteht auch ein psychisches Problem der „Überrumpelung“ durch Kriminelle und lichtscheue Gestalten, das ebenfalls nicht zu unterschätzen ist.

Das Datenschutzproblem durch das site-übergreifende Tracking der großen Werbevermarkter will ich hier gar nicht erst streifen, obwohl dieses Problem bereits groß genug ist, um die Verwendung eines Adblockers zu einer vernünftigen Entscheidung zu machen.

Würden die journalistischen Websites damit beginnen, ihre Werbung nicht mehr über Drittanbieter einzubetten, sondern sie auf der eigenen Site in eigener Verantwortung zu hosten; wäre es so, dass nicht mehr unkontrolliert und für den Sitebesucher eher intransparent Inhalte von Drittanbietern mit allen damit verbundenen Problemen und Risiken eingebettet würden, dann erst wäre ein solcher Appell diskutabel. Golem, eine populäre deutschsprachige Website mit IT-Nachrichten, hat etwa in einem bis zur Brechreizerregung moralverwürzten Artikel voller irreführender Scheininformation die externen Inhalte von sechs verschiedenen Anbietern verbaut. (Von einer Ansicht des hier gegebenen Links ohne Adblocker kann ich natürlich nur abraten. Warum? Siehe weiter oben.)

Selbst gehostete Werbung hätte noch einen weiteren Vorteil. Dadurch, dass die Connection im HTT-Protokoll Version 1.1 keep-alive bleiben könnte, würde die Site beim Laden der Werbung nicht mehr so sehr ausgebremst. Auch die JavaScript-Tricksereien zum Einbetten der Inhalte von Fremdanbietern wären nicht mehr erforderlich. Was bliebe, wäre eine oft unerwünschte Reklame – allerdings ohne die schwerwiegenden Nachteile der gegenwärtigen Vorgehensweise und hoffentlich oft besser in den Kontext passend als das zurzeit oft der Fall ist.

Ende meiner halbwegs sachlichen Vorschläge in dieser Angelegenheit.

tl;dr

Wenn ein moralischer Zeigefinger eines „Qualitätsjournalisten“ auf sie deutet, dann deuten drei Finger auf ihn selbst zurück. Lassen sie ihren Adblocker immer und überall eingeschaltet! Denken sie erst darüber nach, wenn die Leute, die sie gerade zum Abschalten von Sicherheitsmaßnahmen auffordern, etwas dafür tun, dass diese Sicherheitsmaßnahmen auf ihren Websites nicht nötig sind! Und bis dahin lachen sie darüber, denn lachen ist gesund.

Und eins noch…

Wofür sie niemals eine Werbung sehen werden? Für Werbeblocker. :mrgreen:

¹Ich habe den ehemaligen Link zu „Adblock Plus“ am 5. November 2015 gegen einen Link auf uBlock Origin ausgetauscht, weil „Adblock Plus“ inzwischen kein Schutz mehr ist. Nutzer anderer Browser als Firefox suchen sich bitte selbst eine Alternative.

Vorname Nachname, Mitteilung zu Ihrem Kunden-Konto!

Freitag, 19. April 2013

Anstelle von „Vorname Nachname“ steht der Name des Empfängers. Die Mail mit dem gefälschten Absender hilfe (at) paypal (strich) community (punkt) com kommt natürlich nicht von PayPal. PayPal versendet solche Mails nicht:

PalPal Konfliktlösung -- Guten Tag , Ihr Konto wurde vorübergehend limitiert! Bearbeitungsnummer: PP-8500401 Weitere Informationen finden Sie hier -- Jetzt lesen -- Bei Fragen steht Ihnen unser Kundenservice von Mo.-Fr. 8.30 bis 19.00 Uhr und Sa.-So. 9.00 bis 19.30 Uhr unter der Telefonnummer 0180 500 66 27 zur Verfügung (für Anrufe aus dem Festnetz fallen maximal 14 Cent/Min. an, aus Mobilfunknetzen sind es maximal 42 Cent/Min.)

Im Original stand nach der Anrede „Hallo“ noch der Vorname und der Nachname.

Der Link liegt auf dem etwas peinlichen Schloss und dem Schild mit der Beschriftung „Jetzt lesen“. Er ist über den URL-Kürzer tinyurl (punkt) com maskiert und führt auf eine „liebevoll“ nachgemachte PayPal-Login-Seite in der Domain sslpp (strich) hilfe (punkt) konflikte (strich) kunden (punkt) com:

Screenshot der Phishing-Seite

Dass das nicht die Website von PayPal ist, brauche ich hoffentlich nicht weiter zu erwähnen, und dass die dort angegebenen Anmelde- und Kreditkartendaten direkt in die Hände der organisierten Internet-Kriminalität gehen, sollte auch weniger intellektuell begabten Mitmenschen einleuchten. Wer nur einen einzigen Blick in die Adressleiste seines Browsers wirft, sieht sofort, dass es nicht PayPal ist.

PayPal versendet übrigens niemals E-Mails mit der Aufforderung, irgendwelche Bullshit-Verifizierungen zu machen. PayPal kennt die angegebenen Daten bereits. Die einzigen, die den PayPal-Login, die Postanschrift, das Geburtsdatum, die Bankverbindung und die Kreditkartendaten nicht kennen, sind die Verbrecher, die Identitäten missbrauchen wollen und mit dem Geld anderer Leute ihre „Geschäfte“ machen wollen. Wer auf diese Phishing-Nummern hereinfällt, darf sich nicht nur über sein geplündertes Konto und den folgenden Schriftverkehr mit seiner Bank ärgern, sondern auch über allerhand hässliche Briefe mit Rechnungen und Mahnungen (die bestellten Waren gehen an ebenfalls gephishte Packstation-Accounts) und über jede Menge neuer Bekannter bei Polizeien, Staatsanwaltschaften und Untersuchungsgerichten, die wegen gewerbsmäßigen Betruges ermitteln. In der Folge gibt es zwei bis drei Jahre hässlichen Schriftverkehr, vielleicht die eine oder andere Hausdurchsuchung, Schufa-Einträge, gegen die man vorgehen muss und dergleichen unangenehmes Zeug mehr.

Diese Phishing-Spam ist gut gelungen und durch die Erwähnung des Namens zusätzlich gefährlich. Sie hat allerdings immer noch deutliche Schwächen, die es jedem möglich machen, die Spam zu erkennen:

  1. Vorname und Nachname stehen im Betreff
    Es ist objektiv sinnlos, den Empfänger einer E-Mail an seine persönliche Mailadresse im Betreff namentlich anzusprechen. Der Empfänger weiß, dass er gemeint ist, weil die Mail in seinem Postfach liegt. Niemand würde das tun.
  2. Der Betreff ist „komisch“
    Ein Zahlungsdienstleister wie PayPal macht also „Mitteilung zu Ihrem Kunden-Konto“? Nicht zum PayPal-Konto? Das „müffelt“ ein wenig. Unternehmen würden darauf achten, dass ihre Kommunikation unmissverständlich ist. Vor allem in Kontexten, in denen es um Geld geht.
  3. Guten Tag Vorname Nachname
    So etwas wie „Herr“ oder „Frau“ vor dem Namen fehlt. Kein Unternehmen würde seine Kunden so ansprechen.
  4. Der Absender
    Wie peinlich ist das? Einen Absender fälschen, aber dann nicht einmal einen mit einer Adresse @paypal (punkt) com nehmen. Wenn man schon den Absender fälscht… :mrgreen:
  5. tinyurl (punkt) com stinkt
    PayPal hat es niemals nötig, einen Link auf die eigene Website mit einem URL-Kürzungsdienst zu verschleiern. Kein Unternehmen, das seine Kunden anmailt, hat das nötig. Nur Spammer haben es nötig, um sich mit diesem „Trick“ an den Spamfiltern vorbeizumogeln. Wo der Link hinführt, sieht man übrigens in seiner Mailsoftware, indem man auf die Statusleiste schaut, wenn der Mauszeiger über dem Link ist. Wenn da in so einem Fall nicht die Website des Unternehmens steht, ist es immer Phishing.
  6. Die Bearbeitungsnummer ist überflüssig
    Zum Hinweis „Ihr Konto wurde limitiert“ (als ob es das nicht immer irgendwie wäre) gibt es keinerlei Begründung oder auch nur eine Andeutung der Gründe. Weitere Informationen soll man nach einem angeblichen Login erhalten. Die Angabe einer kryptischen Bearbeitungsnummer ist in diesem Kontext für den Empfänger der Mail sinnlos; der gesamte Vorgang könnte und würde direkt auf der Website dargestellt werden. Diese sinnlose Nummer dient also nur zur psychologischen Einschüchterung (du kommst nicht an dein Geld und du bist damit jetzt für uns nur noch eine Nummer). Jedes Unternehmen würde so etwas im Umgang mit seinen Kunden hoffentlich vermeiden. Phishing-Spammer wissen hingegen ganz genau, dass ein bisschen Angst viel Verstand ausschaltet und so unvernünftiges Verhalten fördert, und sie nutzen dieses Wissen.
  7. Mailadresse
    Im speziellen Fall dieser Mail haben die Spammer eine Adresse angemailt, die gegenüber PayPal gar nicht verwendet wurde. Wer es sich angewöhnt, für jeden „wichtigen“ Dienst eine eigene, ansonsten völlig unbenutzte Mailadresse zu verwenden, hat sich gegen dieses Phishing erfolgreich geschützt. Der Aufwand für diesen Schutz, der einem schnell einige Jahre juristischen Ärger für einen unbedachten Moment der Unvorsicht ersparen kann, liegt im Bereich weniger Minuten pro eingerichteter Mailadresse und ist damit sehr empfehlenswert. Übrigens kann man diese Phishing-Mail auch bekommen, wenn man gar kein PayPal-Kunde ist.
  8. Der Begriff „Konfliktlösung“ ist seltsam
    Welches Unternehmen würde in seiner Kommunikation mit dem Kunden (also nicht intern) einen derartigen Begriff für eine seiner Stellen benutzen? Dieses Wort macht einen recht unvorteilhaften Eindruck eines konfliktträchtigen Daseins als Kunde. Die in die Mail eingebettete, externe Grafik mit diesem Begriff kommt übrigens nicht aus der PayPal-Website, sondern sie wird vom anonym nutzbaren Freehoster image (strich) upload (punkt) de eingebunden. Zurzeit kann sie dort noch betrachtet werden. Meine Abuse-Mail ist schon draußen, und ich hoffe, dass diese Grafik schnell verschwindet. Ich habe in meiner Mail übrigens darum gebeten, die Grafik nicht einfach zu löschen, sondern sie durch eine auffällige Grafik mit einem deutlichen Hinweis auf das Phishing zu ersetzen, um den Schaden durch diese Mails zu beschränken. Dieses Vorgehen werde ich in Zukunft jedem Imagehoster nahelegen, dessen Dienst von solchen Verbrechern missbraucht wird, und ich empfehle das anderen zur Nachahmung. Aber es wäre vermutlich schon viel gewonnen, wenn öfter einmal mit einer Mail auf den Missbrauch anonym nutzbarer Dienste im Web hingewiesen würde…
  9. „Genießer“ merken es in jedem Fall
    Wer sich die Mailheader anschaut, bemerkt, dass diese Mail nicht von PayPal kommt. Stattdessen wird im Header die Domain hausrattreff (punkt) de verwendet.

Doch trotz dieser Schwächen: Phishing wird besser. Arglose und unerfahrene Menschen können auf diese Spam hereinfallen. Die namentliche Ansprache macht die Spam gefährlich. Die Spammer scheinen inzwischen eine Zuordnung von Mailadressen zu Namen aus vielen Quellen zusammengestellt zu haben. Derartige Datenbanken sind unter Kriminellen im Umlauf und werden benutzt.

Es wäre an den Geschäftstreibenden im Internet, die Situation zu verbessern. Die konsequente Verwendung digital signierter Mails in der Kommunikation und die Aufklärung der Kunden über Zweck und Nutzung digitaler Signaturen würde den Phishern schon nach kurzer Zeit das Wasser abgraben und einen kriminellen Sumpf mit monströsen Umsätzen vollständig trockenlegen. Warum PayPal nicht digital signiert? Warum es niemand tut? Ich habe darauf nur eine Antwort: Weil die „Sicherheit“ vor allem ein Wort der Werbeabteilungen ist, und nicht etwa ein Streben im Sinne der Kunden. Mittelbar ist jeder Geschäftstreibende, der seine Mail nicht digital signiert, an der Seuche des Phishings und an den Schäden bei seinen von Verbrechern übertölpelten Kunden mitschuldig.

Diese Spam wurde mir von meinem Leser Cassiel zugesendet.

Spam mit namentlicher Anrede: Woher kommen die Daten?

Freitag, 8. März 2013

Die anonyme Ansprache in einer Mail ist längst kein Kriterium mehr, um eine Spam sicher erkennen zu können. In den letzten Tagen häufen sich große Spamwellen von Schadsoftware-Mails mit namentlicher Ansprache. Diese sind teilweise leicht erkennbar, etwa, wenn eine angebliche Rechnung von einem Unternehmen kommt, mit dem man es bislang noch nie zu tun hatte, sie sind aber auch teilweise hochgefährlich wie die angeblichen Rechnungen von Groupon, bei denen zumindest in einigen Fällen die gleiche abweichende Namensschreibweise wie gegenüber Groupon verwendet wurde.

Zurzeit werden derartige Spams vor allem verwendet, um Menschen mit alarmierenden Texten zur Installation von Schadsoftware zu bewegen, indem sie einen Mailanhang mit einer ausführbaren Datei für Microsoft Windows öffnen. Die Schadsoftware ist in der Regel „frisch“ und kann vom Schlangenöl der gängigen Antivirusprogramme nicht zuverlässig erkannt werden. Die so installierten Trojanerpakete ermöglichen einen beliebigen Missbrauch des Computers und der Internetleitung, insbesondere auch für betrügerische Geschäfte, kriminelle Attacken auf IT-Infrastruktur, manipulierte Online-Kontoführung, Phishing und den Versand von Spam. Wer derartige Trojaner auf seinem Rechner laufen hat, wird mit Sicherheit zu Schaden kommen. Mit dieser Spam wird nicht gespielt! Ob das Konto geplündert wird, oder ob die Kriminalpolizei vor der Tür steht – eine Menge Ärger ist programmiert.

Der einzig sichere Schutz dagegen ist es, wenn der Empfänger die Spam als solche erkennt und löscht. Das ist bei einer Spam mit namentlicher Ansprache erschwert, vor allem, wenn es sich um die angebliche Rechnung (oder ein sonstiges Dokument) eines Unternehmens handelt, mit dem man in geschäftlicher Beziehung steht. So lange diese Spamwelle läuft – und ich befürchte, sie wird noch Monate oder Jahre laufen – gibt es nur eine Möglichkeit, sich zu schützen: Niemals einen Mailanhang öffnen, der in einer nicht digital signierten Mail ohne Absprache zugestellt wurde!

Es ist den Spammern gelungen, die echten Namen zu außerordentlich vielen E-Mail-Adressen zuzuordnen. Eine Spam mit persönlicher Ansprache ist wesentlich gefährlicher als eine anonym formulierte Spam, weil ihr mit weniger angemessener Vorsicht begegnet wird. Es könnte sogar noch schlimmer sein: In einem Kommentar habe ich einen Hinweis darauf erhalten, dass die Spammer sogar wissen, welches Betriebssystem genutzt wird und gezielt eine passende Schadsoftware anhängen. Das ist mit so wenig Beleg wie einem einzigen Blogkommentar bei über 10.000 Lesern des Postings zwar keineswegs gesichert, aber allein diese Vorstellung ist höchst alarmierend und sollte nicht einfach abgetan werden. Denn das wäre eine neue Dimension in der Perfidie der Schadsoftware-Spam, die sich deutlich von der üblichen „Streumunition“ der Spam unterscheidet.

Es gibt in dieser Situation eine Frage, die in meinen Augen unbedingt geklärt werden muss:

Woher haben diese Verbrecher ihre Daten?

Natürlich liegt es nahe, ein Datenleck bei Groupon zu vermuten, wenn sogar die Schreibweise des Namens in Einzelfällen mit den gleichen Fehlern behaftet ist wie der Name, der in der Spam verwendet wird. Groupon hat diesen Verdacht bislang in Kommentaren im Groupon-Blog zurückgewiesen. Auf mich wirkt es zwar nicht sonderlich glaubwürdig, wenn einerseits gesagt wird, dass noch untersucht wird und andererseits schon zugesichert wird, dass keine Daten „geklaut“ wurden, aber hier kann nur eine unabhängige Untersuchung abschließende Aufklärung bringen. Strafanzeigen wegen Computersabotage nimmt übrigens jede Staatsanwaltschaft entgegen, und betroffen ist jeder, dessen Daten für die Zustellung einer Schadsoftware Verwendung fanden. Bis zu einer derartigen Klärung des Sachverhaltes sollte man sich besser in Zurückhaltung bei Schuldzuweisungen üben – und auch ein kleines bisschen Verständnis für die Groupon-Mitarbeiter aufbringen, die im Moment eine sehr unangenehme und arbeitsreiche Zeit durchstehen müssen.

Diese Zurückhaltung empfiehlt sich um so mehr, als dass Spams mit namentlicher Ansprache auch ohne Groupon-Kontext versendet werden, und das durchaus schon seit längerer Zeit. Es müssen also weitere Datenlecks vorliegen, aus denen die Spammer ihren Datenbestand gefüllt haben. Die Frage, wo diese Daten herkommen, führt im Moment zu allerlei Spekulationen.

Es ist an der Zeit, diese Spekulationen mit überprüfbaren Fakten zu unterlegen und vielleicht herauszubekommen, woher die Daten stammen.

Ich sehe die folgenden Möglichkeiten, woher die Namen (und möglicherweise weitere Informationen, etwa, welches Betriebssystem genutzt wird) stammen können – die Links führen jeweils zu weiteren Informationen:

  1. App-Store für Android
    Wenn man bei „Google Play“ eine App kauft, werden die Daten des Besitzers an den Verkäufer weitergegeben. Dazu gehört auch der von Google verpflichtend eingeforderte (und gegebenenfalls durch ein gescanntes Ausweisdokument zu belegende) Realname, zusammen mit der Mailadresse. Alles, was Spammer tun müssen, um an einen Datenbestand zu kommen, ist, ein paar alles in allem schnell zu programmierende Apps zu bauen und dafür zu sorgen, dass diese auch gekauft werden. Google würde – falls das die Quelle der Daten ist – zur helfenden Hand für die organisierte Internet-Kriminalität.
  2. Trojanische Apps auf Smartphones
    Es gibt jede Menge trojanischer Apps auf Smartphones, teilweise sogar von Unternehmungen mit einer zu Unrecht viel zu guten Reputation. Diese Apps können auf die gesamten Adressbestände des Telefons zugreifen und diese an andere Stellen im Internet übertragen, und darunter befinden sich auch jede Menge Kombinationen aus Mailadresse und Realname. Natürlich sind die abgegriffenen Daten nicht darauf beschränkt. Wenn das Smartphone mit dem PC synchronisiert wird, könnte dabei auch durchaus die Information anfallen, welches Betriebssystem auf dem PC verwendet wird.
  3. Social-Web-Sites
    Bei Facebook war es für registrierte App-Entwickler möglich, auf sämtliche Daten beliebiger Facebook-Konten zuzugreifen, auch hier wird sich häufig der echte Name zur E-Mail-Adresse gesellen. Es war möglich, sich fälschlich als Entwickler auszugeben. Der Zugriff gelang auch auf Konten, in denen keine App installiert wurde. Natürlich lässt sich ein derartiges Abgreifen von Daten automatisieren, und natürlich weckt eine große, zentrale Datensammlung auch Begehrlichkeiten von Kriminellen. Einmal ganz davon abgesehen, dass einigen dieser Geschäftsleute ohne seriöses Geschäftsmodell der Datenschutz vollkommen gleichgültig zu sein scheint.
  4. Kommerzielle Anbieter
    Mindestens ein kommerzieller Anbieter im deutschsprachigen Web hat mutmaßlich Adresshandel mit den gesammelten Daten betrieben. Es würde mich nicht überraschen, wenn es viele Unternehmen gäbe, die sich dieses zwar illegale, aber dennoch lukrative Zusatzgeschäft nicht entgehen lassen möchten.
  5. Gewinnspiele im Fernsehen
    Zumindest an halbseidene Callcenter sind Daten, die über Gewinnspiele im Fernsehen erhoben wurden, schon gegangen. Vermutlich werden die Daten ganz allgemein gehandelt.
  6. Datenlecks
    In den letzten achtzehn Monaten kam es zu einer außerordentlichen Häufung von Datenlecks auch bei renommierten Unternehmen, bei denen große Teile des Datenbestandes abgegriffen werden konnten. Betroffen waren unter anderem die belgische Staatsbahn, Coca-Cola, verschiedene so genannte „Singlebörsen“ (hier nur meetOne als ein Beispiel) und mutmaßlich DHL. Desweiteren können im Regelfall schlecht bezahlte Mitarbeiter gewisser Callcenter frei auf Daten zugreifen, und es würde mich sehr überraschen, wenn da nicht der eine oder andere nach Möglichkeiten suchen würde, sein mieses Gehalt aufzubessern. Dass selbst bei großen Anbietern von Pornografie sehr wenig Wert auf Datensicherheit gelegt wird, sei hier nur eine kleine Ergänzung.
  7. Cloud-Dienste
    Es kam bis jetzt immer wieder zu teilweise erheblichen Datenlecks bei so genannten Cloud-Diensten. Je nach dem, welche Daten dort abgelegt sind (zum Beispiel E-Mail-Adressbücher, aber auch andere Dokumente), können dabei personenbezogene Daten in erheblicher Menge abgegriffen und automatisiert ausgewertet werden.

Seit Mitte 2010 kann ich verschiedene Versuche der Spammer und halbseidenen Anbieter irgendwelcher Nutzlosgüter ausmachen, dass sie echte Namen zu den Mailadressen zu erhalten versuchen, und ich habe immer deutlich davor gewarnt – leider nur nach meinen beschränkten Möglichkeiten; in einem kleinen, eher unbedeutendem Blog, das ich nur einmal angefangen habe, um die Spam nicht mehr stumm hinzunehmen…

Dass es irgendwann zu überzeugender Spam mit namentlicher Ansprache kommt, ist zumindest für mich keine große Überraschung.

Meine Frage/Bitte an die Leser

Ich habe weiter oben viele mögliche Quellen für die Kombination Mailadresse und Name im Datenbestand der Spammer genannt. Vermutlich habe ich genau so viele mögliche Quellen vergessen, weil ich sie einfach nicht „auf dem Schirm“ habe. Wenn beim einen oder anderen Leser ein gewisses Entsetzen aufgekommen ist, entspricht das durchaus meiner Absicht – denn die Zeit der Sorglosigkeit gegenüber der organisierten Internet-Kriminalität muss aufhören, und der erste Schritt in einen verantwortungsvolleren Umgang mit dem Internet ist ein Verständnis für das Ausmaß der möglichen Probleme. Es mag sein, dass jemand anders zu anderen Schlüssen kommt als ich, aber ich kann nur eines empfehlen: Niemanden persönliche Daten ohne zwingenden Grund anvertrauen, niemanden glauben, dass er sorgsam mit persönlichen Daten umgeht, niemals persönliche Daten auf Geräten vorhalten, die der eigenen Kontrolle entzogen sind und diese Tatsache hinter einer gefälligen Benutzerschnittstelle verbergen. Ja, mit dem letzten Punkt meine ich Pads und Phones, aber auch generell gewisse Betriebssysteme.

Meiner Meinung nach sollte so genau wie möglich aufgeklärt werden, wie die Spammer in diesem Fall an die Daten gekommen sind. Das kann im günstigen Fall erkennbar machen, welche Menschen in naher Zukunft von möglicherweise perfiden und stark personalisierten Spamattacken betroffen sein könnten, und es kann für diese Menschen ein Beitrag zur angemessenen Vorsicht angesichts der Gefährdung sein. Diese Vorsicht ist der einzige Schutz, so genannte „Antivirenprogramme“ sind hingegen relativ wertlos.

Wie wäre es mit einem heiteren Detektivspiel zu einer wenig heiteren Form des Verbrechens. Wer kann und will dabei helfen, folgende Fragen zu klären – damit eventuell in den zusammengetragenen Informationen Klarheit aufkommt oder wenigstens, damit bestimmte Möglichkeiten ausgeschlossen werden können:

Besonders wertvoll sind dabei Angaben mit E-Mail-Adressen, die an genau einer Stelle verwendet wurden und jetzt zum Ziel der Spam geworden sind; ebenfalls wertvoll sind einmal verwendete Pseudonyme oder falsch angegebene Namen, die jetzt in personalisierter Spam auftauchen. Diese sind eine klare Spur, die zur Quelle der Daten führt.

  1. Woher kommen die Daten?
    Hat jemand bei einem einzigen Dienst eine Mailadresse verwendet, die jetzt personalisiert zugespammt wird? Hat jemand ein Pseudonym oder einen falschen Namen angegeben, für den jetzt „Rechnungen“ kommen? Welcher Dienst war das? Oder taucht eine Falschschreibweise eines Namens in einem Adressbuch auf einem Smartphone oder innerhalb eines Cloud-Dienstes auf und geht jetzt Spam an diesen Namen? Solche Kleinigkeiten können helfen, das Datenleck zu identifizieren und gezielt andere Anwender zu warnen.
  2. Wenn die Spur zu einem Smartphone führt…
    Welches Version hat das Betriebssystem? Welche Apps sind darauf installiert? Welche Apps waren einmal darauf installiert und wurden wegen Nutzlosigkeit oder weil sie einfach nicht funktionierten, wieder gelöscht? Irgendetwas auf diesem Smartphone war nicht koscher, und es gilt, herauszufinden, was das war und wer dafür verantwortlich ist. Wenn genügend derartige Informationen zusammengeführt werden, können sich viele derartige Spuren zu einem konkreten Verdacht verdichten, dem man nachgehen kann.
  3. Wenn die Spur zu einem Unternehmen führt…
    Wann wurde die Registrierung oder Datenangabe durchgeführt? Eventuell lässt sich so eingrenzen, wann die Daten abgegriffen wurden, wenn man feststellt, dass spätere Nutzer nicht betroffen sind. Gab es eine spätere Änderung der Mailadresse oder des Namens, die den Zeitrahmen fassbarer macht?
  4. Gab es Angriffe, die Kenntnisse über das Betriebssystem voraussetzen?
    So lange ich nur einen etwas fragwürdigen Kommentar habe, glaube ich es nicht. Aber wenn es weitere Mac-Anwender gibt, die ebenfalls gezielt Schadsoftware für Mac OS erhalten haben, ist das ein deutliches Indiz dafür, dass die Kriminellen wissen, welches Betriebssystem verwendet wird. An dieses Wissen können sie auf verschiedenen Wegen kommen; am einfachsten übrigens, indem sie es schaffen, dass man auf einen Link in einer Mail klickt und dass der Browser dann über den User-Agent im HTTP-Header mitteilt, welches System verwendet wird. (Das ist ein Grund mehr, niemals in eine Spam zu klicken.) Werden Adressbücher, Terminkalender etc. mit einem Smartphone synchronisiert, dass hierüber die Information abgegriffen werden kann? Wenn ja, siehe weiter oben: Welche Betriebssystemversion und welche Apps sind (oder waren) auf dem Smartphone installiert? Wenn das Smartphone erstmal trojanisiert ist und auch zum Surfen verwendet wird, ist es für die Kriminellen relativ leicht, herauszubekommen, welche Websites häufig aufgerufen werden und daraus zu schließen, wo jemand Kunde sein könnte, um dann „Groupon-Rechnungen“ zu verschicken – und vergleichbar leicht ist ein ähnlich gezielter Angriff auf das Online-Banking, mit namentlicher Ansprache und scheinbar vom richtigen Kreditinstitut.

Ich weiß, dass ich in meinen Punkten sehr auf Smartphones herumreite. Es ist einfach mein stärkster Verdacht, übrigens ohne weitere Anhaltspunkte als „nur“ dem einen Punkt der außerordentlichen Einfachheit, auf diesem Weg persönliche Daten von Menschen abzugreifen. In den Smartphones hat sich die Sicherheits-Blauäugigkeit der Neunziger Jahre mit der organisierten Internet-Kriminaliät der Zehner Jahre kombiniert und ist mit den in meinen Augen fragwürdigen Geschäftsmodellen Apples und Googles eine unheilige Allianz in der Entrechtung, Verdummung und Abzocke der Nutzer eingegangen. Bei den meisten Anwendern ist in all der kindischen Freude an den neuen Möglichkeiten leider noch kein ausgeprägtes Bewusstsein für die möglichen Probleme gewachsen – und die von namhaften Unternehmen installierten Trojaner sind nur ein kleiner Teil des ganzen Wahnsinns, ein Teil übrigens, der leider viel zu wenig Ächtung erfährt. (Meiner Meinung nach wäre das, was Facebook, Twitter, Path etc. klandestin auf Smartphones betreiben, in einem Rechtsstaat etwas, wofür es Gefängnisstrafen gäbe. Wer Trojaner programmiert und als vergifteten Bonbon zur Installation auf Computern anbietet, hat sich selbst aus dem zivilisierten Miteinander verabschiedet und zeigt, dass er die gleichen widerlichen Methoden anwendet wie eine Bande von Verbrechern. Er zeigt auch, dass er die Menschen nicht anders betrachtet, als ein Verbrecher es täte: Als dumme, verachtenswerte Opfer, die man ausraubt und ausbeutet.) Smartphones sind persönlich genutzte Computer, die bei vielen Menschen deutlich weiter in die Intimsphäre hineinragen als der Computer auf dem Schreibtisch und die dabei deutlich unbefangener genutzt werden. Wenn ich selbst ein Krimineller wäre, würde ich mich darauf konzentrieren.

Wer die von mir angesprochenen Punkte aus seiner persönlichen Erfahrung etwas klären kann, schreibe das bitte öffentlich in einen Kommentar zu diesem Posting. Natürlich gilt das auch für Punkte, die ich vergessen habe. Mit einem bisschen Glück wird es so möglich, das Datenleck aufzuklären, indem man einfach Fakten zusammenträgt. Mit einem bisschen Pech allerdings – und ich befürchte, so wird es kommen – wird dabei klar werden, dass längst Daten aus vielen verschiedenen Quellen zusammenfließen und von organisiert Kriminellen für ihre verachtenswerten „Geschäfte“ benutzt werden.

Natürlich darf hier jeder Kommentar auch schön anonym mit falscher Mailadresse und lustigem Phantasienamen abgegeben werden. Ich werde hier allerdings strikt moderieren und jeden völlig unbegründet geäußerten Verdacht löschen. Die IP-Adressen werden von mir nicht langfristig gespeichert.

Abschließendes

Angesichts der momentan zur Massenpest werdenden Spam mit überzeugender namentlicher Anrede möchte ich noch einmal meinen anderthalb Jahre alten Offenen Brief an alle Bankhäuser in die Aufmerksamkeit rücken. Wer im geschäftlichen Mailverkehr auf digitale Signatur verzichtet, ist selbst fördernder Teil der Kriminalität.

Max Mustermann Offener Rechnungsbetrag mit Umsatzsteuer Kunden-ID: 770617000 22.02.2013

Samstag, 23. Februar 2013

Anstelle von „Max Mustermann“ steht in der zitierten Spam ein richtiger Name – die vielen Wege, echte Namen zu den Mailadressen über Cracks und sicherheitstechnische Blauäugigkeit kommerzieller Anbieter zu ermitteln, werden also schon aktiv missbraucht. Das macht eine derartige Mail viel überzeugender und viel gefährlicher. Der kriminelle Versuch, den Rechner zu übernehmen, ist auch ansonsten sehr gefährlich, weil er in einem zumindest auf dem ersten Blick akzeptablen und halbwegs fehlerfreien Deutsch verfasst wurde. Einige seltsame Formulierungen darin fallen kaum auf. [Ich habe Anmerkungen in eckigen Klammern eingefügt.]

Sehr geehrter Kunde [sic!] Max Mustermann,

ärgerlicherweise hat unsere Finanz-Leitung [sic!] bei Ihnen eine offene Zahlung festgestellt [sic! Keine offene Forderung]. Bestimmt ist es Ihrer Beachtung [sic!] entgangen, die Rechnung für Ihre Bestellung zu überweisen [sic! Nicht „begleichen“].

Datum: 13.02.2013 Max Mustermann
Offene Rechnung: 692,99 Euro
Produkt-Nummer: 10563614 [sic! Sehr kundenfreundlich!]
Kosten dieser Mahnung: 2,00 Euro

Wir verpflichten Sie [sic!] den gesammten Betrag unter Angaben Ihrer Bestellnummer auf das im Vertrag angegebene Konto umgehen [sic!] zu überweisen.

Weitere Details entnehmen Sie bitte dem abgeschlossenen Vertrag. [sic! Kein Hinweis in einer alarmierend formulierten Mail, wofür der schon etwas erhebliche Betrag bezahlt werden soll.]

Mit freundlichen Grüßen Rheingauer Weinszene Eileen Hartmann

Das einzige, was an dieser Mail noch verdächtig ist – neben den teilweise unbeholfenen Formulierungskünsten der Spammer, die aber bereits eine große Verbesserung gegenüber dem „Standard“ der miesen Spam darstellen – ist der Verzicht auf eine „menschenlesbare“ Angabe, wofür jetzt immerhin fast 700 Euro fällig werden sollen. Einen derartigen Ton in Gelddingen würde sich keine Unternehmung herausnehmen, die auf ihre Kunden wert legt.

Im Anhang liegt eine Datei Kaufvertrag Max Mustermann.zip mit einer Dateigröße von 21,1 KiB. Der Dateiname des ZIP-Archives ist ebenfalls der echte Name des Empfängers. In diesem ZIP-Archiv liegt ein weiteres ZIP-Archiv mit dem Dateinamen Kaufvertrag - Mahnkosten vom 22.02.2013.zip. Eine derartige Verpackung eines Archives in einem Archiv sollte schon nachdenklich machen, denn sie ist objektiv unnötig, für Menschen schwieriger zu benutzen und soll vermutlich nur einige „Virenscanner“ übertölpeln. In diesem inneren ZIP-Archiv liegt eine Datei mit der Dateinamenserweitung .com, was nicht etwa ein Dokumentformat, sondern eine direkt ausführbare Datei für Microsoft Windows ist.

Wer auf diese Datei geklickt hat, um sie damit auszuführen, hat verloren. Sein Computer ist jetzt ein Computer anderer Leute in Diensten der Internet-Kriminalität, seine Daten (zum Beispiel Mailarchive, Passwörter, lokale Dateien) können von Kriminellen abgegriffen werden und seine Internetleitung kann für kriminelle Zwecke beliebig missbraucht werden. Zurzeit wird die Schadsoftware von der Hälfte der gängigen Virenscanner nicht erkannt.

Aber wer klickt schon auf einen Mailanhang in einer angeblichen Rechnung von einer Unternehmung, von der er noch niemals etwas gehört hat? Zumal in der Mail keine Telefonnummer für eine schnelle Rückfrage angegeben wurde…

Gefährlich ist die Spam mit namentlicher Ansprache trotzdem, vor allem, wenn sie überzeugend formuliert ist.

Vorbeugung gegen Spams mit namentlicher Ansprache

  1. Äußerste Datensparsamkeit – Niemals ohne vernünftigen Grund so etwas wie den echten Namen, die Postanschrift oder die eigene Mailadresse im Internet angeben, auch wenn jemand (wie etwa Facebook oder Google Plus) meint, eine solche Angabe ohne vernünftigen Grund einfordern zu können. Ein vernünftiger Grund ist etwa die Angabe einer Lieferanschrift in einem Webshop. Kein vernünftiger Grund ist es, forenähnliche Websites oder „social media“ nutzen zu können oder eine so genannte „Registrierung“ oder „Aktivierung“ für bereits bezahlte Software vorzunehmen. Niemand ist vertrauenswürdig, überall kommt es zu „bedauerlichen Problemen“. Egal, ob es um eine Suchmaschine für Immobilien, um Gewinnspiele, um so genannte „soziale“ Websites, um Verleger, um Diskussionsforen für ein beliebtes Handy-Betriebssystem, um virtuelle Fleischmärkte, um Optiker im Internet oder um Anbieter von Computerspiele handelt. Die abgegriffenen Daten zirkulieren auf einem kriminellen Schwarzmarkt und können leicht gegeneinander abgeglichen werden, um fehlende Merkmale (wie etwa den Namen) aus anderen Beständen zu ersetzen, wenn eine Angabe wie die Mailadresse identisch ist. Niemand ist vertrauenswürdig, der sein Geschäftchen im Internet macht. Jeder Computer im Internet (auch der Computer, auf dem dieses Blog läuft) ist ein Opferrechner, der vielfältigen Angriffen ausgesetzt ist, die immer wieder einmal erfolgreich sein können. Wenn ein kommerzieller Websitebetreiber irgendwelche Zertifikate des TÜV und in Internet-Sicherhet machender Unternehmen bezahlt und das Geld nicht lieber für qualifizierte administrative Mitarbeiter ausgibt, die ein Auge auf den täglichen Wahnsinn haben, halte ich das für einen deutlichen Hinweis, dieser Klitsche überhaupt keine Daten anzuvertrauen. Nicht einmal relativ irrelevante.
  2. Mehrere Mailadressen benutzen – Wenn sich die Preisgabe von echten Daten nicht vermeiden lässt (zum Beispiel wegen einer Lieferadresse), dann einfach für jeden Anbieter, der solche Daten hat, eine eigene Mailadresse verwenden. Wenn dann derartige Spam ankommt, ist es leicht, zu erkennen, dass hier eine abgegriffene Mailadresse verwendet wurde. Der alarmierende Ton solcher Mails verflüchtigt sich auf diesem Hintergrund, bevor er zu unvernünftigen Taten motiviert hat.
  3. Mailanhänge und Links in E-Mails sind immer gefährlich – In diesem Fall war es relativ einfach, die Schädlichkeit des Anhangs zu erkennen, ohne ihn zu öffnen – eine ausführbare Datei ist kein „Rechnungsformat“, und die doppelte Verpackung sollte allein schon sehr skeptisch machen. Aber auch „unverdächtige“ Anhänge sind gefährlich. PDF-Dateien können Schadcode enthalten, der Sicherheitslücken im Adobe Reader ausnutzt, Word- oder Excel-Dokumente können Programmcode enthalten und sogar „harmlos“ aussehende Bilder sind in der Vergangenheit schon für Angriffe benutzt worden. Der Absender einer E-Mail ist beliebig fälschbar. Jede E-Mail, die nicht digital signiert ist, ist als nicht vertrauenswürdig zu betrachten. Wenn im Text einer E-Mail von teuren Rechnungen die Rede ist, aber der Rechnungsgegenstand nur einem Anhang zu entnehmen ist, handelt es sich beinahe immer um Schadsoftware im Anhang. Dass Unternehmen wie die Telekom Deutschland GmbH ähnlich vorgehen, begünstigt diese Masche – oder etwas drastischer gesagt: Jede große Unternehmung, die so etwas praktiziert, erzieht ihre Kunden zum Leichtsinn in der Nutzung von E-Mail und ist mitverantwortlich dafür, dass Spam weiterhin ein lohnendes kriminelles „Geschäft“ für die organisierte Kriminalität bleibt. Das sollte ruhig so kommuniziert werden, damit es aufhört.
  4. Kein blindes Vertrauen in „Antivirusprogramme“ – Die so genannten Antivirus-Programme laufen den Programmierern der Schadsoftware immer um ein bis zwei Tage hinterher. Selbst, wenn immer alle Updates eingespielt werden und die Signaturdatenbank auf dem neuesten Stand ist, sind solche Programme im besten Fall eine Ergänzung, aber kein Ersatz für ein Sicherheitskonzept für die persönliche oder gewerbliche Datenverarbeitung. Ich sage es gern noch drastischer: Diese Programme sind Schlangenöl. Gefährliches Schlangenöl, weil sie viele Menschen in einer trügerischen Sicherheit wiegen. Besser als dieses Schlangenöl ist ein Betriebssystem, das nicht so leicht angreifbar ist wie das Lieblingssystem der Internet-Verbrecher, Microsoft Windows. Die Leistungsfähigkeit heutiger Rechner macht es problemlos möglich, ein Betriebssystem in einer virtuellen Maschine eigens für die Internet-Nutzung aufzusetzen – und wenn hierfür ein freies und kostenloses System wie PCBSD oder Linux verwendet wird, fallen keine zusätzlichen Lizenzkosten an. Der Gewinn für die Sicherheit ist erheblich, und im Falle einer geschäftlichen Nutzung (Kaufen, Verkaufen, Bankgeschäfte) ist diese Vorgehensweise vermutlich der zurzeit beste Schutz¹. Warum das nicht in Computerzeitschriften steht? Um diese Frage zu beantworten, reicht es, sich anzuschauen, welche Schlangenölverkäufer in derartigen Zeitschriften ihre Werbung abdrucken lassen. Eine Presse, die für ihren Betrieb und Erwerb von Werbung abhängig ist, ist niemals eine freie Presse. Nirgends.
  5. Wenn es zu spät ist – Wenn man die erste Spam mit persönlicher Ansprache erhalten hat, ist es höchste Zeit, die Mailadresse zu wechseln und die neue Adresse jedem mitzuteilen, mit dem man in Kontakt bleiben möchte. Das gilt auch bei einer rein persönlichen Nutzung. Es ist davon auszugehen, dass missbrauchbare persönliche Daten unter Kriminellen zirkulieren, und diese Daten ermöglichen überzeugende Betrugsnummern über ein anonymisierendes Medium. Zum Beispiel wird eine Mail der Marke „Ich liege in Madrid fest und habe Geld, Kreditkarte und Ausweis verloren, kannst du mir bitte mal 200 Euro über Western Union rüberschicken, damit ich den Bürokratiekram erledigen kann und heute Nacht im Hotel unterkomme, ich gebs dir nächste Woche zurück“ sehr überzeugend, wenn sie mit korrekter Ansprache von jemanden kommt, den man kennt. Daten können mit anderen Quellen mechanisch abgeglichen werden, zum Beispiel auch mit Facebook; persönliche Beziehungen werden auch vor Verbrechern offengelegt. Die Spam ist billig, und wenn 20.000 derartige Spams zu 200 erfolgreichen Versuchen werden, haben Trickbetrüger für das schnelle (Zeitaufwand höchstens fünf Tage, wenn sie es wirklich gut machen) Schreiben eines Skriptes 40.000 Euro abgegriffen. Dass so etwas bei der teilweise hohen Qualität der über so genannte „soziale“ Websites abgreifbaren Daten eine Erfolgsquote von mehr als einem Prozent haben wird, erscheint mir sehr wahrscheinlich. Es ist nur eine Frage der Zeit, bis derartiger Trickbetrug zu einer Seuche wird.
  6. Man kann es nicht oft genug sagen – Der beste und wirksamste Schutz gegen Spammaschen mit persönlicher Ansprache ist äußerste Datensparsamkeit und die Verwendung von spezifischen Mailadressen für Kontexte, in denen diese Datensparsamkeit nicht möglich ist.

Diese in meinen Augen recht gefährliche und aktuelle Schadsoftware-Spam wurde mir von meinem Leser S. S. zugestellt. Bei mir kann so etwas kaum ankommen, weil ich äußerst sparsam mit meinen Daten umgehe. Danke.

¹Ich benutze ein virtuelles System zum Beispiel auch, um mir die aktuellen Websites der Spammer anzuschauen. Ein direkter Klick in eine Spam ist gefährlich. Die virtuelle Maschine ermöglicht es mir, einen Sicherungspunkt vor der Betrachtung anzulegen und den vorherigen Zustand wiederherzustellen. So lächerlich Spams auch oft aussehen, sie sind kein Spaß.

RechnungOnline Monat

Mittwoch, 20. Februar 2013

Ganz kurz nur eine aktuelle Warnung: Die im folgenden gezeigte E-Mail mit dem gefälschten Absender rechnungonline (punkt) (at) telekom (punkt) de (ja, mit einem seltsamen Punkt drin) kommt nicht von der Telekom Deutschland GmbH, auch wenn sie auf dem ersten Blick überzeugend aussieht. Sie kommt von Verbrechern und enthält einen äußerst gefährlichen Anhang.

Screenshot der angeblichen Rechnung

Im Original steht da noch eine Menge Reklame für Telekom-Produkte drunter. Vermutlich sind die Mails der Telekom ähnlich gestaltet und werden bei jeder Gelegenheit mit einem Berg von nervender, in der Regel unerwünschter Reklame angereichert.

Die angehängte Datei mit den immer wieder wechselnden Namen ist keine Rechnung der Telekom, sondern ein ZIP-Archiv voller aktueller Schadsoftware. Zuzeit wird diese Schadsoftware von drei Vierteln der „Antivirusprogramme“ nicht erkannt. Wer das ZIP-Archiv entpackt (oder in einem modernen Dateimanager öffnet) und die darin liegende Datei mit der Namenserweiterung .pdf.exe öffnet, wird also von seiner „Schutzsoftware“ im Stich gelassen. Deshalb öffnet man solche Anhänge ja auch nicht, sondern löscht die Spam sofort.

Man kann leicht erkennen, dass es sich um eine Spam handelt, wenn man den Text der zugegebenermaßen überzeugend gestalteten E-Mail aufmerksam liest.

Ihre Rechnung für Januar 2013

Ich bin kein Kunde der Telekom, aber ich würde annehmen, dass dieser Text im Betreff der E-Mail stünde – anstelle des lächerlichen Textstummels „RechnungOnline Monat“.

Guten Tag,

Keine Unternehmung würde darauf verzichten, ihre Kunden namentlich anzusprechen. Wenn solche Mails ohne persönliche Ansprache kommen, braucht man schon nicht mehr weiterlesen und kann den Sondermüll löschen.

mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat Januar 2013 beträgt: 43,48 Euro.

Es bedarf nur kurzen Nachdenkens, um diesen Satz als Blendwerk zu entlarven. Etliche Kunden der Telekom nehmen mehrere Dienstleistungen in Anspruch. Deshalb würde zu dem Hinweis auf „Ihre aktuelle Rechnung“ stehen, wofür diese Rechnung ist, und zwar in Form einer Produktbeschreibung und ergänzend, um es in jedem Fall eindeutig zu machen, einer Vertragsnummer. Ohne diese klärenden Angaben ist der angebliche „Rechnungsbetrag“ für eine recht große Minderheit der Kunden bedeutungslos.

Den aktuellen Einzelverbindungsnachweis – sofern von Ihnen beauftragt – und das Rechnungsarchiv finden Sie im Kundencenter.

Unglaublicherweise geht der Link in die Telekom-Site. Es ist eben kein Phishing, sondern der Versuch, den Computer kriminell zu übernehmen.

Diese E-Mail wurde automatisch erzeugt. Bitte antworten Sie nicht dieser Absenderadresse. Bei Fragen zu RechnungOnline nutzen Sie unser Kontaktformular.

Steht so ein Text wirklich in Mails der Telekom? Wenn ja, dann würde die Telekom aktiv dabei helfen, dass gefährliche Spam-Kriminelle ihre gefälschten Absenderadressen „plausibel“ machen können. Die Telekom wäre damit ein gedankenloser Gehilfe der organisierten Kriminalität. Ich kann mir nicht vorstellen, dass bei der Telekom dermaßen dumme Entscheidungen getroffen werden.

Mit freundlichen Grüßen
Ralf Hoßbach
Leiter Kundenservice

Nur echt mit einem Bild der eingescannten Unterschrift.

Bitte löschen!

Selbstschutz

Wie sich an diesem Beispiel zeigt, ist so genannte Schutzsoftware vollständig wirkungslos. Das Geld für den zusätzlichen Energieverbrauch eines ständig im Hintergrund mitlaufenden Schlangenöl-Programmes könnte man sich sparen. Man könnte es zum Beispiel darin investieren, ein kostenloses Betriebssystem zu installieren, das wesentlich weniger Sicherheitsprobleme bietet und es damit kriminellen Zeitgenossen wesentlich schwieriger macht, den Rechner durch zugesandte Schadsoftware zu übernehmen.

Wer das nicht kann – ich weiß, dass es Menschen gibt, die auf Microsoft Windows angewiesen sind, aber ich weiß auch, dass es viel mehr Menschen gibt, die glauben, darauf angewiesen zu sein als solche, die es wirklich sind – sollte wenigstens sein Hirn schulen, denn das ist und bleibt der beste Virenschutz.

  1. Immer wissen, dass Absenderadressen beliebig fälschbar sind! Nicht von der Absenderadresse verblenden lassen!
  2. Immer wissen, dass das Design beliebig aus einer anderen, echten E-Mail kopierbar ist! Nicht vom Design verbleben lassen!
  3. Bei Geschäftskontakten, die aufwändig formatierte HTML-Mails versenden, rückfragen, warum sie für ihre Kommunikation keine Text-Mails versenden wollen – und warum sie ihre E-Mail nicht digital signieren, um im Zeitalter der organisierten Internet-Kriminalität den Absender jenseits jedes vernünftigen Zweifels sicher zu stellen. Digitale Signatur ist keine Raketentechnologie, sondern ein Verfahren, das jedem Internetnutzer seit über einem Jahrzehnt fertig und kostenlos zur Verfügung steht. Wer geschäftliche Mails nicht digital signiert, ist selbst ein Teil des Phishings und der Kriminalität! Das sollte immer wieder kommuniziert werden (insbesondere gegen Banken), bis diese Technikverweigerung auf Kosten der Kundensicherheit endlich aufhört.
  4. Immer wissen, dass kein Unternehmen darauf verzichten wird, seine Kunden persönlich in Mails mit Rechnungen und anderen vertragsrelevanten Daten und Vorgängen anzusprechen! Wenn eine solche persönliche Ansprache fehlt, kann die Mail gelöscht werden, es handelt sich immer um einen kriminellen Versuch.
  5. Immer wissen, dass der Vertragsgegenstand, auf den sich eine geschäftliche Mail bezieht, in jedem Fall präzise benannt werden wird. Die hier vorliegende Mail sagt, wenn man sie ihrer formalen Sprache entkleidet, folgendes: „Zahlen sie uns 43 Euro und ein paar Zerquetschte, ohne dass wir ihnen sagen, wofür sie zahlen sollen“. So etwas ist ein klares Anzeichen für Spam und sollte dazu führen, dass man die Mail ohne weiteres Nachdenken löscht.
  6. Niemals auf Virenscanner verlassen, sondern immer sehr vorsichtig bei E-Mail sein. In Zweifelsfällen immer rückfragen. Niemals eine ausführbare Datei für Microsoft Windows öffnen, die als Mailanhang zugestellt wird, denn das ist immer Schadsoftware. Aber auch bei Dokumentformaten wie PDF ist Vorsicht angemessen, denn der Adobe Reader strotzt nur so vor kriminell ausbeutbaren Fehlern, und ein typisches Office-Dokument kann Programmcode enthalten.

Diese Mail ist recht überzeugend, und sie ist durch meinen Spamfilter geflutscht. Sie wird auch bei vielen anderen Menschen durch den Spamfilter gehen, und etliche davon sind Telekom-Kunden. Es ist davon auszugehen, dass die Kriminellen mit dieser Spam-Aktion tausende neuer Botrechner in Deutschland bekommen werden.

Mitschuldig daran ist die Telekom, die in ihrer E-Mail-Korrespondenz nicht auf digitale Signatur (und eine Aufklärung ihrer Kunden, wie sich der Urheber der Mail sicher feststellen lässt) setzt, sondern auf beliebig kopierbares Design einer HTML-formatierten Mail. Diese Entscheidung von Menschen, die vermutlich eher in Begriffen des Marketings als der Computersicherheit denken, macht es Verbrechern unnötig leicht und spielt hirnlos mit der Privatsphäre, dem Geld und den Computern von Kunden herum. Solchen Haltungen muss endlich die Ächtung entgegengebracht werden, die solche Haltungen verdienen. Und zwar überall, nicht nur bei der Telekom.

Die nächste überzeugende Spam mit tausenden Opfern kommt nämlich bestimmt.

You have 1 personal notification from Facebook Service

Sonntag, 27. Januar 2013

Soso, von Facebook, und das als jemand, der gar nicht Facebook nutzt. Und nein, das ist nicht die Spam, die man wirklich vom nach Spam stinkenden „Fratzenbuch“ bekommen kann, denn diese kommt zweifelsfrei von Facebooks Servern und nicht wie dieses Exemplar aus dem IP-Bereich eines finnischen Internet-Anbieters. Also ist schon einmal völlig klar, dass hier jemand den Eindruck eines anderen Absenders erwecken will. Warum sollte man das wohl wollen?

Facebook Service has send you a notification. Your account has been successfully updated. Go to Facebook. See All Notifications.

Sämtliche Links führen in die Domain dogukanspor (punkt) com, die zurzeit keine Startseite, sondern ein Zugriffsverbot präsentiert. Die Links funktionieren allerdings. Diese Domain ist – man hätte es beim Namen schon erraten können – von einem türkischen Sportverein aus dem sonnigen Sarkaya registriert – nicht einmal 100 Kilometer vom Schwarzen Meer entfernt, und bei der Kälte draußen darf man sich so etwas gar nicht anschauen… Die bei der Registrierung der Domain angegebene Anschrift dieses Vereines existiert. Mit an Sicherheit grenzender Wahrscheinlichkeit wurde die Website des Sportvereines von Kriminellen „übernommen“, und das dürfte auch der Grund sein, warum dort zurzeit keine Website zur Verfügung steht. Leider bedeutet das nicht, dass die wahrscheinlich klandestin hochgeladenen Inhalte dort auch verschwunden wären. Da die Spam über das Wochenende kam, ist es gut möglich, dass sich einfach nur noch niemand die Sache angeschaut hat, der etwas davon versteht – und das Offline-Nehmen der Website war eine Notbremse angesichts eines laufenden Missbrauchs des Webservers durch die organisierte Internet-Kriminalität.

Was erwartet einem Menschen, der in diese Spam „von Facebook“ klickt?

Nach dem bereits Erwähnten ist klar, dass es nichts Gutes sein wird. Ich habe bei meinem Test natürlich die eindeutige Kennung am Ende der URI entfernt, und ich habe auch keinen graphischen Browser benutzt, und so kam ich nach einer Kaskade von neun Weiterleitungen über diverse Domains, die vermutlich ebenfalls über kriminelle Angriffe in die Kontrolle der Verbrecher gerieten, schließlich bei einer Pimmelpillen-Apotheke der vertrauten Betrugsmarke „Canadian Pharmacy“ an. Über diese ziemlich unverständliche „Nummer“ habe mich ja schon öfter gewundert.

Das liegt daran, dass ich einfach zu vorsichtig gewesen bin, um die Nummer so zu sehen, wie sie einem naiv in die Mail klickenden Menschen widerfährt. Wer da unvorsichtigt reinklickt, bekommt nämlich von den freundlichen Verbrechern eine brandneue Kollektion aktueller Schadsoftware untergeschoben.

Deshalb klickt man eben nicht in Spams. Und deshalb versucht man, Spams zu erkennen.

Wie hätte man diese Spam als Spam erkennen können

Es gibt mehrere deutliche Indizien, die einen auch dann skeptisch machen sollten, wenn man bei Facebook ist:

  1. Die Sprache stimmt nicht
    Ganz Facebook sieht man in Deutsch, aber dann soll Facebook auf einmal englische Hinweismails versenden? Facebook weiß, welche Sprachen seine Nutzer eingestellt haben.
  2. Die Mail kam ohne Anrede
    Facebook weiß, wie seine Nutzer heißen, und Facebook wird seine Nutzer mit Namen ansprechen. Das ist nach diversen Datenschleudereien großer Unternehmen zwar kein völlig sicheres Kriterium mehr, aber wenn die persönliche Ansprache in so einem Fall nicht vorhanden ist, darf die Mail sicher als Spam aussortiert werden.
  3. Der Absender passt nicht
    Facebook würde selbstverständlich mit einer Absenderadresse @facebook.com mailen. In diesem speziellen Fall offenbart sich die Spam schon beim Blick auf den Absender. Aber natürlich ist die Absenderadresse beliebig fälschbar.
  4. Die Mitteilung ist inhaltlicher Bullshit
    Diese Mail teilt gar nichts mit. „Ihr Account wurde erfolgreich auf den neuesten Stand gebracht“… wer zum Henker würde so etwas mit einer Mail raussenden? Ohne weitere Erläuterung? Ohne Kontext? Eine sinnlose technische Mitteilung, die nichtssagend, überflüssig und lästig ist? So schlecht ist nicht einmal Facebook.

Allein aus diesen Offensichtlichkeiten zeigt sich, dass es sich um eine Spam handelt.

Natürlich können derartige Spams besser werden. Natürlich kann der Absender überzeugender gefälscht werden. Natürlich können die abgegriffenen Daten der letzten großen Datenlecks erworben werden, um eine persönliche Anrede zur Mailadresse zu haben. Natürlich können die Texte besser formuliert werden. Natürlich können Menschen in ihrer Sprache angesprochen werden. Solche Verbesserungen werden kommen. Vielleicht in zwei Jahren. Vielleicht aber auch schon übermorgen. Niemand – niemand, außer ein paar Kriminellen natürlich – weiß, welche Pläne die organisierte Internet-Kriminalität in welchem Tempo verfolgt.

Deshalb ist es ganz wichtig, sich anzugewöhnen, generell nicht in den E-Mails von Social-Media-Websites herumzuklicken. In der hier gezeigten Mail steht zum Beispiel nichts, was man im Falle einer echten Mitteilung von Facebook nicht auch auf der Website von Facebook sehen würde. Und wer bei Facebook ist, schaut da ja regelmäßig rein. (Und wer nicht mehr reinschaut, sollte sich über die Löschung seines Accounts bei diesem Spammer und professionellen Anbieter von Trojanern für persönliche, mobile Computer Gedanken machen.)

Es gibt also objektiv keinen Grund, in diese E-Mail zu klicken. Genau so, wie es für Facebook objektiv keinen Grund gäbe, diese E-Mail zu versenden, wenn sie denn von Facebook käme. Das gleiche gilt für alle Mails von Twitter, LinkedIn, Xing, Google Plus, MySpace und wie der ganze Zoo der geschäftlichen Beziehungsverwertung noch heißen mag.

Wer es sich angewöhnt, niemals in solchen Spams herumzuklicken, sondern stattdessen direkt die Website besucht, von der die Mail angeblick kommen soll, ist gegen diese kriminelle Überrumpelung völlig immun. Bei Kreditinstituten sollte man sich diese einfach Haltung schon längst angewöhnt haben, um niemals auf Phishing-Maschen hereinzufallen. Eine ganz einfache Grundregel, unkompliziert in der Anwendung: Niemals in die Mail klicken, sondern stattdessen einfach die Website besuchen! Diese ganz einfache Grundregel schützt vor einem Großteil der Phishing-, Schadsoftware- und Betrugsattacken, die zurzeit umlaufen.

Ein „Antivirenprogramm“ hingegen erkennt „nur“ Schadsoftware, die bei den Programmierern des „Antivirenprogrammes“ schon bekannt ist; sie hinkt den Kriminellen also immer um ein bis drei Tage hinterher. Der beste Schutz vor Schutz vor Schadsoftware ist nicht im Computer, sondern vorm Computer! Er lässt sich durch nichts anderes ersetzen.

Was das Problem mit den trojanischen Apps für „smart phones“ ist?

Donnerstag, 25. Oktober 2012

Dass viele über die App-Stores vertriebene und teils recht beliebte Smart-Phone-Apps in Wirklichkeit Schadsoftware sind, war mir schon einmal einen sehr ausführlichen Text wert. Natürlich hat mein Text in einem unbeachteten Nischenblog nichts an den Zuständen geändert, und die Menschen installieren sich weiterhin mit einer Haltung quicker Orwellness und vollkommener Gedankenlosigkeit die angebotenen Trojaner auf ihre persönlichen Taschencomputer.

Nun, das kann Folgen haben. Zum Beispiel ist es zurzeit möglich, für fünf US-Dollar eine Liste von einer Million Facebook-Accounts in einem bequem automatisierbar zu verarbeitenden Format zu erwerben, immer schön mit Mailadresse und der Internetadresse des Facebook-Profiles dazu. In sehr vielen Fällen lassen sich dem Facebook-Profil weitere Daten entnehmen. Zum Beispiel, welcher Name zu dieser Mailadresse gehört und welche Menschen zum sozialen Umfeld gehören. Mit diesem Wissen lässt sich sehr leicht ein gezielter Betrug aufbauen. Zum Beispiel ein längerer Mailwechsel, bei dem sich der Betrüger als einer dieser Kontakte ausgibt und echte namentliche Ansprache hinbekommt – viele Dinge, über die man dabei schreiben kann, stehen ja schon im Facebook-Profil. (Und die Absender-Mailadresse zu fälschen, ist sehr leicht.) So ein Mailwechsel könnte dann etwa in einer Mitteilung des Inhaltes „Ich sitze hier in Madrid fest, kein Geld, keine Karte und einen Haufen weiterer Probleme, kannst du mir mal bitte ganz schnell über Western Union fünfhundert Euro für den Rückflug und den anderen Mist rübersenden, ich gebe es dir gleich am nächsten Ersten zurück“ gipfeln. Wer würde da nicht hilfsbereit sein?!

Und das ist nur das Betrugsszenario, das mir angesichts einer solchen Datenbank zuerst einfällt. Es ist sehr viel mehr möglich, da man der scheinbaren Mail eines Bekannten mit Bezug auf ein paar Dinge, die man gemeinsam erlebt oder über die man schon kommuniziert hat, nun einmal eher vertraut als einer anonymen Spam. Die besondere „Kreativität“ der organisierten Kriminalität im Internet wird vermutlich schon sehr viel lukrativere Nutzungsformen für diese und ähnliche Datenbanken gefunden haben.

Und wo kommt eine solche Datenbank her? Sie wurde mit trojanischen Apps für smart phones eingesammelt:

Die Informationen in dieser Liste wurden mit unseren Facebook-Apps gesammelt. Sie bestehen nur aus aktiven Facebook-Nutzern, hauptsächlich aus den USA, Kanada, Großbritannien und Europa. Es sind auch Nutzer aus anderen Ländern dabei, aber auch diese sprechen nahezu ausnahmslos Englisch, weill alle von uns gelieferten Apps in engischer Sprache geschrieben wurden und so gestaltet wurden, dass man die Anleitung lesen muss, um sie benutzen zu können. Die Liste wird einmal im Monat überprüft, damit sie keine Liste voll ungültiger oder doppelter Mailadressen erhalten. Gleich, ob sie ein Produkt für Facebook oder Twitter, eines mit Bezug zu „social media“ oder irgendein allgemeines Produkt oder eine Dienstleistung anbieten, diese Liste eröffnet ihnen großartige Möglichkeiten.

Liebe Nutzer von Taschencomputern (denn das sind die smart phones in Wirklichkeit): Wenn es euch nicht schnell gelingt, die Programmierer tronjanischer Apps für eure Geräte zu ächten und ihnen maximales negatives Feedback zu geben, dann ist dieser Datenhandel nur der Anfang, und ihr werdet schon in den nächsten Monaten überzeugend vorgetragene Betrugsmaschen erleben, dass euch nur so die Ohren schrillen, wenn ihr erstmal so richtig von organisiert Kriminellen abgezogen wurdet.

Hört damit auf, euch derartige Trojaner zu installieren! Klärt andere über solche Gefahren auf! Ihr seid allesamt zumindest so weit erwachsen, dass ihr im geschäftsfähigen Alter seid; ich werde nicht weiter auf diese Entwicklungen hinweisen und mich darauf verlassen, dass ihr mit einem funktionsfähigen Gehirn ausgestattet seid. Was genau jetzt wegen eurer bescheuerten hippen Sorglosigkeit auf das Internet loszurollen beginnt, lässt die bisherigen, eher plumpen Betrügereien harmlos erscheinen. Und glaubt ja nicht, dass es da draußen keine Menschen gäbe, die sich nicht für einen „Stundenlohn“ von fünfzig Euro bereit fänden, mit dreißig bis vierzig Leuten, über die sie parallel bei Facebook recherchieren, gleichzeitig zu kommunizieren. Mir sind allein in einem Deutschland, in dem es zwar nicht allen gut geht, in dem aber nicht einmal jemand wie ich hungern muss, genug Menschen begegnet, die das sofort tun würden, wenn nur die Kasse stimmt und das Risiko des Erwischtwerdens bei null liegt. Die Wahrscheinlichkeit, dass es in Osteuropa viele Menschen mit guten Deutschkenntnissen gibt, die es für wesentlich weniger „Stundenlohn“ machen würden, halte ich für sehr groß, zumal man bei dieser Form des Verbrechens zurzeit kaum ermittelt werden kann, da die Polizeien weitgehend machtlos sind¹. Die Infrastruktur zum anonymisierenden Mailversand über Botnetze ist in der organisierten Kriminalität vorhanden.

Ihr seid alt genug, um ein Handy bedienen und eine App installieren zu können, also müsst ihr doch eine gewisse Grundreife haben! Würdet ihr einem anonymen Fremden euren Haustürschlüssel geben, und wäre es euch scheißegal, wie der in eurem Privatleben rumwühlt? Genau das macht ihr, wenn ihr eine trojanische App auf einem eurer persönlichen, für die menschliche Kommunikation genutzten Computer installiert.

Hört einfach damit auf!

Und sagt anderen, dass sie damit aufhören sollen und warum sie damit aufhören sollen! Oder wollt ihr von einem Bekannten angepflaumt werden, wo denn jetzt die achthundert Euro blieben, die er „euch“ kürzlich geliehen hat? Schon die Dummheit weniger kann zum Schaden für viele werden, und persönliche Gedankenlosigkeit im grundlegenden Datenschutz ist schädliche Verantwortungslosigkeit gegenüber sehr vielen mitbetroffenen Menschen. Natürlich kann eine trojanische App auf Mailkontakte, Adressbücher, Anrufhistorien und SMS-Kommunikation zugreifen, wenn sie installiert wurde und ihr mit flottem Wisch solche Rechte eingeräumt wurden. Das betrifft nicht mehr nur die, die in einer sträflichen Naivität glauben, dass sie nichts zu verbergen haben und dass sie nicht so leicht reinzulegen sind und die für diese etwas dumme Haltung vielleicht irgendwann ein bisschen „Lehrgeld“ zahlen. Das betrifft jeden. Wer Bekannte hat, die solche trojanischen Apps auf ihren Taschencomputern installieren, hätte es besser getroffen, wenn er einen Judas Iskariot in seinem Bekantenkreis hätte – denn dieser Jesusverkäufer hat es nicht aus hipper Verantwortungslosigkeit gemacht, sondern wenigstens noch einen angemessenen Preis für seinen Verrat genommen.

Und es ist kein kleines Problem, was da auf die Menschen zurollt.

Der Preis von lediglich fünf US-Dollar für eine derartige Datenbank von Facebook-Nutzern belegt vor allem, dass solche schon gefährlichen Sammlungen am dafür existierenden Markt keinen besonderen Wert haben – mutmaßlich, weil es bessere Datensammlungen gibt, die nur noch nicht so offen gehandelt werden, dass man es als nichtkrimineller Internetnutzer mitbekommt.

Denn mehr als diese auf dem ersten Blick beinahe harmlos erscheinenden Dinge lässt sich ohne Probleme sammeln.

Ende der Durchsage.

¹Die Machtlosigkeit der Polizeien bei solchen Kriminalitätsformen könnte nur durch eine dystopisch anmutende Totalüberwachung des Internet ein wenig relativiert werden, und selbst das hülfe nicht. Warum es allerdings legal sein soll, Menschen zur Installation von Schadsoftware auf persönlich genutzten mobilen Computern zu animieren, kann sich mir beim besten Willen nicht erschließen.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.