Wie jetzt, ich habe doch gar keine Transaktion angestoßen…
Your Transaction Report(s) have been uploaded to the web site:
https://www.flexdirect.adp.com/client/login.aspx
Please note that your bank account will be debited within one banking business day for the amount(s) shown on the report(s).
Please do not respond or reply to this automated e-mail. If you have any questions or comments, please Contact your ADP Benefits Specialist.
Thank You,
ADP Benefit Services
Es ist leicht, diese Mail als Spam zu erkennen, denn sie verzichtet gegenüber einem angeblichen Kunden auf eine persönliche Anrede – kein Gewerbetreibender, dem etwas an seinen Kunden liegt, würde das tun.
Es handelt sich um eine HTML-Mail. Die Spammer haben offenbar versucht, einen anderen Eindruck zu erwecken, indem sie als Schriftart für den Text „Courier New“ setzten. Das ist aber sehr stümperhaft gemacht worden, wie sich deutlich am Fettdruck der unfreiwillig komischen Grußformel „Thank You“ und am abschließenden Link zeigt.
Der im Text angegebene URL ist mit einer ganz anderen Adresse verlinkt. Bei dieser wird zunächst einmal keine TLS-Verschlüsselung (https:
) verwendet, und sie liegt auf einem völlig anderen Server in einem Verzeichnis, dessen Name schon andeutet, dass er automatisch generiert ist (DeTp3
würde ein Verzeichnis in einer echten Website nur selten genannt werden).
Die dort liegende Website bindet von zwei verschiedenen Adressen aus ebenso erkennbar automatisch benannten Unterverzeichnissen (uTNPT911
und 9x82urVs
JavaScript-Dateien mit dem Namen js.js
ein. Diese veranlassen eine identische Weiterleitung auf eine PHP-Datei auf dem Server mit der IP-Adresse 108.178.59.6
.
Mit hoher Wahrscheinlichkeit sind die Server, die hier für die Weiterleitungskaskade verwendet werden, von Crackern übernommen worden. Sie werden von einer Winzerei aus Massachusetts und einer Nonprofit-Organisation aus Costa Rica betrieben.
Was die PHP-Datei, die am Ende dieser Reise durch das Reich der Weiterleitungen liegt, zurückgibt, um den Browser damit zu belasten, konnte ich leider nicht so leicht herausbekommen. Das PHP-Skript existiert, aber es gibt im Standardfall nur einen HTTP-Status 502 (Bad Gateway) zurück, ohne eine Fehlermeldung auszugeben oder irgendetwas anders an den Browser zu senden. Ein Mensch würde eine weiße Seite sehen. Vermutlich ist die Ausgabe abhängig vom Referer, vom User-Agent des Browsers und vielleicht weiteren Eigenschaften der Anfrage (ich habe erfolglos einiges ausprobiert, denn ich bin immer neugierig, was die Kriminellen gerade so treiben…) – hier will sich also jemand verstecken.
Verstecken vor wen? Nicht vor den Opfern, sondern vor allem vor Bots, die Webseiten automatisiert auf Schadcode durchsuchen, um in modernen Browsern eine deutliche Warnung vor dem Besuch einer derartigen Seite anzuzeigen. Denn das wird mit hoher Wahrscheinlichkeit das Ziel dieser ganzen Aktion sein: Dem Menschen, der in die Spam geklickt hat, eine hübsche Kollektion aktueller Schadsoftware unterzujubeln, wenn es irgendeine Lücke gibt, die das zulässt. Vor ein paar Monaten haben sich die Internet-Kriminellen weniger Mühe beim Verstecken gegeben, aber die Masche war die gleiche: Eine aufreizende Mail wegen einer Geldsache, ein Link, und wer darauf geklickt hat, bekam ein ernsthaftes Problem.
Und genau wie vor einigen Monaten gibt es gegen diese Form der Kriminalität einen wirksamen Schutz – und der besteht nicht im versprochenen Schutz einiger Schlangenölverkäufer aus der Antivirus-Industrie:
- Spam erkennen und löschen!
In diesem Fall war es sehr einfach, die Spam zu erkennen, da es eine angebliche Benachrichtigung wegen eines geschäftlichen Vorganges ohne persönliche Ansprache war. Niemand würde seine Kunden so behandeln. Wann immer eine Spam erkannt ist, sollte sie sofort gelöscht werden. Der mögliche Schaden durch einen einzigen Klick ist das bisschen befriedigte Neugier nicht wert. - Niemals von einer Mail in Panik versetzen lassen!
Natürlich sind die Geschichten der Spammer so, dass sie Alarmstimmung auslösen, um möglichst viele Empfänger zu einer unvernünftigen Reaktion hinzureißen. In diesem Fall wurde etwa die Belastung eines Bankkontos mit einem unbekannten Betrag an die Wand gemalt. Das sollte niemals ein Grund sein, in einer Mail herumzuklicken. Im Zweifelsfall einfach die Website der Bank direkt im Browser aufrufen, sich anmelden und nachschauen, ob alles in Ordnung ist. Übrigens empfiehlt beinahe jede Bank in ihren Sicherheitshinweisen, dass man niemals die Bankwebsite aufruft, indem man in eine Mail klickt. Das hat einen guten Grund. Oder besser: Das hat mehrere Millionen gute Gründe pro Tag, die in vielen Mailpostfächern ankommen. - Augen auf vor jedem Klick!
Wenn sich der Mauszeiger über einem Link befindet, wird in der Statuszeile sichtbar, wohin dieser Link wirklich führt. Das ist nützlich. Wenn da eine Internetadresse in der Mail steht, und der Link führt auf eine andere Adresse, handelt es sich beinahe ausnahmslos um Betrugsversuche. Gute Mailsoftware wie etwa Mozilla Thunderbird weist auf derartige Versuche übrigens sehr deutlich hin, wenn man eine Mail betrachet. In jedem Fall sollten solche Überrumpelungs-Links ein Grund sein, die Mail zu löschen. Es gibt ein paar Unternehmen, die ihre per Mail versendeten Links über Tracking-Skripten laufen lassen, und deren Kommunikation kann man bei der Gelegenheit gleich mitlöschen. Wer sich bei der Methodik von Kriminellen bedient, um Erfolgsmessungen seiner Reklamemaßnahmen zu machen, darf sich nicht wundern, wenn die angemessene Ächtung der Kriminalität auch auf ihn fällt. - Webbrowser sichern!
Die Mehrzahl der Versuche, Rechner über präparierte Websites mit Schadsoftware zu missbrauchen, läuft über JavaScript. Es sollte niemals jeder beliebigen Website das Privileg eingeräumt werden, den Code irgendwelcher anonym bleibenden Zeitgenossen im Browser auszuführen. Wer JavaScript nicht völlig abschalten möchte, verwendet ein Browser-Addon wie NoScript, um dieses Privileg bewusst jenen Websites einzuräumen, denen man vertraut. Auch der hier kurz behandelte Crackversuch wäre an einem Addon wie NoScript (oder an abgeschalteten JavaScript) gescheitert. An einem „Antivirusprogramm“ hingegen vermutlich nicht, denn diese Softwaregattung hinkt der kriminellen Entwicklung immer einige Tage hinterher und verbreitet deshalb bei ihren Nutzern eine gefährliche Illusion von Sicherheit.
Aber der wichtigste Schutz vor der Internet-Kriminalität sitzt im Kopfe. Deshalb: Bei der Benutzung des Internet Gehirn einschalten!
Und der wichtigste Helfer der Internet-Kriminaltät ist das blinde Vertrauen in bequeme Sicherheit durch irgendwelche „Sicherheitsfeatures“ in gegenwärtiger Software oder irgendwelche „Antivirusprogramme“ und „Personal Firewalls“. Dies alles ist nur Ergänzung. Unter Betriebssystemen wie Microsoft Windows, die eine erhebliche Anfälligkeit für das Treiben der Cracker haben, vielleicht sogar eine wichtige Ergänzung – aber hier wäre ein weniger anfälliges Betriebssystem die bessere Wahl.