Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Kategoriearchiv „Informatives“

Your Transaction Report(s)

Freitag, 28. September 2012

Wie jetzt, ich habe doch gar keine Transaktion angestoßen…

Your Transaction Report(s) have been uploaded to the web site:

https://www.flexdirect.adp.com/client/login.aspx

Please note that your bank account will be debited within one banking business day for the amount(s) shown on the report(s).

Please do not respond or reply to this automated e-mail. If you have any questions or comments, please Contact your ADP Benefits Specialist.

Thank You,
ADP Benefit Services

Es ist leicht, diese Mail als Spam zu erkennen, denn sie verzichtet gegenüber einem angeblichen Kunden auf eine persönliche Anrede – kein Gewerbetreibender, dem etwas an seinen Kunden liegt, würde das tun.

Es handelt sich um eine HTML-Mail. Die Spammer haben offenbar versucht, einen anderen Eindruck zu erwecken, indem sie als Schriftart für den Text „Courier New“ setzten. Das ist aber sehr stümperhaft gemacht worden, wie sich deutlich am Fettdruck der unfreiwillig komischen Grußformel „Thank You“ und am abschließenden Link zeigt.

Der im Text angegebene URL ist mit einer ganz anderen Adresse verlinkt. Bei dieser wird zunächst einmal keine TLS-Verschlüsselung (https:) verwendet, und sie liegt auf einem völlig anderen Server in einem Verzeichnis, dessen Name schon andeutet, dass er automatisch generiert ist (DeTp3 würde ein Verzeichnis in einer echten Website nur selten genannt werden).

Die dort liegende Website bindet von zwei verschiedenen Adressen aus ebenso erkennbar automatisch benannten Unterverzeichnissen (uTNPT911 und 9x82urVs JavaScript-Dateien mit dem Namen js.js ein. Diese veranlassen eine identische Weiterleitung auf eine PHP-Datei auf dem Server mit der IP-Adresse 108.178.59.6.

Mit hoher Wahrscheinlichkeit sind die Server, die hier für die Weiterleitungskaskade verwendet werden, von Crackern übernommen worden. Sie werden von einer Winzerei aus Massachusetts und einer Nonprofit-Organisation aus Costa Rica betrieben.

Was die PHP-Datei, die am Ende dieser Reise durch das Reich der Weiterleitungen liegt, zurückgibt, um den Browser damit zu belasten, konnte ich leider nicht so leicht herausbekommen. Das PHP-Skript existiert, aber es gibt im Standardfall nur einen HTTP-Status 502 (Bad Gateway) zurück, ohne eine Fehlermeldung auszugeben oder irgendetwas anders an den Browser zu senden. Ein Mensch würde eine weiße Seite sehen. Vermutlich ist die Ausgabe abhängig vom Referer, vom User-Agent des Browsers und vielleicht weiteren Eigenschaften der Anfrage (ich habe erfolglos einiges ausprobiert, denn ich bin immer neugierig, was die Kriminellen gerade so treiben…) – hier will sich also jemand verstecken.

Verstecken vor wen? Nicht vor den Opfern, sondern vor allem vor Bots, die Webseiten automatisiert auf Schadcode durchsuchen, um in modernen Browsern eine deutliche Warnung vor dem Besuch einer derartigen Seite anzuzeigen. Denn das wird mit hoher Wahrscheinlichkeit das Ziel dieser ganzen Aktion sein: Dem Menschen, der in die Spam geklickt hat, eine hübsche Kollektion aktueller Schadsoftware unterzujubeln, wenn es irgendeine Lücke gibt, die das zulässt. Vor ein paar Monaten haben sich die Internet-Kriminellen weniger Mühe beim Verstecken gegeben, aber die Masche war die gleiche: Eine aufreizende Mail wegen einer Geldsache, ein Link, und wer darauf geklickt hat, bekam ein ernsthaftes Problem.

Und genau wie vor einigen Monaten gibt es gegen diese Form der Kriminalität einen wirksamen Schutz – und der besteht nicht im versprochenen Schutz einiger Schlangenölverkäufer aus der Antivirus-Industrie:

  1. Spam erkennen und löschen!
    In diesem Fall war es sehr einfach, die Spam zu erkennen, da es eine angebliche Benachrichtigung wegen eines geschäftlichen Vorganges ohne persönliche Ansprache war. Niemand würde seine Kunden so behandeln. Wann immer eine Spam erkannt ist, sollte sie sofort gelöscht werden. Der mögliche Schaden durch einen einzigen Klick ist das bisschen befriedigte Neugier nicht wert.
  2. Niemals von einer Mail in Panik versetzen lassen!
    Natürlich sind die Geschichten der Spammer so, dass sie Alarmstimmung auslösen, um möglichst viele Empfänger zu einer unvernünftigen Reaktion hinzureißen. In diesem Fall wurde etwa die Belastung eines Bankkontos mit einem unbekannten Betrag an die Wand gemalt. Das sollte niemals ein Grund sein, in einer Mail herumzuklicken. Im Zweifelsfall einfach die Website der Bank direkt im Browser aufrufen, sich anmelden und nachschauen, ob alles in Ordnung ist. Übrigens empfiehlt beinahe jede Bank in ihren Sicherheitshinweisen, dass man niemals die Bankwebsite aufruft, indem man in eine Mail klickt. Das hat einen guten Grund. Oder besser: Das hat mehrere Millionen gute Gründe pro Tag, die in vielen Mailpostfächern ankommen.
  3. Augen auf vor jedem Klick!
    Wenn sich der Mauszeiger über einem Link befindet, wird in der Statuszeile sichtbar, wohin dieser Link wirklich führt. Das ist nützlich. Wenn da eine Internetadresse in der Mail steht, und der Link führt auf eine andere Adresse, handelt es sich beinahe ausnahmslos um Betrugsversuche. Gute Mailsoftware wie etwa Mozilla Thunderbird weist auf derartige Versuche übrigens sehr deutlich hin, wenn man eine Mail betrachet. In jedem Fall sollten solche Überrumpelungs-Links ein Grund sein, die Mail zu löschen. Es gibt ein paar Unternehmen, die ihre per Mail versendeten Links über Tracking-Skripten laufen lassen, und deren Kommunikation kann man bei der Gelegenheit gleich mitlöschen. Wer sich bei der Methodik von Kriminellen bedient, um Erfolgsmessungen seiner Reklamemaßnahmen zu machen, darf sich nicht wundern, wenn die angemessene Ächtung der Kriminalität auch auf ihn fällt.
  4. Webbrowser sichern!
    Die Mehrzahl der Versuche, Rechner über präparierte Websites mit Schadsoftware zu missbrauchen, läuft über JavaScript. Es sollte niemals jeder beliebigen Website das Privileg eingeräumt werden, den Code irgendwelcher anonym bleibenden Zeitgenossen im Browser auszuführen. Wer JavaScript nicht völlig abschalten möchte, verwendet ein Browser-Addon wie NoScript, um dieses Privileg bewusst jenen Websites einzuräumen, denen man vertraut. Auch der hier kurz behandelte Crackversuch wäre an einem Addon wie NoScript (oder an abgeschalteten JavaScript) gescheitert. An einem „Antivirusprogramm“ hingegen vermutlich nicht, denn diese Softwaregattung hinkt der kriminellen Entwicklung immer einige Tage hinterher und verbreitet deshalb bei ihren Nutzern eine gefährliche Illusion von Sicherheit.

Aber der wichtigste Schutz vor der Internet-Kriminalität sitzt im Kopfe. Deshalb: Bei der Benutzung des Internet Gehirn einschalten!

Und der wichtigste Helfer der Internet-Kriminaltät ist das blinde Vertrauen in bequeme Sicherheit durch irgendwelche „Sicherheitsfeatures“ in gegenwärtiger Software oder irgendwelche „Antivirusprogramme“ und „Personal Firewalls“. Dies alles ist nur Ergänzung. Unter Betriebssystemen wie Microsoft Windows, die eine erhebliche Anfälligkeit für das Treiben der Cracker haben, vielleicht sogar eine wichtige Ergänzung – aber hier wäre ein weniger anfälliges Betriebssystem die bessere Wahl.

Microsoft Windows Update

Dienstag, 25. September 2012

Die Mails haben den (gefälschten) Absender privacy (at) microsoft (punkt) com, aber sie stammen natürlich nicht von Microsoft. Das fällt übrigens schon beim flüchtigen Lesen auf, ohne dass man eigens einen Blick in die Mailheader werfen müsste, denn die holprig-unbeholfene Ausdrucksweise und die Kleinschreibung des Microsoft-Produktes „windows“ klingen nicht überzeugend nach dem behaupteten Absender. Einmal ganz davon abgesehen, dass Microsoft – wenn man dort überhaupt derartige Mail schriebe – für deutsche Empfänger gewiss einen ins Deutsche übersetzten Text verwendet hätte.

Und vermutlich hätte Microsoft keine Menschen wie mich angeschrieben, die gar kein Betriebssystem von Microsoft verwenden…

Dear Windows User,
It has come to our attention that your Microsoft windows Installation records are out of date. Every Windows installation has to be tied to an email account for daily update. [sic! Wie konnte man nur die ganze Zeit arbeiten, ohne seine Windows-Installation an ein E-Mail-Konto zu binden?]

This requires you to verify the Email Account. Failure to verify your records will result in account suspension. Click on the Verify button below and enter your login information on the following page to confirm your records.

VERIFY

Thank you,

Microsoft Windows Team.

Natürlich führt der Link unter „VERIFY“ nicht zu Microsoft, sondern zu einer schnell hingepfuschten Website mit einem Windows-Logo und der Behauptung:

Your computer is out of date [sic!], and risk is very high. To update your windows installation records, you are required to choose your email address below.

Anders als der etwas kränkelnd formulierte Text vermuten lässt, befindet sich darunter keine Auswahlliste mit sämtlichen Mailadressen im Internet. Darunter befinden sich vielmehr die Logos verschiedener populärer Freemailer sowie ein weiteres Bild „Other emails“. Wenn man auf eines dieses Logos klickt, erhält man die Gelegenheit, seine Mailadresse und das Passwort seines Mailaccounts einzugeben und mit dem Button „Sign in“ direkt an die Kriminellen zu übertragen. Diese werden sich gewiss sehr darüber freuen, dass sie viele neue Mailaccounts für betrügerische Geschäfte und für den Spamversand zur Verfügung haben. Deshalb machen sie diese Phishing-Nummer ja auch. Wenn es sich um einen Account bei GMail, AOL, Yahoo oder Windows Live handelt, bekommen sie auch gleich noch die Adressbücher der Kontakte und ganze Userprofile zur beliebigen Manipulation geliefert. Und wehe, das gleiche Passwort wird auch auf anderen Websites (Facebook, Twitter, LinkedIn, etc.) verwendet.

Wer darauf hereingefallen ist, sollte sofort sein Passwort ändern und alle seine Kontakte aus dem Adressbuch darüber unterrichten, dass sein Mailaccount gehackt wurde (man muss ja nicht gleich zugeben, dass man in akuter Panik auf eine plumpe Phishing-Masche hereingefallen ist) und dass deshalb eventuelle Mails der letzten Stunden mit äußerster Vorsicht zu behandeln sind.

Ein Internet-Betrug ist nämlich viel überzeugender, wenn das Opfer glaubt, den Absender einer Mail persönlich zu kennen. Da wird viel schneller in eine Mail geklickt, ein Anhang geöffnet oder ein „Gefallen“ getan – so etwas wie: „Ich bin in der Klemme. Kannst du mir schnell 300 Euro über Western Union zukommen lassen, ich geb dir das Geld nächste Woche zurück“.

Grundsätzliches

Jeder, der ein Mailpasswort haben will, ist ausgesprochen fragwürdig. Ein Passwort ist eine Sicherheitsmaßnahme, die nur dadurch Wirkung entfaltet, dass das Passwort auch geheim bleibt. Es gibt keinerlei Internetdienst, der auf die Kenntnis von Mailpasswörtern angewiesen ist – mit Ausnahme eines Mailservers.

Das gleiche gilt übrigens auch für andere Passwörter. Solche Versuche, an ein Passwort zu gelangen, sind in beinahe allen Fällen das Treiben von Kriminellen.

Deshalb: Niemals darauf hereinfallen!

Wenn ein Absender, bei dem eine derartige Frage ausnahmsweise einmal legitim erscheint (zum Beispiel ein Provider oder sonstiger Dienstleister, der im Falle eines akuten technischen Problemes Support leistet) eine derartige Frage in einer nicht digital signierten Mail stellt, ist ebenfalls äußerste Vorsicht angesagt. Die Absenderadresse einer Mail kann ohne großen Aufwand beliebig gefälscht werden. Der Verzicht auf eine digitale Signatur in einer derartig heiklen Angelegenheit deutet übrigens – wenn sich eine solche Anfrage bei telefonischer Rückfrage als authentisch erweisen sollte – auf schwere professionelle Mängel hin, die genug Grund sind, so schnell wie möglich einen anderen Dienstleister zu suchen.

Der beste Schutz vor Internet-Kriminalität ist ein funktionierendes und stets aufmerksames Gehirn, dass bei der Benutzung des Computers mitläuft – und eine Haltung, sich nicht von jeder alarmierend formulierten Mail in eine Panik versetzen zu lassen, die die Vernunft dämpft und damit den Verbrechern entgegenkommt.

Warum man nicht überall seinen Namen angibt?

Sonntag, 27. Mai 2012

Nunja, nichts Weltbewegendes, dass Viren und Trojaner per Email versandt werden ist nicht neu, überrascht hat mich lediglich die persönliche Anrede mit korrektem Vor- und Nachnamen […]

Weiterlesen bei sysadmin’s life: Matsnu Trojaner mit Rechnungsanhang per Email!

Und niemals, niemals, niemals ohne zwingenden Grund irgendwo den echten Namen angeben! Schon gar nicht zusammen mit der Mailadresse. Eine Spam mit persönlicher Ansprache ist nun einmal wesentlich überzeugender als der übliche unpersönliche Stil, der leicht auffällt und zur Vorsicht mahnt – und ist erstmal ein Mailanhang der organisiert Internet-Kriminellen geöffnet oder ein Link in einer Spam angeklickt, ist es oft zu spät.

Dritte Zahlungsaufforderung nach Vertragsbruch 24.05.2012

Samstag, 26. Mai 2012

Schön, dass du mir das Datum sagst, Spammer. Ohne deine Hilfe würde ich es doch immer wieder vergessen. Leider ist es das Datum von vorgestern…

Sehr geehrte Kundin sehr geehrter Kunde,

Deinen Namen kennen wir nicht. Mit Wörtern wie „Zahlungsaufforderung“ und „Vertragsbruch“ wollen wir dich nur erschrecken, damit du unvernünftig wirst und das tust, was wir wollen, denn davon leben wir.

in Bezug auf unsere Rechnung Nr.: 31443646 und unsere 1. sowie auch unsere 2. Mahnung mussten wir heute feststellen, dass Ihre Zahlung bei uns noch immer nicht gebucht ist. Dies bedeutet einen einseitigen Vertragsbruch Ihrerseits. Nach geltendem Recht könnten wir die offene Forderung bereits jetzt bei Gericht anmelden. Wir geben Ihnen jedoch trotzdem noch eine letzte Möglichkeit, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie unverzüglich die ausstehende Summe in Höhe von 553.00 EURO an uns zur Zahlung bringen.

Wir behaupten zwar, ihnen Rechnungen zu stellen, die sie niemals empfangen haben und danach Mahnungen an sie zu verschicken, aber wir haben weder eine Firmierung, noch haben wir eine Telefonnummer für Rückfragen noch haben wir eine verdammte Ahnung, wie sie heißen. Stattdessen sprechen wir sie völlig anonym an und versuchen sie mit der Vorstellung eines gerichtlichen Mahnverfahrens einzuschüchtern, um ihnen dann voller erbärmlicher Gnade eine letzte Chance zu geben, nämlich…

Die Rechnung und die Bestelleinzelheiten finden Sie im Zusatzordner in der E-Mail [sic!]

…dass sie in der Mail herumklicken. Der „Zusatzordner in der E-Mail“, in gewöhnlichem Deutsch eher als ein Anhang oder ein Attachment bezeichnet, ist ein ZIP-Archiv mit der Dateigröße von 46,0 KiB namens Mahnung.zip. In diesem befindet sich – wohl, um Schwächen gegenwärtig verwendeter Virenscanner zu umgehen – ein weiteres ZIP-Archiv mit der Dateigröße von 46,0 KiB namens Dritte Mahnung.zip. Wer bei dermaßen unpraktischer und unüblicher Verpackung nicht skeptisch wird, hat eigentlich schon ein größeres Problem mit seiner Leichtgläubigkeit. In diesem zweiten Archiv befindet sich endlich eine Datei Dritte Mahnung.pif. Dies ist zwar ein obsoletes Dateiformat, das man schon vor zehn Jahren eher selten zu Gesicht bekommen hat (sein ursprünglicher Zweck ist das Starten von DOS-Programmen unter Windows mit den gewünschten Parametern), aber es handelt sich um eine direkt ausführbare Datei für Microsoft Windows, die von kriminellen Spammern zugestellt wurde. Diesmal ohne die Extension .exe, weil damit auch weniger erfahrene Menschen sofort Verdacht schöpften und nicht auf die Idee kämen, sich mal anzuschauen, was passiert, wenn man darauf klickt.

Wer diese Datei in den Glauben, „einen Brief zu lesen“ gestartet hat, hat verloren. Er hat Software von organisiert Kriminellen auf seinem Rechner ausgeführt. Er hat ein Problem. Der Computer und der Internetzugang gehört nicht mehr ihm, sondern Kriminellen; und die werden damit machen, was sie wollen. Damit unter den Empfängern möglichst viele Verlierer sind und diese Verbrecher möglichst viel Gewinn machen…

Nach geltendem Recht sind wir befugt, die anfallenden Kosten geltend zu machen. Alle bereits angefallenen und noch entstehenden Kosten (Mahnkosten, Rechtsanwalts- und Gerichtskosten) gehen zu Ihren Lasten.

…wird von den Kriminellen mit etwas unbeholfenen Worten eine einschüchternde Drohkulisse aufgerichtet, die bei vielen verunsicherten Menschen ihre Wirkung nicht verfehlen wird. Eine Hilfe für diese Verbrecher ist es, dass hier in der BRD trotz einer mindestens zwölf Jahre durchlaufenen Zwangsverschulung in meist staatlichen Schulen und trotz eines mit viel über Zwangsabgaben eingenommen Geldes ausgestatteten halbstaatlichen Rundfunkbetriebes, der zum Hohn auch noch ganz explizit die Aufgabe der „politischen Bildung“ hat, auffallend wenig Menschen über ihre Rechte aufgeklärt sind. Sie haben in der Regel nicht einmal eine genaue Vorstellung davon, was ein Vertrag nach BGB ist und auf welche Weise er zustande kommt (und damit auch: wann er nicht besteht). Sie wissen noch weniger über das gerichtliche Mahnverfahren. Diese Unwissenheit erzeugt Angst in allen echten und scheinbaren Rechtsangelegenheiten, und um diese Angst auszulösen und für sich zu nutzen, braucht ein Krimineller wie dieser Spammer nichts weiter zu tun, als ein paar typische Drohwörter aus dieser Sphäre zusammenzusetzen. Dass diese Wörter in diesem Fall sehr hohl klingen, wenn man sie nach Sinn abklopft, spielt für die psychologische Wirkung keine Rolle. Es reicht für das Geschäft dieses Verbrechers, wenn ein einziger von Angst getriebener und damit unbedachter Klick gemacht wird.

Vermeiden Sie unnötigen Ärger und weitere Kosten und erfüllen Sie den mit uns abgeschlossenen Vertrag!

Wer Ärger vermeidet…

  1. …erkennt jede E-Mail von bislang unbekannten Absendern und ohne persönliche Anrede sofort und sicher als Spam.
  2. …lässt sich nicht von bedrohlichen Formulierungen erschrecken, die von Leuten gemacht werden, die ihn nicht einmal beim Namen ansprechen können.
  3. …ist schon aus Eigeninteresse über seine Rechte informiert und lässt sich deshalb nicht wegen seiner Unwissenheit in Angst versetzen – einfach, weil er weiß, dass ein Vertrag nicht automatisch, sondern mindestens durch konkludentes Handeln entsteht.
  4. …löscht jede sicher erkannte Spam, ohne ihr besondere zusätzliche Aufmerksamkeit zu schenken. (Außer er hat irgendwann einmal ein Blog namens „Unser täglich Spam“ angefangen und wundert sich seitdem darüber, wie viel Zeit manchmal ein Text zu einer einzigen Spam kostet.)
  5. …weiß, dass jeder Link in einer Spam zu Angeboten von Kriminellen führt, die auf neuesten technischen Stand sind (und deshalb auch oft auch den Virenscannern und vergleichbaren Schutzprogrammen voraus sind) und klickt deshalb niemals in eine Spam.
  6. …weiß ganz genau, dass E-Mail beliebig fälschbar ist und dass deshalb der Absender jeder nicht digital signierten E-Mail fragwürdig ist.
  7. …öffnet niemals einen Mailanhang (ist also nicht nur bei sicher erkannter Spam vorsichtig), außer es handelt sich um eine erwartete oder abgesprochene Zustellung – beim kleinsten Zweifel fragt er telefonisch nach, weil er weiß, dass auch Mailkonten kriminell übernommen werden und missbraucht werden können.

Wer Ärger vermeidet, benutzt Internet-Medien mit eingeschaltetem Gehirn und dem stets vorhandenen Bewusstsein, dass es jede Menge Zeitgenossen gibt, die die Welt verschönerten, wenn sie einfach nur ihre Existenz beendeten. Leider findet dieses Pack immer wieder neue Opfer. Wer Ärger vermeidet, wirkt auch schon in seinem direkten Umfeld darauf hin, dass die Kommunikation so sicher wie nur irgend möglich gemacht wird: Durch Verwendung digitaler Signaturen und gegebenenfalls verschlüsselter E-Mail. Beides ist – einmal in der Mailsoftware eingerichtet – so einfach wie ein Klick. In vielen Fällen sicher zu wissen, wer der Absender ist, das ist bei Verwendung eines ansonsten mit beliebigen Fälschungsmöglichkeiten einhergehenden Mediums wirklich hilfreich.

Warnung: Onlinerechnung der Telekom

Dienstag, 24. April 2012

Keine Spam, sondern eine aktuelle Warnung vor einer zurzeit umlaufenden und sehr gefährlichen Spam.

Im Moment gehen Spam-E-Mails mit überzeugend nachgemachten Rechnungen der Deutschen Telekom um. Die angehängte PDF-Datei enthält eine Schadsoftware und nutzt Schwächen des Adobe Readers aus, um diese Schadsoftware auf einem Windows-Rechner zu installieren. Die Schadsoftware wird von gut achtzig Prozent der üblichen Virenscanner zurzeit noch nicht erkannt.

Diesen Mailanhang auf gar keinen Fall öffnen! Die Mail nach Möglichkeit unbesehen löschen!

Es wäre auch gar nicht so schwer gewesen, diese angebliche „Rechnung“ als das zu erkennen, was sie ist, nämlich als Spam:

Der Absender scheint korrekt, die Sprache ist fehlerfrei. selbst der Gruß des Leiters des Kundenservices zum Abschluss stimmt. Der beste Hinweis auf ein Fake ist die fehlende persönliche Ansprache: Statt „Guten Tag Herr Schmidt“ heißt es nur allgemein „Sehr geehrte Damen und Herren“, was bei Rechnungen eher ungewöhnlich ist.

Eine unpersönliche Ansprache in der Mitteilung eines Unternehmens, mit dem man einen Vertrag hat, sollte immer alle Alarmglocken schrillen lassen. Niemand würde seine Kunden unpersönlich ansprechen. Eine so formulierte Mail ist immer verdächtig. Niemals sollte in einer anonym formulierten Mail geklickt werden, niemals sollte ein Anhang aus einer derartigen Mail geöffnet werden – in Fällen von Unsicherheit kann man einfach den Kundendienst (neudeutsch: Support) des Unternehmens anrufen und fragen, was es damit auf sich hat. Die ständige Aufmerksamkeit für diese eine Kleinigkeit kombiniert mit einer äußersten Sparsamkeit beim Herausgeben des richtigen eigenen Namens im Internet ist der beste Schutz vor allen Angriffen durch die organisierte Internet-Kriminalität. Sie kann schnell viel Geld sparen und einem zudem etliche total vergällte Wochen voller unerquicklichen Schriftverkehrs mit Polizeien, Behörden, Anwälten und Inkassodienstleistern ersparen. Diese Verbrecher sind nämlich keine verpickelten Elfjährigen mit Geltungsdrang, sondern eiskalt und brutal vorgehende Kriminelle.

Der Schutz durch so genannte „Schutzprogramme“ kann hingegen nahezu wertlos sein, wie sich an diesem Beispiel zeigt – dass die Virensignaturen des neuen Schädlings spätestens übermorgen heruntergeladen werden, nutzt nichts, wenn der Rechner heute von der Internet-Mafia übernommen wurde. Diese „Schutzprogramme“ sind immer „nur“ Ergänzung, mehr nicht. Sie können nicht die eigene Verantwortung und die Benutzung des eigenen Gehirnes ersetzen.

Wer mehr Sicherheit möchte: Angesichts der immer wieder entdeckten schweren Fehler in Adobes Reader ist es vermutlich eine gute Idee, ein anderes Programm zum Betrachten von PDF-Dokumenten zu verwenden. Es stehen eine Menge kostenloser und oft gar freier Programme zur Verfügung, die zwar in der Regel kein Skripting innerhalb des Dokumentes erlauben, aber allein deshalb, wegen ihrer reduzierten Komplexität, sicherer sind. Komplexität ist grundsätzlich das Gegenteil von Sicherheit.

Noch mehr Sicherheit kann man im Moment erhalten, wenn man nicht mit dem Lieblingsbetriebssystem der Internet-Kriminellen, mit Microsoft Windows, im Internet unterwegs ist. Es gibt gute Alternativen, die für viele Menschen (zum Beispiel für mich) mehr als nur hinreichend sind.

My Twitter profile was viewed xxx times today

Dienstag, 24. April 2012

Internet! Vor jedem Klick auf einen Link: Gehirn benutzen!

Folgender Tweet taucht bei vielen Menschen zurzeit in der Twitter-Timeline auf:

My Twitter profile was viewed xxx times today. Click here to see who views your profile tiny.cc/xxxxxxxx

Anstelle von xxx steht natürlich eine immer wechselnde Zahl.

Was ich im Folgenden sage, hat nicht den abschließenden Grad an Gewissheit. Aber ich bin mir sicher, dass es sich um Phishing von Twitter-Accounts handelt.

Wie ich jetzt auf diese absonderliche Idee komme?

Erstens hat nur Twitter genauere Informationen über die Nutzung seines Dienstes durch andere Nutzer. Diese Informationen werden von Twitter nicht veröffentlicht und stehen über keine dokumentierte API zur Verfügung. Es ist schlechterdings für einen Dritten unmöglich, an diese Informationen zu gelangen. (Natürlich wird Twitter für seine eigenen Vermarktungszwecke und sonstigen Geschäftsideen ausführliche Statistiken aller Art erstellen. Geschäfte mit den Web-Zwo-Nulldiensten werden nicht mit ewiger Blumenkraft, sondern mit Datensammeln und Profiling gemacht.)

Zweitens ist die Angabe „Mein Twitter-Profil wurde so und so oft betrachtet“ vollkommen sinnlos. Es gibt hunderte von Client-Programmen für Twitter, die über die Twitter-API alle möglichen Ansichten des Geschehens abrufen und darstellen. Für die meisten Twitter-Nutzer sind diese Tools die eigentliche Twitter-Nutzung. Das gilt insbesondere, wenn Twitter über ein smart phone oder ein pad benutzt wird. Was soll in diesem Umfeld die Angabe, wie oft ein Profil betrachtet wurde, überhaupt bedeuten? Man muss nicht sehr lange nachdenken, um zu erkennen, dass sie bedeutungslos ist.

Drittens führt der Klick auf diesen Link nach ein paar Weiterleitungen [Warum bitte sehr ständig wechselnde Weiterleitungen? Wer hat es schon nötig, sich so zu verstecken?] zu einer Twitter-Seite zur oAuth-Authentifikation, in der man die Möglichkeit erhält, einem Dritten vollständige Schreibrechte in seinem Twitter-Kanal zu erteilen, ohne dass dieser sich auch nur vorgestellt hätte, seinen Dienst erläutert hätte oder irgendetwas anderes preisgegeben hätte als die spamartigen Tweets, die in etlichen Timelines auftauchen. Das ist hochgradig verdächtig. Es stinkt nach Phish. Es stinkt nach einem Berg kommender Spam.

Wer immer noch glaubt, dass man derartigen Anbietern vertrauen kann, soll das gern tun. Ich kann leider nichts gegen Hirnlosigkeit oder eine Entscheidung zum vollständigen Denkverzicht machen. Vermutlich muss da erstmal eine Timeline mit so unappetitlicher und krimineller Spam geflutet werden, dass sich die Staatsanwaltschaft dafür interessiert, damit das Gehirn wieder zu arbeiten beginnt. Obwohl ich mich gestern nacht bereits über dieses Thema auf Twitter ausließ…

Ich bin übrigens extrem skeptisch, wenn jemand vorgibt, sagen zu können, wie oft ein Twitter-Profil aufgerufen wurde und Schreibrechte will. Wie oft ein Profil aufgerufen wird, weiß (nach meinem bescheidenen Erkenntnisstand) nur Twitter selbst. Der Anbieter riecht nach #Spam

…konnte ich mit wachsendem Missvergnügen verfolgen, wie immer mehr Menschen nach diesem Köder schnappten und wie die Timeline sich mit den sinnlosen Zahlen füllte, wie viele Leute jetzt angeblich die Profile besucht haben. (Leider war ich mit einer sehr anstrengenden Lektüre beschäftigt und konnte deshalb nicht weiter eingreifen.) Völlig unkontrollierbare Zahlen übrigens, die man sich auch einfach ausdenken könnte, nicht nur handelsüblich sinnlose. Nach diesem Köder haben auch Menschen geschnappt, bei denen ich mir sicher bin, dass sie alt genug sind und genügend Lebenserfahrung haben, um auf eine derartig primitive Nummer nicht hereinfallen zu müssen.

Meiner resignierenden Bewertung von gestern nacht habe ich nichts mehr hinzuzufügen:

IHR SEID DIE SPAM

[Die Anmerkung von @ernstd ist natürlich witzig gemeint – das wird zugegebenermaßen aus diesem Kontext nicht völlig klar, wurde aber sofort erklärt]

Wenn ihr euch so leicht phishen lasst beim Zwitscherchen, wenn ihr jede mahnende Bemerkung einfach ignoriert, wenn ihr euch von ein paar Bullshit-Zahlen so sehr verblenden lasst, dass ihr völlig Unbekannten aus dem Internet das bleibende Recht einräumt, in eurem Namen etwas auf Twitter zu publizieren, dann seid ihr selbst die Spam!

Würdet ihr euch etwa auch den Bundestrojaner installieren, wenn der euch nur verspräche, dass ihr erfahrt, wie wichtig ihr auf Twitter seid? Mann, mann, mann! Dass Leute vor meinen ungläubigen Glubschen auf ein dermaßen billiges Phishing reinfallen und nichts merken, wenn man sie darauf hinweist, gehört zu den Dingen, über die ich seit einigen Stunden nicht mehr hinweg komme.

Abhilfe – Ein ganz schnelles Tutorial

Wer darauf reingefallen ist und inzwischen festgestellt hat, wie unendlich dumm es war, so zu handeln: Hier eine kurze Beschreibung, wie man dem sicheren Phisher und mutmaßlichen späteren Spammer seine Schreibrechte wieder wegnimmt:

Schritt 1:

Screenshot

Im eigenen Profil die Einstellungen aufrufen. Dazu muss man im Menü, das auf der Silhouette neben dem Suchfeld erscheint, den Punkt „Einstellungen“ auswählen.

Es wird eine Eingabemaske mit dem Account-Einstellungen dargestellt.

Schritt 2:

Screenshot

Auf der linken Seite der Accounteinstellungen befindet sich ein Menü. Hierin ist der Punkt „Apps“ zu wählen.

Schritt 3:

Screenshot

Nun wird eine Liste aller externen Apps dargestellt, denen man jemals einen Zugriff auf seinen Twitter-Account gewährt hat. (Da hat sich eine Menge angesammelt, nicht! Vielleicht wäre sowieso etwas Aufräumen angesagt…) Diese sind absteigend nach Alter geordnet, der frischeste steht also ganz oben. Zusätzlich steht immer darunter, an welchem Tag und um welche Uhrzeit der Zugriff gewährt wurde. Damit sollte es selbst in diesem Fall, wo man gar nichts über den „Dienst“ weiß, dem man einen Schreibzugriff erteilt hat, möglich sein, den richtigen Eintrag zu identifizieren.

Schritt 4:

Dort einfach auf „Zugriff widerrufen“ klicken, und schon kann der eigene Account nicht mehr von diesen Phishern für Spamzwecke missbraucht werden.

Abschließend:

Ich gehe davon aus, dass die eingeräumten Schreibrechte erst in einigen Tagen für massive Twitter-Spam missbraucht werden. Sollte es dann gar nicht mehr möglich sein, aus der Erinnerung zu entscheiden, welche von diesen vielen externen Apps die Spamzugriffe macht, dann gibt es immer noch die Notbremsung. Einfach jeder App, die einem irgendwie spanisch vorkommt oder von der man nicht weiß, wofür sie gut sein soll, den Zugriff entziehen – das schlimmste, was dabei passieren kann, ist, dass man später einige Programme neu gegen Twitter authentifzieren muss. Das kostet jeweils nur ein paar Sekunden, und so viel sollte es einem wert sein, dass die eigene Timeline frei von Spam bleibt – von Spam überigens, für die man im vollen Umfang selbst verantwortlich und gegebenenfalls auch zivilrechtlich haftbar ist oder strafrechtlich zur Verantwortung gezogen weren kann. Schließlich handelt es sich um den eigenen Einflussbereich.

Wer trotz dieser sehr ausführlichen Anleitung noch weitere Fragen zur Vorgehensweise hat: Einfach in die Kommentare posten oder direkt an den Twitter-Support wenden. Der Twitter-Support wird übrigens schneller sein als ich…

Und bitte: In Zukunft vor dem Klicken Gehirn einschalten!

Mail von PayPal erhalten?

Dienstag, 10. April 2012

Keine Spam, sondern ein wichtiger Tipp gegen Phishing.

Wer eine E-Mail „von PayPal“ bekommen hat, sollte bei der kleinsten Unsicherheit diesen Hinweis von PayPal beachten:

Wenn Sie sich nicht sicher sind, ob eine von PayPal erhaltene E-Mail wirklich von uns stammt, dann senden Sie bitte die komplette E-Mail inklusive der Betreff-Zeile über die Funktion „Weiterleiten“ an spoof@paypal.com.

Geld ist nämlich viel zu schade, um es der organisierten Internet-Kriminalität zukommen zu lassen.

Danke für den Hinweis an CS

Warnhinweis: PayPal-Phishing

Mittwoch, 14. März 2012

Im Moment kommen hier eine ganze Menge englischsprachige Phishing-Spams für PayPal-Nutzer an, die als (gefälschten) Absender service (at) paypal (punkt) com eingetragen haben. Diese Spams haben variierende Texte und sind auffallend stilsicher formuliert. Wenn sie durch den (hoffentlich vorhandenen) Spamfilter kommen, können sie wegen des Absenders von der Mailsoftware in einen Ordner mit echten Mails von PayPal einsortiert werden.

Wenn sie eine Mail „von PayPal“ bekommen haben, die von Unregelmäßigkeiten in ihrem PayPal-Konto spricht: Keine Panik! Die Mail kommt mit an Sicherheit grenzender Wahrscheinlichkeit nicht von PayPal.

Es ist immer noch recht einfach, die Phishing-Versuche zu erkennen.

  1. PayPal spricht seine Kunden immer namentlich an, die Spams kommen aber mit einer unpersönlichen Ansprache.
  2. Der Link geht nicht auf die PayPal-Website. Das sieht man, wenn man beim Überstreichen des Links mit dem Mauszeiger in die Statusleiste seiner Mailsoftware schaut.
  3. Die Begründungen, dass man etwas „verifizieren“ muss, weil PayPal irgendwelche nicht näher bezeichnete Auffälligkeiten bemerkt haben will, sind hanebüchen und sollen vor allem technisch weniger versierte PayPal-Nutzer verunsichern.

Also nochmal: Keine Panik!

Bei Webdiensten, bei denen es um „richtiges Geld“ geht: Niemals auf einen Link in einer Mail klicken, sondern immer die Adresse von Hand in die Adressleiste des Browsers eingeben! Egal, wie überzeugend diese Mail aussieht, und unabhängig davon, ob man persönlich angesprochen wurde oder nicht. Mit dieser sehr einfachen Vorsichtsmaßnahme kann man wirksam verhindern, dass man in einem Moment der Verunsicherung Zugangsdaten in die Hände von Kriminellen gibt – und das kann einem eine Menge Ärger und Geld sparen.

Wer für PayPal (und vergleichbare Dienste) eine eigens eingerichtete Mailadresse benutzt, die an keiner anderen Stelle angegeben wird, baut eine wichtige zusätzliche Sicherung ein, da eine solche Mailadresse nicht so leicht in die Datenbanken der Spammer geraten kann. Das ist unbedingt empfehlenswert – hilft aber nur, wenn man bei Mails „von PayPal“ auch einen Blick darauf wirft, an welche Mailadresse sich die Nachricht richtet.

Gegen Phishing hilft keine Software. Gegen Phishing gibt es nur ein Mittel: Vernunft.

Deshalb: Niemals in Panik versetzen lassen, niemals unüberlegt in eine Mail klicken, niemals so handeln, wie es die Spammer am liebsten hätten.

Vernunft ist kostenlos, und jeder ist mit der Möglichkeit zur Vernunft ausgestattet.

Unvernunft kann schnell verdammt teuer werden.

Keine Chance den Phishern!