Kategoriearchiv „Informatives“

Mail von PayPal erhalten?

Dienstag, 10. April 2012

Keine Spam, sondern ein wichtiger Tipp gegen Phishing.

Wer eine E-Mail „von PayPal“ bekommen hat, sollte bei der kleinsten Unsicherheit diesen Hinweis von PayPal beachten:

Wenn Sie sich nicht sicher sind, ob eine von PayPal erhaltene E-Mail wirklich von uns stammt, dann senden Sie bitte die komplette E-Mail inklusive der Betreff-Zeile über die Funktion „Weiterleiten“ an spoof@paypal.com.

Geld ist nämlich viel zu schade, um es der organisierten Internet-Kriminalität zukommen zu lassen.

Danke für den Hinweis an CS

Im Moment kommen hier eine ganze Menge englischsprachige Phishing-Spams für PayPal-Nutzer an, die als (gefälschten) Absender service (at) paypal (punkt) com eingetragen haben. Diese Spams haben variierende Texte und sind auffallend stilsicher formuliert. Wenn sie durch den (hoffentlich vorhandenen) Spamfilter kommen, können sie wegen des Absenders von der Mailsoftware in einen Ordner mit echten Mails von PayPal einsortiert werden.

Wenn sie eine Mail „von PayPal“ bekommen haben, die von Unregelmäßigkeiten in ihrem PayPal-Konto spricht: Keine Panik! Die Mail kommt mit an Sicherheit grenzender Wahrscheinlichkeit nicht von PayPal.

Es ist immer noch recht einfach, die Phishing-Versuche zu erkennen.

PayPal spricht seine Kunden immer namentlich an, die Spams kommen aber mit einer unpersönlichen Ansprache.
Der Link geht nicht auf die PayPal-Website. Das sieht man, wenn man beim Überstreichen des Links mit dem Mauszeiger in die Statusleiste seiner Mailsoftware schaut.
Die Begründungen, dass man etwas „verifizieren“ muss, weil PayPal irgendwelche nicht näher bezeichnete Auffälligkeiten bemerkt haben will, sind hanebüchen und sollen vor allem technisch weniger versierte PayPal-Nutzer verunsichern.

Also nochmal: Keine Panik!

Bei Webdiensten, bei denen es um „richtiges Geld“ geht: Niemals auf einen Link in einer Mail klicken, sondern immer die Adresse von Hand in die Adressleiste des Browsers eingeben! Egal, wie überzeugend diese Mail aussieht, und unabhängig davon, ob man persönlich angesprochen wurde oder nicht. Mit dieser sehr einfachen Vorsichtsmaßnahme kann man wirksam verhindern, dass man in einem Moment der Verunsicherung Zugangsdaten in die Hände von Kriminellen gibt – und das kann einem eine Menge Ärger und Geld sparen.

Wer für PayPal (und vergleichbare Dienste) eine eigens eingerichtete Mailadresse benutzt, die an keiner anderen Stelle angegeben wird, baut eine wichtige zusätzliche Sicherung ein, da eine solche Mailadresse nicht so leicht in die Datenbanken der Spammer geraten kann. Das ist unbedingt empfehlenswert – hilft aber nur, wenn man bei Mails „von PayPal“ auch einen Blick darauf wirft, an welche Mailadresse sich die Nachricht richtet.

Gegen Phishing hilft keine Software. Gegen Phishing gibt es nur ein Mittel: Vernunft.

Deshalb: Niemals in Panik versetzen lassen, niemals unüberlegt in eine Mail klicken, niemals so handeln, wie es die Spammer am liebsten hätten.

Vernunft ist kostenlos, und jeder ist mit der Möglichkeit zur Vernunft ausgestattet.

Unvernunft kann schnell verdammt teuer werden.

Keine Chance den Phishern!

Trojanische Apps sind überall!

Mittwoch, 15. Februar 2012

Achtung, hier geht es nicht um eine Spam, aber um eine hochgradig verwerfliche Art, in der renommierte Unternehmungen ihren „Kunden“ eine Form der Software hinterhältig unterjubeln, die sich bei nüchterner Betrachtung nicht von einem Trojaner unterscheiden lässt.

Hiervon sind insbesondere die Apps so genannter „sozialer Netzwerke“ betroffen – es ist aber gut möglich, dass hierauf wegen der laufenden Datenschutzdebatte nur ein besonderes Augenmerk gelegt wird und das das wirkliche Problem weitaus größer ist.

In den letzten Tagen hört man immer häufiger von Apps für smart phones und Pad-PCs, die dabei „erwischt“ wurden, dass sie persönliche Daten ihres Nutzers an die Unternehmung übermitteln, die diese Apps vertreibt – zum Beispiel die App für das „soziale Netzwerk“ Path oder die App für das „soziale Netzwerk“ Foursquare. Andere Apps, wie zum Beispiel die App für das „soziale Netzwerk“ Facebook fordern unter Android absurd weitgehende Rechte an, die darauf hindeuten, dass ebenfalls persönliche Daten abgegriffen werden sollen.

Im Regelfall wird „nur“ hinter dem Rücken des Nutzers das komplette Adressbuch mit allen Mailadressen und allen Telefonnummern übertragen. Einigen Herausgebern von Apps reicht das nicht, sie nehmen sich eine noch viel weitergehende Datensammlung heraus. Vlingo, eine App für die Sprachsteuerung von Android-Geräten zum Beispiel, übermittelt nicht nur das komplette Adressbuch, sondern auch, welche Daten im nichtflüchtigen RAM und in Speicherkarten des Handys oder Pads gespeichert sind, insbesondere, welche Musik dort gespeichert ist.

Diese Anwendungen sind Trojanische Apps

Wer würde sich freiwillig auf seinen Arbeitsrechner eine Anwendung installieren, die das Adressbuch oder gar die gesamte Festplatte durchscannt und das Ergebnis heimlich über das Internet an eine andere Stelle übermittelt?

Wie würde man es normalerweise, also auf einem Arbeitsrechner statt auf einem smart phone oder einem Pad-PC, nennen, wenn eine Anwendung zum Download angeboten würde, die eine erwünschte Nutzfunktion (wie die Teilhabe an einem sozialen Netz) mit einer versteckten, in der Regel unerwünschten, versteckten Funktion verbindet, wie zum Beispiel dem heimlichen Auslesen lokal gespeicherter Daten und die Übermittlung dieser Daten an eine andere Stelle im Internet?

Man würde so etwas als Schadsoftware betrachten, genauer, man würde es als „Trojanisches Pferd“ oder kurz „Trojaner“ betrachten. Die Menschen, die eine solche Software anbieten, würde man als die Programmierer einer Schadsoftware bezeichen, und das Angebot läge deutlich im Dunstkreis der Internet-Kriminalität.

Bitte Leute, nennt mir nur einen einzigen, leidlich objektiven Grund, warum man so etwas im Falle eines smart phones anders betrachten sollte! Es ist ja die gleiche Vorgehensweise, die gleiche Täuschung des Nutzers über die Funktionen der Software, genau die gleiche Hinterhältigkeit. Diese Apps sind Schadsoftware. Und sie sind nichts anderes. Die Vorgehensweise ist widerwärtig und erinnert durch bloßes Betrachten an die Methodik der Internet-Kriminellen.

Angesehene Unternehmen wie Facebook, Foursqure, Path und, in Deutschland weniger in der Diskussion, Twitter, Istagram, Foodspotting, Yelp und Gowalla [siehe auch bei Heise Online] haben es zum Bestandteil ihres Geschäftsmodelles erhoben, ihren Kunden eine Schadsoftware, eine Trojanische App, auf ihren persönlich genutzten Computer zu installieren – denn so ein smart phone ist nichts anderes als ein für die mobile Nutzung gebauter Computer. Facebook, als ein Beispiel aus dieser unerfreulichen Liste, belegt mit seinem angestrebten Börsengang, der einen Unternehmenswert in der Größenordnung eines hohen zweistelligen Milliardenbetrages am Markt erbringen soll, dass man unter anderem durch Einbeziehen einer solchen Vorgehensweise, die nur beim Hinschauen ihre Ähnlichkeit zur organisierten Internet-Kriminalität zeigt, ein ertragreiches Businessmodell aufbauen kann – und gerade Facebook hat in der Vergangenheit durch sein Verhalten im Internet klar gemacht, dass es nicht davor zurückschreckt, klandestin gesammelte Daten für illegale, offene Spamreklame zu benutzen, wobei auch nicht vor gefälschten Einladungen in fremdem Namen zurückgeschreckt wurde.

Also Leute: Wo ist der Unterschied zu den Trojanern der Kriminellen?

Ich kann beim besten Willen keinen sehen.

Wer sich die Software dieser Unternehmen auf sein smart phone installiert, weil er sich vom Ansehen dieser Unternehmen blenden lässt, installiert sich eine Schadsoftware, ein Trojanisches Pferd.

Davon kann ich nur abraten.

Ich würde sogar weiter gehen und würde sagen, dass Unternehmen, die in dieser Weise vorgehen, nur eine Reaktion verdient haben: Dass man ihnen den Rücken zuwendet und sie ächtet, statt sie in ihrer widerwärtigen Überrumpelung auch noch durch Mitmachen zu unterstützen. Niemand, der einen Trickbetrüger an der Wohnungstür als Trickbetrüger erkennt, wäre so gimpelmäßig doof, diesen Trickbetrüger auch noch in die Wohnung zu lassen – und genau diese aus dem gesunden Menschenverstand entspringende Vorsicht und dieses Minimum der Intelligenz ist hier angemessen.

Und sonst gar nichts.

Es handelt sich um digital durchgeführten Trickbetrug mit Trojanischen Apps für smart phones, und um nichts anderes.

Nicht das Falsche diskutieren

Es gibt – wie ich beim Lesen an vielen Orten des Internet immer wieder feststelle – in dieser Sache eine bemerkenswerte Neigung, sich falsche Gedanken zu machen, die ich noch kurz erwähnen muss.

Menschen sprechen von den Problemen unter iOS und halten Android für das bessere System, weil man dort vor der Installation einer App sieht, welche Rechte diese App für sich anfordert – so können Apps mit zu weitgehenden Rechten im Prinzip leicht erkannt werden.

Diese Betrachtungsweise ist falsch. Sie könnte gar nicht falscher sein. Sie geht am eigentlichen Problem vorbei. Und dieses eigentliche Problem ist nicht das Handy-Betriebssystem, sondern die Tatsache, dass Unternehmen Trojanische Pferde zur Installation anbieten.

Bei beinahe jeden Menschen steht auf dem Schreibtisch in Form des PC ein Computer, der völlig ohne diese Scheinsicherungen auskommt, mit denen den Nutzern von smart phones etwas „gefühlte Sicherheit“ vermittelt wird, ohne dass sich jemand etwas dabei denkt oder sich unsicher deshalb fühlt.

Eine Anwendung läuft entweder mit den Rechten des Benutzers oder – in wenigen Fällen – mit administrativen Rechten. Jede Anwendung kann selbstverständlich und unbemerkt auf alle möglichen und teils empfindlichen persönlichen Daten zugreifen, zum Beispiel auf das Adressbuch in der Mailsoftware, auf die History und den Cache des Browsers, auf die gespeicherten Dateien, auf angesteckte USB-Sticks. Wenn sie es nicht könnte, denn könnte man zum Beispiel keine Datei zum Bearbeiten (oder Betrachten) öffnen. Diese Rechte sind also erforderlich.

Niemand sieht darin ein Problem. Weil es nicht das Problem ist. Es ist nicht das Problem eines Systems zur Rechtevergabe. Das Problem ist, dass es (im Regelfall kriminelle) Programmierer gibt, die Trojanische Pferde und vergleichbare Schadsoftware progammieren, auf mobilen Computern installieren lassen und dabei solche Möglichkeiten heimlich ausnutzen. Wenn sich jemand auf seinem PC – nur als ein Beispiel – eine Mailsoftware installierte, die heimlich den Inhalt der Festplatte und die gesammelten Namen und Mailadressen zu irgendeinen Server ins Internet übertrüge, so wäre jedem Menschen klar, dass das keine Frage des benutzten Betriebssystemes ist, sondern dass hier gezielt ein falscher, unvollständiger Eindruck vom Charakter der Software erweckt werden sollte, um eine heimliche Zusatzfunktion auf möglichst vielen Rechnern zu installieren. Und es wäre auch jedem klar, was von Programmierern oder Unternehmungen zu halten ist, die ein solches „Trojanisches Pferd“ entwickeln und zum Download anbieten. Vermutlich würden die meisten Menschen die Vorgehensweise mindestens als hinterhältig, wenn nicht gar als kriminell erachten.

Es gibt keinen mir einleuchtenden Grund, an Facebook, Twitter, Path, Foursquare, Instagram, Foodspotting, Yelp, Gowalla und wie sie noch alle heißen einen anderen Maßstab anzulegen. Wer einen Grund kennt, darf ihn gern in den Kommentaren erwähnen – ich werde allerdings, anders, als ich es sonst zu tun pflege, den professionellen Marketing- und PR-Blah, der klar erkennbar aus den IP-Bereichen der hier benannten Unternehmungen kommt, unbesehen und ohne Rücksicht auf den Inhalt löschen. Warum? Weil sich diese – sorry! – schmierigen Läden mit ihrer Schadsoftware für jede Kommunikation mit mir disqualifiziert haben.

Deshalb: Lasst euch nicht in falsche Diskussionen über das „bessere“ Handy-Betriebssystem verwickeln! Benennt stattdessen, dass gewisse Unternehmen vorsätzlich Schadsoftware in Form Trojanischer Pferde von bezahlten Progammierern entwickeln lassen und zur Installation auf Handys anbieten! Gebt diesen Unternehmen die Verachtung ihrer „Kunden“, die sie mit dieser Vorgehensweise deutlich dokumentieren, zurück! Löscht eure Accounts! Löscht die Trojaner von euren Telefonen! Lasst euch nicht erzählen, dass es sich bei der Programmierung Trojanischer Pferde um ein „Versehen“ gehandelt habe! Das werden die PR-Abteilungen gewiss versuchen. Glaubt niemanden, der so hinterhältig vorgeht, auch nur ein einziges Wort! Lasst euch keinen Sand in die Augen streuen! Leute, die so vorgehen, sind ganz üble Knochen, die vorsätzlich Böses tun. Sie verdienen nicht, dass man ihnen lauscht, denn ihre Mitteilungen sind nichts als Lüge.

Die Frage, ob iOS oder Android hat nichts mit dem eigentlichen Problem zu tun. Das liegt nicht am Betriebssystem oder an der Marke des Handys, das liegt an den Programmierern der Trojanischen Apps; an verachtenswerten Leuten, die ihren Nutzern zusammen mit der erwünschten Funktionalität hinterhältig unerwünschte Funktionen unterschieben.

Darum geht es. Und es hört nur auf, wenn sie damit nicht durchkommen.

Abschließender Hinweis

Versteht mich nicht falsch, ich habe nichts gegen so genannte „soziale“ Websites. Ich habe etwas gegen Spam, Werbung, Überrumpelung und Schadsoftware. Meine Diaspora-ID ist übrigens elijahu@pod.geraspora.de… 😉

Aber Diaspora ist noch… ähm… ziemlich alpha. Und doch schon sehr brauchbar.

Offener Brief an alle Bankhäuser

Samstag, 20. August 2011

Werte Entscheider bei den Kreditinstituten,

ihnen ist sicherlich bekannt, wie groß der durch Internet-Kriminalität angerichtete Schaden wirklich ist. Ich habe keine präzisen Zahlen, aber ich kann aus der Beobachtung einiger betrügerischer Vorgehensweisen erschließen, dass dieser Schaden groß sein muss.

Von daher muss es auch in ihrem Interesse liegen, im geschäftlich genutzten Internet ein Umfeld zu schaffen, in welchem Spammer, Phisher und sonstige Betrüger nicht leicht einen falschen Eindruck erwecken und ausbeuten können. Deshalb müssen sie doch alles dafür tun, dass niemals ein Spammer, Phisher oder sonstiger Betrüger ihren Kunden gegenüber erfolgreich den falschen Eindruck erwecken könnte, dass seine Mitteilungen von einem Kreditinstitut kommen.

So habe ich bislang immer gedacht.

Und deshalb habe ich hier, in diesem Blog über meine tägliche Spam, auch stets geschrieben, dass Banken alle technischen Möglichkeiten ausschöpfen würden, um zu verhindern, dass Kriminelle in betrügerischer Absicht den Eindruck erwecken könnten, ihre Mitteilungen seien die Mitteilungen einer Bank.

Dass es anders sein könnte, ist mir niemals in den Sinn gekommen.

Leider ist es – wenigstens in einigen Fällen – doch anders, wie mir vor wenigen Stunden von einem Leser mitgeteilt wurde. Dieser bekam von seiner Bank eine Mitteilung über E-Mail, die nicht kryptografisch signiert war. Ihm ist damit – neben dem für Laien eher unüblichen Blick in die Header der Mail – keine einfache Möglichkeit gegeben worden, die Authentizität des Absenders sicher festzustellen. Es wäre für einen „normalen“ Internetnutzer schwierig gewesen, zu entscheiden, ob der Absender echt ist, oder ob es sich um eine Fälschung handelt. Zudem ist ihm überhaupt keine Möglichkeit gegeben worden, die inhaltliche Integrität der Mitteilung zu überprüfen. Jeder Computer, über den diese Mail bei der Zustellung gelaufen ist, hätte unentdeckbare inhaltliche Manipulationen vornehmen können. Dass die Rechner im Internet, über die eine derartige Mail läuft, „Opferrechner“ sind, die vielfachen Angriffen unterliegen, gehört zu den Dingen, die wenigstens in ihrer IT-Abteilung wohlbekannt sein sollten.

Mit Verlaub: Ich finde diese Leichtfertigkeit unfassbar dumm.

Die Verwendung einer digitalen signierten Mail hätte sowohl die Authentizität des Absenders als auch die inhaltliche Integrität jenseits jeden vernünftigen Zweifels sicher gestellt.

Es handelt sich dabei nicht um eine schwer beherrschbare „Raketentechnologie“, sondern um einen Standard des Internet, für den bewährte Softwarewerkzeuge zur Verfügung stehen. Die Verwendung digitaler Signaturen lässt sich in gängige Mailsoftware integrieren. Sie lässt sich ebenso leicht in automatisierte Prozesse integrieren. Beides verursacht nicht einmal große Kosten. Die Verwendung ist aus Nutzersicht einfach. Es entstehen auch keine Nachteile, wenn ein Kunde aus irgendeinem Grund eine Mailsoftware benutzt, die keine digitalen Signaturen verarbeiten kann, wenn man von einer Passage wie…

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla – http://enigmail.mozdev.org/

EiYEARECAAYFAk5vOvQACgkQKuT/O4qfc5oOLgCfX6j8AYedTd5Gp/Y7yQsDbxS1
vfAAoJFNBsp1vsfcg+MrhOTj0WII4iSr
=sg5k
—–END PGP SIGNATURE—–

…am Ende der Mail einmal absieht. (Hier am Beispiel einer PGP-Signatur dargestellt.) Selbst diese zunächst unschön aussehende Passage gibt nach Benutzung einer Internet-Suchmaschine immer noch Aufschluss darüber, dass Absender und Inhalt der Mail überprüft werden können. Die Verwendung digitaler Signaturen hat nur Vorteile. In geschäftlichen Beziehungen, in denen es um das doch immer etwas heikle Thema Geld geht, erachte ich es als ein Muss, dass Quelle und Inhalt der Kommunikation gesichert sind. Ich kann mir keinen einzigen Grund vorstellen, warum ein auf Seriosität und das Vertrauen seiner Kunden – und damit natürlich auch auf „gefühlte“ Sicherheit – bedachtes Kreditinstitut in diesen wichtigen Punkten zu einer anderen Auffassung kommen kann.

Die namentliche Ansprache des Kunden nebst Kontonummer und die Aufführung seiner Adressdaten führt hingegen zu keinerlei Sicherheit. Allein in diesem Jahr sind viele Millionen vollständige Datensätze mit Name, Anschrift, E-Mail-Adresse und Bankdaten wegen der Fahrlässigkeit einiger Unternehmen in die Hände von Kriminellen gelangt, was auch zu einem gewissen Medienecho führte. In wie vielen Fällen solche Daten unbemerkt und damit auch ohne Medienecho abgegriffen werden und auf einem illegalen Markt in die Verfügungsgewalt zwielichtiger Zeitgenossen gelangen, gehört zu den Dingen, über die nur spekuliert werden kann.

Sie müssen als Kreditinstitut davon ausgehen, dass sie zurzeit etliche Kunden haben, von denen in Kreisen der organisierten Kriminalität bekannt ist, dass es sich um ihre Kunden handelt, wie diese Kunden heißen, wann diese geboren wurden, welche Mailadresse und Kontonummer sie haben und wo sie wohnen. Selbst eine individuelle Ansprache ihrer Kunden ist damit in vielen Fällen leicht zu fälschen, um den Eindruck zu erwecken, eine E-Mail stamme von ihrem Kreditinstitut. Die Personalisierung der Mitteilungen ist also bei Weitem nicht hinreichend, um eine Mail in einen ihrer Kunden als authentisch zu kennzeichnen. Kurz und noch einmal das Gleiche: Es gibt keine Alternative zur digitalen Signatur in der elektronischen Kommunikation.

Da ist es doch umso besser, dass es sich um einen gut funktionierenden Standard handelt, der kaum zusätzliche Kosten verursacht und mit Leichtigkeit anzuwenden ist. Für den es getesteten, bewährten und robusten Bibliothekscode für jede Programmiersprache gibt, die sie in ihrem Haus vewenden. So dass die Verwendung digitaler Signaturen nicht das geringste Problem bereitet.

Zumal der Verzicht auf digital signierte Mail in der Kommunikation mit den Kunden einen schweren Nachteil hat. Ihre Kunden werden daran gewöhnt, dass der Absender und die inhaltliche Integrität ihrer Mails nicht überprüft werden kann; ihre Kunden werden auf diese Weise in einer Haltung der Gläubigkeit geschult. Auf der Grundlage dieser Gläubigkeit entsteht jedoch allzu leicht jene Leichtgläubigkeit, die von kriminellen Zeitgenossen für betrügerische Manipulationen ausgenutzt wird und die große Schäden verursachen kann. Das wahre Ausmaß dieser Schäden müsste ihnen bei den Kreditinstituten ja bekannt sein.

Ja, ich würde mich sogar zu der Aussage hinreißen lassen: Wenn sie als Kreditinstitut nicht grundsätzlich jede Mail an ihre Kunden digital signieren, sind sie am Phishing über E-Mail-Spam zu einem erheblichen Anteil mitschuldig. Ich kann mir übrigens als juristischer Laie vorstellen, dass ein Jurist zu einem ähnlichen Urteil kommt, wenn er den Unterschied zwischen der Interpretation eines technischen Mailheaders in einer Quelltextansicht der Mail und einer in die Mailsoftware nahtlos integrierten Anzeige der korrekten Signatur und einer Schlüsselverwaltung in einer grafischen Benutzeroberfläche beurteilen soll – zumal die Verwendung digitaler Signaturen alles andere als eine unzumutbare technische Herausforderung ist.

Denken sie bitte darüber nach, bevor die inzwischen massenhaft verfügbaren Datensätze für perfide kriminelle Angriffe benutzt werden! Und treffen sie eine gute Entscheidung, beginnen sie damit, die Mails an ihre Kunden digital zu signieren!

Mit freundlichen Grüßen

Der Nachtwächter

Spam mit DNS-Redirects

Montag, 8. August 2011

Die Pest der Spam findet immer wieder neue Wege. Leider.

Auch die Internet-Zugangsanbieter wollen bei der Spam – also beim massenhaften technischen Aufzwängen unerwünschter und überrumpelnder Reklame – nicht zurückstehen, ist sie doch billig „herzustellen“ und ein „gutes“ Geschäft:

Das Berkeley-Team fand nun im Rahmen ihres Netalyzr-Projekts erstaunliches heraus. Bei gut 2.000 ausgewerteten Sessions stellten sie quer über 12 verschiedene amerikanische ISP fest, dass nicht nur die fast schon üblichen Vertipper-Redirects stattfanden. Vielmehr wurde hier auch der Suchtraffic umgeleitet. Sobald der Websurfer eines von gut 170 markennahen Keywords eingegeben hatte, leiteten die Paxfire HTTP Proxies die Suchanfrage auf entsprechend vorbereitete Marketingwebsites um.

Ja, es geht um Suchbegriffe, die bei Google eingegeben wurden. Sie führen in diesen Fällen nicht zu einem Google-Ergebnis, sondern zu einer vom Zugangsprovider vorsätzlich untergeschobenen Reklameseite, die den Eindruck eines Suchergebnisses erwecken sollen. Der normale Surfer geht davon aus, dass er ein Suchergebnis sieht, aber er hat unerwünschte und – mit Verlaub – äußerst hinterhältig und schurkenhaft untergeschobene Werbung vor Augen. Spam von seinem Zugangsprovider…

Die ganze widerliche Geschichte – und auch einige Worte zur „ganz normalen DNS-Spam vom Zugangsprovider“, wie man sie auch bei deutschen Anbietern erleben kann – bitte bei t3n weiterlesen: „Wenn du bei Google suchst, aber das Ergebnis nicht von Google stammt: Wie ISPs das Web manipulieren“.

Diese Form der Spam lässt sich übrigens vermeiden, indem man einen anderen DNS-Server einstellt als den vom Provider automatisch eingestellten und zusätzlich – falls der Provider illegalerweise auch den Datenverkehr mitlesen, auswerten und manipulieren sollte – die Suchmaschine seiner Wahl ausschließlich über HTTPS nutzt. Wie man einen DNS-Server einstellt, steht in der Dokumentation des Betriebssystems, und IP-Adressen von sauberen DNS-Servern lassen sich leicht auffinden. Ich empfehle die kurze Anleitung des Chaos Computer Club, die auch für Laien geeignet ist und zudem eine kurze Einführung gibt, was so ein DNS-Server eigentlich ist – allerdings ist der Anlass dieser Anleitung die versuchte Einführung einer Internetzensur in der Bundesrepublik Deutschland.

Unfassbar, an welchen Stellen man inzwischen belästigt werden kann!

Ein Tag ohne Drecksmail

Freitag, 29. Juli 2011

Ich sage ja öfter mal, dass die Zeiten der E-Mail-Spam vorbei gehen, dass die Spammer aber ihr geistloses Treiben auf anderen Kanälen – im Moment vor allem das so genannte „Web Zwo Null“ – verlagern, und ich kann seit über einem Jahr einen kontinuierlichen Rückgang der E-Mail-Spam feststellen.

Aber so etwas wie heute habe ich lange nicht mehr erlebt, das letzte Mal war es deutlich vor dem Jahr 2000. Innerhalb von 24 Stunden habe ich auf meiner regulären Mailadresse, die ich nicht besonders geheim halte und die deshalb leider auch in den Datenbanken der Spammer zu finden ist, keine einzige Spammail erhalten. Und ja, der Mailserver läuft… 😉

Das ist wirklich erfreulich. Ich befürchte jedoch, dass es nicht so bleiben wird, denn die Kriminellen verwandeln zurzeit in einer großen Aktion wieder viele Rechner von Privatpersonen in Bots für ihre wenig erquicklichen Machenschaften. Schade, denn es gibt kein Blog, das ich so gern „mangels Masse“ einstellen möchte, wie „Unser täglich Spam“.

Wer sich übrigens davor schützen möchte, dass sein Rechner von Verbrechern übernommen und zur Spamschleuder umgestaltet wird, sollte grundsätzlich Websites nicht das Ausführen von JavaScript gestatten. Mit dieser einen Sicherheitsmaßnahme laufen alle Angriffe der letzten Jahre ins Leere. Da es natürlich doch Websites gibt, denen man vertraut und die nur mit aktiviertem JavaScript zu benutzen sind, ist ein Plugin wie NoScript für Firefox sehr hilfreich, da es gezielte Ausnahmen ermöglicht.

günstige brautkleider online

Dienstag, 26. Juli 2011

Das war der „Name“ des heutigen Müllkommentators, der natürlich auch eine Website unter hochzeitskleideronline (punkt) de mit diesen an Google gerichteten Keywords verlinkt hatte. Der „Kommentar“ sah so aus:

Brautgeschäft für Brautkleider maßgearbeitet. Hochzeitskleider individuell geschneidert. Davon müssten einige wenige Brautkleid inklusive guten Qualitäten Ihnen fein konvenieren.

Sicherlich ist das etwas unbeholfen formuliert, aber Google wirds in gewünschter Weise „verstehen“ und menschliche Leser wissen auch sofort, was das ist: Reine Spam, asozial und stinkend. An Menschen ist es jedoch nicht gerichtet, es ist gemacht, um die Website eines angeblichen Shops für Klamotten zum Heiraten in Google nach oben zu bringen, weil es mit dem Verhältnis von Preis und Leistung wohl nicht so klappt und weil wohl niemand so gute Erfahrungen mit dem Shopbetreiber gemacht hat, dass er freiwillig dorthin verlinkte. Auf dieser Site…

…kann man sich auch allerlei Kleider aussuchen und vermutlich – ich habs nicht weiter ausprobiert – kann man dort auch ganz leicht bezahlen, aber ob man von den Leuten, die eine derartige Werbung nötig zu haben scheinen, auch etwas geliefert bekommen wird, halte ich doch für eher fraglich. Ernsthafte Zweifel daran wird jeder andere Mensch auch bekommen, wenn er sich einmal bei der DeNIC anschaut, wer der Eigentümer der oben genannten Domain ist. Dabei wird nicht nur offenbar, dass diese Domain nicht etwa zu einen schon lange existierenden Shop gehört, sondern erst seit dem 1. Juli dieses Jahres registriert ist, sondern es zeigt sich auch ein Name, der wenig glaubwürdig klingt. Aber nicht nur das, auch die angegebene Anschrift im malerischen Städtchen „Kantstr“ enthält neben diesem Brüller noch einen weiteren Patzer, der sofort klar macht, dass hier jemand ohne Sinn und ohne tieferes Verständnis der Eingabemaske und der deutschen Sprache Daten über die Zwischenablage in Eingabefelder befördert hat. Leider darf ich das Ergebnis einer Whois-Abfrage wegen der Nutzungsbedingungen der DeNIC eG nicht wiedergeben, deshalb kann ich nur dazu auffordern, es einfach mal selbst zu machen. Nur Mut, es ist so einfach wie klicken und den Domainnamen hochzeitskleideronline über die Zwischenablage in die DeNIC-Site zu bewegen. 😉

Was sich beim Anblick des Ergebnisses als Schluss aufdrängt, dennoch hier in aller Kürze: Es handelt sich um Betrüger! Da sollte sich auch niemand von der Internetadresse in der TLD .de verblenden lassen, und ebensowenig sollte es verblenden, wenn das vermutlich massive Google-Spamming durch SEO-Spamkommentare an allen möglichen Stellen die Folge hat, dass diese betrügerische Dreckssite bei bestimmten Suchbegriffen recht weit oben in den Suchergebnissen aufscheint. Das ist eben das Problem bei SEO-Spam, die sich auf die Indizes von Suchmaschinen richtet – die Menschen sind viel indirekter damit konfrontiert und werden nicht wegen der üblichen Spammerkmale misstrauisch.

Wer aufmerksamer ist, merkt es in diesem Beispiel allerdings an einer Website ohne Impressum, die aber dafür eine ganz tolle Kontaktmöglichkeit anbietet, an der mir immer noch am Besten die Firmierung „Your Store“ gefällt. Spammer sind eben ausgesprochen faule Verbrecher, denen es schon zu viel Mühe ist, solche Texte in einer ihrer Seitenvorlagen anzupassen. Wenn sie nicht so stinkend faul und asozial wären, denn wären sie ja auch keine Spammer geworden, sondern würden sich ihren Lebensstil auf weniger widerliche Weise finanzieren.

Davon abgesehen ist die Website des angeblichen Shops gar nicht schlecht gemacht, das muss ich den Betrügern lassen. Aber das Deutsch ist an vielen Stellen noch etwas holprig. Da es sich um einen der ersten mir untergekommenen Versuch handelt, ein Betrugsgeschäft mit Brautkleidern aufzuziehen, gehe ich davon aus, dass diese Fehler „Kinderkrankheiten“ sind und in den nächsten Wochen verschwinden werden. Dann werden vielleicht auch…

Detail mit dem Text: Die besondere Kategorien Einengen Seine Suche

…solche Peinlichkeiten wie in diesem Detail – übrigens innerhalb einer aufwändigen, in JavaScript realisierten Animation – der Vergangenheit angehören, genau wie die vielen sprachlichen Stolperer wie „Süß 16 Kleider“, „Nur von $79 ab“ oder „Unsere größeste Verkaufsförderung“, die sich wohl als Artefakte einer automatischen Übersetzung erklären.

Ohne derartige Alarmsignale in der Site halte ich es glatt für möglich, dass Menschen auf diesen Betrug reinfallen, wenn derartige Seiten in den Suchergebnissen auch weit oben stehen. Eine Hochzeit ist teuer, und das Geld ist bei vielen Menschen zurzeit knapp, da spart man eben, wo man kann – und die Preise dieses betrügerischen Webshops liegen etwa bei der Hälfte des üblichen Preisniveaus. Wer dort mit Kreditkarte bezahlt, kann übrigens sicher davon ausgehen, dass auch die Kreditkartendaten von Verbrechern missbraucht werden – und die bei der Bezahlung geforderte Adresse wird ebenso sicher zu einem Identitätsmissbrauch führen. Gnade gibt es bei Spammern aus der organisierten Internet-Kriminalität nicht, die machen jedes dreckige Geschäft.

Es ist so gut wie sicher, dass dieser Betrug (und vermutlich generell der Betrug mit teurer Kleidung für bestimmte Anlässe) demnächst auch über andere Domains versucht werden wird. Wer sich nicht schon in der Vorbereitung seine Hochzeit von Betrügern vergällen lassen will, die ihm über 100 Euro aus der Tasche gezogen haben und seine Anschrift und Kreditkartennummer für kriminelle Geschäfte missbraucht haben, sollte also bei derartigen „Schnäppchen“ auf der Hut sein.

Hat die kommerzielle Website ein Impressum? Existiert die darin benannte Firma? Hat der angegebene Geschäftsführer irgendwo Spuren im Internet hinterlassen, zum Beispiel in der lokalen Presse des Firmenstandortes? Handelt es sich um eine Firma mit einem Standort, der wenigstens etwas Vertrauen einflößt? Wie lange ist die verwendete Domain schon registriert? Haben andere Leute bereits Erfahrungen mit dieser Firma gemacht? (Aber Achtung: Gewieftere Internet-Betrüger setzen manchmal ganze Webforen auf, bei denen sie nur die Firmierungen in kopierten Diskussionen anderer Webforen austauschen, um einen Eindruck guter Erfahrungen zu vermitteln, und so etwas ist beim flüchtigen Lesen schwer zu erkennen.) Wer hat die verwendete Domain registriert? Existiert diese Person? Ist die verwendete Domain schon etwas länger in Benutzung, oder ist sie frisch? Das sind ungefähr die Fragen, die man sich stellen sollte, um einen Eindruck von der Seriosität eines derartigen Ladens zu bekommen – und das selbst dann, wenn man den Laden nicht über eine Spam, sondern über eine Suchmaschine gefunden hat. Und selbst, wenn das alles koscher aussieht, sollte die Angabe persönlicher Daten nach Möglichkeit vermieden werden, wenn man keinen guten Grund zum Vertrauen hat – in Deutschland ist beinahe bei jedem Händler eine Lieferung per Nachnahme möglich.

Dass man bei Suchergebnissen nicht mehr arglos sein kann, ist das „Verdienst“ der eifrigen SEO-Spammer, die Googles Suchindex auf jeden nur erdenklichen Kanal zumüllen. Es ist leider nicht mehr zu ändern, denn Google scheint vor diesem Problem kapituliert zu haben und sich eher auf andere Felder als auf die Sicherung der Qualität seiner Suchmaschine geworfen zu haben. (Es hilft auch nicht so eine nervige Interaktivität wie „Google Instant“, wenn die Ergebnisse so oft nutzlos sind und mit voranschreitender Zeit immer nutzloser werden.) Die bei Google verwendeten Algorithmen sind im Großen und Ganzen noch auf dem Stand einer Zeit, in der im Internet Inhalte für menschliche Leser erstellt wurden; heute werden jedoch massenhaft Inhalte erzeugt, die diese alten Algorithmen manipulieren sollen und darin auch beachtlichen Erfolg haben. Jede Produktsuche mit Google ist leider zu einem Glücksspiel geworden, bei dem man leicht in die Arme von Kriminellen getrieben wird – und bei anderen Suchmaschinen sieht es nicht besser aus. Zerstört wird dabei die Möglichkeit zum ehrlichen, seriösen Geschäft über das Internet, und das wieder einmal zum Schaden aller Menschen.

Wie man sich Schadsoftware einfangen kann?

Sonntag, 17. Juli 2011

Das geht manchmal ganz einfach – in einigen Fällen reicht es zum Beispiel, wenn man mit Google oder einer anderen Suchmaschine nach Downloadmöglichkeiten für populäre Open-Source-Software sucht und naiv darin vertraut, dass die „gesponsorten Links“ oder Anzeigen dahin führen, wohin sie zu führen vorgeben:

VLC-Entwickler Ludovic Fauvet warnt […] vor mit Malware gespickten Forks der Anwendung […] Die illegalen VLC-Klone werden auf professionell gestalteten Webseiten zum Download angeboten, „funktionieren jedoch nicht wie erwartet, lassen sich nicht deinstallieren und verletzten die Privatsphäre der Anwender“ […]

Die Kriminellen nutzen Googles Werbeprogramm AdWords, um ihre präparierte Software neben den Suchergebnissen zu VLC Media Player zu promoten. Laut Fauvet werden auch andere Open-Source-Projekte auf diese Weise missbraucht: „Wir können wenig dagegen tun. Die Kriminellen haben das Geld, um AdWords zu kaufen, wir nicht. Als Non-Profit-Organisation haben wir auch nicht das Geld, um sie zu verklagen. […] Zur eigenen Sicherheit soll man sich VLC ausschließlich auf der offiziellen Projektseite herunterladen.

Während die klassische Mailspam stark rückläufig ist und kaum noch „durchkommt“, suchen sich die Internet-Verbrecher viele andere „Vertriebswege“ für ihre unerwünschten, kriminellen Überrumpelungen. Im Beispiel der Google-Ads – bemerkenswert an diesem „Vertriebsweg“ ist vor allem, dass Google offenbar keine Qualitätskontrolle der darüber verlinkten Websites vornimmt und sich deshalb mit Leichtigkeit als Vehikel für zwielichtige Machenschaften benutzen lässt – zeigt sich, dass „normale“, „legale“ Werbung und kriminelle Spam gar nicht so verschieden sind, wie das Werber gern hätten. In beiden Fällen geht es eben darum, jemanden mit allen nur denkbaren Tricks etwas anzudrehen, woran er bislang keinen Mangel gespürt hat.

Übrigens: Der beste Schutz vor dieser Art der Überrumpelung durch die organisierte Internet-Kriminalität ist die Installation eines Adblockers. Der macht auch den Rest des Internet viel erträglicher. Für ehrliche Anbieter, die auf Werbung im Internet setzen, ist das zwar schade (oder sogar geschäftsbedrohend), aber das könnten sie ja auch mal Google und den anderen großen Werbevermarktern im Internet sagen.

Aber das hilft natürlich nicht gegen die Verseuchung von Googles Suchindex durch ebenfalls zwielichtige SEO-Manipulationen. Diese sind – zusammen mit der relativen Untätigkeit Googles im Verlaufe dieser schon seit Jahren zu beobachtenden Entwicklung – der Grund dafür, dass der Nutzen Googles für Menschen mit einer Suche immer mehr abnimmt.

Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.