Kategoriearchiv „Informatives“

Dringende Warnung vor Google+Facebook

Sonntag, 10. Juli 2011

Aktueller Nachtrag, 11. Juli, 3.38 Uhr: Inzwischen haben die Betreiber der Domain crossrider (punkt) com auf Reddit Stellung genommen, was ich gern der Vollständigkeit halber hier verlinken möchte. Der Ton ist höflich und sucht seriös rüberzukommen, die aufgedeckten Vorgehensweisen in der Programmierung der Erweiterung werden entweder wortreich dementiert oder ebenso wortreich als eine normale Praxis wegerklärt. Was mir beim Überfliegen (ich tue mich schwer damit, aufgedunsenen Bullshit zu lesen) allerdings sofort aufgefallen ist: Es wird nicht einmal auf die Tatsache eingegangen, dass der Code der Browsererweiterung versucht, über Webmailer auf das persönliche E-Mail-Konto seines Anwenders zuzugreifen und dieses hinter dem Rücken des Anwenders aktiv zu benutzen. Dass auf einen Vorwurf derartiger Schwere nicht eingegangen wird, während gleichzeitig Beschwichtigung durch Wortreichtum und autoritär-offizielle Sprache versucht wird, lässt bei mir alle Alarmglocken läuten. Wer des Englischen mächtig ist, mache sich anhand des Links selbst ein Bild davon.

Ursprünglicher Text

Liebe Facebook- und Google-Plus-Anwender,

bitte glaubt nicht alles, was auf einer Website steht! Bitte seid auch dann skeptisch, wenn das, was dort steht, so klingt wie das, was ihr euch gerade besonders stark wünscht. Nein, seid dann besonders skeptisch, denn mit solchen Ködern angeln die Internet-Kriminellen ihre Opfer.

Es ist im Moment zum Beispiel nicht möglich, einen Zusatzdienst für Google Plus anzubieten. Google hat nämlich für sein neuestes Experiment in Sachen Beziehungsvermarktung zurzeit noch keine API vorgesehen. Es gibt einfach keine Schnittstelle, über die derartige Zusatzdienste mit Google Plus kommunizieren können; es gibt also nichts, was ihr von Facebook oder Twitter gewohnt seid.

Warum Google das so macht? Das müsst ihr Google fragen, die haben dort bestimmt einen guten Grund dafür. Vielleicht möchte Google in der Beta-Phase die Nutzer erstmal in der Website halten, um aufgrund ihres Verhaltens den letzten Feinschliff an der Benutzerschnittstelle anzulegen (und die Nutzer an den neuen Google-Dienst zu gewöhnen, statt sie einfach mechanische Statusmeldungen erzeugen zu lassen). Vielleicht ist die API auch noch nicht stabil. Vergesst nicht, dass es sich um eine Beta-Phase handelt! Google Plus ist noch nicht fertig, sondern wird gerade mit „richtigen Anwendern“ getestet, damit Fehler verschwinden. Und dabei kommt es auch zu eher peinlichen Aussetzern wie versehentlichem „Spamversand“. Vielleicht wird es auch niemals eine API geben. Alles ist spekulativ, und die wirklichen Antworten kennen nur die Leute bei Google, die einen strategischen Plan ersonnen haben und verfolgen, aber die Einzelheiten nicht an die große Glocke hängen. Ist eben so. Wer das nicht mag, muss Google Plus nicht nutzen oder kann warten, bis die Beta-Phase vorbei ist und ein stabiles Produkt Gestalt angenommen hat, das ihm eine vernünftige Entscheidung über die Nutzung ermöglicht. In der Zwischenzeit verpasst man nicht viel.

Den Verzicht auf Google Plus (und natürlich auch auf die stinkende Spamsau Facebook) würde ich jedem Menschen empfehlen, der seine menschlichen Beziehungen nicht zur Marktware des Web-Zwo-Null machen will. Aber ich weiß natürlich, dass solche Gedanken im Taumel der geilen, zum Selbstzweck gewordenen Technik leider keine große Rolle spielen. Deshalb hier meine hoffentlich deutliche Warnung an alle Nutzer von Google Plus: Seid extrem skeptisch, wenn jemand zurzeit Browser-Plugins, Zusatzdienste oder sonstwas für Google Plus anbietet, denn ein solches Angebot wird von Google technisch nicht ermöglicht! Lasst am besten die Finger davon! Es wird sich ausnahmslos um Betrugsversuche durch fragwürdige Zeitgenossen handeln. Ich wiederhole: ausnahmslos.

Wieso ich das schreibe?

Zurzeit wird, wie mir einige Male berichtet wurde, über Twitter und Facebook ein Link auf ein besonders fragwürdiges Angebot verbreitet. Ich habe auch mehrere Mails mit Hinweisen auf dieses Angebot bekommen, die scheinbar von mir persönlich bekannten Menschen kamen. Es handelt sich um eine Browser-Erweiterung, die angeblich Google Plus und Facebook zusammenführen soll. Die in diesen Hinweisen angegebene Seite möchte ich aus nahe liegenden Gründen nicht verlinken, ihre Inhalte habe ich für die Neugierigen mit Hilfe von WebCite archiviert. Diese Seite sieht in ihrer ganzen „Herrlichkeit“ so aus:

Bestandteil dieser betrügerischen Seite sind die inzwischen leider überall üblichen „social buttons“, die mir verraten, dass diese Seite zurzeit 1.657mal getweetet, 2.536mal geliket und ca 5.200mal gepluseinst wurde. Das ist eine beachtliche Reichweite, und sie wird leider von Minute zu Minute größer. Sehr viele Menschen sind also mit dem Link auf diese Seite konfrontiert, auf der sie unter anderem einen Preview-Screenshot sehen, der wohl viel zu selten die Frage aufwerfen wird, warum nicht einfach die entsprechende Timeline bei Google Plus mitverlinkt wurde, um das Ganze überzeugender zu machen (na warum wohl: Weil es nur im Browser mit der beworbenen Erweiterung so aussieht):

Dort, wo dermaßen stark und lecker duftende Köder eingesetzt werden, kann man eine Browser-Erweiterung herunterladen, die einem erlaubt, den eigenen Facebook-Stream [Frage an die aktiven Facebooker: Heißt das auch auf Deutsch so?] innerhalb von Google Plus zu sehen. Einfach nur zu Facebook connecten, und alle Updates erscheinen in einem Tab in Google Plus. Und bitte bitte weitererzählen, dafür sind die Buttons da: Tweet, Like, Pluseins…

Nun, die Seite dieses Anbieters in der Domain crossrider (punkt) com mochte ich nicht verlinken, aber dafür verlinke ich gern eine andere Seite auf reddit.com. Ich verlinke diese Seite nicht nur, sondern ich übersetze sogar den dort veröffentlichten Text zu größeren Teilen in die deutsche Sprache, weil ich hoffe, dass das viele Menschen von einer Installation dieser Schadsoftware abhält.

Ja, Schadsoftware. Es handelt sich um einen Trojaner, der beachtliche Missbrauchsmöglichkeiten eröffnet und nicht einmal davor zurückschreckt, auf persönliche Mails zuzugreifen und Mails an persönliche Kontakte zu versenden. Und im Gegensatz zur Anpreisung auf der erwähnten betrügerischen Webseite ist es auch nicht leicht möglich, diesen Code wieder zu deinstallieren – es ist sogar vorsätzlich unmöglich gemacht worden.

Anfang der Übersetzung [ich verwende im Folgenden durchgehend das informelle „Du“, um den Stil des Original-Textes besser wiederzugeben]:

Google+Facebook ermöglicht dir, deinen Facebook-Stream in Google+ zu betrachten
Beitrag von RogueDarkJedi, 16 Stunden alt

Ich habe mir den Code angeschaut und beschlossen, ein paar Anmerkungen zu machen. Wenn du lesen möchtest, was ich gefunden habe (das ist vielleicht alles ein bisschen technisch), lies es. Aber vor allem möchte ich eines klar machen: INSTALLIER DIR DIESES ADDON NICHT. Dieses Addon verhält sich wie eine Schadsoftware und der Dienst ist eine künstlich gelegte Sicherheitslücke, die darauf wartet, dass sie ausgebeutet wird. […]

Die folgenden Anmerkungen beziehen sich auf die Firefox-Version dieser Erweiterung (denn diese Version konnte ich bekommen, als ich mir das Skript auf der Installationsseite anschaute), aber ich bin mir sicher, dass die Chrome-Version ähnliche Machenschaften verfolgt.

Meine Anmerkungen habe ich in vier Kategorien unterteilt (und ich hoffe, dass so alles leichter zu lesen und zu verstehen ist):

PRIVATHEIT – (für Dinge, welche die Erweiterung und ihren Umgang mit deinen Daten betreffen)
SICHERHEIT – (für Sicherheitsrisiken)
SCHADEN – (für unerwünschte Änderungen, die diese Erweiterung hinter deinem Rücken macht oder für Schadsoftware-Funktionen, die ausgeführt werden)
DIVERSES – (für verschiedene andere Anmerkungen, die nicht in die vorherigen Kategorien passen.)

SICHERHEIT – Die Erweiterung hängt von externem JavaScript ab, das von einem anderen Server nachgeladen wird. (Das heißt: Sie muss eine JavaScript-Datei herunterladen, bevor sie auch nur arbeiten kann. Und das geschieht bei jedem neuen Start.) Mozilla akzeptiert eine derartige Praxis nicht, weil sie Man-in-the-middle-Attacken ermöglicht und hohe Anforderungen an die Serversicherheit stellt (wenn jemand die Macht über den Server erlangen sollte, sind alle Installationen einem hohen Risiko ausgesetzt). Das ist der Grund, warum Conduit Toolsbars nicht in Mozillas offizieller Addon-Datenbank aufgenommen wurden.

Hier ist die Datei mit welcher die Erweiterung die [externe] JavaScript-Datei anfordert – diese sieht zurzeit so aus. [Meine Anmerkung: Beide Links gehen auf die Domain des Addon-Anbieters und können sich im Laufe der Zeit inhaltlich ändern oder sogar ungültig werden. Ich bin allerdings nicht gewillt, an dieser Stelle eine gefährliche Software zu hosten, deshalb lasse ich das so.]

SCHADEN – Die API referenziert mehrfach auf einen [kostenpflichtigen] Premium-Dienst. Was das bedeutet? Wenn der Autor der Erweiterung irgendwann einmal nicht in der Lage sein sollte, das Geld für diesen Dienst zu bezahlen, dann kann CrossRider alle Anwender dieser Erweiterung dazu nötigen, zusätzlichen Schrott zu installieren. Das ist eine erzwungene Änderung, die dir keine Wahlmöglichkeit lässt.

PRIVATHEIT / SICHERHEIT / SCHADEN – Du kannst es nicht mitbekommen, wenn sich diese JavaScript-Datei ändert. Sie wird geladen, wenn der Browser gestartet wird und läuft mit den Rechten der Browser-Anwendung (was als gefährlich betrachtet werden muss). Der Autor der Erweiterung kann zu jedem ihm passenden Zeitpunkt „Leck mich am Arsch“ zu dir sagen und dir ein neues Skript unterjubeln, dass deine persönlichen Daten sammelt und dich ausspäht. Aus deiner Sicht ist das völlig in Ordnung, denn diese Änderung geschieht im Hintergrund, ohne dass du etwas davon bemerken kannst.

DIVERSES – Diese Seite wird eingefügt, um Zugriff auf deine Facebook-Daten zu bekommen. Du musst das akzeptieren, bevor die Erweiterung irgendetwas mit Facebook machen kann.

PRIVATHEIT / SCHADEN – Die Erweiterung versucht, ein OpenSearch-Plugin zu installieren. Dabei wird die Suchseite verändert, zu der Firefox geht, wenn du eine Suche in der Adressleiste eingibst. Wenn du eine Suche wie „Was ist dieses Reddit?“ eingibst, leitet dich Firefox nicht mehr zu Google weiter, sondern zu einer Seite, die unter der Kontrolle von CrossRider steht. Auf diese Weise scheinen die Entwickler an Einkünfte zu kommen. Aber nicht nur das, diese Veränderung wird bei einer Deinstallation der Erweiterung nicht zurückgesetzt. Auch ist deren Such-Plugin ausgesprochen trügerisch und versucht alles, um genau so auszusehen wie das standardmäßige Google-Suchplugin, welches zu Firefox gehört. (Zwar stimmt das Piktogramm nicht, aber das Plugin verwendet Texte wie „Google powered web search“, damit du auf diese Machenschaften hereinfällst.) Es ist auch Code in der Erweiterung, der deren OpenSearch-Plugin dazu bringt, deine eingestellte Standardsuchmaschine in der Suchleiste zu überschreiben (das ist normalerweise Google). […]

PRIVATHEIT / SICHERHEIT / SCHADEN – Die Erweiterung schaut aktiv und zu willkürlichen Zeitpunkten nach bekannten Domains von Webmailern und beginnt damit, deine E-Mails zu lesen [!], bis es darin ein Zitat findet. Dort fügt es eine Signatur hinzu. Diese soll deine Freunde dazu bringen, dass sie ebenfalls diese Software verwenden [Das Addon spammt also aktiv unter deiner Adresse!]. Zurzeit läuft dieses „Signatur-Feature“ auf folgenden Domains:

mail (punkt) google (punkt) com
mail (punkt) yahoo (punkt) com
webmail (punkt) aol (punkt) com
mail (punkt) live (punkt) com

PRIVATHEIT – Die Erweiterung versendet Browser-Statistiken, während du im Einstellungs-Bildschirm bist. Die Daten umfassen die Browserversion, die Version der Erweiterung, die Skript-Version und diesen Wert namens bic (von dem ich annehme, dass er einzigartig ist und eine Identifikation ermöglicht [!]; er wird nur gesetzt, nachdem die Erweiterung Daten vom Server erhalten hat). Möglicherweise geschieht das auch an anderen Stellen.

DIVERSES – Der Code der API ist unleserlich geschrieben und verschleiert vorsätzlich die Funktion [!]. So etwas wird in einem Addon nur gemacht, wenn man etwas zu verbergen hat. Es ist unfassbar schwierig, diesen Code zu lesen.

SICHERHEIT – Im Code der Erweiterung sind große Mengen von trickreichen Programmierungen enthalten, die nur die Funktion haben, externes JavaScript mit größeren Berechtigungen auszuführen, als dies normalerweise möglich wäre. [!] Es ist ziemlich beschissen, wenn man darüber nachdenkt, dass Mozilla sichere Schnittstellen zur Verfügung stellt, um so etwas zu ermöglichen.

SCHADEN – An verschiedenen Stellen im Code wird versucht, deine eingestellte Startseite im Browser zu überschreiben [!]. Es gibt einen Ort, an dem ich sehen konnte, dass es dort geschieht, aber ich weiß nicht, wie dieser Code aufgerufen werden konnte. Der gesamte Quelltext ist ein einziges [vorsätzlich unverständlich formuliertes] Chaos.

DIVERSES – Du kannst einige Einstellungen ändern, wenn die Erweiterung installiert ist… vielleicht. Geht man vom Code aus, denn scheinen diese Einstellungen nicht besonders wirksam zu sein. Vielleicht verändert sich die Laufleistung mit deinen Einstellungen, aber es sieht eher so aus, als könntest du gar nichts tun, wenn das Plugin als Nicht-Premium registriert ist. [Also alles reine Verarschung, die einen hilflos und machtlos herumklicken lässt!]

SCHADEN – Eine Deinstallation setzt keine dieser Änderungen zurück. [!] Im gesamten Code ist eine Deinstallation nicht vorgesehen. [!] Das Addon kann diesen ganzen Scheiß jederzeit auf den Browser loslassen und räumt niemals auf. Die Zusicherung auf der Homepage, dass es leicht zu deinstallieren sei, ist Bullshit. [!] Premium oder nicht, es wird niemals richtig aufgeräumt. [!]

PRIVATHEIT – Deine Facebook-Daten gehen durch deren Service. [!] Sie haben dort keine Erklärung zum Datenschutz und zur Privatsphäre und keine allgemeinen Bedingungen für ihren Dienst (das ist überraschend, wenn man überlegt, dass die schon seit ein paar Monaten unterwegs sind). Dies sollte ein klares Stoppsignal sein.

Was meinst du? Sollte man diesen Typen vertrauen? Meiner Meinung nach, verdammte Scheiße, niemals. Installier dieses Addon AUF KEINEN FALL, es verursacht mehr Schaden als irgendwas anderes. Lass einfach die verdammten Finger davon!

Ende der Übersetzung.

Ja, liebe Facebook- und Google-Plus-Anwender,

so sehen die tollen Dienste aus, wenn sich Kriminelle darauf stürzen – sie sind nur ein weiterer Kanal für Spam und verbrecherische Attacken. Ihr lasst euch von solchen Web-Zwo-Nulldiensten verblenden und gar nicht wenige von euch lassen sich sogar dazu hinreißen, sich freiwillig eine Schadsoftware auf dem Rechner zu spielen, nur, um ein Minifünkchen Mehrwert auf Websites zu haben, auf denen ihr eigentlich selbst die Ware seid. Und dann wundert ihr euch darüber, dass auf einmal in eurem Namen Spam versendet wird, ohne dass ihr irgendeine Kontrolle darüber habt.

Nun, die Kontrolle habt ihr längst aufgegeben. Ihr habt sie aufgegeben, als ihr euch selbst und eure menschlichen Beziehungen an irgendwelche Web-Zwo-Nullvermarkter für ein paar ~~Glasperlen~~ Flashspielchen und Apps verkauft habt. Ihr gebt die Kontrolle jeden Tag ein bisschen mehr auf. Euer Kontrollverlust – genauer gesagt: Eure soziale Enteignung – ist das „Geschäftsmodell“ dieser ganzen Websites, die nur ein dürftiger, künstlich zentralisierter Ersatz für das eigentliche Potenzial des Internet sind. Ihr freut euch über die Bequemlichkeit und merkt die miesen Folgen dieser Enteignung gar nicht weiter, weil sie zurzeit eben nur von lichtscheuem Gesindel so richtig ausgenutzt werden. Das gleiche gilt auch für den dürftigen Internet-Ersatz in Form so genannter „Apps“ auf mobilen Geräten. Ihr habt alles aus der Hand gegeben und freut euch wie die kleinen Kinder über bunte bunte Bildchen, während man euch als Person beliebig missbrauchen kann.

Wenn sich dieser geschäftlich gewünschte Kontrollverlust und die Neigung zur Bequemlichkeit mit kriminellen „Geschäftsmodellen“ kombinieren, wird es eben unangenehm. Wenn ihr eine Erweiterung für einen Browser installiert, gewährt ihr dem Autoren dieser Erweiterung das Recht, beliebigen Code in eurem Browser auszuführen. Was immer der Browser unter diesen Anweisungen tun wird, es sieht von außen betrachtet genau so aus, als wenn ihr es selbst tätet. Es läuft mit euren Cookies und euren Anmeldedaten. Wie ihr am Beispiel des Zugriffs auf Webmailer seht, lässt sich dieses gewährte Privileg bereits sehr einfach zum Spammen ausbeuten – aber es wäre ebensogut möglich, auf diese Weise ein Botnetz aus übernommenen Browsern aufzubauen, das kriminelle DDoS-Attacken oder gar Schlimmeres ausführt, ohne dass ihr es bemerkt. Euer Vertrauen ist fehl am Platze. Je toller die Zusagen sind, desto kritischer solltet ihr sein. Wenn ihr nicht schon einen durch Schadsoftware-Erweiterungen manipulierten Browser habt, ist Google oft eine gute Wahl, um mal nachzuschauen, welche Erfahrungen andere Menschen mit bestimmten Erweiterungen gemacht haben – genau so habe ich den verlinkten und übersetzten Text gefunden, als mich die Spam wegen dieser Google+Facebook-Malware zu nerven begann. Es war übrigens Spam von Menschen, die ich teilweise persönlich kenne – und wäre der Text der Spam nicht in englischer Sprache gewesen, hätte ich vielleicht nicht einmal Verdacht geschöpft. So groß kann der Schaden durch soziale Enteignung und geistlose Bequemlichkeit werden; so groß, dass ein Mensch zum willfährigen Gehilfen krimineller Spammer wird.

Die klassische Mailspam ist längst am Ende. Die bloße Masse dieses Mülls hat deutlich nachgelassen (und das ist gut), und die Betrugsnummern sind sehr durchschaubar geworden. Aber die asoziale Idee der Spam findet immmer neue Kanäle. Theme-Spam und Plugin-Spam für Webanwendungen, Spam in diesen ganzen Web-Zwo-Nulldingern und immer häufiger Addon-Spam für Browser. Dort ist noch viel Potenzial für weitere Entwicklungen. Ich bin mir sicher, dass ich Mails aus derartiger Addon-Spam demnächst auch in gutem Deutsch haben werde, mit korrekter Anrede und mit meinem Namen aus einem Google-Adressbuch, so dass mich nur noch stilistische Feinheiten der Sprachwahl skeptisch machen könnten. Solche Spam wird hochgefährlich.

Ihr lieben Facebook- und Google-Plus-Anwender (und sonstigen viel zu arglosen Seelen, die ihr euch niemals mit diesem ganzen Technikkram befassen wollt, euch aber gut von dem ganzen Technikkram unterhalten lassen wollt),

wenn ihr gar nicht dazu imstande seid, euch gegen solche Missbräuche zu schützen, indem ihr vor der und bei jeder Computerbenutzung das Gehirn einschaltet, lasst doch bitte gleich die Finger vom Fratzenbuch und von Guhgell Doppelplusgut und installiert euch nur die allernotwendigsten Addons in eure Browser (ein Adblocker muss sein, und JavaScript will man auch nicht jeder dahergelaufenen Website erlauben)!

Und bitte: Denkt doch mal darüber nach, warum ihr eigentlich euren E-Mailverkehr über einen leicht missbrauchbaren und häufig angegriffenen Webbrowser macht! Es gibt wesentlich bessere Lösungen für das Abarbeiten der E-Mail. Wer diese verwendet, gewinnt nicht nur deutlich an Komfort, auch ist es beim völligen Verzicht auf einen Webmailer ungleich schwieriger, ja, nahezu unmöglich, durch den Angriff auf einen Browser Spammails zu versenden. Letzteres gilt natürlich nur, wenn nicht das Passwort im Browser gespeichert ist und wenn man am Webmailer nicht angemeldet ist; nur dann hat der Browser auch keinen Zugriff auf die Mail. Ist nur mistig, wenn man wegen dieses Google Plus immer angemeldet bleiben möchte und die Mailadresse ebenfalls bei Google hat… tja, ich weiß. Das sind eben die konzeptionellen Schwächen im Design der ganzen Web-Zwo-Nulldinger. Die Unsicherheit ist dort Bestandteil des Designs.

Nur, bitte, lasst es euch nicht mehr alles so erschreckend gleichgültig sein!

Euer Elias

Gefährliche Masche in der Referer-Spam

Donnerstag, 2. Juni 2011

Es gibt einige Randerscheinungen der Spampest, die immer mal wiederkommen. Zum Beispiel die Referer-Spam, die in sehr vielen Fällen nur für den Betreiber einer Website bei der Auswertung der Logdateien sichtbar wird. Sie richtet sich vor allem auf Websites, die irgendwo anzeigen, welchen Links von anderen Websites die Besucher gefolgt sind – was eine technische Spielerei ist, die leider auch immer mal wiederkommt, dann aber schnell wieder verschwindet, weil nur sehr wenige Leute gern auf ihrer Website Links auf den Dreck setzen, der sich über ein derartiges Einfallstor vordrängelt.

Im Moment verfolgen die Referer-Spammer allerdings eine interessante und sehr gefährliche neue Strategie. Sie setzen URLs, die den Eindruck erwecken sollen, dass die vollgespammte Website in irgendeinem Dienst zur Bewertung von Websites oben stünde. Eine von den vielen hierfür verwendeten URLs sieht zurzeit ungefähr¹ so aus: http (doppelpunkt) (slash) (slash) obskure (punkt) domain (punkt) info (slash) top (strich) 70 (strich) wordpress (stich) blogs (punkt) php. Sie richtet sich offenbar an den Betreiber der Website, hier mit der besonderen Zielgruppe „WordPress-Blogger“. Dieser soll voller Entzücken in der Vorstellung gefangen werden, dass sich sein Blog in einer Liste der besten 70 WordPress-Blogs befinde. Das dürfte manchem wenig gelesenen Zeitgenossen sehr schmeicheln, und deshalb ist die Chance gar nicht so klein, dass sich viele Blogger einmal anschauen, wo sie denn zurzeit so groß (und unerwartet) im Kommen sind. Wer die Statistiken von WordPress.com über das entsprechende Plugin nutzt (was übrigens gegen geltende Datenschutzbestimmungen in der BRD verstößt), kann sogar aus dem Dashboard heraus direkt auf die „verlinkende Seite“ mit der so schmeichelhaft klingenden Adresse klicken, um sie zu besuchen. (Bequemlichkeit in der Anwendung und Gedankenlosigkeit bei der Anwendung technischer Möglichkeiten sind eine Kombination, von der lichtscheue Gestalten sehr profitieren können.)

Dort gibts allerdings keine weiteren Schmeicheleien, sondern „nur“ eine HTTP-Weiterleitung auf „Inhalte“…

…die nach Meinung der so eifrigen Spammer niemand ohne Spam und freiwillig seinem Dasein hinzufügen würde. Kein Wunder, es sind ja auch recht hohle „Inhalte“. Spam eben; Wörter, die nur so lange Sätze zu formen scheinen, bis man versucht, diesen Sätzen einen Sinn zu entnehmen.

Das mit der Inhaltslosigkeit gilt zumindest dann, wenn man diese Site so betrachtet, wie ich eine Site von Spammern zu betrachten pflege, also mit abgeschaltetem JavaScript und abgeschalteten Plugins. Dass mit einem gewissen Aufwand und großem Einfallsreichtum gespammt wird, nur, um solche aus Textbausteinen zusammengesetzten Nichtigkeiten zu befördern, erschien mir doch ein bisschen unwahrscheinlich. Deshalb habe ich auch einmal einen oberflächlichen Blick in die Quelltexte der mit Spam beworbenen Site geworfen.

Der Quelltext verriet mir, dass da einiges an JavaScript nachgeladen werden sollte, aber ich habe es nicht ganz genau untersucht. Nachdem ich dechiffrierte, dass da in Abhängigkeit von der verwendeten Browserversion mal ein IFRAME (mit weiterem nachladendem JavaScript, das wiederum… ja, noch mehr JavaScript nachlädt), ein anderes Mal ein Flash-Applet und ein drittes Mal schlicht ein nachgeladenes JavaScript geholt wird; dass sich die ganzen nachgeladenen Daten ferner lustig im Netz verteilen; ja, da hatte ich genug gesehen, um mich nicht weiter durch diesen vorsätzlich kryptisch und unlesbar formulierten Quelltext zu quälen. Vermutlich gibt es bei diesen Spammern eine im Hintergrund arbeitende, aktuelle Kollektion von Angriffen gegen populäre Browser und Betriebssysteme, wann immer sich jemand diese vordergründig inhaltslose Drecksseite aus Neugierde und narzisstischer Freude über seinen „Erfolg“ so anschaut, wie es die Verbrecher gern hätten. Wer das unvorsichtigerweise getan hat, wird hinterher oft die Seuche auf seinem Rechner haben. Entsprechende Baukästen für das Ausbeuten bekannter Sicherheitslöcher stehen den Verbrechern zurzeit sogar kostenlos zur Verfügung.

Deshalb meine DRINGENDE WARNUNG: Wer sich mit Auswertungen der Logdatei des Webservers oder einem Statistiktool für sein Blog oder eine sonstige Website beschäftigt und dort unter den verlinkenden Websites auch solche findet, die vordergründig einen schmeichelhaften Eindruck erwecken sollen, der sollte sich nur mit äußerster Vorsicht anschauen, was es damit auf sich hat – oder es besser ganz lassen. Der Ärger, den man sich dabei einholen kann, wägt die befriedigte Neugierde nicht auf. Generell kann ich jedem Menschen nur davon abraten, mit aktiviertem JavaScript im Internet unterwegs zu sein und beliebigen Websites das Einbetten von Plugins zu gestatten, denn damit räumt man anonym bleibenden Leuten das Privileg ein, Code im Browser auf seinem Rechner auszuführen. Das ist ein Privileg, das angesichts der Vielzahl krimineller Angriffe auf der einen Seite und einer maßlos gewordenen Lust am Tracking und Datensammeln auf der anderen Seite nur in gut begründeten Sonderfällen berechtigt sein kann – egal, wie sehr irgendwelche Leute von Interaktivität, Unterhaltung, Multimedia und Web-Zwo-Null faseln. Eine Website, die ohne JavaScript und Plugins nichts mitzuteilen hat, wird in den meisten Fällen nicht interessanter, wenn man ihrem Gestalter derartig weitreichende Privilegien einräumt. Das gilt im besonderen Maße für Websites, die über sonderbare und für Spammer bequem gangbare Wege in die Aufmerksamkeit gebracht wurden.

¹Warum ich diese Drecksite nicht einmal in Textform erwähne, sollte sich aus dem Kontext von allein ergeben. Ich möchte niemanden zu Experimenten damit einladen.

Angriffe auf Computer jetzt kostenlos

Dienstag, 24. Mai 2011

Es empfiehlt sich generell niemals, auf einen Link in einer Spam zu klicken. Es handelt sich immer um die Machwerke von schwer kriminellen Zeitgenossen, die großen Schaden anrichten können.

Zurzeit empfiehlt es sich allerdings gar nicht. Dies gilt vor allem, wenn ihr Computer unter Microsoft Windows läuft. Ein Baukasten zum Ausnutzen von Sicherheitslöchern in Microsoft Windows steht nämlich zurzeit auch solchen Spammern kostenlos zur Verfügung, die nicht einmal Geld für ihre Attacken ausgeben wollen:

Zwei Wochen nachdem der Quellcode des ZeuS-Bots seinen Weg ins Internet gefunden hat, sinkt die Einstiegshürde für Cyberkriminelle weiter: Unbekannte haben nun die Exploit-Packs BlackHole und Impassioned Framework in Umlauf gebracht, die unter Ausnutzung diverser Sicherheitslücken Windows-Systeme mit der eigentlichen Malware wie etwa ZeuS infizieren.

BlackHole zählt zu den professionellsten illegalen Angriffswerkzeugen, die man derzeit auf dem Schwarzmarkt erwerben kann […] Eine Besonderheit von BlackHole ist laut Threatpost das Traffic Direction Script, mit dem man die Opfer in spe abhängig vom eingesetzten Browser und Betriebssystem auf verschiedene Landingpages umleiten kann.

Wer nicht gerade ein unbezwingbares Interesse daran hat, seinen Computer Kriminellen zur Verfügung zu stellen – und damit sein Online-Banking in die Hände dieses Packs zu geben, seinen Internet-Anschluss zu einer Spamschleuder zu machen, diese Canaillen sein Mobiltelefon benutzen zu lassen (es kann über die Synchronisation befallen werden), die Zugangsdaten diverser Accounts von Foren und Web-2.0-Diensten in die Hände von Spammern zu legen oder den Gangstern dabei zu helfen, illegale Dateien aller Art so zu verbreiten, dass die Polizei bei ihm an der Tür klingelt und den Computer beschlagnahmt – der sollte ab jetzt nicht nur vorsichtig, sondern sogar paranoid sein. Es ist so gut wie sicher, dass der jetzt frei verfügbare Baukasten für Angriffe auf Windows-PCs benutzt werden wird.

Was kann man tun?

Es gelten die „üblichen“ Vorsichtsmaßnahmen:

Niemals in einer Spam herumklicken! Egal, ob es eine Mail, ein Blogkommentar, ein Gästebucheintrag ist, ein Link in einer Twitter-Timeline, ein über Facebook verbreiteter Link oder sonstwas ist. Niemals! Das bisschen befriedigte Neugierde kann den möglichen Schaden nicht aufwägen.
Äußerste Vorsicht auch in der normalen Kommunikation bewahren! Es wird in nächster Zeit vermehrt dazu kommen, dass Web-2.0-Accounts, Forenaccounts und Mailkonten anderer Menschen kompromittiert und von Spammern missbraucht werden. Wann immer irgend etwas an Wortwahl, Inhalt oder Stil auffällig ist, genau so vorsichtig sein wie bei einer sicher erkannten Spam. Dies gilt selbst dann, wenn eine derartige Nachricht mit namentlicher Anrede kommt, denn die Spammer werden in Zukunft vermehrt auf Adressbücher in Handys und Mailprogrammen zugreifen können, und dort steht in der Regel ein Klarname zur Mailadresse assoziiert.
Restriktive Konfiguration der Internet-Software! Nicht jeder Website im Internet das Ausführen von JavaScript und Plugins gestatten, sondern diese Features pauschal verbieten und nur in Ausnahmefällen freischalten. Ein Plugin wie NoScript für Firefox ist eine große Hilfe, solche Einstellungen komfortabel nach Bedarf vorzunehmen. Immer daran denken: Mit dem Freischalten von JavaScript und Plugins gestattet man einer anderen (möglicherweise sogar ohne Wissen ihres Betreibers von Kriminellen kompromittierten) Website das Ausführen von beliebigem Code auf dem eigenen Computer. Eine Website, die einem ohne derartige Privilegien nichts zu sagen hat, wird in aller Regel auch mit derartigen Privilegien nichts zu sagen haben.
Nur aktuelle Internet-Software verwenden! Egal, ob es ein Mailclient, ein IM-Programm, ein Browser oder sonstwas ist – immer Updates durchführen. Außerordentlich viele Angriffe erfolgen auf bekannte Fehler in der Internet-Software. Den Adobe-Reader muss man, weil er oft in Form eines Plugins eingebettet wird, ebenfalls als Internet-Software betrachten, und er hat vor allem wegen seiner eher weniger genutzten Möglichkeiten¹ eine inzwischen bemerkenswerte Sicherheitsgeschichte. Leider kann man ihn nicht so restriktiv konfigurieren wie einen Browser, deshalb ist es um so wichtiger, dass der Browser standardmäßig einer Website nicht das Einbetten von Plugins gestattet.
Nach Möglichkeit niemals Microsoft Windows im Internet verwenden! Es handelt sich immer noch um das Lieblings-Betriebssystem der Internet-Kriminellen, und die Mehrzahl der Angriffe richten sich auf Schwachstellen in Windows. Der Versuch, ein Windows durch so genannte „personal firewalls“ und Virenscanner „sicher“ zu machen, führt vor allem zu eingebildeter Sicherheit, die zur Sorglosigkeit anreizen kann und deshalb sehr gefährlich ist. Es gibt verschiedene Linux-Distributionen, die sich direkt von einem Speicherstick booten lassen, es ist aber auch möglich, ein Linux in einer virtuellen Maschine unter Windows laufen zu lassen. In einer solchen Umgebung ist die Benutzung des Internet zwar nicht sicher, aber deutlich sicherer. Und es kostet nichts.
Auch Google-Suchergebnissen gegenüber misstrauisch bleiben! Googles Ranking – das, was letztlich zur Sortierung der präsentierten Ergebnisse führt – ist manipulierbar und wird zunehmend manipuliert. Bei einigen Suchbegriffen – vor allem zu Markennamen und zu Termini aus dem sexuellen Bedeutungskreis – ist die Google-Suche bereits jetzt so gut wie unbrauchbar für jeden, der richtige Informationen (und keine Werbung von oft schäbigen oder fragwürdigen Vermarktern) sucht. Auch Kriminelle werden alles dafür tun, Einfluss auf Google zu nehmen, weil sie wissen, dass viele Menschen den Google-Suchergebnissen mit großem Vertrauen gegenübertreten.
Und generell: Niemals auf Software verlassen, die mühelose Sicherheit verspricht! Keine Software kann den aufmerksamen Verstand bei der Nutzung des Internet ersetzen. Immer aufmerksam bleiben! Wenn einer das Blaue vom Himmel verspricht – etwa, dass man mühelos zu Geld oder wertvollen Gütern kommen könne – ist er ein Betrüger. Immer. Nicht nur im Internet. Was so ein Halunke im Internet anbietet, sollte allerdings gemieden oder nur mit der Kneifzange angefasst werden. Wenn einer obskure Zusatzdienste zu irgendwelchen Web-2.0-Angeboten verheißt – vor allem Facebook ist bei dieser Art Schwindel der Spammer sehr beliebt; vermutlich, weil dort die Mehrzahl der Menschen unkritisch genug für derartige Maschen ist, noch unkritischer als die meisten Twitter-Nutzer – ist das ebenfalls mit äußerster Vorsicht zu behandeln. Besonders, wenn dabei obskure Codezeilen in die Adressleiste des Browsers eingegeben werden sollen oder Software zum Download angeboten wird. Generell bedeutet jede Form der Software aus dem Internet, dass man einem unbekannten Gegenüber das Privileg einräumt, Code auf dem eigenen Rechner auszuführen, deshalb sollte großer Wert auf vertrauenswürdige Quellen für die Software gelegt werden. Spammer, kontextlose Links in Foren und Blogkommentaren und obskure Warez-Sites sind niemals vertrauenswürdig. Die Software-Verzeichnisse der großen Zeitschriften schon eher. Ich empfehle übrigens das Software-Verzeichnis von Heise Online. Vor jedem Klick kurz nachdenken ist ein besserer Schutz als jeder so genannte Sicherheitssoftware. Die so genannte Sicherheitssoftware aber hinkt den aktuellen Angriffen der Kriminellen im Internet immer ein paar Tage hinterher, sie bietet nur einen unvollständigen Schutz, der im besten Fall als Ergänzung zur vernünftigen Nutzung des Internet dienen kann.

Dass derartige Vorsichtsmaßnahmen auch dann wärmstens zu empfehlen sind, wenn es gerade nicht „brennt“, brauche ich hoffentlich nicht weiter zu erwähnen.

¹Ich werde nie verstehen, wozu zum schwefelkackenden Höllenhund ein druckbares Dokument eine Art JavaScript benötigt. Oder eingebettete Animationen. Oder Plugins. Das ist reiner Bullshit, was Adobe sich ausgedacht hat, ein Versuch, die „Weltherrschaft durch Software“ anzutreten. Dieser Bullshit hat riesige Schäden verursacht, weil immer noch viele Menschen glauben, ein PDF sei sicher. Es ist nicht sicher – außer, man betrachtet oder druckt es in alternativen Programmen, die nicht von Adobe kommen und nicht mit so viel Bullshit überfrachtet sind.. Dass diese Programme oft nicht nur sicherer, sondern auch schneller und schlanker sind, ist dabei ein erfreulicher Nebeneffekt. Es gilt übrigens die Faustregel: Je komplexer eine Software ist, desto unsicherer ist sie.

Die gute Nachricht des Tages

Sonntag, 17. April 2011

Die gute Nachricht des Tages (okay, des gestrigen Tages) findet sich bei Heise Online:

Spam-Anteil fällt auf Mehrjahrestief

Nach der Abschaltung des Rustock-Botnetzes Mitte März 2011 ist das Aufkommen an unerwünschten Werbe-Mails, ohnehin seit 2010 im Abwärtstrend, nochmals deutlich zurückgegangen […]

Ich habe in den letzten Tagen ja mehrfach geglaubt, dass der Mailserver „kaputt“ wäre, so deutlich ist der Rückgang der Spam.

Und auch „Unser täglich Spam“ erlebt gerade eine recht ruhige Zeit. Es ist ein Blog, das kaum „Stammleser“ hat (wir haben ja auch alle genug eigene Spam), aber sehr häufig mit Hilfe von Suchmaschinen gefunden wird, weil Empfänger einer Spam skeptisch werden und einfach einmal einige Phrasen aus der Spam googeln. Tatsächlich kann ich an den Zugriffen gut erkennen, welche Maschen der Spammer aktuell „im Umlauf“ sind, und oft kann ich sogar erkennen, dass jahrealte Texte fast unverändert noch einmal verwendet werden, weil Spammer sich keine besondere Mühe geben. (Sonst könnten sie ihr Geld ja auch auf weniger verwerfliche Weise verdienen.) Im Moment gibt es deutlich weniger Spam, und das ist für mich sehr fühlbar. Ich bin froh darüber.

Aber es steht zu befürchten, dass ich dieses Blog dennoch nicht einstellen werde, so gern ich es täte. Zum einen ist es sicher, dass neue Botnetze entstehen werden, so lange Menschen sich in falscher Sicherheit wiegen, mit angreifbarer Software¹ am Internet teilhaben und auf alles klicken, was sich nur klicken lässt. Und zum anderen wird die Spam generell neue Wege suchen, das so genannte Web 2.0 ist zum Beispiel ein ideales „Biotop“ für alle auf Spam setzenden Schurken. Viele eher persönliche Twitterer aus meinem Umfeld haben inzwischen ihre Timeline auf privat gesetzt, damit die gewünschte persönliche Kommunikation nicht in der täglichen Flut der Scheiße untergeht.

Ein interessanter Trend, der mir gerade in den letzten Tagen sehr unangenehm aufgefallen ist, sind fragwürdige Werbemails (siehe hier und hier) von bereits etablierten Dienstanbietern im Internet; besonders von solchen, die zwar schon etabliert sind, aber bislang ihre angesammelten Daten noch nicht fürs Marketing verwendet haben. Die Mails, die nach Jahren der Funkstille von diesen Klitschen kommen, oder im Fall von „Wikio Experts“ sogar behaupten, dass ich „Nutzer“ eines Dienstes sei, den ich gar nicht kenne, um mich anschließend zur „Anmeldung“ aufzufordern, sie sind offen spammig. Ich hoffe ja, dass sich dieses unterirdische Marketing, das übrigens in meinen Augen ein Hinweis auf ein gescheitertes Geschäftsmodell und auf recht atemloses Ringen um irgendwelche Einnahmen ist, als ein geeignetes Mittel zur Beschleunigung der Insolvenz erweist und dass niemand auf derartige Ansprache „abfährt“.

Denn das bleibt weiterhin der einzige vernünftige Umgang mit Spam und das beste Mittel gegen Spam: Niemals auf eine Spam so reagieren, wie es der Spammer wünscht, niemals darin herumklicken, niemals Angebote von Spammern wahrnehmen! Die Spam einfach löschen! Wenn Spammer sicher zu identifizieren sind, dafür sorgen, dass bekannt wird, dass es sich um Spammer handelt, für deren belästigendes und zeitraubendes Verhalten man nur Verachtung übrig hat! (Aber dabei nicht fanatisch werden, wenn ein Spammer wirklich zur Einsicht gekommen ist, sondern froh darüber sein, wenn solche Einsicht entsteht.) Nur so entsteht im Internet ein Umfeld, in dem sich selbst das konkurrenzlos billige Werbemittel der Spam nicht mehr lohnt, nur so kann es dazu kommen, dass diese Pest des Internet einmal zu einem Ende kommt. Kein Spamfilter und keine andere Software kann die Vernunft ersetzen, und die Vernunft ist der beste Spamfilter.

Im Moment gibt es zwar ein wenig Entspannung, aber an ein Ende glaube ich nicht. Das Ende ist erreicht, wenn Spam so selten geworden ist, dass ich dieses Blog in eine Archivversion umwandeln kann und als ein Museum der unerfreulichen Begleiterscheinungen einer bestimmten Phase in der Entwicklung des Internet betrachten kann. Dieses Ziel erscheint mir geradezu utopisch.

¹Angreifbare Software: Ich empfehle jedem, die für die Darstellung von Internetinhalten verwendete Software auf dem aktuellen Stand zu halten, insbesondere den Browser, das Mailprogramm und den verwendeten PDF-Viewer. Darüber hinaus empfehle ich, nicht jeder Seite im Internet die Möglichkeit zu gewähren, JavaScript auszuführen, da dies eine gute Vorsorge gegen die Mehrzahl der ausbeutbaren Sicherheitsprobleme ist. Die Verwendung eines anderen Betriebssystemes als Microsoft Windows kann ich ebenfalls empfehlen. So genannte „Virenscanner“ halte ich hingegen für Schlangenöl, da die Entwickler von Schadsoftware immer eine Nasenlänge voraus sind, und eine so genannte „Personal Firewall“ kann im besten Fall eine sinnvolle Ergänzung sein. Vernunft lässt sich niemals durch Software ersetzen, aber dafür führt vorgebliche Sicherheits-Software schnell zu einem trügerischen Sicherheitsgefühl, das unvernünftig macht.

Danke, Spiegel!

Freitag, 18. März 2011

Danke, Spiegel, für deinen ausführlichen und mit Beispielen versehenen Aufklärungstext über Spam, den ich gern zum Lesen empfehle.

Neue Phishing-Masche: Filter sind sinnlos

Donnerstag, 17. März 2011

Kurzes Zitat Heise Online – Unter dem Radar der Phishing-Filter:

Kriminelle setzen offenbar auf eine neue Masche beim Phishing, um die Warnung vor Phishing-Seiten in modernen Browsern wie Firefox und Chrome auszuhebeln. Dazu verschicken sie Mails, die statt eines Links ein HTML-Dokument im Anhang mitbringen. […]

Öffnet der Empfänger das HTML-Dokument im Browser, so präsentiert sich ihm etwa ein PayPal-Formular, in das er aus den üblichen vorgekaukelten Sicherheitsproblemen seine Zugangsdaten eingeben soll. Da das Formular lokal auf dem Rechner läuft, kann auch der Phishing-Filter nicht warnen, denn dieser springt nur auf externe URLs an. Ein Klick auf den Senden-Knopf schickt die eingegebenen Daten dann per POST-Request an ein PHP-Skript auf einem (gehackten) Server. Dabei warnt der Browser laut M86Security ebenfalls nicht.

Wer sich der Kriminalität im Internet bewusst ist, gibt die Internetadressen seiner Bank, seines bevorzugten Auktionshauses oder irgendeiner anderen für Kriminelle möglicherweise interessanten Website (auch Web-2.0-Dienste gehören dazu, weil dort übernommene Profile eine ideale Grundlage für Spam und die Verbreitung von Schadsoftware unter falschem Namen sind) ausschließlich von Hand ein. Selbst die Lesezeichen der Browser haben sich immer wieder einmal als kriminell manipulierbar erwiesen.

Also nochmal ganz langsam: Internetadressen von Diensten, die missbraucht werden können, immer von Hand eingeben. Und missbraucht werden kann beinahe alles, vom Forenaccount über Twitter und Facebook bis hin zu den für Verbrecher unmittelbar lukrativen virtuellen Möglichkeiten zur Handhabung von Geld.

Diese einfache Vorgehensweise ist ein sehr brauchbarer Schutz vor Phishing, wenn der verwendete Rechner ansonsten „dicht“ ist – wenn also nicht ein krimineller Angreifer die Hosts-Datei manipulieren kann. Aber wer seinem Rechner persönlich oder geschäftlich wichtige Daten anvertraut oder gar Geld über seinen Rechner bewegt, wird doch hoffentlich keinerlei Software aus fragwürdigen Quellen installieren!

Wer einen halbwegs abgesicherten Rechner hat – ich empfehle dabei übrigens dringend, dass man auf das Lieblings-Betriebssystem der Internet-Kriminellen, auf Microsoft Windows, verzichtet – braucht keinen weiteren Phishing-Schutz, wenn er solche Internetadressen immer von Hand eingibt und eine generelle Haltung der Aufmerksamheit hat.

Eine Software kann niemals die Aufmerksamkeit des Menschen ersetzen. Wenn ein „Phishing-Schutz“ dermaßen leicht durch die Internet-Kriminellen auszuhebeln ist, wie dies im oben verlinkten Artikel bei Heise Online beschrieben wird, denn handelt es sich bei diesem Schutz um eine zwar zugesagte, aber lediglich simulierte Sicherheit. Eine solche zugesagte, aber nicht existierende Sicherheit ist gefährlich und arbeitet in Wirklichkeit den Kriminellen zu, weil sich viele Menschen unter diesem Versprechen in falscher Sicherheit wiegen und deshalb ihre Aufmerksamkeit herabsetzen. Dass die so zur Unvorsicht gebrachten Menschen auch generell leicht durch allerlei Betrugsnummern zu beeinflussen sind, ist eine zusätzliche Verschärfung dieses Problemes. Das angebliche Sicherheitsfeature ist nur Schlangenöl, der Glaube an seine Wirksamkeit gefährlich.

Deshalb: Niemals irgendwelche Zugangsdaten in eine Seite eingeben, die sich geöffnet hat, weil man in einer Mail herumklickte, so sehr diese Seite auch „echt“ aussehen mag. Egal, ob Link oder Anhang: Internetadressen, die für Kriminelle interessant sein könnten, immer von Hand eingeben.

Aufmerksamkeit, Vernunft und Bewusstsein sind immer noch der beste Phishing-Schutz.

Wie Spammer an Namen kommen

Dienstag, 8. Februar 2011

In letzter Zeit sehe ich ja eine beachtliche Zunahme der Versuche der Spammer, eine Mailadresse mit einem richtigen Namen zu verbinden. Offenbar hat man auch auf Seiten der Kriminellen bemerkt, dass eine Betrugsmail mit einer persönlichen Anrede ungleich überzeugender wirkt als das bisher übliche Gestrokel.

Diese Entwicklung sollte für jeden Menschen bedeuten, dass er mit seinen Daten so sparsam wie nur eben möglich umgeht – und zum Selbstschutz vor Betrug und Phishing lieber auch dort Phantasiedaten eingibt, wo die Nutzungsbedingungen so etwas an sich verbieten. Tatsächlich sind Web-Dienste, die Daten ihrer Nutzer akkumulieren, ein lohnendes Ziel für kriminelle Angriffe aus dem Dunstkreis der Spam-Mafia, um sich auf diese Weise die gewünschten persönlichen Daten der Opfer zu verschaffen, wie sich zurzeit bei Heise nachlesen lässt:

Seit dem gestrigen Montag haben uns zahlreiche Leser darüber informiert, dass beim Onlinehändler Mindfactory möglicherweise im großen Stil Kundendaten entwendet wurden. In zahlreichen Beiträgen im Forum des Händlers beschweren sich Kunden über eine Spam-Mail, in der sie persönlich mit Vor- und Zunamen angesprochen wurden […]

Wenn ein solches kriminelles Abgreifen von Daten – es ist im Moment offenbar noch unklar, welche Daten noch in die Hände der Verbrecher gelangt sein könnten – mit überzeugenden Phishing-Mails „aufbereitet“ wird, denn werden die Kriminellen einen erheblichen Reibach einfahren. Eine angebliche Mail von der eigenen Bank, von einem Online-Händler oder einem Internet-Auktionshaus, die mit einer namentlichen Ansprache ihres „Kunden“ kommt, ist nun einmal recht überzeugend und wird nicht nur unerfahrene Nutzer dazu bringen, auf einen derartigen Betrug hereinzufallen.

Es ist ein nicht zu verachtender Schutz vor Betrugsmaschen, wenn die Spammer nicht den Namen zu einer Mailadresse kennen.

Was kann man tun?

Grundsätzlich sollte auf die Angabe eines zutreffenden Klarnamens bei irgendwelchen Internet-Anbietern verzichtet werden. Dies gilt im besonderen Maß bei Anbietern, die eher unwichtige Dienste (wie etwa Gästebücher, Blogkommentare etc.) anbieten – dort sollte in vielen Fällen ein Vorname oder ein Nick ausreichen. Jede Website ist permanenten Angriffen ausgesetzt, und solche Angriffe können auch immer wieder einmal erfolgreich sein. Es ist für den Nutzer eines Dienstes nicht ersichtlich, wie sorgfältig dieser programmiert wurde und welche Schwachstellen eventuell einen Angriff ermöglichen. Auch die „Zertifizierung“ einer deutschen Website durch den TÜV gibt keine Sicherheit, denn es ist schon mehrfach zu großen Datenlecks auf derart „zertifizierten“ Websites gekommen. Der beste Schutz gegen betrügerische Maschen mit solchen Daten ist die Sicherung der eigenen Anonymität bei jeglicher Nutzung des Internet.

Manchmal ist die Angabe eines Klarnamens (oder sogar darüber hinaus gehender persönlicher Daten) aber erwünscht – sei es, dass man unter seinem Namen bei einem „Web-2.0-Dienst“ gefunden werden möchte, sei es, dass man einem Forenbetreiber gegenüber ehrlich sein will, oder sei es auch, dass eine solche Angabe durch die Nutzungsbedingungen verpflichtend gemacht wird.

In diesen Fällen ist eine andere Strategie angemessen: Für jeden Dienst, der unter Angabe des eigenen Klarnamens (und möglicherweise anderer persönlicher Daten) benutzt wird, sollte eine eigene, nur für diesen Zweck benutzte Mailadresse verwendet werden. Wenn unter dieser Mailadresse einmal eine andere Mail ankommt, denn ist klar, …

…dass es sich um eine betrügerische Spam handelt, und
…dass die Site, auf der man diese Mailadresse verwendet hat, gecrackt wurde und dass die Daten in die Hände von Kriminellen gelangt sind.

Auf diese Weise ist das Datenleck bei Mindfactory überhaupt erst bekannt geworden. Deshalb konnte auch relativ schnell eine Warnung an die Kunden in einer Stellungnahme herausgegeben werden.

Zum Glück gibt es eine Menge Freemail-Provider, so dass an Mailadressen für solche Zwecke kein Mangel herrscht. Und wer einen eigenen Mailserver zur Verfügung hat, kann sich sehr schnell eine entsprechende Adresse „machen“. Das bisschen Prävention schützt nicht nur vor betrügerischen Versuchen, sondern erleichtert es auch, eine „verseuchte“ Mailadresse einfach stillzulegen, wenn die Flut der Spam alles andere mit sich zu reißen droht.

Russian ladies? Gib Karte!

Dienstag, 1. Februar 2011

Was passiert eigentlich, wenn man auf so eine Mail…

*Hello!*

You have left to me the message on http://bestchixru.ru

I could not answer at once you, and I write now.
If All of you still, everyone are interested in acquaintance to me, write to me, and I shall answer.

Yours faithfully Tatyana

…so reagiert, wie es die Spammer wünschen? Wenn man glaubt, dass man auf einer Dating-Site eine Nachricht von einem russischen Frauennamen erhalten hat, obwohl man noch nie von dieser Site gehört hat? Wenn man deshalb auf einen Link klickt und den Spammern eine Kombination der Mailadresse mit ein paar persönlichen Daten gibt, um sich dort zu „registrieren“?

Nun, das habe ich einmal ausprobiert. (Natürlich nicht mit meiner richtigen Mailadresse…)

Einige Tage später gibt es eine hübsche weitere Mail, diesmal natürlich mit persönlicher Ansprache, dass man sich erfolgreich registriert hat:

Welcome to Anastasia International!

Dear Klaus-Peter!

Welcome to AnastasiaDate.com, the easiest and most advanced way to meet the most beautiful and eligible Russian Ladies imaginable.

Your login: sag (at) ich (punkt) net Your password: xx8X89R9

[Mailadresse und Passwort hier geändert]

Wow, ich kann mich einloggen, wenn ich das will…

Eager to meet someone right away? Choose one of Anastasia’s ravishing Online Ladies and start chatting immediately. You can step it up by seeing her chat you up real time with Live Chat with Video.

Ist ja toll!

A complete and crafted profile receives much more attention. So don’t forget to Edit your profile and upload your photos so Ladies can see and learn about you.

Aber bitte auf gar keinen Fall vergessen, ganz schnell ein paar weitere persönliche Daten an die Spammer zu geben…

After that, you may wish to begin browsing Anastasia’s vast catalogue of desirable Ladies. Select by age, country, height, hair color, education — in fact Anastasia’s Advanced Search makes finding your own Russian sweetheart more straight forward.

…damit man auch die ganzen hübschen Frauen sehen kann – und von ihnen gefunden werden kann. Ist aber nur ein kleiner Datenstriptease:

Hui, das ist ja doch eine Menge, was man da vor Anbietern freimachen soll, die ihre Kunden über Spam werben. Na, die werdens ja nicht missbrauchen, die wollen einen ja nur…

Detail der Profilseite

…mit lauter hübsch anzuschauenden Frauen bekannt machen. [Die Gesichtsverpixelung ist von mir.] Das kommt ja schließlich von Leuten, die unter gefälschtem Absender und unter Verwendung von Privatrechnern, die mit Schadsoftware kriminell übernommen wurden, millionenfach mit Schrotmunition auf virtuelle Postfächer schießen. Solche Leute werden doch nicht lügen…

From your Inbox you can manage all your mail and see who’s trying to start up a relationship with you.

Und kaum hat man das getan, schon prasselt die Eingangsbox voll mit triefenden Briefen dieser großartigen Frauen. Aber dazu später noch ein bisschen mehr…

In addition, you can take your lady on a wonderful virtual date with Anastasia’s Video Date, or speak with her directly with Anastasia’s Phone Translation Service. Both of these are supported by Anastasia’s professional translators.

Ganz toll: Es gibt einen Telefonübersetzungsservice, damit ich auch „direkt“ mit virtuellen Frauen sprechen kann, deren Sprache ich nicht verstehe.

If you need any advice with services or support, or have any questions about Russian culture or Russian Ladies, please get in touch with Anastasia’s dedicated Service Team at any time.

Now, through Anastasia’s Family of international online dating sites, you can connect with the most beautiful and exciting women from every corner of the globe.

Jede Ecke der Erde scheint russisch zu sein? Aber nein doch…

AnastasiaDate.com allows you to find your sweetheart from Russia & CIS.
AmoLatina.com will amaze you with the sensual Ladies of South America and the Latin world.
OrientBrides.com is your gateway to the exquisite charm of women from the Far East.
AfricaBeauties.com brings the splendor of African women for all to enjoy.

…jeder kann sich eine Frau aussuchen, deren Sprache er nicht versteht und deren Hautfarbe gut zur neuen Polstergarnitur passt. 👿

We are glad you joined, and look forward to hearing about your success in love.

Aber gern! Wenn eure Spams immer dümmer werden, muss ich mir halt anschauen, was damit an den Mann gebracht werden soll, damit ich wieder etwas zum Schreiben fürs Spamblog habe.

Sincerely yours,
Anna Matusova
Head of Customer Service
AnastasiaDate.com

Anastasia International Inc.
40 High St Suite #1 Bangor, Maine 04401
+1 (207) 262-xxxx, +1 (800) 356-xxxx

Huch, das ist ja gar nicht in Russland. Wie sieht es denn da aus? Na, mal umschauen? Hmm, macht irgendwie nicht den Eindruck der Unternehmenszentrale eines internationalen Anbieters… 😈

Es ist übrigens egal, ob man den Datenstriptease macht oder nicht – ich habe ihn nicht gemacht, weil ich zu träge war, mir ein paar Daten auszudenken. Schon kurze Zeit später kommt die nächste Mail, die einem mitteilt, dass sich einige der leckeren Damen interessiert zeigen.

Anastasia International

Dear Klaus-Peter ck,

You have new e-mails in your Anastasia International mailbox.
10 credits will be deducted from your account for each letter you read. Anna’s First Letter Anna (ID: 1564337)
Age: 26
Zaporozhye, Ukraine
Never married lady with blue eyes and black hair.
„>Read the Letter Olga’s First Letter Olga (ID: 1139895)
Age: 27
Kishinev, Moldova
Never married lady with hazel eyes and chestnut hair.
Read the Letter Olga’s First Letter Olga (ID: 1118430)
Age: 23
Odessa, Ukraine
Never married lady with hazel eyes and chestnut hair.
Read the Letter 10 credits will be deducted from your account for each letter you read.

This message contains links to your personal profile and account on Anastasia International; do not forward this message.

Visit Anastasia-International.com to find thousands of potential brides from Russia and Ukraine.

Best Regards,
Anastasia International TeamThis message was sent automatically.If you have any questions please contact us at our U.S. toll free number +1 (800) 356-xxxxor in Moscow at +7 (495) 775-xxxx. You can also unsubscribe from our notifications through this link.
Anastasia International Inc.
40 High St Suite #1 Bangor, Maine 04401
+1 207-262-xxxx, +1 (800) 990-xxxx

Huch, die zweite angegebene Telefonnummer dieses Ladens hat sich binnen einer einzigen Stunde geändert? Na, bei so großen internationalen Unternehmungen geht eben doch alles etwas schneller. Und solche Maßnahmen zur Kundenbindung wie konstante Telefonnummern braucht im Zeitalter des Internet auch niemand mehr.

Aber diese Mail ist ja so erfreulich, dass wohl niemand über so einen Kleinkram stolperte. Zum ersten Mal seit Jahren interessieren sich Frauen für mich und nicht einfach nur umgekehrt. Besonders erfreulich ists, dass ich mir dieses doch sehr kryptische Passwort gar nicht merken musste, denn die Links auf den Namen führen ohne umständliche Login-Prozeduren direkt auf die sabberfördernde Profilseite (die Verpixelung des Gesichts ist natürlich von mir):

Olga's Profile

Unfassbar entzückend! Eigentlich kaum zu glauben, dass diese „Olga“, die nicht nur grandios aussieht und ordentlich Holz vor der Hütte hat, sondern auch noch ein Beispiel für vortreffliche Charaktereigenschaften ist, immer noch ledig sein soll. Aber wird denn ein Spammer lügen? Eben!

Natürlich würde ich jetzt zu gern lesen, was diese so vortreffliche „Olga“ mir geschrieben hat, obwohl sie von mir nur den Namen Klaus-Peter ck [es wird also nicht einmal oberflächlich geprüft, was jemand dort angegeben hat] und ein ausgedachtes Geburtsdatum kennt. Dafür sind ja auch so tolle Links in der Mail, aber wenn ich darauf klicke, sehe ich natürlich keine himmelsvergeigten Brieflein, sondern einfach nur eine Aufforderung…

Screenshot der Eingabe der Kreditkartendaten

…den Spammern einen vollständigen Zugriff auf meine Kreditkarte zu gewähren, um an die „Credits“ zu kommen, die ich in deren Mailsystem blechen muss, um Mails zu lesen. Wenn man sich anschaut, dass so ein „Credit“ im billigsten Fall, wenn man 400 Dollar Vorkasse hingelegt hat, 40 Cent kostet, denn ergibt sich ein Preis von vier Dollar pro gelesener „Mitteilung“. Solche „Mitteilungen“ gehen natürlich auch an einen Menschen mit dem wenig überzeugenden Namen Klaus-Peter ck, sie gehen wohl an jeden. Das ist ganz schön happig, um ein paar lieblos zusammengesetzte Textbausteine zu lesen. Bevor man den reizenden „russischen Damen“ lauschen kann, muss man erstmal die Karte zücken.

Es ist übrigens egal, ob man den Spammern hier vollständigen Zugriff auf die eigene Kreditkarte gibt, oder ob man versucht, mit PayPal zu bezahlen – beides funktioniert nur, wenn man zusätzlich noch eine Telefonnummer angibt. Welche Funktion eine Telefonnummer für einen Bezahlvorgang haben soll, weiß ich natürlich nicht, aber in einer Datensammlung, die an Spammer und Internet-Kriminelle verkauft wird, macht sich diese Nummer gut.

Was von diesem Anbieter zu halten ist, erklärt sich damit hoffentlich von selbst. Es hat sich eigentlich schon aus der Spam erklärt. Wer diesen Leuten allen Ernstes seine Kreditkartendaten gegeben hat, sollte sich besser sehr schnell mit seiner Bank in Verbindung setzen, um größere Schäden zu vermeiden. Und wer da vollständige und echte Daten in seinem Profil eingetragen hat, darf sich darauf gefasst machen, dass seine Identität demnächst von Kriminellen missbraucht wird.

Und die „virtuellen“ Frauen bleiben virtuell – die fahren sogar auf einen Herrn ck ab, der nichts von sich preisgibt. Sie sind nur der Wurm am Angelhaken.