Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Informatives“

Wie Spammer an Namen kommen

Dienstag, 8. Februar 2011

In letzter Zeit sehe ich ja eine beachtliche Zunahme der Versuche der Spammer, eine Mailadresse mit einem richtigen Namen zu verbinden. Offenbar hat man auch auf Seiten der Kriminellen bemerkt, dass eine Betrugsmail mit einer persönlichen Anrede ungleich überzeugender wirkt als das bisher übliche Gestrokel.

Diese Entwicklung sollte für jeden Menschen bedeuten, dass er mit seinen Daten so sparsam wie nur eben möglich umgeht – und zum Selbstschutz vor Betrug und Phishing lieber auch dort Phantasiedaten eingibt, wo die Nutzungsbedingungen so etwas an sich verbieten. Tatsächlich sind Web-Dienste, die Daten ihrer Nutzer akkumulieren, ein lohnendes Ziel für kriminelle Angriffe aus dem Dunstkreis der Spam-Mafia, um sich auf diese Weise die gewünschten persönlichen Daten der Opfer zu verschaffen, wie sich zurzeit bei Heise nachlesen lässt:

Seit dem gestrigen Montag haben uns zahlreiche Leser darüber informiert, dass beim Onlinehändler Mindfactory möglicherweise im großen Stil Kundendaten entwendet wurden. In zahlreichen Beiträgen im Forum des Händlers beschweren sich Kunden über eine Spam-Mail, in der sie persönlich mit Vor- und Zunamen angesprochen wurden […]

Wenn ein solches kriminelles Abgreifen von Daten – es ist im Moment offenbar noch unklar, welche Daten noch in die Hände der Verbrecher gelangt sein könnten – mit überzeugenden Phishing-Mails „aufbereitet“ wird, denn werden die Kriminellen einen erheblichen Reibach einfahren. Eine angebliche Mail von der eigenen Bank, von einem Online-Händler oder einem Internet-Auktionshaus, die mit einer namentlichen Ansprache ihres „Kunden“ kommt, ist nun einmal recht überzeugend und wird nicht nur unerfahrene Nutzer dazu bringen, auf einen derartigen Betrug hereinzufallen.

Es ist ein nicht zu verachtender Schutz vor Betrugsmaschen, wenn die Spammer nicht den Namen zu einer Mailadresse kennen.

Was kann man tun?

Grundsätzlich sollte auf die Angabe eines zutreffenden Klarnamens bei irgendwelchen Internet-Anbietern verzichtet werden. Dies gilt im besonderen Maß bei Anbietern, die eher unwichtige Dienste (wie etwa Gästebücher, Blogkommentare etc.) anbieten – dort sollte in vielen Fällen ein Vorname oder ein Nick ausreichen. Jede Website ist permanenten Angriffen ausgesetzt, und solche Angriffe können auch immer wieder einmal erfolgreich sein. Es ist für den Nutzer eines Dienstes nicht ersichtlich, wie sorgfältig dieser programmiert wurde und welche Schwachstellen eventuell einen Angriff ermöglichen. Auch die „Zertifizierung“ einer deutschen Website durch den TÜV gibt keine Sicherheit, denn es ist schon mehrfach zu großen Datenlecks auf derart „zertifizierten“ Websites gekommen. Der beste Schutz gegen betrügerische Maschen mit solchen Daten ist die Sicherung der eigenen Anonymität bei jeglicher Nutzung des Internet.

Manchmal ist die Angabe eines Klarnamens (oder sogar darüber hinaus gehender persönlicher Daten) aber erwünscht – sei es, dass man unter seinem Namen bei einem „Web-2.0-Dienst“ gefunden werden möchte, sei es, dass man einem Forenbetreiber gegenüber ehrlich sein will, oder sei es auch, dass eine solche Angabe durch die Nutzungsbedingungen verpflichtend gemacht wird.

In diesen Fällen ist eine andere Strategie angemessen: Für jeden Dienst, der unter Angabe des eigenen Klarnamens (und möglicherweise anderer persönlicher Daten) benutzt wird, sollte eine eigene, nur für diesen Zweck benutzte Mailadresse verwendet werden. Wenn unter dieser Mailadresse einmal eine andere Mail ankommt, denn ist klar, …

  1. …dass es sich um eine betrügerische Spam handelt, und
  2. …dass die Site, auf der man diese Mailadresse verwendet hat, gecrackt wurde und dass die Daten in die Hände von Kriminellen gelangt sind.

Auf diese Weise ist das Datenleck bei Mindfactory überhaupt erst bekannt geworden. Deshalb konnte auch relativ schnell eine Warnung an die Kunden in einer Stellungnahme herausgegeben werden.

Zum Glück gibt es eine Menge Freemail-Provider, so dass an Mailadressen für solche Zwecke kein Mangel herrscht. Und wer einen eigenen Mailserver zur Verfügung hat, kann sich sehr schnell eine entsprechende Adresse „machen“. Das bisschen Prävention schützt nicht nur vor betrügerischen Versuchen, sondern erleichtert es auch, eine „verseuchte“ Mailadresse einfach stillzulegen, wenn die Flut der Spam alles andere mit sich zu reißen droht.

Russian ladies? Gib Karte!

Dienstag, 1. Februar 2011

Was passiert eigentlich, wenn man auf so eine Mail

*Hello!*

You have left to me the message on http://bestchixru.ru

I could not answer at once you, and I write now.
If All of you still, everyone are interested in acquaintance to me, write to me, and I shall answer.

Yours faithfully Tatyana

…so reagiert, wie es die Spammer wünschen? Wenn man glaubt, dass man auf einer Dating-Site eine Nachricht von einem russischen Frauennamen erhalten hat, obwohl man noch nie von dieser Site gehört hat? Wenn man deshalb auf einen Link klickt und den Spammern eine Kombination der Mailadresse mit ein paar persönlichen Daten gibt, um sich dort zu „registrieren“?

Nun, das habe ich einmal ausprobiert. (Natürlich nicht mit meiner richtigen Mailadresse…)

Einige Tage später gibt es eine hübsche weitere Mail, diesmal natürlich mit persönlicher Ansprache, dass man sich erfolgreich registriert hat:

Welcome to Anastasia International!

Dear Klaus-Peter!

Welcome to AnastasiaDate.com, the easiest and most advanced way to meet the most beautiful and eligible Russian Ladies imaginable.

Your login: sag (at) ich (punkt) net Your password: xx8X89R9

[Mailadresse und Passwort hier geändert]

Wow, ich kann mich einloggen, wenn ich das will…

Eager to meet someone right away? Choose one of Anastasia’s ravishing Online Ladies and start chatting immediately. You can step it up by seeing her chat you up real time with Live Chat with Video.

Ist ja toll!

A complete and crafted profile receives much more attention. So don’t forget to Edit your profile and upload your photos so Ladies can see and learn about you.

Aber bitte auf gar keinen Fall vergessen, ganz schnell ein paar weitere persönliche Daten an die Spammer zu geben…

After that, you may wish to begin browsing Anastasia’s vast catalogue of desirable Ladies. Select by age, country, height, hair color, education — in fact Anastasia’s Advanced Search makes finding your own Russian sweetheart more straight forward.

…damit man auch die ganzen hübschen Frauen sehen kann – und von ihnen gefunden werden kann. Ist aber nur ein kleiner Datenstriptease:

Screenshot der Profilangaben

Hui, das ist ja doch eine Menge, was man da vor Anbietern freimachen soll, die ihre Kunden über Spam werben. Na, die werdens ja nicht missbrauchen, die wollen einen ja nur…

Detail der Profilseite

…mit lauter hübsch anzuschauenden Frauen bekannt machen. [Die Gesichtsverpixelung ist von mir.] Das kommt ja schließlich von Leuten, die unter gefälschtem Absender und unter Verwendung von Privatrechnern, die mit Schadsoftware kriminell übernommen wurden, millionenfach mit Schrotmunition auf virtuelle Postfächer schießen. Solche Leute werden doch nicht lügen… :mrgreen:

From your Inbox you can manage all your mail and see who’s trying to start up a relationship with you.

Und kaum hat man das getan, schon prasselt die Eingangsbox voll mit triefenden Briefen dieser großartigen Frauen. Aber dazu später noch ein bisschen mehr

In addition, you can take your lady on a wonderful virtual date with Anastasia’s Video Date, or speak with her directly with Anastasia’s Phone Translation Service. Both of these are supported by Anastasia’s professional translators.

Ganz toll: Es gibt einen Telefonübersetzungsservice, damit ich auch „direkt“ mit virtuellen Frauen sprechen kann, deren Sprache ich nicht verstehe.

If you need any advice with services or support, or have any questions about Russian culture or Russian Ladies, please get in touch with Anastasia’s dedicated Service Team at any time.

Now, through Anastasia’s Family of international online dating sites, you can connect with the most beautiful and exciting women from every corner of the globe.

Jede Ecke der Erde scheint russisch zu sein? Aber nein doch…

AnastasiaDate.com allows you to find your sweetheart from Russia & CIS.
AmoLatina.com will amaze you with the sensual Ladies of South America and the Latin world.
OrientBrides.com is your gateway to the exquisite charm of women from the Far East.
AfricaBeauties.com brings the splendor of African women for all to enjoy.

…jeder kann sich eine Frau aussuchen, deren Sprache er nicht versteht und deren Hautfarbe gut zur neuen Polstergarnitur passt. 👿

We are glad you joined, and look forward to hearing about your success in love.

Aber gern! Wenn eure Spams immer dümmer werden, muss ich mir halt anschauen, was damit an den Mann gebracht werden soll, damit ich wieder etwas zum Schreiben fürs Spamblog habe.

Sincerely yours,
Anna Matusova
Head of Customer Service
AnastasiaDate.com

Anastasia International Inc.
40 High St Suite #1 Bangor, Maine 04401
+1 (207) 262-xxxx, +1 (800) 356-xxxx

Huch, das ist ja gar nicht in Russland. Wie sieht es denn da aus? Na, mal umschauen? Hmm, macht irgendwie nicht den Eindruck der Unternehmenszentrale eines internationalen Anbieters… 😈

Es ist übrigens egal, ob man den Datenstriptease macht oder nicht – ich habe ihn nicht gemacht, weil ich zu träge war, mir ein paar Daten auszudenken. Schon kurze Zeit später kommt die nächste Mail, die einem mitteilt, dass sich einige der leckeren Damen interessiert zeigen.

Anastasia International

Dear Klaus-Peter ck,

You have new e-mails in your Anastasia International mailbox.
10 credits will be deducted from your account for each letter you read. Anna’s First Letter Anna (ID: 1564337)
Age: 26
Zaporozhye, Ukraine
Never married lady with blue eyes and black hair.
„>Read the Letter Olga’s First Letter Olga (ID: 1139895)
Age: 27
Kishinev, Moldova
Never married lady with hazel eyes and chestnut hair.
Read the Letter Olga’s First Letter Olga (ID: 1118430)
Age: 23
Odessa, Ukraine
Never married lady with hazel eyes and chestnut hair.
Read the Letter 10 credits will be deducted from your account for each letter you read.

This message contains links to your personal profile and account on Anastasia International; do not forward this message.

Visit Anastasia-International.com to find thousands of potential brides from Russia and Ukraine.

Best Regards,
Anastasia International TeamThis message was sent automatically.If you have any questions please contact us at our U.S. toll free number +1 (800) 356-xxxxor in Moscow at +7 (495) 775-xxxx. You can also unsubscribe from our notifications through this link.
Anastasia International Inc.
40 High St Suite #1 Bangor, Maine 04401
+1 207-262-xxxx, +1 (800) 990-xxxx

Huch, die zweite angegebene Telefonnummer dieses Ladens hat sich binnen einer einzigen Stunde geändert? Na, bei so großen internationalen Unternehmungen geht eben doch alles etwas schneller. Und solche Maßnahmen zur Kundenbindung wie konstante Telefonnummern braucht im Zeitalter des Internet auch niemand mehr.

Aber diese Mail ist ja so erfreulich, dass wohl niemand über so einen Kleinkram stolperte. Zum ersten Mal seit Jahren interessieren sich Frauen für mich und nicht einfach nur umgekehrt. Besonders erfreulich ists, dass ich mir dieses doch sehr kryptische Passwort gar nicht merken musste, denn die Links auf den Namen führen ohne umständliche Login-Prozeduren direkt auf die sabberfördernde Profilseite (die Verpixelung des Gesichts ist natürlich von mir):

Olga's Profile

Unfassbar entzückend! Eigentlich kaum zu glauben, dass diese „Olga“, die nicht nur grandios aussieht und ordentlich Holz vor der Hütte hat, sondern auch noch ein Beispiel für vortreffliche Charaktereigenschaften ist, immer noch ledig sein soll. Aber wird denn ein Spammer lügen? Eben!

Natürlich würde ich jetzt zu gern lesen, was diese so vortreffliche „Olga“ mir geschrieben hat, obwohl sie von mir nur den Namen Klaus-Peter ck [es wird also nicht einmal oberflächlich geprüft, was jemand dort angegeben hat] und ein ausgedachtes Geburtsdatum kennt. Dafür sind ja auch so tolle Links in der Mail, aber wenn ich darauf klicke, sehe ich natürlich keine himmelsvergeigten Brieflein, sondern einfach nur eine Aufforderung…

Screenshot der Eingabe der Kreditkartendaten

…den Spammern einen vollständigen Zugriff auf meine Kreditkarte zu gewähren, um an die „Credits“ zu kommen, die ich in deren Mailsystem blechen muss, um Mails zu lesen. Wenn man sich anschaut, dass so ein „Credit“ im billigsten Fall, wenn man 400 Dollar Vorkasse hingelegt hat, 40 Cent kostet, denn ergibt sich ein Preis von vier Dollar pro gelesener „Mitteilung“. Solche „Mitteilungen“ gehen natürlich auch an einen Menschen mit dem wenig überzeugenden Namen Klaus-Peter ck, sie gehen wohl an jeden. Das ist ganz schön happig, um ein paar lieblos zusammengesetzte Textbausteine zu lesen. Bevor man den reizenden „russischen Damen“ lauschen kann, muss man erstmal die Karte zücken.

Es ist übrigens egal, ob man den Spammern hier vollständigen Zugriff auf die eigene Kreditkarte gibt, oder ob man versucht, mit PayPal zu bezahlen – beides funktioniert nur, wenn man zusätzlich noch eine Telefonnummer angibt. Welche Funktion eine Telefonnummer für einen Bezahlvorgang haben soll, weiß ich natürlich nicht, aber in einer Datensammlung, die an Spammer und Internet-Kriminelle verkauft wird, macht sich diese Nummer gut.

Was von diesem Anbieter zu halten ist, erklärt sich damit hoffentlich von selbst. Es hat sich eigentlich schon aus der Spam erklärt. Wer diesen Leuten allen Ernstes seine Kreditkartendaten gegeben hat, sollte sich besser sehr schnell mit seiner Bank in Verbindung setzen, um größere Schäden zu vermeiden. Und wer da vollständige und echte Daten in seinem Profil eingetragen hat, darf sich darauf gefasst machen, dass seine Identität demnächst von Kriminellen missbraucht wird.

Und die „virtuellen“ Frauen bleiben virtuell – die fahren sogar auf einen Herrn ck ab, der nichts von sich preisgibt. Sie sind nur der Wurm am Angelhaken.

Nivea Shower Gel – kostenlose Probe für Sie

Freitag, 21. Januar 2011

Im Original folgte diesem Betreff der Vorname und Nachname des Empfängers, was ich hier allerdings nicht übernehme. Die Spammer machen also sehr wohl davon Gebrauch, wenn sie eine Mailadresse mit einem Namen verknüpfen können (siehe auch hier). Das Ergebnis ist eine Spam, die weniger nach Spam aussieht – und damit gefährlicher ist.

Ich finde es wirklich erstaunlich, über wie viele verschiedene – und doch wieder recht ähnliche – Maschen zurzeit Menschen mit einer Spam dazu bewegt werden sollen, zu ihrer unter Spammern bekannten Mailadresse weitere Daten anzugeben. Zurzeit werden stets irgendwelche Dinge „gratis“ angeboten, aber um sie zu bekommen, sollen ein paar persönliche Daten, vor allem der Name in Kombination mit der Mailadresse, hinterlegt werden. In diesem Fall war der Name des Empfängers bereits bekannt – aber darüber hinaus nichts, nicht einmal das Geschlecht. Die Mail ist gut gemacht und wirkt auf dem ersten Blick durchaus überzeugend.

Teil Eins: Proben eines Beiersdorf-Produktes

Sehr geehrte(r) Fxxxx Exx,

[Name von mir unkenntlich gemacht]

Wir wissen nicht, ob du Männlein oder Weiblein bist, deshalb diese geschlechtsneutrale Anrede. Aber deinen Namen haben wir schon. Wirkt vertraut? Ja, das ist von einer anderen gegenwärtigen Masche her vertraut.

kennen Sie schon das neue NIVEA FOR MEN Cool Shower Gel aus dem Hause Nivea?

Warum sollte ich das kennen? Nicht einmal auf der offiziellen Nivea-for-men-Site ist dieses Produkt bekannt, und dort gibt es allerlei Produkte zum Duschen. Die Absender dieser Mail sind aber auch nicht Beiersdorf. Die gut eingeführte Marke „Nivea“ wird hier von Spammern für ihre kriminellen Machenschaften missbraucht und damit in den Dreck gezogen. Einfach nur widerlich! Es ist widerlich wie alles, was Spammer tun.

Zwischenspiel: Beiersdorf äußert sich dazu

Dankenswerterweise hat Beiersdorf selbst an prominenter Stelle auf diesen Missbrauch der Marke aufmerksam gemacht¹, so dass ich hierzu nichts weiter darlegen muss. Zitat der dortigen Hinweisseite:

NIVEA FOR MEN warnt vor betrügerischen EMailanfragen im Internet!

Zahlreiche Internetnutzer in Deutschland haben Anfang Januar 2011 eine Mail erhalten, die angeblich von NIVEA bzw. Beiersdorf verschickt wurde. Darin werden die Mailempfänger aufgefordert, an einem kostenlosen Produkttest von NIVEA FOR MEN teilzunehmen, wenn sie im Gegenzug personenbezogene Daten preisgeben. Diese Mail ist weder von NIVEA oder von Beiersdorf noch in deren Auftrag verschickt worden. Vielmehr handelt es sich offenbar um den Versuch, durch die Verwendung von NIVEA als angeblichem Absender auf illegale Weise in den Besitz von Personendaten zu kommen. Dieses so genannte Phishing stellt eine Straftat dar und wird von Beiersdorf sehr ernst genommen.

Beiersdorf geht gegen jeden derartigen Fall mit aller rechtlichen Konsequenz vor.

Ich wünsche Beiersdorf beim Versuch, diese Spammer vor Gericht zu bringen, von ganzem Herzen viel Erfolg.

Teil Zwei: Lern es einfach kennen!

Wenn nicht, dann sollten Sie es jetzt kennenlernen!

Klar, weil mir ein Spammer schreibt, soll ich etwas kennenlernen. Mal weiterlesen:

Wir schenken Ihnen eine kostenlose Probe!

Wir senden Ihnen zur Produkteinführung in Deutschland eine handelsübliche Probe des neuen Shower Gels – kostenlos und ohne Haken, aber mit dem größten Vergnügen.

Wir schicken Ihnen einmalig, kostenlos und portofrei das neueste Produkt von Nivea nach Hause.

Ist ja toll, ein Markenprodukt ohne Kosten zu bekommen! Und, was soll ich dafür tun? Richtig, ich soll…

Fordern Sie gleich Ihre Probe an:

http://www.kostenlos-zu-ihnen.net/

…in einer Spam rumklicken. Um ein angebliches Nivea-Produkt auf einer angeblichen Nivea-Seite zu sehen…

Screenshot eines Details der gut gemachten Seite

…die – genau wie die Spam-Mail – wirklich recht überzeugend gemacht ist.

Teil Drei: Datenstriptease in zwei Teilen

Und um an das angepriesene kostenlose Produkt zu kommen, muss ich nur noch eines tun…

Screenshot der Dateneingabe, erster Schritt

…nämlich ein paar Daten preisgeben. Und dann kommt die Probe? Aber nein doch, das ist noch lange nicht alles, denn an die Mailadresse könnte man doch kein Päckchen schicken. Hierzu bedarf es natürlich

Screenshot des zweiten Schritts der Dateneingabe

…noch einer vollständigen Anschrift und – ganz wichtig – einer korrekten Telefonnummer. Diese Daten müssen dann alle in einem zweiten Schritt eingegeben werden. Natürlich muss auch den AGB zugestimmt werden, die man im ersten Schritt noch gar nicht sieht und die auch nicht einmal irgendwo versteckt verlinkt sind, bevor man an diesen zweiten Schritt der informationellen Selbstentblößung gerät. Sehr interessante AGB sind das. Hier mal ein paar Bröckchen aus diesen „AGB“:

Teil Vier: AGB? WTF? Gewinnspiel?

Die Teilnahme und die Gewinnchancen [sic!] hängen in keiner Weise von dem Erwerb von Waren oder der Inanspruchnahme von entgeltlichen oder unentgeltlichen Leistungen oder anderen, mit der Veranstaltung des Gewinnspiels [sic!] befassten Unternehmen ab.

Was zum Henker?! Gewinnchancen?! Eigentlich war ja die Rede davon, dass man eine Produktprobe bekommt. Und von einer Verlosung war noch kein Wort zu lesen. Jedenfalls so lange, bis man die AGB präsentiert bekam, wenn man sich überhaupt dafür interessierte – das Angebot schien doch völlig klar zu sein. In den AGB klingt auf einmal alles ganz anders. (Hervorhebungen von mir.)

Der Gewinnspielveranstalter hat das Recht, Teilnehmer zu disqualifizieren […] Der Gewinnspielveranstalter behält sich das Recht vor, die Verlosung ganz oder in Teilen (etwa für bestimmte Gewinne oder Sonderauslosungen) nach einer Monatsziehung und Zuteilung der Preise abzubrechen. Dies gilt insbesondere, wenn die Verlosung aus irgendwelchen Gründen nicht planmäßig laufen kann, so etwa bei Computerviren [sic!], bei Fehlern der Soft- und/oder Hardware und/oder aus sonstigen technischen und/oder rechtlichen Gründen, welche die Verwaltung, die Sicherheit, die Integrität und/oder reguläre und ordnungsgemäße Durchführung der Verlosung beeinflussen. Wenn der Nutzer seine Einwilligung auf den Webseiten zur Datenverwendung erteilt, erklärt er sich damit einverstanden, dass seine Angaben von den Betreibern der Plattform und den Sponsoren des Gewinnspiels für Marketingzwecke verwendet werden dürfen und er per Post, Telefon, SMS, MMS oder eMail interessante Informationen erhält. […] Die Verlosung findet monatlich statt und endet am jeweils am letzten Tag eines jeden Monats. […] Der Gewinnspielveranstalter haftet nicht […] wird keine Haftung übernommen, wenn eMails oder Dateneingaben (in Masken auf der Gewinnspielseite) nicht den dort aufgestellten Anforderungen entsprechen und infolgedessen vom System nicht akzeptiert und/oder angenommen werden […] haftet der Gewinnspielveranstalter nicht bei Diebstahl oder der Zerstörung der die Daten speichernden Systeme [sic! …] Gewinnspielveranstalter haftet nicht für Angebote von Dritten die auf der Plattform von oder in den eMails vom Gewinnspielveranstalter oder auf den Plattformen oder in eMails der Sponsoren beworben werden bzw. wurden […] Der Gewinnspielveranstalter kann diesen Dienst jederzeit ohne die Angabe von Gründen einstellen.

Kurz gesagt: Wer da seine Anschrift, seine – für diesen betrügerischen Veranstalter ganz wichtig! – Telefonnummer und sein Geburtsdatum angibt, erlaubt diesem Pack, das übrigens nur über Spam bekannt wird, dass es…

  1. …Briefkasten und Telefon mit unerwünschter Reklame vollmüllt, und
  2. …mit den eingegebenen Daten schwunghaften Handel betreibt.

Als Gegenleistung dafür gibts nicht etwa die so bildreich versprochene Produktprobe, sondern die ominöse Teilnahme an einer nicht näher spezifizierten Verlosung. Diese ist unkontrollierbar und kann auch einfach unter allgemeinsten, von diesen Leuten willkürlich festgesetzten Gründen ausfallen. Kein Wunder, dass diese angesichts des Köders in der Website doch etwas überraschenden AGB erst in einem zweiten Schritt zur Einsicht angeboten werden, wenn diese spammenden Verbrecher schon längst eine Kombination von Klarname und Mailadresse, diesmal mit Geschlecht und Geburtsdatum erhalten haben. Keine Frage, selbst mit diesen Zusatzdaten werden diese Leute etwas anzufangen wissen, was dem Opfer dieser Masche nicht gefallen kann.

Der eigentliche Zweck dieser tollen Seite dürfte klar sein. Es geht um Datensammelei.

Aber das ist noch nicht alles, es geht noch etwas weiter.

Teil Fünf: Klingeling Klingeling

Wenn man auch in einem zweiten Schritt ein paar Daten eingegeben hat – ich habe das mal mit einer Fantasieanschrift in Groß-Berlin getan – denn kommt ein interessanter dritter Schritt:

Screenshot des dritten Schritts

Man bekommt also einen Anruf auf der angegebenen Telefonnummer und soll einfach die 1 und die 9 auf seinem Telefon tippen. So etwas ist bereits hinreichend, um als „Willenserklärung“ durchzugehen, wird also im Zweifelsfall als Vertragsschluss betrachtet. Was für ein Vertrag? Keine Ahnung, aber zum Vorteil des Opfers wird er wohl nicht sein. Er wird eher genau so überraschend wie die tollen AGB sein. Kostenlos ist er wahrscheinlich auch nicht, denn dieses gesamte „Angebot“ baut auf systematischer Irreführung über seinen wirklichen Charakter. Sicher, die kämen bei keinem Gericht damit durch. Aber die Inhalte der Website können im Nachhinein bequem angepasst werden, so dass es später nicht mehr durch einfaches Hinschauen nach Täuschung aussieht, und kaum jemand wird bei einem einfachen Angebot eines kostenlosen Werbegeschenkes so aufmerksam geworden sein, dass er von jeder aufgerufenen Seite einen Screenshot gemacht hat und einen Zeugen dazugerufen hat. [Und wer so aufmerksam geworden ist, wird wohl kaum allzuviel von sich preisgeben.] Wenn dann auch noch entsprechend einschüchternde Briefe von ominösen Firmen und später Inkassoanwälten kommen, denn wird ein recht erklecklicher Teil der Opfer auch Geld zahlen, obwohl die betrügerische Absicht völlig offensichtlich ist. Das ist schon ein „gutes“ Geschäft.

Und das ist letztlich alles, was die Spammer hier – neben dem Adresshandel und der Sammlung von Daten für spätere Spamwellen – wollen.

Teil Sechs: Und weiter zum nächsten Abzocker

Zu schlechter Letzt bekommt man noch ein ganz tolles Angebot unterbreitet, sich bei einem Gewinnspiel-Nulldienst eintragen zu lassen – der Button unten ist bereits vollständig mit GET-Parametern der gesamten eingegebenen Daten belegt, so dass ein einziger Klick ausreicht, um auch dort alle Daten für seinen „Vertrag“ einzutragen:

Screenshot des Gewinnspiel-Angebotes

Der Klick führt einem denn hierhin:

gewinn24.de -- die Website eines schon recht bekannten Nutzlosdienst-Abzockers

Was von diesem Anbieter einer recht nutzlosen Dienstleistung zu halten ist, kann man an vielen Stellen im Internet nachlesen. Es kostet „nur“ 60 Euro im Jahr bei einer Laufzeit von zwei Jahren, was ebenfalls nicht so ganz transparent ist. Ob es dafür wenigstens eine Gegenleistung gibt? Na, das kann niemand richtig kontrollieren. Aber eins gibts sicher: Die Mahnung kommt garantiert. So richtig im gerichtlichen Mahnverfahren hat es dieser Anbieter zwar – meinem Kenntnisstande nach – noch nie versucht, an das Geld zu kommen, weil dabei kaum eine Aussicht besteht. Das musste er aber auch nicht, denn so lange genügend Menschen eingeschüchtert genug sind, dass sie zahlen, wenn sie scharfe Mahn- und Inkassobriefchen im Briefkasten haben, so lange funktioniert es doch auch so.

Trübe Gewässer, in die dieses angebliche Angebot einer Produktprobe geführt hat, nicht? Und die bloße Kleinigkeit, dass der Empfänger dieser Spam namentlich angesprochen werden konnte, wird in vielen Fällen die Bereitschaft erhöht haben, einfach einmal einen Klick zu wagen – zumal „Nivea“ ja auch einen respektablen und guten Klang hat.

Ich kann es nicht oft genug sagen: Jede unverlangt zugestellte Mail ist eine Spam. Der Hintergrund ist immer unerfreulich, auch wenn die Spam gut formuliert ist und recht harmlos und freundlich klingt. Kein seriöses Unternehmen hat es nötig, seine Reputation zu ruinieren, indem es Werbung mit illegalen Mitteln betreibt – und Unternehmen, die dies tun, sind niemals vertrauenswürdig. Auf keinen Fall sollte in eine Spam geklickt werden! Es lohnt sich nicht. Man kann dadurch nichts gewinnen. Man bekommt nichts geschenkt. Jede Spam ist – mindestens im gängigen umgangssprachlichen Sinne dieses Wortes, oft aber auch im juristischen Sinne – Betrug.

Teil Sieben: Fiesta Mexicana

Bleibt nur noch eine Frage offen: Welches Unternehmen macht denn diese tolle Website, auf der vorgeblich Produktproben eines nicht existierenden Produktes angeboten werden? Nun, diese Website, die sich so explizit an deutsche Opfer wendet, sie hat auch ein Impressum:

Media ZT Inc. J. P. Silva Road 30
City of Veracruz
Mexico

Ohne weitere Worte…

Ich wünsche Ihnen viel Spaß mit Ihrer kostenlosen Probe!

Mit freundlichen Grüßen,

Caroline Hellendorfer,
Projektleiterin Probenversand

Geht dahin, wo der Pfeffer wächst! Euer Briefkasten steht da ja schon. 👿

Kurze Nachbemerkung

Ich habe in den letzten Tagen recht viel über die verschiedenen Versuche der Spammer geschrieben, an persönliche Daten zu kommen. Dies habe ich nur deshalb getan, weil derartige Versuche im Moment deutlich gehäuft, ja, als regelrechte Spamwelle auftreten. Auf diesem Server hier kommen solche Versuche im Moment mit unfassbarer Penetranz an, und vermutlich sieht es an anderen Stellen ähnlich aus. Diese Spam ist nur ein Beispiel von vielen.

Ich kann nur davor warnen, auf irgendeiner Website auch nur den eigenen Namen anzugeben, außer man hat einen guten Grund, dem Betreiber dieser Website zu vertrauen und ist sich völlig darüber sicher, dass man es wirklich mit diesem Betreiber zu tun hat. Spammer sind die letzten Menschen, denen Daten gegeben werden sollten.

Ich hoffe, dass diese eine etwas ausführlicher gewürdigte Spam ein warnendes Beispiel für jeden ist, der Spam auf die leichte Schulter nimmt und in eingebildeter Überlegenheit glaubt, dass er niemals auf eine Spam hereinfallen könnte. Sie ist überzeugend formuliert und kommt mit einer persönlichen Anrede, an der nur noch stört, dass das Geschlecht des Empfängers nicht bekannt ist. Es ist nicht schon auf dem ersten Blick völlig klar, dass es sich um eine Spam handelt². Da riskieren auch vorsichtigere Menschen leicht einen Klick, und was sie dann vor sich haben, ist eine gut gestellte, heimtückische Falle. Wie übel derartige Fallen aufgebaut werden können, wenn die Spammer gute Datensätze der Opfer haben, kann sich hoffentlich jeder vorstellen. Dass mit einem guten Datensatz auch ein Identitätsmissbrauch möglich ist, der für den Betroffen üble Folgen haben kann und einen äußerst unerfreulichen Schriftverkehr nach sich ziehen kann, sollte ebenfalls klar sein. Die widerlichen spammenden Verbrecher handeln verantwortungslos und mit großer krimineller Energie. Es sind keine gelangweilten Kinder, die harmlose Streiche spielen. Es sind organisiert Kriminelle. Sie haben nur ein Ziel: Sich ihren verfeinerten Lebensstil ohne viel Mühe und Arbeit zu finanzieren, völlig egal, wer dabei auf der Strecke bleibt. Die Affiliate-Groschen dafür, dass sie ihre Opfer noch auf das Angebot eines… ähm… eher nutzlosen „Dienstleisters“ lotsen, nehmen sie so ganz nebenbei auch gern mit.

Aktueller Nachtrag, 21. Januar 2011

Das Anklicken bestimmter Felder im Internet begründet nicht automatisch einen Vertrag und damit einen Zahlungsanspruch. Das hat das Amtsgericht Frankfurt in einem am Freitag (21. Januar) bekannt gewordenen Urteil festgestellt (AZ 32 C 1742/10-48). – Allerdings ändert auch so ein Urteil nichts an der traurigen Tatsache, dass persönliche Daten unter Spammern zirkulieren und dort gewiss nicht für erfreuliche Tätigkeiten verwendet werden. Sicherer ist es, sehr sparsam mit seinen Daten umzugehen.

¹Der Link geht auf eine dauerhaft archivierte Version des Hinweises von Beiersdorf, damit auch in einem Jahr noch nachvollziehbar ist, mit wie großer krimineller Energie die Spammer eine Marke in den Dreck zu ziehen bereit sind. Das Original befindet sich auf der Nivea-for-men-Site von Beiersdorf und wird hier ebenfalls gern verlinkt, damit es auch besser gefunden wird, wenn jemand mit Google nach „Nivea for men“ sucht.

²An sich ist es klar, dass hier eine Spam vorliegt, denn jede unverlangt zugestellte Mail von einem bislang unbekannten Absender steht unter Spamverdacht, selbst wenn sie mit guter Anrede und treffsicherem Stil daherkommt. Ein Klick in eine derartige Mail ist immer ein Fehler. Das gilt besonders, wenn Angebote gemacht werden, die auf einen geschäftlichen Hintergrund schließen lassen – also zum Beispiel auch Produktproben. Keine seriöse Unternehmung wird zu illegalen Werbeformen aus dem Dunstkreis der organisierten Internet-Kriminalität greifen, um Kunden zu gewinnen.

Gratis Download

Dienstag, 18. Januar 2011

Es ist nicht unbedingt Spam, auch wenn ich auf die Website mit diesem Angebot über einen etwas fragwürdigen Weg¹ aufmerksam gemacht wurde und auch, wenn die Website mit diesem Angebot zwar viele allgemeine Angaben in ihrem Impressum macht, nur nicht die eine Angabe, die man dort vielleicht ob des Titels „Impressum“ erwartet, nämlich die Angabe zur inhaltlichen Verantwortung. Aber man sollte sich schon einmal die Frage stellen, warum beim Angebot eines „Gratis Download“ [natürlich mit Deppen Leer Zeichen, damits auch besser für Google passt – wer schreibt denn noch für Menschen im Internet?]…

Screenshot: Gratis Download -- 63 wichtige Musterbriefe und Vorlagen für Selbständige und Unternehmer -- jetzt gratis downloaden -- Tragen Sie einfach Ihren Namen und Emailadresse ein und Sie bekommen Alles per Downloadlink zugesendet -- Ihre Daten werden niemals weitergegeben und Sie können sich jederzeit mit einem Klick austragen.

…nicht einfach – wie überall sonst, wo Dinge im Internet zum kostenlosen Download angeboten werden – ein direkter HTTP-Link auf das Angebot gesetzt wird und warum man dort stattdessen eine Mailadresse zusammen mit seinem Namen (!) angeben soll, um dann erst diesen Link in Form einer Mail (!) zu erhalten. Vor allem, wenn dies mit der Zusage einher geht, dass man sich doch „jederzeit mit einem Klick austragen“ kann, ganz so, als würde man mit dieser Angabe, die man eigentlich wegen eines einzigen Download-Angebotes macht, ein Einverständnis für die Zupflasterung des Mailpostfaches mit meist unerwünschter Reklame geben.

Wie gesagt, es ist nicht unbedingt Spam, aber es duftet schon recht markant. Ich wollte jedenfalls nicht ausprobieren, was da kommt, wenn man dort eine Mailadresse angibt – und würde das auch niemandem empfehlen. Dafür kenne ich eine ganze kriminelle Industrie – nicht, dass ich einen Zusammenhang mit diesem speziellen Angebot hier als Tatsache postulieren möchte, aber es gibt ganz generell eine organisierte Spam-Kriminaltät – deren größtes Problem im kriminellen Geschäft darin besteht, dass sie die Menschen nicht persönlich ansprechen kann und die deshalb großes Interesse an Datenbanken hat, in denen eine Mailadresse einem richtigen Namen zugeordnet wird. Auf diesem Hintergrund ist erst recht davon abzuraten, einem völlig anonymen Anbieter eine derartige Kombination von Daten auszuhändigen, nur um an einen Download zu kommen, der sich auf Seiten des völlig anonymen Anbieters auch auf technisch weniger komplexe Weise realisieren ließe.

Niemand wird sich einen unnötig hohen technischen Aufwand für ein einfaches Angebot machen. Und es ist auch beim mehrfachen Nachdenken nicht erkennbar, wieso eigentlich zusammen mit der Mailadresse ein Name angegeben werden sollte. Ich kann nur empfehlen, solche Angebote völlig zu meiden – es hat einfach Vorteile, wenn nur persönliche Bekannte und Geschäftspartner eine Kombination von Name und Mailadresse kennen und deshalb ein Großteil der Phishing-Versuche allein dadurch sofort erkennbar ist, dass sie mit einer unpersönlichen Ansprache ins virtuelle Postfach kommen. Diesen Vorteil sollte man nicht leichtfertig aufgeben.

Datenschutz im Internet beginnt damit, dass man mit seinen eigenen Daten sparsam umgeht und sie nicht an jeder möglichen Stelle angibt. Was nicht gesammelt werden kann, das kann auch nicht missbraucht werden.

¹Der „etwas fragwürdige Weg“ war ein Spam-Follower bei Twitter.

Neue Trends in der Kommentarspam

Samstag, 15. Januar 2011

Ich habe in den letzten Tagen immer wieder einmal Spamkommentare einer ganz besonderen Machart gehabt. Diese Spams sind – wenn man so ein Wort für Spam überhaupt benutzen mag – intelligenter als das gegenwärtig überwiegende Vollkleistern der Kommentare mit irgendwelchen Texten, und sie können, wenn das Verfahren der Spammer noch etwas verbessert, auch schwierig als Spam zu erkennen sein.

Symptom

Ein „Kommentar“ wurde abgegeben, der einem bekannt vorkommt. Und in der Tat, wenn man etwas sucht, findet sich, dass genau der gleiche Kommentar vor einigen Wochen schon einmal als echter Kommentar eines Lesers abgegeben wurde. An dieser Stelle hatte der Kommentar auch einen Bezug zum kommentierten Text, was bei seiner Zweitverwertung nicht mehr der Fall war.

Geändert hat sich die angegebene Mailadresse und natürlich die angegebene „Homepage“ des Kommentators, denn diese soll den Spamlink platzieren. Der Link führt auf typische „Angebote“ der Spammer, vom Casino über den Scareware-Schocker (ihr PC ist infiziert!) bis hin zum Betrugsapotheker. Manchmal wird der ursprünglich angegebene Name des Kommentators beibehalten, manchmal auch nicht. Allzu plumpe SEO-Keywords für Google werden zurzeit vermieden.

Spekulationen

Offenbar bemerken im Moment auch die Spammer, dass ihre plumpen und oft idiotischen Skripten kaum noch durch die Spamfilter kommen. Leider bedeutet das für einen Spammer nicht, dass er sich hinsetzt und sich überlegt, wie er sich auf weniger asoziale Weise seine Brötchen verdienen könnte, sondern er denkt darüber nach, wie er denn in Zukunft anderer Leute Websites zu Linkschleudern auf seine kriminellen Angebote umbauen kann.

Also hat sich einer dieser Spammer einen neuen Bot geschrieben. Dieser holt sich Kommentare, die schon einmal als Kommentare „durchgekommen“ sind – eine Möglichkeit, dies zu tun, ist etwa ein RSS-Feed für Kommentare und kommentiert mit diesen Texten einfach noch einmal in dem Blog, in dem sie schon einmal „durchkamen“. Davon verspricht sich der Spammer, dass er höhere Chancen hat, von einem Dienst wie Akismet nicht automatisch als Spam erkannt zu werden und vielleicht auch beim Betreiber des Blogs durchzukommen.

In jedem Fall ist festzustellen, dass Spammer zurzeit ein Skript zu benutzen scheinen, um systematisch echte Kommentare in Blogs zu sammeln, um die nächste Generation der Kommentarspam vorzubereiten.

Ausblick

Im Moment ist die Spam mit alten Kommentaren noch primitiv. Zum Beispiel gibt es nicht einmal eine oberflächliche Analyse des kommentierten Textes, so dass der „Kommentar“ in der Regel einfach nicht passt. Das löst natürlich Misstrauen aus, wenn so eine Spam doch einmal durch den Spamfilter kommt.

Das kann allerdings besser gemacht werden, und die einfachsten Verbesserungen wären sehr wirkungsvoll und sind darüber hinaus eine schnell zu programmierende Sache. Wenn etwa die Kategorien und Schlüsselwörter (neudeutsch: Tags) zu einem kommentierten Artikel ausgewertet würden, die ja freundlicherweise von vielen Bloggern gesetzt werden und in technisch leicht auswertbarer Weise zur Verfügung stehen, denn können derartige Kommentare so „gelegt“ werden, das sie häufiger thematisch passen. Diese Verbesserung ist nicht schwer zu implementieren, und sie erfordert auch nicht, dass Text in einer natürlichen Sprache mit seinen vielen Unschärfen durchgeparst werden muss; es ist eher eine kleine Fingerübung. Vermutlich werden auch die Spammer darauf kommen, wenn sie an künftigen Verbesserungen arbeiten.

Eine weitere Schwäche des derzeitigen, primitiven Standes dieser Vorgehensweise ist es, dass die Kommentare im gleichen Blog „recycelt“ werden, in dem sie schon einmal als echte Kommentare erschienen. Bei einem Blog mit geringem Kommentaraufkommen fällt das dem Betreiber auf und erweckt starkes Misstrauen. Dies gilt vor allem im Moment, denn die bei mir zum Spammen missbrauchten Kommentartexte sind niemals älter als zwei Monate gewesen – so alt scheint auch das Skript ungefähr zu sein, mit dem die Kommentare abgegrast wurden (und vermutlich noch werden). Wenn die Verbesserung mit der Verwendung der Kategorien und Schlagwörter programmiert wird, können derartige Kommentare durchaus auch in anderen Blogs gesetzt werden, und dann werden die Kommentartexte oft recht natürlich wirken, so dass nur der gesetzte Link den Spamcharakter des Kommentars verrät. Dieser Link (neben der IP-Adresse des spammenden Bots) verbleibt dann auch als einziges Spammerkmal für einen Spamfilterdienst wie Akismet. Die Filterung von Spam und ihre Erkennung durch einen menschlichen Leser wird also in Zukunft erschwert. Darüber hinaus kann die an Akismet weitergeleitete Spam-Einordnung derartiger Kommentare zur Folge haben, dass in der nächsten Zeit vermehrt echte Kommentare fälschlich als Spam erkannt werden.

Abhilfe

Es scheint fast, als könnte sich die relativ bequeme Zeit einer deutlich über 99%igen Spamerkennung durch Akismet dem Ende zuneigen. Aber natürlich heißt das nicht, dass die Spammer schon gewonnen hätten, sie machen uns allen nur das Leben schwerer. Die folgenden technischen Abhilfen sind selbst dann noch möglich, wenn Akismet signifikant unzuverlässiger wird:

  1. Captchas und vergleichbare Verfahren
    Ich würde von Captchas abraten, weil sie auch viele Menschen aussperren, aber dennoch keinen wirklich zuverlässigen Schutz bieten.
  2. Sperren ganzer IP-Bereiche
    Ungefähr 80 Prozent meiner Kommentarspam kommt über IP-Adressen aus Russland und China, der Rest zum großen Teil aus Südamerika. Nur ein Bruchteil stammt von Rechnern aus Westeuropa. Bei einem Blog in deutscher Sprache ist es durchaus eine Möglichkeit, für die Kommentarfunktion weiträumig IP-Bereiche auszusperren, auch wenn auf diese Weise einige echte Leser behindert werden. Auch dieser Schutz ist nicht zuverlässig, da die Skripten der Spammer relativ einfach Proxies benutzen könnten.
  3. Keine Homepage-Angabe mehr
    So lange der Spamlink nur als „Homepage“ angegeben wird, kann dieses Feld einfach in den Kommentaren und im Kommentarformular nicht mehr dargestellt werden – es ist sowieso bei Spammern beliebter als bei Menschen. (Ja, ich betrachte Spammer nur im biologischen Sinne als Menschen!) Es wäre zwar nur eine Frage der Zeit, bis die Spammer den Link wieder in den Text setzen, aber bis dahin ist bei jedem Kommentar mit einer angegebenen Homepage klar, dass es sich um eine Spam handelt.
  4. JavaScript-Lösungen
    Möglich sind auch technisch aufwändigere Lösungen, die in JavaScript realisiert werden. Der Preis dafür wäre allerdings, dass ausgerechnet jene vernünftigen Leser ausgesperrt werden, die angesichts der schier unbegrenzten Gier nach Tracking Wert auf ihre Privatsphäre im Internet legen und deshalb unter anderem JavaScript abschalten. Diesen Lesern mag zumindest ich keine Steine in den Weg legen.
  5. Kommentieren nur mit manuell bestätigter Registrierung zulassen
    Dies kann wirksam sein, baut allerdings eine sehr hohe Hürde vor einer an sich simplen Funktion, und ich würde mich niemals bei jemanden registrieren (und dafür womöglich noch Daten und eine Mailadresse angeben), nur um einen Kommentar verfassen zu können. Mein Postfach ist schon voll genug!
  6. Versuchen, es den Skripten der Spammer schwerer zu machen
    Zum Beispiel könnten die Eingabefelder für einen Kommentar andere Namen bekommen, die auch regelmäßig wechseln. (Die Uhrzeit der Erstellung muss dann zusammen mit den Feldern angegeben werden.) Für den menschlichen Anwender ist kein Unterschied feststellbar, aber der Spambot steht vor einem gewissen Problem, da er die Bedeutung der Felder nicht „erraten“ kann. Leider ist dieses Verfahren in WordPress nur schwierig mit einem Plugin durchzuführen. Andere Verfahren, bei denen schwierig reproduzierbare Zusatzinformationen unsichtbar transportiert werden, sind grundsätzlich auch in Form eines Plugins machbar und sollten einen guten Schutz gegen Spambots ergeben, so lange diese nicht lernen, auch damit umzugehen.

Vielleicht ein WordPress-Plugin?

Eventuell werde ich mich in den nächsten Tagen (realistische Leser denken hier: Wochen) mal ans Schreiben eines Plugins machen, das in zwei Zusatzfeldern im Kommentarformular voneinander abhängige Informationen transportiert, die nur anhand eines im Blog hinterlegten (und nach einem Angriff leicht zu änderdem) Geheimschlüssels überprüft werden können. Damit könnten einfache Bots ausgesperrt werden. Das grundsätzliche Verfahren sieht so aus.

  1. Der Blogbetreiber setzt in der Konfiguration einen geheimen Schlüssel ganz nach seinem Geschmack, etwa das Wort „ganzgeheim666″ – natürlich nicht dieses… 😉
  2. Im Idealfall erzeugt das Plugin bei seiner Installation aus Systemzeit, Blogname und einigen Merkmalen in der WordPress-Datenbank einen Vorgabeschlüssel, der nicht vorhersagbar ist. (Diese Aufgabe ist schwieriger, als man denken mag.) So stünde es sofort nach seiner Installation in sicherer Konfiguration zur Verfügung. Dem leicht zu machenden Fehler, dass ein derartiges Plugin unkonfiguriert verwendet wird, wäre wirksam begegnet.
  3. Wenn ein Kommentarformular erzeugt wird, denn hängt das Plugin an dieses Formular zwei unsichtbare Felder an: Ein Feld mit dem gegenwärtigen Timestamp bei der Erzeugung des Formulares (ja, es gibt Caching-Plugins, an die man wegen der bescheidenen Performanz einer WordPress-Installation denken muss), und ein zweites Feld, das aus Timestamp und Schlüssel einen Hash generiert, der nur reproduzierbar ist, wenn der Schlüssel bekannt ist.
  4. Wenn ein Kommentar eingetragen werden soll, denn prüft das Plugin, ob diese beiden Felder konsistent belegt sind – es kennt ja den Schlüssel und kann damit den Hash reproduzieren. Wenn dies nicht der Fall ist, denn handelt es sich immer um einen Spamkommentar. Ansonsten geht es weiter in der ganz normalen Kommentarverarbeitung.

Leider hat auch diese Idee einen Nachteil: Nichts hält einen Spambot davon ab, ebenfalls das gesamte Formular anzufordern und diese beiden Felder ebenfalls zusammen mit dem Spamkommentar abzusenden. Bislang sind die meisten Spambots „dumm“, aber das kann sich ändern, wenn bestimmte Abwehrmaßnahmen Verbreitung finden. Die Möglichkeit, dass die Artikelseite wegen der bescheidenen WordPress-Performanz optional auch aus einer Cache-Datei ausgeliefert werden könnte, macht es leider unmöglich, im Hash für das Kontaktformular die IP-Adresse des Lesers zu verbauen und beim Kommentar zu prüfen, was übrigens auch keine völlig Sicherheit geben würde. Eine sichere Abwehr von Kommentarspam scheint mir unmöglich, wenn sie ohne JavaScript funktionieren soll.

Wenn jemand eine gute Idee hat: Immer nur her damit!

Warum man nicht mit Google nach freien WordPress-Themes suchen sollte

Mittwoch, 12. Januar 2011

Was herauskommt, wenn fragwürdige Gestalten die Indizes der Suchmaschinen manipulieren, kann man frisch (und in englischer Sprache) im Blog von wpmu.org nachlesen.

Das Problem

Siobhan Ambrose gab einfach nur den Suchbegriff „free WordPress themes“ in Google ein und schaute sich einmal an, was in den Themes der ersten zehn Treffer an fragwürdigem Code enthalten ist – mit folgendem Ergebnis:

  • Nur eine Site bot WordPress-Themes mit sicherem, modernen Code an, der problemlos alle Features der aktuellen WordPress-Versionen unterstützt. Diese Site war die offizielle Website wordpress.org.
  • Eine weitere Site bot technisch veraltete WordPress-Themes an. Diese können zwar durchaus funktionieren, unterstützen allerdings keine aktuelleren Features wie Avatare, die Aufspaltung der Kommentare in Unterseiten, Galerien, Formatierungen der eingebetteten Bilder oder Schlagwörter. Sie wurden also seit Jahren nicht mehr an die Weiterentwicklung von WordPress angepasst. Wer diese Features nicht benötigt, kann diese Themes durchaus verwenden, wird aber Probleme bekommen, wenn die Ansprüche einmal steigen sollten. Es ist ja durchaus kein unüblicher Wunsch, ein linksbündiges Bild mit einer Bildunterschrift einzubetten.
  • Acht Sites boten Themes an, die Spamlinks auf diverse, teils sehr fragwürdige Websites enthielten. In der Regel waren diese Links base64-codiert, also so realisiert, dass sie beim Bearbeiten der Theme-Dateien nicht direkt sichtbar werden und auch nicht leicht vom Anwender zu verstehen und zu bearbeiten sind. Zuweilen waren die Links auch offene SEO-Spam, mit CSS im Blog unsichtbar gemacht, aber weiterhin sichtbar für die Bots der großen Suchmaschinen. Jemand, der halbwegs koschere Absichten hat, würde nicht zu derartigen Mitteln greifen. Darüber hinaus wurde in einigen Themes auch ausgesprochen fragwürdiger und ebenfalls verborgener Code auf dem Webserver ausgeführt, auf welchem das Blog betrieben wird – insbesondere wurden Daten von anderen Servern im Internet nachgeladen und in der WordPress-Datenbank abgelegt. Es handelt sich bei diesen Themes um Spam, SEO-Spam und zuweilen sogar um Schadsoftware.

Kurze Zusammenfassung: Die Suche „free WordPress themes“ in Google liefert überwiegend gefährliche, aufdringlich nach Spam und Bloghack schmeckende Ergebnisse schon auf der ersten Ergebnisseite. Ein naiver Benutzer, der sich auf Google verlässt, ist verlassen und verwandelt sein selbstgehostetes WordPress-Blog in eine Spamschleuder oder stellt gar seinen Webspace Gestalten zur Verfügung, die in meinen Augen besser mit einer Gefängniszelle bedient wären. Ein „hübscher“ Beleg für die Tatsache, dass Google für Produkt-Suchen aller Art völlig nutzlos geworden ist.

Was tun?

Was soll nun aber ein interessierter Blogger machen, der gern ein hübsches Theme hätte, wenn er sich nicht einfach „schnell“ eines selbst machen kann. Die wenigsten Menschen werden Lust haben, nur für diesen einen Anwendungsfall PHP, CSS und HTML in der erforderlichen Breite zu lernen – man hat ja auch noch ein „richtiges Leben“. Ein nützliches Feature von WordPress, nämlich die einfache Anpassung des Designs durch das Hochladen und Aktivieren eines fertigen Themes, ist nutzlos geworden, weil das Angebot von Verbrechern und fragwürdigen SEO-Idioten überflutet wird, die über dieses Einfallstor Schadsoftware und Spamlinks auf private Websites bringen. Ein weiterer Schaden der Spam an einer Stelle, wo zunächst derartige Schäden gar nicht vermutet würden.

Nun, guter Rat ist gar nicht so einfach.

Wer sich bei seiner Theme-Suche auf offizielle WordPress-Sites beschränkt, ist auf einer relativ sicheren Seite. Die Themes, die bei wordpress.org oder bei WordPress Deutschland angeboten werden, haben eine breitere Nutzergemeinde, und sollte es dort einmal jemanden gelingen, ein „verseuchtes“ Theme hochzuladen, so ist die Wahrscheinlichkeit hoch, dass ein derartiger Missbrauch schnell erkannt und in offener Diskussion erörtert wird, was zum schnellen Entfernen des dreisten Versuches führen würde.

Doch selbst an solchen Stellen ist eine gewisse Aufmerksamkeit angemessen. Ein WordPress-Theme ist immerhin ein Stück Software, mit dem es einem anderen, in der Regel relativ anonym bleibenden Menschen ermöglicht wird, Code auf einem Webserver auszuführen. Diese Möglichkeit ist für Verbrecher und Spammer ausgesprochen attraktiv – es können Anmeldedaten ausgespäht, Links gesetzt, illegale und kriminelle Downloads angeboten und sogar gebloggte Text nachträglich verändert werden, wenn es gelingt, Bloggern ein verseuchtes Theme unterzujubeln. (Genau das gleiche gilt übrigens auch für Plugins, aber hier werden die meisten Menschen aufmerksamer und deshalb weniger geneigt sein, ein Plugin aus „irgendeiner“ Quelle zu verwenden.) Letztlich ist es eine Design-Schwäche von WordPress, dass Themes aus ausführbarem Code bestehen, und jeder WordPress-Anwender muss mit dieser Schwäche leben.

Um etwas selbstverantwortliches Handeln kommt also niemand herum. Das ist die wohl allgemeinste Aussage, die in Bezug auf Spam getroffen werden kann. Einfache, automatisiche Verfahren zur Erkennung fragwürdiger Themes – es gibt derartige Plugins – können nur eine Ergänzung sein und sind insofern gefährlich, als dass sie ein trügerisches Gefühl von Sicherheit erzeugen können. Natürlich kennen die Halunken, die einem Blogger ein Spam-Theme andrehen wollen, diese Plugins auch und werden gegebenenfalls nach Lücken in den automatischen Scans suchen, sollten derartige Plugins jemals eine größere Verbreitung finden.

Die folgenden Tipps sind nicht vollständig und liefern keine 100prozentige Sicherheit, aber sie helfen doch gegen die Mehrzahl der Versuche, ein Theme zur Spam zu machen:

  1. Nach Möglichkeit auf offizielle WP-Sites zurückgreifen!
    Hier sind die Chancen am größten, dass die Themes (und anderer Code) sauber sind.
  2. Vor der Installation Google fragen!
    Hat sich der Anbieter dieses Themes einen schlechten Ruf erworben, wird in Foren darüber diskutiert, dass die angebotenen Themes mit Spamlinks oder Malware angereichert sind? Wenn ja, denn herrscht Alarmstufe Rot. Natürlich kann einmal eine Panne passieren, aber Themes aus einer derartigen Quelle sollten mit äußerster Vorsicht behandelt und im Zweifelsfall besser gemieden werden.
  3. Keine automatische Theme-Installation!
    Es ist wirklich einfach geworden, direkt aus dem WordPress-Dashboard heraus ein Theme zu installieren. Der Nachteil ist, dass man bei diesem Vorgang die Theme-Dateien nicht mehr zu Gesicht bekommt und gar keine Chance mehr hat, sie zu überprüfen. Sicher, die Themes kommen aus einer seriösen Quelle und werden hoffentlich kurz überprüft. Aber warum sollte grundlos vertraut werden, wenn eine Kontrolle möglich ist? Jemanden anders ein Theme installieren lassen, bedeutet, dass man diesem Jemanden das Privileg einräumt, Code auf dem Webserver der eigenen Homepage auszuführen – solche Privilegien kann man vielleicht einem persönlich bekannten Menschen gewähren, aber in einem anonymen, technischen und abstrakten Medium ist das immer gefährlich. Zum Beispiel ist der Server, von dem die Themes heruntergeladen werden, ein Ziel, das wohl mancher Kriminelle gern angreifen würde, um auf diese Weise Schadsoftware und Spam zu verbreiten. So ein Angriff kann auch einmal gelingen, und wenn er gut durchgeführt wurde, kann er sogar eine beachtliche Zeitlang unbemerkt bleiben¹.
  4. Den Quelltext des Themes anschauen!
    Der Quelltext besteht aus ganz normalen Textdateien, die man sich in jedem Editor anschauen kann – Windows-Anwendern empfehle ich übrigens die Installation des für „normale“ Menschen gut bedienbaren Editors Proton, da Notepad eher ein Not-Pädd ist – und sich einmal anschauen sollte. Selbst, wenn man kein PHP lesen kann. Kein Programmierer macht seinen Quelltext ohne Not kryptischer, als es sein muss. Wenn in einem Theme Variablennamen wie $D8A0OQXQ0, oder auch Zeichenketten wie "U2NoYWRjb2Rl" oder "Vpu ova rva fcnzzraqre Vqvbg" auftauchen², denn will ganz offenbar jemand etwas verbergen. Warum sollte man das tun? Es gibt keinen Grund dafür, in einem offenen Quelltext Dinge verbergen zu wollen. Es ist ein ganz sicheres Zeichen dafür, dass in diesem Theme Dinge geschehen, die ein Leser ohne besondere Kenntnisse nicht nachvollziehen können soll.
  5. Den Quelltext durchsuchen!
    Es gibt PHP-Funktionen, die in einem WP-Theme niemals benötigt werden und dort (in aller Regel) nichts zu suchen haben, aber sehr gefährlich sind. Das gilt insbesondere für fsockopen, urlencode, fread, fwrite, system, exec und eval. Die Suchfunktion des Editors kann solche Funktionsaufrufe recht schnell finden. Wer den Proton benutzt, sollte sich einmal das „dateiübergreifende Suchen“ anschauen³. Wenn eine der benannten Funktionen in den Themedateien auftaucht, ist das ein sehr starkes Indiz dafür, dass etwas nicht in Ordnung ist. Im Zweifelsfall sollte von der Verwendung des Themes Abstand genommen werden. Aber selbst, wenn derartige Funktionen nicht auftauchen, können immer noch spammige SEO-Links im Theme enthalten sein.
  6. Das Theme anschauen!
    Was für Links erscheinen im Theme? Ist da ein Link auf die Homepage oder ein Blog des Designers? Gut, diese Eigenwerbung sei ihm für sein Geschenk gegönnt. Ist da ein Reklame-Link auf irgendeinen kommerziellen Anbieter oder Dienstleister, der auf diese Weise in Google und Konsorten nach oben gebracht werden soll? Da stinkt schon gewaltig. Gibt es irreführend beschriftete Links? Nicht gut. Gibt es Links, die nur erscheinen, wenn man JavaScript eingeschaltet oder ausgeschaltet hat? Alarm! Niemand muss einen seriösen Link mit JavaScript verstecken.
  7. Das Theme genau anschauen!
    Zu guter Letzt sollte das Theme noch einmal ganz genau betrachtet werden, um mit CSS versteckte Links zu finden. Wer den Firefox als Browser verwendet – und wer tut das nicht – hat es relativ einfach. Im Menü Ansicht ▷ Webseiten-Stil gibt es die Option „Kein Stil“. Wenn sie aktiviert wird, denn wird für die Darstellung der Seite kein CSS verwendet. Nun können auch versteckte Links gut erkannt werden. Ein Link, der in dieser Ansicht sichtbar ist und beim normalen Betrachten nicht auffällt, ist ein deutliches Indiz dafür, dass hier persönliche Blogs in SEO-Spamschleudern verwandelt werden sollen. Von einem Klick auf derartige Links rate ich ab. Das Versteckspiel ist deutlich genug in seiner Botschaft, die sich nur an die Bots von Suchmaschinen richtet. Websites, die mit solchen Methoden nach oben gebracht werden sollen, sind Websites von fragwürdigen und oft kriminellen Zeitgenossen.

Ich hoffe, dass diese – wohlgemerkt: unvollständigen – Tipps vielen Menschen dabei helfen, Spam- und Malware-Themes für WordPress zu erkennen und zu meiden. Die meisten Versuche, jemanden unerwünschten Code in sein Blog zu schmuggeln, lassen sich mit den beschriebenen Methoden entdecken, ohne dass besondere Kenntnisse in PHP erforderlich wären. Wenn sie ein bestimmtes Theme unbedingt einsetzen möchten, sie sich aber nach dieser Lektüre und einigen Tests unsicher geworden sind, ob dies gefahrlos möglich ist, kann ich ihnen auch nur empfehlen, sich an jemanden zu wenden, der die Quelltexte verstehen kann. Zum Glück für uns alle gibt es ein Internet. Eventuell ist das Forum von WordPress Deutschland eine gute erste Anlaufstelle.

Spam verschwindet erst, wenn wir alle ihr keinen Raum mehr geben, die von den Spammern erwünschten Wirkungen zu entfalten.

¹Aber klar, ich weiß, was ein intrusion detection system ist. Ich hoffe auch, dass es eingesetzt wird. Ich weiß aber nicht, ob es eingesetzt wird. Außer den Serverbetreibern weiß das niemand. Wenn Vorkehrungen getroffen werden, denn wird dies nicht kommuniziert, wird für unerheblich gehalten. Man soll vertrauen. Blind und unwissend vertrauen. Allein bei dieser Haltung werde ich skeptisch.
²Beides sind übrigens keine willkürlich gewählten Texte… 😉
³Wer ein unixoides System benutzt, wird vielleicht mein kleines Shellskript mögen.

Wie der Nutzen Googles immer mehr abnimmt

Freitag, 7. Januar 2011

Eine der Auswirkungen jener Spam-Formen, die auf die Manipulation der Indizes von Suchmaschinen und insbesondere auf Google zielen – gern nicht als Manipulation oder Google-Spam, sondern als SEO verpackt, damit die Hinterhältigkeit nicht sofort in der Nase stinkt – ist es, dass die Google-Suchergebnisse immer nutzloser für Menschen werden, dass sie immer mehr ein Spiegelbild des technischen Aufwandes und der Könnerschaft im Spammen als ein Spiegelbild des Internet und der Relevanz werden. Wer gut Englisch lesen kann, sollte einmal einen Blick auf den Artikel bei marco.org: „Google’s decreasingly useful, spam-filled web search werfen.

Die hier etwas auf die Schnelle übersetzten Schnippsel aus diesem Text geben nur einen Einblick:

Die augenscheinliche Niederlage Googles gegenüber der Spam ist auch für mich frustrierend. Es handelt sich nicht um ein plötzlich eingetretenes Ereignis. Es hat sich über Jahre hinweg fortschreitend verschlimmert. […]

Im Verlauf der Jahre hat der Einfluss der Spam – vor allem Marketing über Affiliate-Programme und automatisch erzeugte Spam-Blogs¹ – die Nützlichkeit jeder Produktsuche dezimiert. Es ist unmöglich geworden, mit Google sinnvoll nach Produkten zu recherchieren. […]

Teilweise wird diese Situation noch bitterer durch die jüngste Explosion billiger „Content“-Projekte, die versuchen, jede jemals gestellte Suchanfrage zu beantworten. Ähnlich wie die Spam für Affiliate-Marketing scheint zwar ein Gutteil davon von Menschen (im technischen Sinne – ich würde diese Leute nicht so einordnen) generiert zu sein, aber das Ergebnis ist nutzlos: Es sind Sites wie About (punkt) com, eHow und unzählige Ebenbilder in der .info-Domain, die zwar verheißen, noch für jede Nischenfrage die richtige Adresse zu sein, deren Inhalt jedoch jegliche Qualität und Substanz abgeht.

Google wurde einst so entworfen, dass es die Rolle eines passiven Beobachters des Internet spielt: Die Inhalte im Web wurden für Menschen erstellt, nicht für spezielle Anfragen an Google, und Google sollte sich umschauen, eine Aufstellung dessen erstellen, was verfügbar ist und hieraus den Menschen geben, wonach sie fragen. Die allgemeinen Algorithmen Googles, die ein derartig großes Bild erstellen, wurden wahrscheinlich nicht mehr stark verändert, nachdem sie einmal relativ zutreffende Ergebnisse erbrachten.

Doch so sehen die Inhalte im Internet nicht mehr aus. Inzwischen werden enorme Mengen von Websites erstellt, die im technischen Sinne keine Spam sind, sondern von Kleingeld-hungrigen Affiliate-Verramschern und heruntergekommenen Web-“Content“-Startups betrieben werden, nur, um massenhaft auf die Google-Suchbegriffe zu zielen. Diese Projekte schlürfen die Inhalte anderer Menschen auf oder bezahlen billige Arbeitskräfte dafür, dass sie formelartige und wenig nahrhafte Seiten aufschäumen, um darin die Suchbegriffe zu beantworten.

Etwas in Google suchen – das ist so geworden, als stellte man eine Frage auf einem überfüllten Flohmarkt hungriger, verzweifelter, schäbiger Kaufleute, von denen jeder einzelne behauptet, dass er die Antwort auf jede Frage hat, die gestellt werden könnte. […] Und natürlich: Kein einziger von ihnen hat eine verdammte Ahnung von der Sache, nach der eigentlich gefragt wurde. Sie bieten nur bedeutungs- und wertlose Wörter an, die nur so lange Sätze zu formen scheinen, bis jemand tatsächlich einmal versucht, diese Aussagen zu benutzen.

Sie nennen es „Content“. Aber es ist etwas völlig anderes, es ist Füllmasse. Und nimmt man eine Definition, die dem gesunden Menschenverstand näher kommt, ist es Spam. […]

Originaltext veröffentlicht von Marco Arment unter den Bedingungen der Creative Commons Attribution 3.0 U.S. License.

Nachtrag: Kaum habe ich diesen kleinen Hinweis online gestellt und wollte mal die Kommentare überfliegen, schon sehe ich so eine sinnlose, amöbenhafte Spam-Seite in meinen Trackbacks. 🙁

Noch mehr: Und beim Blah fanden sich diese beiden Hohlkopfprodukte mit ihren Spamtrackbacks schon auf der ersten Übersichtseite des Spamfilters. Und da kommen noch ein paar Seiten. Aber nein, noch mehr Nachträge mache ich nicht.

¹Ich bin mir nicht sicher, ob das handliche englische „splogs“ auch im Deutschen üblich und allgemein verständlich ist.

Phishing-Radar

Mittwoch, 29. Dezember 2010

Die lobende Erwähnung des Tages, auch wenn ich zurzeit nur wenig Hoffnung in eine derartige Maßnahme habe und wenn ich beim täglichen Überfliegen der Spam sehe, dass Phishing über E-Mail stark im Rückzug begriffen ist:

Ministerium startet 'Phishing-Radar' gegen Gauner-Mails -- Das Bundesverbraucherministerium und die Verbraucherzentrale NRW haben im Kampf gegen betrügerische E-Mails (Phishing-Mails) ein Online-Forum gestartet. In dem 'Phishing-Radar' können Verbraucher die Betrüger-Mails einstellen, um andere Nutzer zu warnen. Die Verbraucherzentrale NRW verbreitet zudem Warnungen vor den Phishing-Mails. -- Beim Phishing verschicken Betrüger zum Beispiel unter dem Namen einer Bank E-Mails. Sie fordern User dazu auf, PIN- oder TAN-Nummern vom Online-Banking einzugeben. Das Phishing-Radar im Internet: www.verbraucherfinanzwissen.de

Quelle der Meldung ist – wie man leicht sieht – der Videotext des ZDF.

Ich halte mich mit meinem Kopfschütteln über den eher ungeeigneten Domainnamen mal zurück und glaube, dass selbst so eine relativ hilflos anmutende Maßnahme von offizieller Seite immer noch besser als das bisherige gar nichts ist und deshalb gibt es hier auch den Link, den das ZDF für das Phishing-Radar angegeben hat.

Nachtrag: Dieser Direktlink ist möglich – und kommt hier jetzt auch in die Linkliste. Ein Dank an die Forenbetreiber…

Übrigens ist diese Forum so gemacht, dass man es nur mit Mühe direkt verlinken kann – kein Wunder, dass da auch das ZDF keine bessere Möglichkeit gesehen hat, als auf eine einfache Nachrichtenübersicht zu verlinken.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.