Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Informatives“

Theme-Spam in Webanwendungen

Sonntag, 23. August 2009

Spam nimmt viele Wege, nicht nur die Mail und den Blogkommentar. Eine wichtige Form von Spam ist es, Links auf fragwürdige Websites zu setzen, um auf diese Weise das Google-Ranking für diese Website zu manipulieren. Natürlich geschieht so etwas meist über Gästebücher, in Foren oder in Blogkommentaren, aber es geht auch anders, subtiler, hinterhältiger.

Ein Anwender der Forumsoftware bbPress hat sich etwa aus einer wohl sehr fragwürdigen Quelle ein Theme heruntergeladen, dessen Dateien mit folgendem Code „angereichert“ wurden:

<script language=“javascript“>
document.write(‘<style> #a1dd122 { margin: -40000px; position: absolute; text-align:right; } </style>‘);
</script>[Link entfernt…]Cialis 20mg

Der im Zitat entfernte, auf den Text „Cialis 20mg“ gelegte Link ging natürlich auf eine (französische) Website, die vorgibt, dass man dort gewisse Medikamente kaufen könnte. Wenn jemand dieses Theme für bbPress heruntergeladen hat und für sein Forum verwendet, denn gibt er den Halunken, die ihm so etwas heimlich unterjubeln, unsichtbare Links auf ihre kriminellen Websites. Diese Links sind aber nur für die meisten menschlichen Leser unsichtbar (wer einen Browser wie Lynx benutzt, sieht sie in jedem Fall), während sie von den Suchmaschinen ausgewertet und bei der Beurteilung der so verlinkten Seite berücksichtigt werden.

Und die gleiche Sauerei geht natürlich auch mit Themes für WordPress, beliebte Forensoftware, Serendipity, CMS wie Joomla und generell für jede themefähige Webanwendung. Und natürlich lassen sich auch Plugins in der gleichen Weise dazu verwenden, irgendwo einen kleinen SEO-Link auf die Website von fragwürdigen Zeitgenossen oder gar richtigen Verbrechern in anderer Leute Websites einzubauen. Da hilft dann auch kein noch so guter Spamfilter mehr, die Spam ist fester Bestandteil der eigenen Website geworden.

Da die wenigsten Menschen ihre Themes oder Plugins völlig selbst schreiben oder auch nur den Code eines Themes verstehen und beurteilen können, ist es gar nicht einmal schwierig, so eine Spam unter die Leute zu bringen. Es reicht aus, wenn entsprechend verseuchte Themes oder Plugins zum freien Download irgendwo angeboten werden, sie werden schon gefunden. Hier macht es nicht unbedingt die Masse, einige hundert Anwender der Spam-Themes reichen völlig aus, um eine auf diese Weise für Google relevant gemachte Website bei entsprechenden Suchbegriffen in der Ergebnisliste nach oben zu bringen, und mehr wollen solche Halunken nicht.

Für einen von derartiger Theme- oder Plugin-SEO-Spam betroffenen Menschen kann ein solcher Link sehr nachteilhaft sein. Zum einen ist jeder Sitebetreiber dafür haftbar, wenn seine Website Links auf kriminelle Websites enthält, zum anderen kann der so untergejubelte Verweis auf eine Schleuder für Schadsoftware auch schnell dazu führen, dass das eigene Projekt von Google abgestraft und als „gefährlich“ gekennzeichnet wird, was einer völligen Unsichtbarkeit des eigenen Forums, Blogs oder der eignen Website gleich kommt.

Wie kann man sich davor schützen?

Der beste Schutz gegen diese Form der Spam ist es, alles Themes und Plugins selbst zu schreiben. Das dürfte allerdings für viele Menschen inakzeptabel sein, da es mit unsinnig hohem Aufwand verbunden ist, da hierfür programmiert werden muss und da es passende und frei verfügbare Themes und Plugins bereits gibt, die auf ihren Einsatz warten. Niemand möchte noch einmal das Rad von Neuem erfinden.

Der zweitbeste Schutz, der für viele Menschen der beste mögliche Schutz sein wird, besteht darin, dass man alle Themes und Plugins ausschließlich über offizielle oder sehr vertrauenswürdige Download-Sites bezieht. Um zu prüfen, ob eine nicht ganz offizielle Download-Site für Themes und Plugins vertrauenswürdig ist, bleibt einem normalen Anwender kein anderes Mittel als die Suche nach Erfahrungen anderer Anwender.

Selbst bei einer zuverlässigen Quelle der Dateien ist noch eine gewisse Skepsis angemessen.

Deshalb ist es empfehlenswert, die eigene Website einmal so zu sehen, wie sie von einer Suchmaschine „gesehen“ wird, also in einer Form, in der keinerlei Inhalte versteckt sind. Die untergeschobenen Spamlinks sind dann sichtbar.

Dies kann man etwa mit einem textbasierten Webbrowser wie Lynx erreichen – dieser Browser erweist sich übrigens auch in anderen Situationen als nützliches Werkzeug, etwa, um damit zu beurteilen, wie ein Blinder oder schwer körperbehinderter Mensch eine Website „sieht“. In vielen Fällen ist die Barrierefreiheit einer Website wünschenswert und wichtig genug, so dass man darauf achten möchte.

Leider ist Lynx für viele Menschen etwas „schwierig“.

Doch es gibt noch eine andere Möglichkeit, eine Website so zu sehen, wie sie eine Suchmaschine sieht. Hierfür bedarf es des Webbrowsers Opera. dessen moderne Benutzerführung einem „normalen“ Anwender mit Konzepten begegnet, die ihm vertraut sind. Zu den wenig genutzten Features dieses Browsers gehört ein so genannter „Benutzermodus“, in welchem Websites ohne ihre vom Designer vorgesehene Gestaltung dargestellt werden.

Um einen Test der eigenen Website mit Opera durchzuführen, sollte zunächst JavaScript abgestellt werden, um das nachträgliche Verstecken eines eingeblendeten Links über JavaScript zu unterdrücken. (Die Suchmaschinen werten keine Skripte aus.) Dann in den Benutzermodus schalten und die eigene Website aufrufen. Das sieht zunächst ungewohnt aus, aber eine Suchmaschine oder ein Blinder „sieht“ die Inhalte genau so, frei von jeder visuellen Gestaltung. Und kunstvoll versteckte Links in Themes oder Plugins werden auch sichtbar.

Ein solcher Test ist sehr einfach, er geht schnell, er erfordert keine speziellen Kenntnisse und er kann viel unnötigen Ärger ersparen.

Außerdem: Wer möchte schon gern mit seinem eigenen Projekt im Internet die Pläne von Spammern, fragwürdigen „Apothekern“, Anbietern betrügerischer Glücksspiele oder Verkäufern nicht lizenzierter Software fördern? Deshalb sollte jeder einmal sein Blog, sein Forum oder seine Website auf diese Weise testen, wenn Code aus fremden Quellen darin verbaut ist. Dies gilt im besonderen Maße, wenn Themes oder Plugins von nicht offiziellen Websites darin verbaut sind.

Leseempfehlung zum Euro VIP Casino

Samstag, 8. August 2009

Die wohl vollständige Aufklärung darüber, was es mit diesem unter ständig wechselnden Namen und Internet-Adressen auftretenden Euro VIP Casino und seinem Geschäftsmodell auf sich hat, wird in den Memoiren des Josh K. Phisher gegeben. Da ich selbst noch nie auf die Idee gekommen bin, die Zugangssoftware auf irgendetwas zu installieren (ich besitze keinen unter Microsoft Windows laufenden Rechner), habe ich doch ziemlich falsche Annahmen über das wirkliche Geschäftsmodell gemacht… 😉

Nun gut, Irren ist menschlich.

Wer hätte sich auch ohne genauere Untersuchung denken können, dass da im Hintergrund ein ganz anderer Internet-Zockladen namens „Magic Box Casino“ auftritt, der „natürlich“ gar nichts mit dieser unerträglichen Spampest zu tun hat, sondern einfach nur davon profitiert, dass andere die illegale Spam in die Postfächer stopfen und dafür eine Provision erhalten, die offenbar völlig unabhängig von der Legalität der angewendeten Werbeformen ist. Wenn den Betreibern des „Magic Box Casinos“ die Form der angewendeten Werbung nicht gleichgültig wäre, gäbe es die ganze Spam vom Euro Royal Magic Jackpot Dice Vegas Club VIP Vegas Casino Kasino Kazyno nicht mehr, denn ich kann mir nicht vorstellen, dass sich in den vergangen 24 Monaten niemand bei einem „Unternehmen“ beschwert haben sollte, dass von dieser Spam ganz unmittelbar profitiert. Das ist denen in ihrer Zauberschachtel scheißegal, auf welche Weise die Leute dazu gebracht werden, dass sie sich Software installieren und Geld überweisen. Hauptsache, der Rubel rollt!

Unbedingte Leseempfehlung: Zu Besuch im Euro VIP Casino in den Memoiren des Josh K. Phisher

Völlig überflüssig zu erwähnen, dass es sich trotz dieser Klärung immer noch um ein in der BR Deutschland illegales Glücksspiel handelt, bei dem schon die Teilnahme strafbar ist. Wenn man von einem solchen Anbieter also so richtig abgezockt und beschissen wird, hat man nur wenig Chancen, sich dagegen zur Wehr zu setzen – falls man es in diesen völlig intransparenten und durch nichts und niemanden kontrollierten „Spielen“ überhaupt bemerkt. Genau das gleiche gilt übrigens für alle anderen Anbieter von Internet-“Glücksspielen“ jenseits der in der BR Deutschland geltenden Gesetze und Verordnungen.

Deshalb: Finger weg vom „Glücksspiel“ im Internet! Das gilt im besonderen Maße, wenn eine solche „Spiel“-Möglichkeit zu allem Überfluss mit massenhafter krimineller Spam beworben wird. Es ist nicht legal, man ist als Spieler entrechtet und jede nur erdenkliche Form des Betruges ist für die Betreiber problemlos möglich.

Immer mehr PayPal-Phishing

Sonntag, 14. Juni 2009

Die Tatsache, dass es sich hier um eine mittlerweile uralte Nummer im Betrug handelt, bedeutet leider noch lange nicht, dass auch jeder die betrügerische Absicht erkennt. Die bloße Menge derartiger Versuche in den letzten Tagen ist Grund genug, noch einmal deutlich zu warnen.

Da kriegt man eine Mail, angeblich von „PayPal“, mit dem schröcklichen Betreff „Account Has Been Limited“ mit erschreckenden Hinweisen, beinahe so, als hätte jemand versucht, den Account zu hacken:

Security Center Advisory!

PayPal is constantly working to ensure security by screening accounts daily in our system. We recently reviewed your account, and we need you to verify information to help us provide you with secure service. Until we can collect this information, your access to sensitive account features will be limited or terminated. We would like to restore your access as soon as possible, and we apologize for the inconvenience.

Why is my account access limited?

Your account access has been limited for the following reason(s):

June 09, 2009: We have reason to believe that your account was accessed by a third party. Because protecting the security of your account is our primary concern, we have placed limited access to sensitive PayPal account features. We understand that this may be an inconvenience but please understand that this temporary limitation is for your protection.

Hinter der formellen Sprache und dem etwas alarmierenden Einstieg „Security Center Advisory“ wird allerdings verborgen, dass der Empfänger dieser Mail nicht persönlich angesprochen wird. Das können die Spammer auch gar nicht, denn dieser Schrieb geht wie Schrotmunition millionenfach raus, sogar an Menschen, die gar kein Konto bei PayPal haben. Auch die Tatsache, dass diese Mail gar nicht von PayPal kommt, sondern (in diesem einen Fall) von einer Mailadresse der Domain 3033000424.com, kann ein alarmierter Empfänger leicht übersehen – um dann in geistloser Panik der folgenden Aufforderung Genüge zu tun:

Click here to Remove Account Limitations

Completing all of the checklist items will automatically restore your account to normal access.

Der anklickbare Link führt nicht auf die Homepage von PayPal. Auch die folgenden Links…

Thank you for using PayPal! The PayPal Team

Please do not reply to this e-mail. Mail sent to this address cannot be answered. For assistance, log in to your PayPal account and choose the „Help“ link in the footer of any page.

To receive email notifications in plain text instead of HTML, update your preferences here.

PayPal Email ID PP186

…haben – ganz genau wie diese betrügerische Mail – nichts mit PayPal zu tun. Sie führen im Original auf eine Seite, die unter einer reichlich kryptischen URL abgelegt ist und die so gestaltet ist, dass man sie auf dem ersten Blick für die Login-Seite von PayPal halten könnte. Wer in die Adresszeile seines Browsers schaut, wird freilich merken, dass es sich nicht um PayPal handelt. Dort „darf“ das Opfer dann seine Mailadresse und sein PayPal-Passwort eingeben und glauben, dass es sich damit „anmeldet“, in Wirklichkeit kommen jedoch die Verbrecher aus der Spam-Mafia in den Besitz dieser Daten und werden fortan über das auf diese Weise geenterte PayPal-Konto ihre betrügerischen Geschäfte machen. Je nach individueller Konfiguration in PayPal kann der daraus entstehende Schaden immens sein, er beläuft sich jedoch auch im harmlosesten Fall auf einige hundert Euro. Geld, mit dem man sicherlich etwas besseres anfangen möchte, als es solchem menschlichen Abschaum in den Rachen zu werfen.

Die folgenden Hinweise am rechten Rand der HTML-formatierten Mail sind reinste Realsatire…

Protect Your Account Info

Make sure you never provide your password to fraudulent persons.

PayPal automatically encrypts your confidential information using the Secure Sockets Layer protocol (SSL) with an encryption key length of 128-bits (the highest level commercially available).

PayPal will never ask you to enter your password in an email.

For more information on protecting yourself from fraud, please review our Security Tips at www.paypal.com/securitytips

Protect Your Password

You should never give your PayPal password to anyone, including PayPal employees.

…denn wenn man der Aufforderung in dieser Phishing-Mail gefolgt ist, hat man genau das getan, wovor gewarnt wird: Man hat sein Passwort an betrügerische Schurken gegeben.

Wer auf diese kriminelle Masche reingefallen ist, sollte sofort Kontakt mit PayPal aufnehmen, um den Schaden zu begrenzen – und eine Strafanzeige wegen Betruges erstatten. Es ist zwar nicht zu erwarten, dass diese Verbrecher jemals ermittelt und vor ein Gericht gestellt werden, aber ohne die Strafanzeige geschieht eben gar nichts. Wenn sich die eigene Bank oder PayPal nicht als kulant erweisen, wird man die erlittenen finanziellen Verluste wohl hinnehmen müssen.

WICHTIGE HINWEISE GEGEN PHISHING

Der beste Schutz gegen Phishing ist ein ruhiger und besonnener Verstand bei allen Arbeiten am Computer. Dieser kann durch nichts ersetzt werden.

Immer daran denken, dass jeder mit dem Internet verbundene Rechner ein potenzieller Opfer-Rechner ist. Ob ein bestimmter Rechner angesichts einer gewaltigen und einträglichen Kriminalität auch wirklich zum Opfer wird, hängt in erster Linie vom Menschen ab, der mit diesem Rechner arbeitet. Vertrauen gegenüber einem unbekannten und nicht klar identifizierbaren Gegenüber ist oft eine gefährliche Haltung, und blindes Vertrauen – vor allem, wenn es dabei um Geld geht – eine dumme. Augen auf im Datenverkehr!

Weder das Design einer Mail noch der angegebene Absender einer Mail geben zuverlässigen Aufschluss über die wirkliche Herkunft. Das Design einer beliebigen Unternehmung kann mit sehr geringem Aufwand nachgeahmt werden, die Adresse des Absenders einer Mail kann beliebig gefälscht werden. Bei einer unsignierten Mail ist der Absender niemals bekannt.

Ein Internet-Betrüger legt es auf Überrumpelung an, da er mit ruhigem und besonnenem Verstand meist schnell als Betrüger erkannt würde. Deshalb stehen in typischen Phishing-Mails häufig alarmierende Dinge und Warnungen vor unerwünschten Folgen, wenn der Empfänger nicht schnell reagiert, zum Beispiel die Sperrung von Online-Diensten einer Bank oder sonstige Einschränkungen einer oft täglich benutzten Funktion. Beim Lesen solcher Passagen niemals in Alarmstimmung kommen, sondern ruhig und besonnen bleiben! Dies gilt besonders dort, wo es direkt (etwa bei PayPal oder einer Bank) oder indirekt (etwa bei eBay) um Geld geht. Auf keinen Fall unüberlegt in einer solchen Mail herumklicken! Wo die Betrüger eine Beschleunigung wollen, um der Vernunft seiner Opfer keine Chance zu lassen, sollte man selbst um Entschleunigung bemüht sein. Nichts ist so heiß, wie es gekocht wird.

Die zurzeit zuverlässigste Möglichkeit, eine Phishing-Mail zu erkennen, ist gleichzeitig auch die einfachste – das ist angenehm. Der Empfänger wird nicht persönlich und namentlich angesprochen. Keine Bank und kein anderes Unternehmen würde auf die persönliche Ansprache der Kunden verzichten. Wo eine solche Ansprache fehlt, handelt es sich immer um einen Betrugsversuch. Natürlich kann man bei einem international tätigen Unternehmen wie PayPal auch davon ausgehen, dass man im Falle eines Falles immer in seiner eigenen, bei PayPal konfigurierten Muttersprache angemailt würde.

Auch, wenn eine vergleichbare Mail mit persönlicher Ansprache kommt, vorsichtig bleiben! Auf dem Schwarzmarkt befinden sich etliche vollständige Adressdatensätze mit weiteren persönlichen Angaben, die von den Verbrechern benutzt werden könnten. Wenn irgend etwas ungewöhnlich an der Mail, an ihrem sprachlichen Stil, an ihrem Design ist, immer telefonische Rücksprache halten! Niemals einen Link in einer derartigen Mail anklicken, sondern immer die gewohnte Adresse von Hand in den Browser eingeben, um weitere Aktionen durchzuführen! Vertrauen mag in einer Ehe oder in einer persönlichen Freundschaft gut sein, im Internet ist es unangemessen.

Aus dem letzten Punkt ergibt sich eine weitere, an sich sehr einfache Prävention gegen verfeinerte Betrügereien mit Phishing: Niemals sorglos persönliche Daten rausgeben, die dann zur Handelsware werden können! Weder bei Umfragen am Telefon, noch bei einem Preisausschreiben, noch zur Teilnahme an einem Dienst im Internet, noch für irgendwelche obskuren Rabattsysteme. Wenn sich die Angabe von persönlichen Daten nicht völlig vermeiden lässt, denn wenigstens dafür Sorge tragen, dass diese Daten niemals mit der tatsächlich benutzten Mailadresse zusammengeführt werden können, um einem gerissenen Betrüger eine namentliche Ansprache zu ermöglichen. Wo es um die Angabe von Mailadressen geht, kann man sich mit Leichtigkeit bei einem der vielen derartigen Dienste eine kostenlose Mailadresse beschaffen, die man für keinen anderen Zweck nutzt und einfach wegwirft, wenn sie nicht mehr gebraucht wird. Der „Datenschutz“ ist im Zweifelsfall nicht das Papier wert, auf dem die Zusicherungen gedruckt werden.

Es ist ein guter Schutz, wenn man für die Internet-Adressen seiner Bank, eines Dienstes wie PayPal oder eines Auktionshauses wie eBay keine Lesezeichen (oder beim Internet-Explorer: „Favoriten“) anlegt, sondern diese Adressen stets von Hand tippt. Die Browsereinstellungen können relativ leicht durch kriminelle Manipulation verändert werden. Auf Windows-Systemen ist dieser Schutz allein aber noch nicht ausreichend, da ein krimineller Angreifer (unter anderem) auch eine Hosts-Datei ablegen kann, um diese Adressen zu anderen Servern im Internet umzuleiten. Um dies zu erschweren, sollte man für seine Online-Tätigkeiten niemals ein Benutzerkonto mit administrativen Berechtigungen verwenden. Desweiteren sollte das Mailprogramm, der Browser und andere Internet-Software stets auf einem aktuellen Stand sein, um den Angreifern möglichst wenig Angriffsfläche durch bekannte Fehler und Schwächen zu bieten – und so weit wie möglich, sollte auf den Internet-Explorer verzichtet werden. Die Kombination dieser relativ einfachen Verhaltensweisen zusammen mit einem ruhigen und besonnenen Verstand liefert einen sehr viel besseren Schutz als alle diese Programme, die ihren Anwendern in der Reklame mühelose „Sicherheit“ versprechen.

Ein weiterer, ebenfalls guter Schutz ist es, wenn man für seine Bankgeschäfte, für PayPal und für andere geschäftliche Zwecke jeweils eine spezielle Mailadresse verwendet, die man in keinem anderen Zusammenhang benutzt und die deshalb nicht in die Listen der Spam-Mafia kommen kann. So wird schon an der Empfängeradresse einer Phishing-Mail häufig klar, dass es sich um einen Betrugsversuch handelt. Mailadressen lassen sich bei etlichen Diensten kostenlos einrichten, und für diesen speziellen Zweck muss es sich – anders als im Alltagsgebrauch – nicht um eine besonders einprägsame Adresse handeln. Ganz im Gegenteil, je schwieriger der Aufbau der Adresse für einen Spammer zu erraten ist, desto sicherer ist eine derartige Adresse gegen Phishing.

Sollte man eine Phishing-Mail bekommen, so sollte diese immer an das angeblich absendende Unternehmen weiter geleitet werden (also nicht an die Absenderadresse), damit wenigstens eine Chance besteht, dass Kunden vor dem laufenden, massenhaften Betrug gewarnt werden. Auch erhält das betroffene Unternehmen die Möglichkeit, nach auffälligen Transaktionen Ausschau zu halten und diese gegebenenfalls zu stoppen, wenn es nur von einer aktuellen Phishing-Attacke Kenntnis erhält. Beides geschieht zwar eher selten, aber wenn das Unternehmen gar keine Chance erhält, wird es eben nie passieren – und darüber freuen sich nur die Betrüger. Leider sind die ganzen Sorgfaltspflichten zurzeit einseitig den Kunden solcher Unternehmen aufgebürdet, aber dennoch kann PayPal kein Interesse daran haben, dass sein Ruf als Unternehmen dadurch beschädigt wird, dass dort immer wieder Kunden um teils erhebliche Beträge betrogen werden.

Ganz wichtig: Andere Menschen müssen aufgeklärt werden! Gehen sie nicht zur Tagesordnung über, sondern sprechen sie über solche Angriffe und über einen möglichen Schutz vor solchen Angriffen! Das Internet ist keine Spielwiese der Freaks mehr, bei denen man doch einen gewissen Kenntnisstand voraussetzen konnte, es ist ein Massenmedium, an dem ein großer Teil der Bevölkerung teilhat. Die meisten dieser Menschen sind relativ ahnungslos, und das ist die Chance der Schurken, die diese Menschen betrügen wollen. Da eine solche Aufklärung nicht von den etablierten Massenmedien geleistet wird, müssen wir uns darum kümmern. Besser wäre es, die Tageszeitung würde vor einem gefährlichen Internet-Betrug genau so warnen wie vor einer Bande von Trickbetrügern, die von Haustür zu Haustür streifen, aber das ist zurzeit nicht der Fall. Dass die etablierten Massenmedien in dieser Sache ihrer Verantwortung nicht nachkommen, entbindet aber nicht uns. Deshalb sprechen sie in ihrem persönlichen Umfeld über gefährliche Betrügereien, die ihnen begegnet sind, bloggen sie darüber, und zeigen sie Wege zum Schutz gegen derartige Schweinereien auf. Erst, wenn die betrügerische Spam – und das ist jede Spam, nicht nur Phishing – keinen Erfolg mehr verspricht, wird diese Pest des Internet aufhören.

Feedjit als Ursache der Refererspam?

Samstag, 2. Mai 2009

Mir (und nicht nur mir) ist in den letzten Tagen eine auffällige Zunahme der Referer-Spam in verschiedenen Internet-Projekten aufgefallen, um die ich mich kümmere.

Ich vermute, dass nicht jeder Leser weiß, was „Referer-Spam“ ist, deshalb eine kurze Erklärung.

Wenn der Browser eine Seite (oder eine beliebige andere Datei) von einem Webserver anfordert, muss er dem Webserver natürlich irgendwie mitteilen, welche Datei er haben will. Der Webserver sendet daraufhin eine Antwort, die im Regelfall von den angeforderten Daten gefolgt wird – es gibt aber noch weitere mögliche Antworten des Webservers im Falle eines Fehlers, bei einer Weiterleitung und noch vieles mehr, und diese in geeigneter Weise zu behandeln, obliegt wieder dem Browser. Damit sich die beiden, oft auf völlig verschiednen Betriebssystemen laufenden Programme, der Browser und der Webserver, untereinander verstehen, muss diese Form des Datenaustausches geregelt sein.

Ein kleiner Einschub:  Der Begriff „Webserver“ ist für viele „normale“ Menschen, die sich nicht mit solchen Biestern auseinandersetzen müssen, oft ein bisschen verwirrend. Die Umgangssprache versteht unter einem „Webserver“ meist einen Computer, der am Internet hängt. In technischer Ausdrucksweise ist ein Server aber kein Computer, sondern eine Software, die auf einem Computer läuft. Die beiden Begriffe geraten deshalb leicht einmal durcheinander, was dazu führt, dass eigentlich einfache technische Aussagen völlig missverstanden werden. Ich verwende hier die technische Ausdrucksweise, meine mit dem Begriff „Webserver“ also das Programm, das Anfragen aus dem Internet behandelt und hoffentlich fehlerfrei abarbeitet.

Eine solche Regelung des Datenaustausches nennt man ein „Protokoll“. Dieses Wort ist nicht im Sinne eines Protokolles zu verstehen, das nachträglich ein Ereignis festhält und beschreibt, sondern eher im Sinne eines „diplomatischen Protokolles“, das die Einzelheiten eines Vorganges der Begegung regelt und strukturiert. Solche Protokolle sind nicht nur in der Diplomatie eine penible Angelegenheit, auch die technischen Protokolle sind recht penibel und sehr genau ausgearbeitet. Das Protokoll, dem Browser und Webserver in ihrer Kommunikation folgen, nennt sich Hypertext Transfer Protocol (abgekürzt: HTTP) – und wer tiefere Erkenntnis wünscht, kann gern einmal einen Blick in die technische Spezifikation werfen. Das ist genau die Form der „Literatur“, die niemand gern liest, die ein Programmierer aber manchmal lesen muss.

Wenn der Browser eine Datei vom Webserver anfordert, macht er eine Menge Angaben. Die wichtigste Angabe ist der relative Pfad der Datei im Verzeichnis des Servers, sonst wüsste der Server ja nicht, welche Daten er ausliefern soll.  Aber das ist nicht die einzige Angabe, der Browser gibt unter anderem auch an, welche Dateitypen er akzeptiert, ob die Datenübertragung komprimiert sein kann und welche Sprache für Textdokumente gewünscht ist.

Eine dieser zusätzlichen, aber nicht unbedingt erforderlichen Angaben des Browsers gegenüber dem Webserver ist der Referer. Es handelt sich um eine Angabe, von welcher anderen Adresse im Internet auf die angeforderte Datei verwiesen wurde. Übrigens würde das korrekte englische Wort „Referrer“ (mit doppeltem „r“) lauten, aber bei der erstmaligen Spezifikation des HTT-Protokolles wurde das Wort falsch geschrieben, und dieser Fehler ist dann zur Regel geworden. Obwohl diese Angabe nichts mit dem eigentlichen Datentransfer zu tun hat, ist sie für einen Webmaster recht sinnvoll, denn so erfährt er, wo sein kleines (oder großes) Internet-Projekt verlinkt wird und mit welchen Suchbegriffen es über Suchmaschinen gefunden wurde. Jedes Statistik-Tool für Webmaster wertet diese Angabe aus, denn das gibt Aufschluss über die Verlinkung und Auffindbarkeit und damit über die Sichtbarkeit des Projektes im Internet.

Es gibt aber auch immer wieder Websites, deren Betreiber sich entschließen, die Referer öffentlich anzuzeigen. Auf diese Weise soll auch für Leser einer Website sichtbar und sogar anklickbar werden, welche Websites einen Link gesetzt haben – der Link soll quasi zurückgegeben werden.

Das wäre an sich eine feine Sache, wenn es keine Spam gäbe.

Denn natürlich kann auch das Skript eines Spammers HTTP zum Webserver „sprechen“, um auf diese Weise über einen angegebenen Referer eine meist eklig-schlüpfrige Website offen auf einer „harmlosen“ Site zu verlinken. Ein solches Skript zu schreiben, würde mich weniger als 15 Minuten meiner Lebenszeit kosten, es handelt sich also auch um eine in ihrer Durchführung sehr einfache Form der Spam. Da man eine kriminelle Website schnell und ohne große Schmerzen auf einen anderen Server umziehen kann, ist es auch kaum möglich, mit einer Blacklist gegen diese Form der Spam vorzugehen. Wer seine Referer auf der Website offen darstellt, ist der Referer-Spam schutzlos ausgeliefert, er kann sich sogar nach gegenwärtiger Rechtsauffassung in der BR Deutschland wegen offener Links auf kriminelle Angebote strafbar machen.

Als Blogs in der frühen Mitte der Nuller Jahre beliebter wurden, gab es schnell für beinahe jedes Blogsystem Plugins und Widgets, die es ermöglichten, die Referer in der Sidebar anzuzeigen. Diese verschwanden aber sehr schnell wieder, weil sie zur Zielscheibe der Referer-Spam wurden. Und mit dem Verschwinden der Referer-Anzeigen verschwand auch die Referer-Spam – beides ist jetzt für ein paar Jahre in Vergessenheit geraten.

In den letzten Tagen bemerkte ich eine auffällige Zunahme von Referern, die ihren Spamcharakter nicht verbergen konnten. Diese Referer traten massenhaft auf, einer von einer pornografischen Website vorgestern sogar neunzig Mal im Laufe eines einzigen Tages. Es handelte sich klar um Referer-Spam, um eine Form der Spam, die ich inzwischen schon längst vergessen hatte.

Aber was sollte das Ziel dieser Spam sein? Es zeigt doch niemand mehr seine Referer an, dachte ich mir.

Die Aufklärung kam relativ schnell. Heute wurde ich durch einen Blogkommentar auf das Widget „Feedjit“ aufmerksam gemacht. Das sagte mir zunächst gar nichts, und deshalb musste ich erst einmal eine Suchmaschine bemühen, um etwas Aufklärung über „Feedjit“ zu erhalten:

Bei meinem letzten Besuch auf den Seiten des Blogpimps habe ich dort eine interessante Spielerei gesehen. Ein kleines Tool für die WordPress Sidebar oder auch für jede „normale“ Homepage. Das Gadget von FEEDJIT zeigt die letzten Besucher an und von welcher Seite sie gekommen sind.

Es handelt sich also um ein leicht in Websites, Blogs (und sogar in Twitter) verbastelbares Widget, das unter anderem die Referer öffentlich sichtbar macht. Da wundert es mich gar nicht, dass es auf einmal wieder die inzwischen längst vergessene Refererspam in der beobachteten Massivität gibt. Wer sich über das neue Spielzeug in seinem Blog und…

Erstaunlich fand ich, dass nach der Installation die Besucherzahlen gestiegen sind. […] Ich selbst habe mich auch schon von Seite zu Seite geklickt und habe mich über die vielen neuen Seiten gefreut, die ich so kennen gelernt habe.

…über die Möglichkeit steigender Besucherzahlen freut, könnte schnell eine gewisse Ernüchterung erleben, wenn sich „viele neue Seiten“ als recht unappetitlich erweisen – und die eingeblendeten Referer werden schnell wieder verschwinden. Denn jetzt ist die Seuche der Referer-Spam schon wieder auf einem Niveau wie in den Zeiten des großen Bloghypes und der allgemeinen Neigung zum Spielkram.

Nur, um das mal angemerkt zu haben.

Wer eine andere oder weitere Ursache für die gegenwärtige Zunahme der Referer-Spam kennt, bitte in die Kommentare damit. Gegen meine Hypothese spricht die Tatsache, dass Feedjit schon ein bisschen älter ist, aber ich vermute, dass es gerade eine so große Verbreitung gefunden hat, dass diese Form der Spam wieder als „lohnend“ erscheint.

Strafbare Gegenwehr

Samstag, 10. Januar 2009

Der Wahnsinn des Tages: Es wäre zwar möglich und nach einer umfassenden Analyse sogar recht einfach in seiner Durchführung, das größte Botnetz der Spam-Mafia lahmzulegen, aber man darf es nicht tun. Eine solche Maßnahme, die einen Großteil der Spamplage und anderer verbrecherischer Angriffe an der Wurzel beseitigen würde, wäre eine strafbare Datenveränderung nach §303a des Strafgesetzbuches. Und deshalb müssen wir uns auch weiterhin mit der täglichen Dosis krimineller Spam und automatisierter Attacken aus hundertausenden privater Windows-Rechner herumschlagen, die von Verbrechern mit Schadsoftware übernommen wurden.

Es gibt diese Meldungen, bei denen ich nur noch kotzen möchte.

Für Phishing-Opfer

Freitag, 4. Juli 2008

Wer auf eine Phishing-Masche oder einen vergleichbaren Computerbetrug hereingefallen ist und sich dabei nicht vollkommen dumm angestellt hat, der hat nach einem aktuellen (allerdings noch nicht rechtskräftigen) Urteil des Amtsgerichtes Wiesloch gute Chancen, nicht auf seinem Schaden sitzen zu bleiben. Die Bank kann in vollem Umfang für den Schaden haftbar gemacht werden, wenn der Betrug über eine gefälschte Online-Überweisung oder manipuliertes Online-Banking erfolgte und der Bankkunde beim Betrieb seines Rechners „durchschnittlichen“ Anforderungen an die Sorgfalt Genüge tat.

Obwohl sich in diesem Einzelfall 14 verschiedene Schadprogramme auf dem Computer des Bankkunden befanden, müsse die Bank für den entstandenen Schaden aufkommen, weil…

  1. keine Pflichtverletzung des Kunden bestehe, da er den Anforderungen an die Sorgfalt beim Absichern seines Rechners genügte. Denn von einem Kunden sei nur das zum Betrieb des Mediums erforderliche Wissen und damit eine irgendwie geartete Absicherung des Computers zu erwarten, während eine besonders ausgefeilte Form der Absicherung gegen solche kriminellen Angriffe gar nicht erforderlich ist.
  2. …das Online-Banking auch im Interesse der Bank liege (wegen der Kostensenkung auf Seiten des Bankhauses), die mit dem Kunden keine besonderen Sicherheitsmaßnahmen vertraglich vereinbart hat.
  3. …die Bank grundsätzlich das Fälschungsrisiko bei einem Überweisungsauftrag trage.

Als „durchschnittliche“ Anforderung an die Sorgfalt wertete es das Gericht, dass der Kunde die Installation eines Antivirus-Programmes nachweisen konnte – wobei von Seiten des Gerichts sogar eingeräumt wurde, dass dieser Schritt die durchschnittliche Anforderung möglicherweise noch übertreffe. (Natürlich liegt die spezielle Auslegung dieser Anmerkung im Einzelfall beim jeweiligen Gericht.) Die Frage der regelmäßigen Aktualisierung der Signaturen des Antivirus-Programmes wurde in der Begründung des Urteiles völlig offen gelassen. Nicht verpflichtend sei es allerdings für den Kunden gewesen, eine Firewall zu installieren.

Kurz zusammengefasst: Wer sein Betriebssystem und seinen Browser auf dem neuesten Stand hält, die aktuellen Sicherheitsupdates einspielt (oder den entsprechenden Automatismus seines Systemes verwendet) und eine Software zum Schutz gegen Schadprogramme installiert hat, würde auf der Grundlage dieses Urteils einen Phishing-Schaden von seiner Bank stets erstattet bekommen.

Auf dem Hintergrund dieses Urteiles sollten viele Opfer gängiger Betrugsmaschen eine Chance haben, zumindest ihren finanziellen Schaden von der Bank erstattet zu bekommen – so dass „nur“ die weiteren Schäden durch die Preisgabe persönlicher Daten an organisierte Kriminelle bestehen bleiben. Alles weitere wird Ihnen der Anwalt ihres Vertrauens erzählen, wenn sie selbst zum Opfer geworden sind und Ihre Bank nicht zahlen will.

Das verstehe aber bitte niemand als Aufforderung zum völlig sorglosen Umgang mit dem Internet, denn…

  1. …es ist nicht klar, wie das blinde Vertrauen in eine Phishing-Mail, der Klick auf einen Link und die Preisgabe von vertraulichen Informationen auf einer gefälschten Seite im Internet von einem Gericht beurteilt würde. Vermutlich würde hier allerdings der Standpunkt eingenommen, dass zumindest eine Mitschuld des Opfers vorliege, wenn die URL im Browserfenster nicht geprüft wurde und wenn die ganze Vorgehensweise nicht gerade mit einer außerordentlichen und damit für das Opfer kaum durchschaubaren Perfidie durchgeführt wird.
  2. …neben dem finanziellen Schaden sind weitere Schäden möglich, wenn der eigene Rechner als Spamschleuder oder zum Austausch illegaler Inhalte verwendet wird und wenn persönliche Beziehungen für schwer kriminelle Zeitgenossen offen gelegt werden.
  3. …die so von der Bank erstatteten Schäden werden über kurz oder lang von der Bank wieder reingeholt, indem sie den zusätzlichen Kostenfaktor über Gebühren für ihre Leistungen und über gesteigerte Zinssätze für Darlehen auf die Gesamtheit ihrer Kunden abwälzen wird. Aus der Unvorsicht einiger Computernutzer wird damit ein Schaden für alle Menschen, die der Dienste einer Bank bedürfen. Und wer zählte nicht dazu?
  4. …in vielen Fällen wird eine eventuelle Regresspflicht der Bank und ihr Umfang erst in einem Rechtsstreit festgestellt werden, der auch mit einem persönlichen Kostenrisiko verbunden ist, das nicht jeder tragen kann oder will. Von daher ist es gut möglich, dass Banken in vielen Fällen eine für den betrogenen Kunden eher nachteilhafte außergerichtliche Einigung mit Übernahme eines Teilbetrages der Schadenssumme anbieten werden, um weitere Kosten aus der gegenwärtigen Rechtsauffassung zu vermeiden.

Es gilt also – trotz dieser scheinbar günstigen Rechtslage – es gar nicht erst so weit kommen zu lassen, dass man seinen Computer den Verbrechern zur freien Nutzung übergibt. Das ist auch nicht schwierig. Die Grundregel ist sogar sehr einfach: Spam erkennen, Spam im Maileingang unbeachtet löschen, niemals auf einen Link in einer Spam klicken, niemals eine über Spam (auch Spamkommentare in Foren, Gästebüchern oder Weblogs) verlinkte Website ansurfen! Egal, wie attraktiv das Angebot dort auch aussehen mag. Egal, wie harmlos das Angebot dort auch aussehen mag. Egal, wie nützlich das Angebot dort auch aussehen mag. Jede Spam ist illegal und zudem asozial, mit Spammern wird man keinen Spaß haben und keine Geschäfte machen können. Aber man kommt schnell an einen ernsthaften und schmerzhaften Schaden.

Wer es schafft, Spam sicher zu erkennen und stets zu ignorieren, der kann kaum noch zum Opfer eines gängigen Betruges werden. Das ist – unter dem Gesichtspunkt der Sicherheit am Computer – fast noch wichtiger als die Verwendung von Antiviren-Programmen, die mit ihren Erkennungen sowieso immer zwei bis drei Tage hinter den neuesten Entwicklungen der Verbrecher hinterherhinken. Keine auf dem Computer installierte Software kann den Verstand des Menschen vor dem Computer ersetzen, es handelt sich immer nur um eine Ergänzung.

Zu hoffen bleibt jetzt allerdings, dass die Banken das Thema „Phishing“ nicht mehr auf die leichte Schulter nehmen, sondern im eigenen Interesse für eine umfassende und allgemein verständliche Aufklärung ihrer Kunden sorgen. Solche Bemühungen waren bislang leider nicht sichtbar, obwohl sie wohl so manchen Schaden verhindert hätten. Vielleicht wird es unter der neuen Rechtslage sogar einigen Banken endlich möglich, ihre Websites zum Online-Banking in einer Weise zu gestalten, die auch mit weniger angreifbaren Betriebssystemen und restriktiv konfigurierten Browsern verwendbar ist.

Die Sinnlosigkeit der „Captchas“

Dienstag, 11. März 2008

Dass so genannte „Captchas“, das sind kleine Grafiken mit einem vorsätzlich schwer lesbaren Text, die zum Zugriff auf Funktionen vom menschlichen Anwender abgeschrieben werden müssen, die Benutzbarkeit eines Webdienstes für Menschen deutlich verschlechtern, das weiß jeder, der schon einmal erlebt hat, dass so ein „Captcha“ dermaßen schwer zu lesen ist, dass man schließlich aufgibt. So etwas passiert mir zum Beispiel immer wieder bei den Kommentarfunktionen einiger Blogs, wo ich nach dem dritten Versuch klein beigebe.

Darüber hinaus verhindert man durch den Einsatz von „Captchas“ als Maßnahme gegen Spam, dass behinderte und blinde Menschen eine Website benutzen können. Das mag manchem Menschen gleichgültig sein, ich habe immer Wert auf barrierefreie Projekte gelegt. Wer einen Browser benutzt, der keine Grafiken darstellt oder eine reine Textversion der Website zur Verfügung stellt (und zum Beispiel vorliest), der kann nicht wissen, welcher Text in solchen vorsätzlich unleserlichen Grafiken steht. Die Bitte, diesen dann Text einzugeben, ist ein Ausschluss jener Menschen, die wegen körperlicher Einschränkungen nur den reinen Text der Website zur Verfügung haben. Mit einem etwas gröberen Wort könnte man auch von Diskriminierung sprechen, da eine solche Maßnahme einem Schild „Nicht für Blinde und schwer Behinderte“ gleichkommt. Was auf einer Parkbank als Ausfluss des faschistoiden Unmenschentums betrachtet würde, das ist im spamverseuchten Internet immer mehr zu einer Normalität geworden. Der hilflose Kampf gegen die tägliche Flut der Spam führt hier zu Zuständen, deren Unmenschlichkeit an bittere Zustände gemahnt. Wo die geballte Hirnlosigkeit täglicher Attacken auf Netzprojekte trifft, da werden die betroffenen Menschen leider leicht etwas gedankenlos.

Aber das ist noch nicht alles, was zu diesem Thema zu sagen wäre.

Denn die Captchas sind auch sinnlos als Kampfmittel gegen die Umwandlung des Internet zu einer Litfaßsäule für asoziale und kriminelle Angebote von Spammern. Natürlich ist es mit einem gewissen Aufwand möglich, die vorsätzlich schwer lesbaren Texte mit Hilfe eines Programmes zu entziffern und dabei eine so gute Quote zu erzielen, dass ein nennenswerter Anteil der Spam durchkommt.

Im Moment ist Googles Maildienst davon betroffen, dass Spammer die Captchas automatisch auswerten und offenbar genug Erfolg haben, dass sich dieser Aufwand lohnt, wie heise online heute meldet:

[…] Nach Angaben des Maildienstleisters MessageLabs liegt die Erkennungsrate der Captchas (Completely Automated Public Turing Test to Tell Computers and Humans Apart) durch die Spammer-Tools zwischen 20 und 30 Prozent. Damit lassen sich ausreichend viele Konten für den Versand von Spam-Mails anlegen.

Wer jetzt meint, dass sein Blog oder sein Forum keine so lohnende Angriffsfläche bildet, weil einfach nicht so eine große Wirkung wie mit dem Missbrauch eines Google-Dienstes zu erzielen sei; wer deshalb meint, dass diese „Captchas“ auch in Zukunft eine sinnvolle Maßnahe sein könnten, obwohl die Benutzung der Website für Menschen erschwert oder zum Teil auch unmöglich gemacht wird; der denke bitte noch einmal in Ruhe nach. Die meisten „Captchas“ in Blogs und Foren werden mithilfe spezieller Plugins eingebunden, die eine zum Teil recht breite Nutzergemeinschaft haben, so dass die Analyse des Verfahrens und der Angriff den Spammern durchaus lohnend erscheinen können. Die bloße Möglichkeit, dass man mit einer etwas aufwändigeren Programmierung eine sehr große Anzahl von bisher zu gut geschützten Websites für den Missbrauch als Spamfläche öffnen kann, wird genügeng kriminelle Energie entfachen, dass ein solcher Angriff auf gängige „Captchas“ irgendwann durchgeführt wird.

Und dann ist im Ergebnis die Benutzung der Site für Menschen erschwert, für Blinde und Behinderte sogar unmöglich gemacht; aber der Spammer kann dennoch beliebigen Missbrauch treiben.

Es wird also langsam Zeit, mit dieser Art des Spamschutzes aufzuhören, da er das Internet unzugänglicher macht und da überdem absehbar ist, dass er schon in Kürze (so in den nächsten 12 Monaten) gar kein Schutz mehr sein wird. Es gibt bessere Verfahren, die überdem den Vorteil haben, dass sie sich einem Nutzer nicht in den Weg stellen – ein gutes Beispiel sind die kleinen, textuellen Rechenaufgaben und Quizspiele, die gut konfigurierbar sind und für Menschen keine besondere Hürde darstellen. (Wer keine Blinden ausschließen möchte, sollte aber nicht gerade nach der Farbe des Himmels fragen, wie ich es vor einigen Wochen auf der Website eines Projektes für Blinde und schwer Sehbehinderte beim Kommentieren lesen musste.) Denn ein Mensch hat im Allgemeinen gewisse Informationen über die Beschaffenheit der Welt, die sich in einem Computerprogramm trotz des Versprechens „künstlicher Intelligenz“ immer noch nicht adäquat abbilden lässt.

Kurz: Hört damit auf, diese idiotischen und zunehmend wirkungsloseren „Captchas“ zu verwenden!

Und plötzlich ist ein Popup da…

Mittwoch, 20. Februar 2008

VORAB – Nur, um das völlig klar zu stellen, weil einige Menschen doch Probleme mit dem Lesen haben: Es geht hier nicht um Spam, sondern um eine legale Form der Werbung als Geschäftsmodell, dennoch dürften viele vom Auftreten dieser Werbung überrascht werden. Weil sie in höchst lästiger Weise auf der eigenen Website auftritt.

Reklame auf der eigenen Website durch einen Motigo-Counter: Herzlichen Glückwunsch, sie haben gewonnen…Ich wäre vielleicht niemals auf das Abgebot einer kostenlosen Statistik für Websites durch motigo webstats aufmerksam geworden, wenn ich nicht regelmäßig ein Blog lesen würde, das von der hier beschriebenen Form der Werbung betroffen war. Wie aus heiterem Himmel ging plötzlich ein Popup-Fenster mit so einer unsäglichen Reklame der Machart „Herzlichen Glückwunsch, sie haben gewonnen“ auf (Screenshot siehe auf der rechten Seite, zum Vergrößern anklicken), wenn man an irgendeine Stelle in das Blog klickte. Und. Damit man diese Reklame auch wirklich sicher zu Augen kriegte, wurde das Popup auch noch einmal beim Schließen des Browserfensters eingeblendet. Eine Werbung, die sich vor die gesamte Funktionalität eines Blogs stellt, die sich dazwischendrängelt, gleich ob man einen Link anklicken oder einen Kommentar verfassen möchte, eine solche Form der Werbung ist doch ziemlich aufdringlich und nervend. Ja, ich würde sogar sagen, dass eine solche Form der Werbung dazu führen kann, dass man einige Leser seines Blogs nachhaltig verscheucht.

Deshalb wunderte ich mich schon ein bisschen. Die Verwunderung wurde aber noch größer, als ich im Blog mitbekam, dass die Betreiberin dieses Blogs gar nichts davon wusste, dass sie irgendwo eine Popup-Werbung geschaltet hat. Sie war selbst ehrlich überrascht. (Und sie hat das Problem inzwischen behoben.)

Das Rätsel um den Ursprung dieser Blogvergällung klärte sich schnell auf. Es handelt sich um einen kostenlosen Zähler von motigo. Dieses Angebot ist ganz einfach zu verwenden. Wer einen solchen Zähler haben möchte, fügt über die Zwischenablage eine kurze JavaScript-Anweisung in die eigene Seite ein, die ein Skript von einem Server von motigo einfügt, dass denn in der eigenen Website läuft. Und genau dieses Skript sorgt dann irgendwann dafür, dass die äußerst lästigen Popups auftauchen – manchmal durchaus zur Überraschung dessen, der die Website betreibt.

Das ist insofern eine legale Form der Werbung, als dass in den Nutzungsbedingungen (diese sind Bestandteil des mit dem Anbieter geschlossenen Vertrages) darauf hingewiesen wird. Allerdings ist den emsigen Übersetzern der motigo-Website ausgerechnet an dieser Stelle nicht in den Sinn gekommen, dass ein solcher Text auch auf Deutsch zur Verfügung stehen sollte:

Some of the Products and Services are supported by advertising, enabling WMS to provide them to you at no cost. When you use these free services, you agree to allow WMS to display advertising, including third party advertising, through the Products and Services.

In Deutsch klänge dieser Part aus dem Punkt 1 der Bedingungen ungefähr so:

Einige der Produkte und Dienste werden durch Werbung getragen. Dies ermöglicht es WMS [Diese Abkürzung steht für die Firma, die motigo betreibt, meine Anmerkung], Ihnen diese Produkte kostenlos zur Verfügung zu stellen. Wenn Sie diese kostenlosen Dienste verwenden, willigen Sie darin ein, dass WMS über diese Produkte und Dienste Werbung anzeigt, was sich auch auf Werbung dritter Parteien erstreckt.

Im weiteren Verlauf des Textes räumt sich WMS das Recht ein, jederzeit die Form, in der die Werbung eingeblendet wird, zu ändern, und zwar ohne dass der Benutzer darauf eigens hingewiesen wird. Natürlich sind die hier gegebenen Übelsetzungen und Erläuterungen von mir zur Dokumentation erstellt und veröffentlicht worden, sie sind nicht von WMS autorisiert und ersetzen nicht die englischsprachige Vereinbarung im juristischen Sinne. Sie sind eventuell nicht fehlerfrei und schon gar nicht juristisch „dicht“. (Das war die übliche Beschwörungsformel für die Göttin Justizia, deren Waagschalen sich unter der Last des Geldes besonders leicht senken.)

Wie eingangs schon gesagt, es handelt sich um eine völlig legale Form der Werbung, nicht um Spam. Niemand, der davon betroffen ist, sollte sich über das Ergebnis beklagen – die Vereinbarungen sind Bestandteil des Vertrages mit WMS. Wer sich nicht davon gestört fühlt, dass andere auf seiner Seite eine beliebige Form der Werbung – und sei sie auch störend und aufdringlich – machen können, sollte sich von der Erwähnung des Angebotes in diesem Blog nicht abhalten lassen.

Allerdings zeigt sich in der besonderen Darreichungsform dieser Werbung auch die gefühlte Nähe legaler Werbeformen zur Spam. Das beginnt bereits damit, dass eine Überrumpelung versucht wird, indem die Bedingungen für die Nutzung in englischer Sprache präsentiert werden, während ansonsten die gesamte Site und ihre Benutzerschnittstelle (so weit ich das als Nicht-Nutzer absehen kann) in deutsch gehalten ist. Dass viele der Interessierten an einem solchen Angebot die Tragweite dieses Textes gar nicht verstehen können, macht in diesem Zusammenhang durchaus den Eindruck, von Seiten WMS erwünscht und gewollt zu sein. Dementsprechend groß ist dann auch manchmal die Überraschung, wenn man plötzlich eine Website betreibt, die durch eine besonders garstige Werbeform ihre Leser und Nutzer vertreibt.

Ob die von WMS erbrachte Dienstleistung eine solche Einschränkung der Nutzbarkeit der eigenen Website rechtfertigt, kann ich nicht beurteilen, da ich kein Nutzer dieses Dienstes bin. Ich glaube aber, dass schon nach kurzer Zeit Sitebetrieb mit diesen leidigen Popups wesentlich weniger Besucher zu zählen sind. WMS würde ich nahe legen, eine weniger aufdringliche Form der Werbeeinblendung zu verwenden, um nicht viele der jetzigen Nutzer zu verlieren.

Generell kann ich nur eine Empfehlung aussprechen: Wer eine Website betreibt und Skripte anderer Anbieter dort einfügt, sollte sehr genau verstehen, welche Rechte sich diese Anbieter in den jeweiligen Nutzungsbedingungen einräumen und gründlich abwägen, ob das im Einzelfall tragbar ist. Mit der Verwendung solcher Dienste gibt man immer auch anderen Menschen und Firmen das Privileg, beliebigen Code auf der eigenen Website auszuführen. Das tatsächliche Nutzung dieses Privilegs kann überraschend und äußerst unerwünscht sein – ich persönlich würde tendenziell den vollständigen Verzicht auf solche Dienste empfehlen. So etwas wie eine Statistikfunktion lässt sich auch ohne derartige Verträge realisieren, bei einem müßigen Stündchen mit Google wird sich gewiss eine gute Lösung finden lassen.

Ach ja, und das noch: Wer solche Popups auf seiner Site hat und sie wieder loswerden möchte, kann einfach den eingefügten Code entfernen. Weitere Maßnahmen sind nicht erforderlich. Und. Die Site wurde nicht gehackt. Es wurde nur ein Vertrag eingegangen, bei dem man eventuell eine Überraschung erlebt… 😉

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.