Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Phishing“

PayPal Notification

Donnerstag, 26. Februar 2009

Oh, lange keinen Phishing-Versuch mehr gehabt. Die Masche scheint ja jetzt schon so lange nicht mehr benutzt worden zu sein, dass einige verbrecherische Spammer glauben, dass man es wieder einmal versuchen könnte. Diesmal ist es aber nicht die Volksbank, die Raiffeisenbank, die Citibank oder eine Sparkasse, wo die Kunden um ihr Geld betrogen werden sollen, diesmal ist PayPal dran.

Technische Hinweise:

Die Mail mit dem Betreff „PayPal Notification“ sieht zwar in Farbwahl, Logo, Schriftgrößen und Zeichensätzen durchaus stilecht aus, hat aber den sehr unglaubwürdigen Absender „your (at) mail (punkt) com“ – wenn man schon Adressen fälscht, sollte man als Verbrecher vielleicht ein bisschen um Glaubwürdigkeit bemüht sein. Abgesendet wurde diese Mail nicht etwa von einem richtigen Mailserver, sondern von einer dynamisch von AOL vergebenen IP-Adresse, also von einem Botrechner, der feindselig von Spammern übernommen wurde. (Deshalb wird sie bei mir auch zuverlässig als Spam erkannt.) Die Mail ist HTML-formatiert, das PayPal-Logo wird direkt von der PayPal-Website eingebunden, so dass ein guter Mailclient wie der Thunderbird allein schon deshalb einen Hinweis ausgeben sollte, dass das Nachladen externer Grafiken unterbunden wurde, um die Privatsphäre zu schützen.

Die Spammer haben versucht, im Mailheader anzugeben, dass die Mail mit Microsoft Outlook Express 6.0 erstellt wurde. Der Inhalt der Mail widerspricht dem jedoch, da er lediglich über einen HTML-formatierten Teil verfügt – Outlook Express erzeugt die Mail immer in doppelter Ausfertigung, als HTML und als Text, wenn eine HTML-Mail abgesendet wird. (Auch dieser recht häufige Fehler der Spammer führt bei mir zu einem sofortigen Aussortieren des Sondermülls, ich hoffe, dass das überall so ist. Wer es nötig hat, die Angabe seiner Mailsoftware im Header zu fälschen, der hat es nicht nötig, dass ich mich mit seinem Geschreibsel weiter beschäftige. Ich habe Besseres mit meiner Zeit zu tun.)

Kurz: Gnadenlose Stümperei!

Die Mail:

You have 1 new Security Message Alert!

Klar, ich kriege also ein Sicherheitswarnungen. So ganz ohne persönliche Ansprache, obwohl ich Kunde bei PayPal sein soll. Und völlig ohne weiteren Hinweis, um was es sich handelt, obwohl eine solche Warnung doch gewiss ihre Dringlichkeit hätte – es geht ja um Geld.

Das Wort „Gnadenlose Stümperei“ habe ich ja schon geschrieben…

Log In into your account to resolve the problem.

Und dann soll ich das Problem auch noch lösen! Einfach nur, weil eine Mail mit fragwürdigem Absender, der mich nicht einmal namentlich ansprechen kann, dazu auffordert. Und zwar, ohne dass mir auch nur gesagt wird, worin das Problemchen bestehen könnte. Und ohne jeden Hinweis, dass wegen des möglichen Missbrauches eines PayPal-Kontos die Funktion vorübergehend gesperrt wurde. Alles in meiner Verantwortung.

Boah ey, die Spammer haben ja echt Vorstellungen!

Click here to Log In

Und wer da klickt, landet natürlich nicht bei paypal.com, sondern bei einer ziemlich kryptischen Bandwurm-URL, die nicht einmal versucht, vorzuspielen, dass sie die Adresse von PayPal wäre. Diese liegt auf einem Rechner mit der IP 88.97.204.162. Was man dort geboten kriegt, wird gewiss ganz ähnlich wie eine Anmeldemaske von PayPal aussehen (ich habe es nicht ausprobiert, weil ich keinen gut gesicherten Rechner vor mir habe) und dem Opfer die Möglichkeit geben, seinen Usernamen und sein Passwort einzugeben.

Diese Daten gehen natürlich direkt zu den Verbrechern weiter, die dann erstmal über PayPal das Konto belasten. Da man hierfür nicht so umständliche Dinge wie TANs braucht, ist dieser Betrug wesentlich leichter in klingende Münze umzuwandeln als es mit einem gephisten Zugang zu den „richtigen“ Kontodaten möglich wäre. Ob die Betrüger daraus direktes Kapital schlagen, indem sie Geld abheben und über einen Hilfsgeldwäscher bar nach Russland transferieren lassen, oder ob sie damit betrügerische Geschäfte auf eBay machen, um das Geld in Bares zu verwandeln, das wird das Opfer dieses Betruges schon merken.

Wahrscheinlich wird dieses Ding in ein paar Tagen auch in deutscher Sprache an Mailadressen in .de-Domains gehen, um etwas mehr Wirkung zu entfalten.

WICHTIGE HINWEISE ZUM PHISHING: Der beste Schutz gegen Phishing mit massenhaft versendeter Spam ist die Benutzung des eigenen Kopfes. Die Mails von PayPal kommen immer mit einer persönlichen Ansprache, die den dort angegebenen Namen widergibt. Wo eine solche Ansprache fehlt, handelt es sich niemals um eine Mail von PayPal. So etwas sollte unbesehen gelöscht werden. Leider versäumt es PayPal zurzeit noch, seine Kunden auf diese Form des Betruges hinzuweisen und Anweisungen zu geben, wie man Phishing erkennt und einen Schaden vermeidet. Eventuell sollte PayPal deshalb von Kunden, die diese (oder eine vergleichbare) Mail erhalten haben, auf die gegenwärtige Betrugswelle aufmerksam gemacht werden. Generell gibt: Bei Internet-Diensten, die Geld transferieren, niemals auf einen Link in einer Mail klicken, sondern immer die Internetadresse des Dienstes direkt in die Adresszeile des Browsers eingeben, um auch bei besser vorgetregenen Angriffen nicht in die gestellte Falle zu tappen. (Auch diese Vorgehensweise ist nicht völlig sicher, wenn ein durch Schadsoftware übernommener Rechner den Hostnamen nicht korrekt auflöst und stattdessen die Website von Verbrechern lädt. Das Manipulieren der „Lesezeichen“ oder „Favoriten“ ist oft noch einfacher, deshalb immer von Hand eingeben.) Dieses bisschen Prävention kann schnell viel Geld und viel Nervenkraft sparen.

Reinstating Your Google AdWords Account

Freitag, 9. Januar 2009

Und heute mal ein Phishing, das nicht auf Bankdaten aus ist, sondern auf die meist relativ kleinen Beträge für Werbeeinblendungen, mit denen sich viele Websitebetreiber ihre Projekte finanzieren wollen.

Die Mail von info (at) adwords-google.com (natürlich ist dieser Absender gefälscht) liest sich so:

Dear Google AdWords Customer,

Bin ich nicht.

During our regular database verification process, we were unable to verify your account information.

Das ist wieder einmal „ganz großes Kino“ bei einem Phishing-Versuch. Kein Name, keine Kundennummer, keine persönliche Ansprache, aber ein technokratisches Gefasel von irgendwelchen Problemen bei der Überprüfung der Datenbank. Wer ein bisschen unerfahren ist, fällt vielleicht sogar darauf rein.

This might be due to one or more of the following reasons:

Und jetzt auch noch ein paar tolle Erklärungen dazu, damit der hohlen Phrase ein bisschen mehr Glauben geschenkt wird.

1. A recent change in your personal information (i.e. change of address)

Ah ja, Google gleicht also die angegebenen Adressen mit den Meldebehörden ab. Denn wenn man Google eine neue Adresse angegeben hätte, denn wüsste Google die neue Adresse schon. Aber hier geht der kriminelle Phisher wohl davon aus, dass immer mehr Menschen der Datenkrake Google so ziemlich alles zutrauen.

2. Submitting invalid information during initial enrollment process.

Und weil das mit dem Umzug nur eine Minderheit betrifft, wird einfach etwas von der Übermittlung ungültiger Informationen fabuliert, ohne dass dazu auch nur ein kleiner Anhaltspunkt gegeben würde, um was es sich dabei handelt.

3. Inability to accurately verify you account information due to an internal error within or database management system.

Und im Zweifelsfall kann es noch ein technisches Versagen im Google-Rechenzentrum gewesen sein. Das klingt auch „sehr glaubwürdig“, vor allem, wenn es so nebulös und unbestimmt gelassen wird.

Jetzt aber zur Hauptsache:

We would require login in to your Google AdWords so that we can verify that you are the rightful owner of the account. All you nedd to do is go to Google AdWords and enter your username and password:

Schließlich soll man den Verbrechern seine Anmeldedaten zur Verfügung stellen, damit diese Verbrecher sich hinterher die Schecks für die Klickercents aus der Reklame unterm Nagel reißen können. Und damit das funktioniert, noch schnell ein Link:

http://adwords.google.com/select/Login

Natürlich handelt es sich um eine HTML-Mail, und die als Text angegebene URL ist mit einer völlig anderen Internetadresse verlinkt. Diese liegt natürlich nicht bei google.com, sondern auf einem viel weniger Vertrauen erweckenden Server ottoggi.co.kr – dort sieht das arme Opfer dann eine Login-Seite, die so aussieht, als käme sie von Google. Klar, dass die dort eingegebene Kombination aus Username und Passwort nicht an Google, sondern direkt in die Datenbank von schäbigen Betrügern geht.

Wer trotz der Durchsichtigkeit dieser primitiven Masche darauf reingefallen ist, sollte sofort Kontakt zu Google aufnehmen, damit dort eventuelle Manipulationen des Accounts rückgängig gemacht werden, bevor ein Schaden entsteht – und eine Strafanzeige wegen Betruges erstatten.

Dass Google mit dieser Mail nichts zu tun hat, sollte klar sein. Ganz im Gegenteil, man wird dort in den nächsten Tagen viel Arbeit wegen dieser Sache haben. Da wirkt die drangeklatschte „Unterschrift“…

Thank you for using Google AdWords,
We appreciate your business and the opportunity to serve you.
Google AdWords Service

…mehr als nur ein bisschen zynisch.

Wichtige Hinweise zum Thema Phishing: Der beste Schutz vor dieser Form des Betruges ist immer noch die Verwendung des eigenen Kopfes. Die Kriminellen, die auf diese Weise betrügen wollen, können ihre Opfer nicht persönlich ansprechen, weder mit einer Kundennummer noch mit einem Namen. Es handelt sich um millionenfach und wahllos versendete Spam; um Schrotmunition, bei der die Betrüger auf einige Zufallstreffer bei weniger erfahrenen Internetnutzern vertrauen. Jeder Unternehmer im Internet (und natürlich auch jede Bank) wird seine Kunden persönlich ansprechen. Deshalb ist es an sich sehr leicht, Phishing zu erkennen, wenn man beim Lesen seiner Mail einen klaren Verstand behält und sich nicht von möglichen finanziellen Verlusten wegen technischer Probleme oder einer „Sicherheitsprüfung“ ins Bockshorn jagen lässt.

Selbst, wenn eine solche Mail einmal völlig echt und überzeugend wirkt und mit einer persönlichen Ansprache kommt: Niemals einen Link in einer Mail anklicken, wenn es um Geld, Bestellungen, Mailaccounts oder Geschäfte aller Art geht. Manchmal kommen kriminelle Spammer an persönliche Daten. Zurzeit sind solche personalisierten Attacken noch selten, aber das könnte sich schon in naher Zukunft ändern. Daten aller Art werden auf einem stetig wachsenden Schwarzmarkt gehandelt, und es ist so gut wie sicher, dass die Verbrecher der Spam-Mafia sich bereits für die nächsten Phishing-Attacken ausgestattet haben. Immer die Internet-Adresse des jeweilgen Dienstes direkt in den Browser eingeben, und dabei auch nicht auf die leicht manipulierbare Lesezeichen-Funktion (IE-User lesen hier: Favoriten) des Browsers zurückgreifen. Selbst das schafft keine abschließende Sicherheit, wenn etwa die hosts-Datei des Rechners manipuliert wurde – um dies zu erschweren, sollte gängige Internet-Software (Browser, Mailclient, IM-Client etc.) niemals mit einer Benutzeranmeldung verwendet werden, die administrative Rechte am Computer hat. Diese sehr einfachen Maßnahmen schaffen zwar – genau so wie etwa ein Türschloss, das man abschließt, wenn man die Wohnung verlässt – keine vollkommene Sicherheit, aber sie erschweren den Kriminellen ihr hinterhältiges Handwerk.

Wenn der Stil der Mail eines Geschäftspartners einmal nur ein wenig vom gewohnten Stil abweichen sollte, immer eine nach Möglichkeit telefonische Rückfrage machen – vor allem, wenn zusätzlich aus obskuren Gründen zu irgendwelchen Logins aufgerufen wird. Jeder Anbieter, der das Internet zu seiner Geschäftsgrundlage gemacht hat, kennt das Problem des Phishings und wird deshalb volles Verständnis für eine solche, gar nicht übertriebene, Vorsicht haben.

Urgent Action Required

Samstag, 13. Dezember 2008

Na, lange keine Phishing-Spam mehr gehabt. Diesmal geht es allerdings nicht um irgendwelche Sparkassen oder Volksbanken, sondern um PayPal – das ist viel gefährlicher, da PayPal-Kunden es ja gewohnt sind, dass sie mit einer Mail angeschrieben werden. Die gefälschte Absenderadresse entspricht allerdings nicht so ganz der Erwartung, da servicepaypal.com niemals von PayPal verwendet wird. Im Moment hat ein Domain-Händler diese Domain.

Betreff: Update Your Billing Records – Urgent Action Required

Aber ganz dringend muss reagiert werden. Am besten, ohne dass man vorher nachdenkt. Denn das lieben solche Verbrecher.

Dear valued PayPal® Customer, […]

Wenn einer nicht nachdenkt, wird er vielleicht nicht einmal bemerken, dass dies die einzige Mail von PayPal ist, in der er nicht mit Namen angesprochen wird. Denn einen Namen können diese kriminellen Spammer – im Gegensatz zu Paypal – auch gar nicht kennen.

[…] Due to recent fraudulent transactions, we have issued the following security requirements.

Tja, wenn man schon ein Komma nach der Anrede setzt, denn sollte man mit einem Kleinbuchstaben fortsetzen. Solche Patzer erlauben sich eben nur Spammer, die ihren Strunz eher etwas schlampig in die Tasten hauen, PayPal schreibt bis in Kleinigkeiten hinein ziemlich fehlerfrei. Und noch viel wichtiger: PayPal schreibt deutsche Kunden auf Deutsch an.

Wer wird bei solchen Schwächen noch glauben, dass es die Leute von PayPal sind, die hier etwas von betrügerischen Transaktionen fabulieren, die zu Sicherheitsmaßnahmen führen, deren Durchführung dann auf die Kunden abgewälzt wird.

It has come to our attention that 98% of all fraudulent transactions are caused by members using stolen credit cards to purchase or sell non existant items. Thus we require our members to add a Debit/Check card to their billing records as part of our continuing commitment to protect your account and to reduce the instance of fraud on our website. Your Debit/Check card will only be used to identify you. If you could please take 5-10 minutes out of your online experience and renew your records you will not run into any future problems with the PayPal® service. However, failure to confirm your records will result in your account suspension.

Ich habe gar keine Kreditkarte. Ob mir PayPal jetzt wohl trotzdem das Konto sperrt? 😉

We are requesting this information to verify and protect your identity. Federal regulations require all financial institutions to obtain, verify, and record identification from all persons opening new accounts or obtaining ongoing payment services. This is in order to prevent the use of the U.S. banking system in terrorist and other illegal activity. For these reasons, PayPal® will utilize services provided by various credit reporting agencies to verify the information you submit to us.

Schon klar, ganz viel offiziell klingender Bullshit. Und mit einem Verweis auf Terrorismus kann man jeden Scheiß rechtfertigen, das haben diese verbrecherischen Spammer schon von der Politik gelernt.

Once you have updated your account records your pending PayPal® account transactions will not be interrupted and will continue as normal.

Das Beste daran: Wenn man diese Spam einfach ignoriert und löscht, denn geht auch alles ganz normal weiter. :mrgreen:

To update your billing records please proceed to our secure webform by clicking here.

Wer jetzt noch Zweifel daran hatte, dass es sich um eine Spam handelt, bekommt spätestens beim Blick auf die verlinkte Website völlige Klarheit über den wirklichen Charakter dieses dreisten Versuches. Denn diese Spammer haben es nötig, das Ziel des Links über tinyurl.com zu verbergen. So etwas macht PayPal und auch kein anderer Anbieter echter Dienstleistungen.

Allerdings hat TinyURL schon mitbekommen, dass der Dienst von Spammern missbraucht wird – der Link in der Mail funktioniert nicht mehr und führt auf eine kleine Meldung, dass hier ein Missbrauch vorliegt. Denn niemand hat ein Interesse daran, sich zum Komplizen solcher Verbrecher zu machen.

Thank you for your time,
PayPal® Billing Department.

Aber gerne doch. :mrgreen:

Please do not reply to this email. This mailbox is not monitored and you will not receive a response. For assistance, log in to your PayPal account and choose the Help link located in the top right corner of any PayPal page.

To receive email notifications in plain text instead of HTML, update your preferences here.

Und zum Abschluss noch zwei nicht mehr funktionierende Gelegenheiten, auf eine nachgemachte Login-Seite von PayPal in der Hand von kriminellen Spammern zu kommen, auf dass viele Konten übernommen werden können und die Spam-Mafia mal wieder so richtig Geld schaufelt. Spam hat eben immer auch den Chrakter von Schrotmunition.

PayPal Email ID PP247

Ja ja, mit so einer Zahl am Ende sieht das auch nicht überzeugender aus.

Musik im WMA-Format

Samstag, 26. Juli 2008

Dies ist eine dringende und in ihrer Schärfe hoffentlich unbegründete Warnung, die sorgfältig gelesen werden muss.

Die folgende Spam ist ausgerechnet im Forum von Jamendo aufgetaucht, als ob es dort in den über zehntausend zum Anhören und zum freien Download verfügbaren Alben in völlig DRM-freien Formaten nicht genug Musik gäbe:

Musik im WMA-Format … ausgezeichnete Seite
http://musica.zurera.net/
Es gibt Tausende von Künstlern und kostenlos zu hören …

Ich hoffe, Sie mögen es,
Grüße Miguel

Der Spamcharakter dieses „Hinweises“ wird also schon durch seinen wenig geeigneten Ort der Mitteilung deutlich, als weiteres Indiz kann die etwas unbeholfen und „babelfischig“ wirkende und dem dort üblichen Stil so gar nicht entsprechende sprachliche Form dienen. Es ist also relativ leicht, diese Spam auch als Spam zu erkennen und zu behandeln – leider befürchte ich, dass dies nicht jedem Leser gelingen wird.

Ich habe mir einmal den „Spaß“ gemacht, mit einem besonders gesicherten System auf den angegebenen Link zu klicken. Dort bekam ich die folgende Website präsentiert (für Originalgröße in das Bild klicken), die mir nicht nur zeigte, wie so ein Musikinstrument aussieht, sondern mich zudem in englischer Sprache dazu aufforderte, einen Benutzernamen und ein Passwort anzugeben – was sie aber verschwieg, ist ein einfacher Hinweis darauf, was ich nach meinem Login erhalten würde:

Die mit Spam beworbene Musiksite musica.zurera.net - von wegen freies Angebot...

Diese laut einer Forums-Spam „ausgezeichnete Seite“ hat also – anders als Jamendo – für die Nutzung eines auf der Eingangsseite gar nicht beschriebenen Dienstes eine Anmeldung zur Voraussetzung. Eine Anonymität dessen, was man dort tut, ist also – wiederum anders als bei Jamendo – nicht drin. Und darauf weist diese Seite auch noch einmal in fetter und roter Schrift hin:

Notice! This is a non public website. All actions are logged.

Ich soll also, bevor ich auch nur weiß, um was es sich hier wirklich handelt, beachten, dass dies eine „nicht öffentliche“ Website ist, was immer das auch heißen mag, steht die Eingangsseite dieser Site doch im recht öffentlichen Internet, ist dort jedem zugänglich und wird von Google indiziert – und zusätzlich auch noch mit Spam in Foren bekannt gemacht. Und um mich noch ein bisschen mehr einzuschüchtern, aber mir immer noch nicht zu sagen, was hier vorliegt, werde ich auch kurz darauf hingewiesen, dass meine gesamte Interaktion auf dieser Site protokolliert wird.

Fassen wir noch einmal zusammen. Die Spam eines gewiss anonym bleibenden Spammers behauptet…

  • … auf dieser Site gäbe es massenhaft Musik in einem mir nicht besonders sympathischen und außerhalb der Windows-Welt völlig unüblichen Dateiformat,
  • … es handele sich dabei um eine „ausgezeichnete Seite“,
  • … die Musik stamme von tausenden von Künstlern, und
  • … die Musik sei völlig kostenlos anzuhören.

Kurz gesagt: Eine solche Site bräuchte sich gewiss nicht im Internet zu verstecken, sie wäre ein wirklich tolles Angebot. Dies gälte selbst dann, wenn man auf den Genuss von neunzig Prozent dieser Künstler gut verzichten könnte.

Ein Besuch dieser Site zeigt mir hingegen…

  • … nicht ein einziges Wort darüber, was es dort geben könnte,
  • … ein völlig unverbindliches Bild von einem Musikinstrument,
  • … einen deutlich gemachten Hinweis, dass es keine öffentliche Site sei, und
  • … einen Text, dass ich in allem, was ich dort tun könnte, nicht anonym bleiben kann, ohne dass dies mit irgendeinem Kontext erläutert oder verständlich gemacht wird.

Dazu gibt es keinerlei Impressum, keine Mailadresse für einen Kontakt, keine Erklärung zum Datenschutz und nichts, was einem Interessierten Aufschluss über die wirkliche Natur des Angebotes dieser Website geben könnte. Eine echte Katze im Sack. Nicht einmal irgendwelche Metatags für die Suchmaschinen oder ein bisschen im HTML-Code versteckter Text, der dazu führen könnte, dass diese Site mit irgendeinem anderen Text als „login“, „secret“, „remember me“ und dem schon zitierten, roten Warnhinweis von einer Suchmaschine indiziert werden könnte. Im Grunde handelt es sich um eine Anmeldeseite ohne Inhalt.

Alle Hinweise, was es dort geben könnte, stammen aus einem Forenkommentar bei Jamendo, der auf dem ersten Blick als Spam erkennbar ist. Wer immer diese Site betreibt, aus welchen Gründen er es auch immer tut, er wird sich mit Leichtigkeit vom Text dieses Kommentares distanzieren können.

Ach doch, eines gibt es ja noch auf dieser „nicht öffentlichen“ Seite, und zwar einen Button mit dem verheißungsvollen Text „Signup“. Das ist zwar alles nicht öffentlich, aber dennoch soll sich jeder Mensch im Internet dafür registrieren können. Vorausgesetzt natürlich, er ist so doof und registriert sich für eine Katze im Sack.

Ich habe auf diesen Button mal einen frechen Klick gewagt, um die folgende Maske in einem Popup-Fenster präsentiert zu bekommen:

Registrierung

Auch zu dieser „Registrierung“ gibt es keinerlei weitere Hinweise. Man erfährt vor der Eingabe seiner paar Daten nichts. Nicht einmal, ob man sich mit der Wahl von Benutzername und Passwort wirklich anmelden kann, oder ob dieser Zugang erst freigeschaltet werden muss. Um so richtig klar zu machen, dass man sich hier vielleicht gar nicht recht registriert, sondern diese Daten einfach nur auf dem Server einer mit Spam beworbenen Site speichert, steht auf dem Button zum Absenden auch nicht so etwas wie „Signup“ oder „Register“, sondern einfach nur ein lakonisches „Save“.

Die einzige Information sind die Sternchen vor gewissen Feldern, die wohl andeuten sollen, dass es sich um Pflichtfelder handelt. Danach muss man zur Registrierung eines Zuganges zur Nutzung einer nicht-öffentlichen Katze im Sack die folgenden Dinge angeben:

  1. Einen echten, vollständigen Namen
  2. Ein frei gewählter Benutzername
  3. Ein frei gewähltes Passwort
  4. Eine Mailadresse

Wer das getan hat, der hat Betreibern einer durch Spam beworbenen Site die folgenden Informationen gegeben:

Eine Kombination von Realname und Mailadresse – mithilfe dieser Kombination ließen sich bestimmte Betrugsmails sehr viel überzeugender verfassen, da eine richtige Anrede des Empfängers möglich ist. Wer in einer Spam persönlich angesprochen wird, kann große Probleme haben, die Spam auch als solche zu erkennen – und würde sich deshalb wohl häufig so verhalten, wie es sich die Spammer nur wünschen können.

Eine Kombination von Benutzername und Passwortsehr viele Menschen, die verschiedene Dienste im Internet nutzen, verwenden überall das gleiche Passwort. Wenn ein solcher Benutzer hier seine „Standardanmeldung“ eingäbe, bräuchen die mutmaßlich böswilligen Empfänger dieser Information einfach nur populäre Dienste durchzuprobieren, um Profile bei MySpace, Facebook etc. in Spamschleudern für kriminelle Angebote zu verwandeln. Natürlich würde so etwas auch gewiss bei eBay ausprobiert, um auch dort die üblichen Betrügereien durchzuführen. Wenn die Ersteller dieser Site den von Jamendo kommenden Referer auswerten – das ist eine müde Fingerübung in Perl oder PHP, vom Aufwand her einfach lachhaft – werden sie zum Beispiel recht häufig auch gültige Zugangsdaten für Jamendo haben.

Eine Kombination von Mailadresse und Passwort – auch hier gilt: Wenn jemand seine „Standardanmeldung“ eingäbe, hätten die Empfänger solcher Daten schon einmal eine gute Gelegenheit erhalten, das Mailkonto zum Spamversand zu nutzen. Aber das Missbrauchspotenzial wäre noch viel höher, denn diese Kombination ist zum Beispiel auch für die Identifikation gegenüber PayPal entscheidend, und damit ließe sich erheblicher finanzieller Schaden anrichten. Der einzige Aufwand, den die Empfänger solcher Daten hätten, wäre eine testweise Anmeldung mit diesen Daten bei PayPal.

Wer überall verschiedene Passwörter benutzt, wäre gegen eine solche, in dieser Form noch recht frische Form des Phishings natürlich gesichert, aber das tut nur eine Minderheit unter den heutigen Netznutzern. Die Wahrscheinlichkeit, dass sich bei fast jeder Preisgabe von Daten hier irgendetwas missbrauchen ließe, wäre außerordentlich hoch, und sie lohnte die recht geringe Mühe, die diese recht obskuren Sitebetreiber in das technisch ziemlich grottige Design dieser Site gesteckt haben.

Und diesem ganzen, hier nicht einmal vollständig beschriebenen Missbrauchspotenzial steht eine Katze im Sack gegenüber. Ob diese nicht einmal sanft mauzende Katze ein solches Risiko wert ist, muss jeder selbst entscheiden. Meine Entscheidung ist jedenfalls klar: Sie ist es nicht wert, und ich würde selbst dann die Finger von dieser Site lassen, wenn ich dem Verfasser eines Spameintrages in einem Forum Glauben geschenkt hätte.

Wenn es sich hier wirklich um eine neue Form des Phishing handelt – ich weiß es natürlich nicht genau, und es gibt auch noch kein passendes Wort dafür (vielleicht social phishing?) – ist die heute von mir erlebte Durchführung noch in einem frühen Stadium und wird für spätere Phishzüge wohl noch wesentlich verbessert. Zum Beispiel wäre die Anmeldeseite viel „überzeugender“, wenn sie ihren Aufrufer in seiner im Browser eingestellten Sprache begrüßt, und der technische Aufwand dafür wäre marginal, wenn nur die großen Sprachgemeinschaften berücksichtigt würden. Auch die gesamte Gestaltung einer solchen Site könnte wesentlich überzeugender gelingen, wenn man zwei oder drei Tage Arbeit hineinsteckte statt der zwei oder drei Stunden, die hier aufgewändet wurden.

Solche Angriffe auf Zugangsdaten wären ausgesprochen gefährlich und in der Anfangszeit gewiss sehr erfolgreich. Jeder wird sich in Zukunft davor schützen müssen, und das geht nicht mit Hilfe einer technischen Lösung, sondern nur durch Einsatz des Verstandes:

  1. Spam als solche erkennen! Niemals so verhalten, wie es der Spammer will. Jeder Klick in eine Spam ist hoch gefährlich. Niemand spielt mit Spam herum. Es handelt sich um ein Mittel, das von asozialen Kriminellen verwendet wird.
  2. Nie unüberlegt handeln! Auch im quasi lichtschnellen Internet muss immer die Zeit sein, nachzudenken, bevor man etwas tut. Kein gutes Angebot wird in fünf Minuten verschwinden, die vor einer Anmeldung nachgedacht werden.
  3. Für die umgehende Löschung solcher Spam in Foren sorgen! Diese Masche wird ihre Opfer finden. Es kann Monate dauern, bis die Information bei jedem angekommen ist.
  4. Niemals auf einer unbekannten Website Daten eingeben, die einen Zugang zu einem anderen Benutzerkonto bei irgendeinem Dienst im Internet ermöglichen! Überall ein anderes Passwort wählen! Wenn das nicht möglich ist: Zumindest ein anderes Passwort als bei Diensten wählen, die einen direkten finanziellen Betrug möglich machen! Das gilt für Auktionshäuser, virtuelle Banken wie PayPal und Diensten für die Online-Bestellung von Waren.

Wenn jemand diesen Text liest, der schon einmal bei einem ähnlichen Angebot angreifbare Daten preisgegeben hat: Sofort alle Passwörter ändern, die davon betroffen sind! Das gilt für Mailkonten, Profile in so genannten „sozialen Netzwerken“, PayPal-Konten, eBay, Zugänge zu eigenen Websites oder Blogs und die Anmeldedaten von Versandhäusern aller Art. Der Schaden durch den Missbrauch kann immens werden, und es geht auch schnell das Ergebnis großer eigener Mühen in einem Benutzerprofil verloren, das von Spammern und Kriminellen für ihre unappetitlichen Absichten missbraucht wird.

Jeder Mensch muss immer sein Gehirn eingeschaltet haben, wenn er sich im Internet bewegt.

Phishing bei MSN

Montag, 7. Juli 2008

Die Warnung des Tages:

Wer von Freunden über Instant-Messaging Nachrichten mit URLs bekommt, sollte in Zukunft noch vorsichtiger sein. Derzeit rollt eine Phishing-Lawine durch Microsofts MSN-Netz, bei der die Empfänger auf eine Seite gelockt werden, die ihre MSN-Zugangsdaten abfragt […]

Alles weitere gibt es bei Heise.

Für Phishing-Opfer

Freitag, 4. Juli 2008

Wer auf eine Phishing-Masche oder einen vergleichbaren Computerbetrug hereingefallen ist und sich dabei nicht vollkommen dumm angestellt hat, der hat nach einem aktuellen (allerdings noch nicht rechtskräftigen) Urteil des Amtsgerichtes Wiesloch gute Chancen, nicht auf seinem Schaden sitzen zu bleiben. Die Bank kann in vollem Umfang für den Schaden haftbar gemacht werden, wenn der Betrug über eine gefälschte Online-Überweisung oder manipuliertes Online-Banking erfolgte und der Bankkunde beim Betrieb seines Rechners „durchschnittlichen“ Anforderungen an die Sorgfalt Genüge tat.

Obwohl sich in diesem Einzelfall 14 verschiedene Schadprogramme auf dem Computer des Bankkunden befanden, müsse die Bank für den entstandenen Schaden aufkommen, weil…

  1. keine Pflichtverletzung des Kunden bestehe, da er den Anforderungen an die Sorgfalt beim Absichern seines Rechners genügte. Denn von einem Kunden sei nur das zum Betrieb des Mediums erforderliche Wissen und damit eine irgendwie geartete Absicherung des Computers zu erwarten, während eine besonders ausgefeilte Form der Absicherung gegen solche kriminellen Angriffe gar nicht erforderlich ist.
  2. …das Online-Banking auch im Interesse der Bank liege (wegen der Kostensenkung auf Seiten des Bankhauses), die mit dem Kunden keine besonderen Sicherheitsmaßnahmen vertraglich vereinbart hat.
  3. …die Bank grundsätzlich das Fälschungsrisiko bei einem Überweisungsauftrag trage.

Als „durchschnittliche“ Anforderung an die Sorgfalt wertete es das Gericht, dass der Kunde die Installation eines Antivirus-Programmes nachweisen konnte – wobei von Seiten des Gerichts sogar eingeräumt wurde, dass dieser Schritt die durchschnittliche Anforderung möglicherweise noch übertreffe. (Natürlich liegt die spezielle Auslegung dieser Anmerkung im Einzelfall beim jeweiligen Gericht.) Die Frage der regelmäßigen Aktualisierung der Signaturen des Antivirus-Programmes wurde in der Begründung des Urteiles völlig offen gelassen. Nicht verpflichtend sei es allerdings für den Kunden gewesen, eine Firewall zu installieren.

Kurz zusammengefasst: Wer sein Betriebssystem und seinen Browser auf dem neuesten Stand hält, die aktuellen Sicherheitsupdates einspielt (oder den entsprechenden Automatismus seines Systemes verwendet) und eine Software zum Schutz gegen Schadprogramme installiert hat, würde auf der Grundlage dieses Urteils einen Phishing-Schaden von seiner Bank stets erstattet bekommen.

Auf dem Hintergrund dieses Urteiles sollten viele Opfer gängiger Betrugsmaschen eine Chance haben, zumindest ihren finanziellen Schaden von der Bank erstattet zu bekommen – so dass „nur“ die weiteren Schäden durch die Preisgabe persönlicher Daten an organisierte Kriminelle bestehen bleiben. Alles weitere wird Ihnen der Anwalt ihres Vertrauens erzählen, wenn sie selbst zum Opfer geworden sind und Ihre Bank nicht zahlen will.

Das verstehe aber bitte niemand als Aufforderung zum völlig sorglosen Umgang mit dem Internet, denn…

  1. …es ist nicht klar, wie das blinde Vertrauen in eine Phishing-Mail, der Klick auf einen Link und die Preisgabe von vertraulichen Informationen auf einer gefälschten Seite im Internet von einem Gericht beurteilt würde. Vermutlich würde hier allerdings der Standpunkt eingenommen, dass zumindest eine Mitschuld des Opfers vorliege, wenn die URL im Browserfenster nicht geprüft wurde und wenn die ganze Vorgehensweise nicht gerade mit einer außerordentlichen und damit für das Opfer kaum durchschaubaren Perfidie durchgeführt wird.
  2. …neben dem finanziellen Schaden sind weitere Schäden möglich, wenn der eigene Rechner als Spamschleuder oder zum Austausch illegaler Inhalte verwendet wird und wenn persönliche Beziehungen für schwer kriminelle Zeitgenossen offen gelegt werden.
  3. …die so von der Bank erstatteten Schäden werden über kurz oder lang von der Bank wieder reingeholt, indem sie den zusätzlichen Kostenfaktor über Gebühren für ihre Leistungen und über gesteigerte Zinssätze für Darlehen auf die Gesamtheit ihrer Kunden abwälzen wird. Aus der Unvorsicht einiger Computernutzer wird damit ein Schaden für alle Menschen, die der Dienste einer Bank bedürfen. Und wer zählte nicht dazu?
  4. …in vielen Fällen wird eine eventuelle Regresspflicht der Bank und ihr Umfang erst in einem Rechtsstreit festgestellt werden, der auch mit einem persönlichen Kostenrisiko verbunden ist, das nicht jeder tragen kann oder will. Von daher ist es gut möglich, dass Banken in vielen Fällen eine für den betrogenen Kunden eher nachteilhafte außergerichtliche Einigung mit Übernahme eines Teilbetrages der Schadenssumme anbieten werden, um weitere Kosten aus der gegenwärtigen Rechtsauffassung zu vermeiden.

Es gilt also – trotz dieser scheinbar günstigen Rechtslage – es gar nicht erst so weit kommen zu lassen, dass man seinen Computer den Verbrechern zur freien Nutzung übergibt. Das ist auch nicht schwierig. Die Grundregel ist sogar sehr einfach: Spam erkennen, Spam im Maileingang unbeachtet löschen, niemals auf einen Link in einer Spam klicken, niemals eine über Spam (auch Spamkommentare in Foren, Gästebüchern oder Weblogs) verlinkte Website ansurfen! Egal, wie attraktiv das Angebot dort auch aussehen mag. Egal, wie harmlos das Angebot dort auch aussehen mag. Egal, wie nützlich das Angebot dort auch aussehen mag. Jede Spam ist illegal und zudem asozial, mit Spammern wird man keinen Spaß haben und keine Geschäfte machen können. Aber man kommt schnell an einen ernsthaften und schmerzhaften Schaden.

Wer es schafft, Spam sicher zu erkennen und stets zu ignorieren, der kann kaum noch zum Opfer eines gängigen Betruges werden. Das ist – unter dem Gesichtspunkt der Sicherheit am Computer – fast noch wichtiger als die Verwendung von Antiviren-Programmen, die mit ihren Erkennungen sowieso immer zwei bis drei Tage hinter den neuesten Entwicklungen der Verbrecher hinterherhinken. Keine auf dem Computer installierte Software kann den Verstand des Menschen vor dem Computer ersetzen, es handelt sich immer nur um eine Ergänzung.

Zu hoffen bleibt jetzt allerdings, dass die Banken das Thema „Phishing“ nicht mehr auf die leichte Schulter nehmen, sondern im eigenen Interesse für eine umfassende und allgemein verständliche Aufklärung ihrer Kunden sorgen. Solche Bemühungen waren bislang leider nicht sichtbar, obwohl sie wohl so manchen Schaden verhindert hätten. Vielleicht wird es unter der neuen Rechtslage sogar einigen Banken endlich möglich, ihre Websites zum Online-Banking in einer Weise zu gestalten, die auch mit weniger angreifbaren Betriebssystemen und restriktiv konfigurierten Browsern verwendbar ist.

Capital One TowerNet

Mittwoch, 2. Juli 2008

So hieß der angebliche, gewerbliche Absender einer Mail, die mich als Kunden begrüßte. Allerdings handelt es sich hier „nur“ um die neueste Phishing-Welle, mehr nicht…

Dear Capital One TowerNET customer,

Security and confidentiality are at the heart of the Capital One. Your details (and your money) is protected by a number of technologies, including Secure Sockets Layer (SSL) encryption.

Na, denn ist ja alles in Ordnung. Wieso müsst ihr so etwas schreiben?

We would like to notify you that Capital One Commercial carries out customer details confirmation procedure that is compulsory for all Capital One Commercial customers. This procedure is attributed to a routine banking software update.

Und was hat es mit dem SSL zu tun, wenn ich mich anmelden soll? Nichts! Einfach nur ein bisschen Blah, um unerfahrene Netzuser dazu zu bringen, dass sie ihre Zugangsdaten an Verbrecher geben.

Please login to Capital One TowerNET using the link below and follow the instructions on the screen.

http://towernet7.capitalonebank.com[…]

Und ganz wichtig: Bloß den Link aus einer Mail nehmen, die zwar wahnsinnig viel von Sicherheit gefaselt hat, aber dafür nicht einmal digital signiert ist! Aber wer völlig unerfahren ist, glaubt das und klickt auf eine URL, die scheinbar die Domain der eigenen Bank ist. Aber nur scheinbar, denn diese Mail ist in HTML formatiert und der Link führt auf einen anderen Server. Dort bekommt man eine liebevoll nachgemachte Website zu sehen, die vorgibt, dass man sich bei seiner Bank anmelden könne. Kann man aber nicht. Stattdessen gibt man einen Satz Anmeldedaten an organisierte Kriminelle, die gewiss eine Verwendung dafür haben, die einem nicht gefallen kann.

Ich habe den überlangen Link in diesem Zitat gekürzt, der sicherlich recht überzeugend den typischen URLs dieses Bankhauses nachgestaltet war. Nur soviel: Er führte auf den Server web376.com…

Zahlensalat

Samstag, 1. März 2008

Natürlich gibt es auch schlechte Phishing-Versuche:

Dear CitiBusiness customer,

CitiBusiness new Scheduled Maintenance Program protects your data from unauthorized access. CitiBusiness Online Form is important addition to our scheduled maintenance program.

Please use the link below to access CitiBusiness Online Form:

CitiBusiness Online Form

Please do not reply to this auto-generated email. Follow instructions above.

Klar, dass man einer automatisch erzeugten Mail mit gefälschtem Absender besser nicht antworten sollte. Die „Citibank“, die es hier mal wieder nicht schafft, ihre Kunden mit Namen anzusprechen, „sie“ hat „ihre“ Server übrigens in Hongkong stehen und betreibt diese unter der doch etwas unerwarteten Domain losao.hk – ist das vielleicht das chinesische Wort für Betrüger?

Aber dieser hingestümperte Standardtext des versuchten Massenbetruges ist es ja gar nicht, was mich zum Bloggen über diese Spam reizt. Sondern es ist das, was auf diesen Standardtext folgt. Ich will den schmackhaften Salat aus kryptischen Angaben und sedezimal angegebenen Zahlen auch gern zum breiten Genuss in voller Länge wiedergeben:

4658: 0×4355, 0×9, 0×03858855, 0×8158, 0×92, 0×72351800, 0×57754503 V5Y, UP5, B5KT 0×467, 0×006, 0×99, 0×087, 0×0, 0×8590, 0×760, 0×9, 0×885, 0×86080986, 0×0, 0×5, 0×5080, 0×71849779 0199078393359163369847134953821053 V57C: 0×43591432, 0×817, 0×68958204 hex: 0×87, 0×39, 0×18, 0×11502228, 0×8565, 0×351, 0×2, 0×273 0×3399, 0×1536 B24: 0×0345 0×4207 revision: 0×5499, 0×52, 0×1

interface: 0×63, 0×435, 0×5 engine: 0×61, 0×07, 0×32, 0×3, 0×543, 0×65, 0×2251, 0×31, 0×8, 0×5755 0×7026 92O, start, U1M dec: 0×78134326, 0×60, 0×1, 0×911, 0×36289965, 0×3730, 0×5033 96374095 0×83422530, 0×8, 0×06400223 update 5V5A VFG source WO4 interface WWW revision close. rcs: 0×187, 0×3529, 0×2, 0×4505, 0×6346, 0×0358, 0×2, 0×87, 0×28168126, 0×64096243, 0×844, 0×09, 0×60, 0×49768559, 0×5 end: 0×95, 0×484, 0×53, 0×5173 engine: 0×8, 0×22, 0×226, 0×22004691, 0×3, 0×68, 0×93026189, 0×694, 0×30105398, 0×54, 0×3615

close: 0×80, 0×49761424 source: 0×95, 0×88, 0×4278, 0×1843, 0×03109387, 0×2333, 0×0, 0×98869339, 0×1130, 0×44839216, 0×5, 0×2, 0×04, 0×80077138, 0×6 0×8879, 0×0, 0×81271337, 0×406, 0×53, 0×0, 0×623, 0×4742, 0×4613, 0×15, 0×41, 0×1346, 0×55 0×6291, 0×2155, 0×6, 0×7442, 0×93, 0×04601259, 0×5839 IHK, IHRO, source. 0×13, 0×970, 0×65, 0×93, 0×6605, 0×6, 0×3, 0×10 0×50160842, 0×93, 0×102, 0×3, 0×90, 0×061, 0×0, 0×2, 0×80729173, 0×556, 0×5382, 0×9605, 0×3602, 0×17, 0×66514174 0×4, 0×35, 0×477, 0×9 XX94 update PK0 exe engine DUN revision cvs: 0×8, 0×16459695, 0×3978, 0×119, 0×5219, 0×530, 0×54760893, 0×281, 0×9, 0×3378, 0×03, 0×5881, 0×767 602539056462107252992

349646078 0×8, 0×78 common: 0×939, 0×7, 0×5, 0×05, 0×49, 0×008, 0×1071, 0×299, 0×56051064 BXH2: 0×9177, 0×700, 0×931, 0×3878, 0×1910

Wird daraus jemand schlau? Auf mich wirkt es, als hätte sich das Skript zur Erzeugung von Spamprosa an einer sehr ungünstigen Stelle automatisch zusammengestellter Texte festgebissen, um jetzt in niemals endendem Fluss Diagnosemeldungen von Druckern und anderen Peripheriegeräten, wirre Zahlenlisten und ähnliche Daten zu stetig neuer Sinnlosigkeit zu kombinieren. Wenn es Absicht wäre, würde ich es fast schon für Kunst halten.

Aber auch damit schafft es der Dreck nicht, durch den Spamfilter zu gelangen…

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.