Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Phishing“

Eine gefährliche, neue Phishing-Masche

Freitag, 29. Februar 2008

Heute einmal eine ganz besondere Warnung vor einer neuen Phishing-Masche, die für deutsche Nutzer des Internet in die bevorstehende Zukunft weist. Es lohnt sich, diesen Text ganz zu lesen; und dies gilt vor allem, wenn man seine Kontoführung über das Internet erledigt.

1. Die Mail

Ich bin doch immer wieder überrascht, bei wie vielen „Banken“ ich als „Kunde“ geführt bin, obwohl mir keine Bank mehr ein vollwertiges Konto geben würde. Selbst jenseits des Atlantiks habe ich angeblich meine Konten, wenn ich dem Phisher glauben darf, der mich unter gefälschter Absenderadresse und mit dem Betreff „important reminder: digital certificate issued <message id: b0531731us>“ mit einer HTML-formatierten Mail anschrieb.

Dear Bank of America Direct User:

Klar, bei der angeblichen „Bank of America“ ist man zwar imstande, eine kryptisch anmutende „Message ID“ in den Betreff aufzunehmen, aber dafür gelingt es dort offenbar nicht, einen Kunden einfach bei seinem Namen anzusprechen. Auch für so eine Kleinigkeit wie eine Kontonummer oder eine Kundennummer hat es nicht hingereicht. Schließlich ist unpersönliches, technokratisches Auftreten der letzte Schrei im Kundendienst. :mrgreen:

Our records indicate that a new digital certificate has been issued to your Bank of America Direct user ID.

Und wo wir schon bei technokratisch sind… hier wird nicht etwa persönlich angesprochen, sondern mit der Aktenlage begründet. Vor allem, weil man mit diesen unpersönlichen Formulierungen am besten verbergen kann, dass man auf Seiten der Kriminellen gar nicht weiß, wie der Empfänger der Mail angesprochen werden sollte. Dass die Benutzer-ID, für die hier angeblich ein neues „digitales Zertifikat“ ausgegeben wurde, gar nicht näher benannt wird, fällt dabei dem dummen Gläubigen solchen Geschwafels wohl auch nicht weiter auf – sonst käme er noch auf die Idee, diese Nummer mit seinen Unterlagen zu vergleichen.

Digital certificates are computer-based records issued to individual user IDs that allow Bank of America Direct to validate your identity and protect your information from unauthorized access. In order to access Bank of America Direct, you must use a valid digital certificate.

So, jetzt erklären wir noch einmal kurz für Dumme, was es mit diesem angeblichen „digitalen Zertifikat“ auf sich hat. Schön irreführend natürlich, damit der Empfänger glaubt, er käme demnächst gar nicht mehr an sein Konto und damit auch nicht mehr an sein Geld ran. Außer natürlich, er installiert sich schnell dieses angebliche „digitale Zertifikat“ seiner „Bank“, die ja so „freundlich“ ist, ihn darauf hinzuweisen und auch gleich zu sagen, wie man das macht:

Installation Instructions
To install your newly-granted digital certificate, please access the Digital Certificate Pick-Up site at:

http://direct-certs.bankofamerica.com/ [… sehr lange URL von mir gekürzt]

Die in der Mail angegebene URL sieht ja auch noch koscher nach dem Server bankofamerica.com aus, so dass Mitmensch Empfänger gar nicht auf die Idee kommt, dass hier ein Problem liegen könnte. Mitmensch Empfänger weiß ja auch im Allgemeinen gar nicht, dass er eine HTML-formatierte Mail vorliegen hat, in der man zum Beispiel eine angegebene URL ganz einfach mit einem Link auf eine völlig andere URL ausstatten kann. Und der im Link angegebene voll qualifizierte Domainname sieht zwar hübsch ähnlich aus, damit Mitmensch Dummkopf es nicht gleich beim ersten Blick in die Adresszeile seines Browsers merkt, aber…

http://direct-certs.bankofamerica.com.losao8.es/ [… sehr lange URL von mir gekürzt]

…verweist doch in Wirklichkeit auf die Domain losao8.es, unter der es gewiss keinen Kundendienst eines großen, US-amerikanischen Bankhauses geben wird. Vielmehr wird es dort die Installation von Dingen geben, die kein Mensch auf seinem Computer haben will; und dies schon gar nicht, wenn er mit seinem Computer auch noch Online-Banking betreibt.

Auf eine Installation ist das zukünftige Opfer ja schon vorbereitet, da wird es sich gewiss freuen, dass alles so leicht und schnell geht und dass es wieder an sein Konto und sein Geld kommt. Da stört es ihm gewiss nicht…

Please have your Bank of America Direct login information readily available when completing this process.

…dass es den Verbrechern auch gleich noch die Zugangsdaten für sein Konto liefert. Und die Verbrecher freuen sich auch, denn dieser Phishzug wird sich wirklich lohnen.

So, jetzt zum Abschluss noch ein paar Zeilen für die verbesserte Glaubwürdigkeit des ganzen Unsinns in die Mail schreiben…

Should you have any questions regarding this process, please consult your Company Administrator or contact your regional customer support center for further assistance.

Sincerely,
Bank of America Direct Technical Care Center

NOTE: This is an automatically generated communication.

…und fertig ist eine außerordentlich gefährliche Phishing-Mail, die gewiss ihre Opfer finden wird.

2. Warum ich darauf hinweise

Natürlich besteht für die überwiegend deutschen Leser dieses Textes noch keine Gefahr, auf diesen Phishzug reinzufallen. Außer, sie haben wirklich ein Konto bei US-amerikanischen Banken und sind es gewohnt, dass die gesamte Kommunikation mit der Bank in englischer Sprache läuft. Dennoch halte ich diesen Betrugsversuch für sehr gefährlich und bin mir angesichts der international organisierten Spam- und Phishing-Mafia völlig sicher, dass es demnächst ähnliche Versuche in deutscher Sprache geben wird. (Dass die Spammer in letzter Zeit immer besseres Deutsch produzieren, macht eine solche Möglichkeit noch etwas gefährlicher.)

Es sind vor allem die folgenden drei Gründe, die bei mir alle Alarmglocken klingeln lassen:

  1. Das Thema „Phishing“ ist zurzeit aus den deutschen Medien verschwunden, und deshalb wird die angemessene, kritische Aufmerksamkeit vieler Internet-Nutzer nachlassen.
  2. Die im Text verwendete Masche ist neu und noch völlig unverbraucht. Ein normaler Internet-Nutzer, der nicht über tiefere Kenntnisse verfügt, könnte die im Text der Mail gegebene Begründung für plausibel halten und deshalb leicht darauf hereinfallen.
  3. Die schon in der Mail angekündigte Installation einer Software-Komponente auf dem Rechner des Opfers ermöglicht den Kriminellen eine völlig neue, sehr effektive Vorgehensweise bei ihrem Betrug. Die Manipulationen können über einen längeren Zeitraum hinweg vor einem Opfer verborgen werden. Dabei kann es zu einem erheblichen finanziellen Schaden beim Opfer kommen.

Zunächst einmal das Sachliche, wenn auch hier etwas unsachlich zusammengefasst. Das in der zitierten Mail zum Schwindel bemühte Gelaber von einem „digitalen Zertifikat“ ist gut gequirlte Scheiße. Es gibt zwar wirklich digitale Zertifikate, aber diese erfüllen eine völlig andere Funktion und müssen niemals wie eine Software installiert werden. (Ein Browser kann aber sehr wohl beim Besuch einer Website rückfragen, ob einem bestimmten Zertifikat vertraut werden soll.) Wer Näheres zu diesem Thema wissen möchte, kann sich in der Hilfe seines Browsers in aller Ruhe schlau lesen.

Ich lege wirklich jedem Menschen nahe, sich ein paar Kenntnisse über seinen Computer und die darauf verwendete Software selbst anzueignen; vor allem, wenn er über dieses Vehikel so empfindliche Aufgaben wie das Bewegen von Geld erledigen möchte. Solides Wissen ist der beste und durch nichts anderes zu ersetzende Schutz vor den meisten Formen des Internet-Betruges, Unsicherheit und Halbwissen sind hingegen oft eine große Erleichterung für kriminelle Angreifer – dies gilt ausdrücklich auch für das blinde Vertrauen auf eine dieser vielen Software-Lösungen, die Sicherheit versprechen. (Natürlich kann solche Software dennoch eine wichtige Ergänzung sein.)

Was macht diesen Angriff jetzt über alle Maßen gefährlich, worin besteht die qualitative Steigerung gegenüber vorherigen Ansätzen des Phishings?

Nun, es ist die zusätzliche Installation auf dem Rechner des Opfers.

Ich habe hier gerade kein besonders gesichertes System und weiß nicht, was dabei in welcher Weise installiert wird. Aber ich kann aus dem Text dieser Mail den folgenden Ablauf bei der Installation und der nachfolgenden Kontoführung vermuten:

  • Das Opfer sieht nach dem Klick in eine Spammail eine betrügerisch nachgemachte Website im Layout seiner Bank und meldet sich dort wie gewohnt an.
  • Es ist davon auszugehen, dass die Verbrecher auf dem von ihnen kontrollierten Server mit den gleichen Anmeldedaten den richtigen Server der Bank des Opfers kontaktieren und mit einem automatischen Verfahren bedienen. Die Verbrecher stellen sich also schon beim ersten Mal in die Mitte zwischen dem Opfer und seiner Bank. Deshalb können sie auch gleich die richtige TAN vom TAN-Block des Opfers anfordern, wenn das übliche Verfahren verwendet wird.
  • Die Verbrecher holen sich vom Server der Bank sämtliche Kontoinformationen des Opfers ab und speichern diese in einer Datenbank auf ihrem eigenen Server. Mit Hilfe dieser Daten wird dem Opfer in den nächsten Wochen und Monaten vorgespielt, es sei noch Herr über sein eigenes Konto.
  • Nebenbei bekommt das Opfer eine Software zum Download und zur automatischen Installation angeboten. Diese Software wird ein Trojaner sein, der alle Zugriffe auf dem Server der Bank auf die Website der Verbrecher umleitet, die nach der Installation jedes Mal in der Mitte zwischen dem Opfer und seiner Bank stehen. Wer einen Internet-Explorer verwendet, kann sich darüber „freuen“, dass die ganze Installation automatisch abläuft.
  • Das Opfer kann über seinen eigenen Rechner nicht mehr die richtige Website seiner Bank erreichen, bemerkt dies aber nicht. Der Servername der Bank wird zur IP-Adresse eines Servers der Verbrecher aufgelöst. Das Opfer glaubt, dass es seine normale Kontoführung erledigt, aber es arbeitet dabei auf einem Server schwer krimineller Betrüger.
  • Es ist für diese Verbrecher nun technisch eine Kleinigkeit und organisatorisch eine Programmierung nur mittlerer Komplexität, diese Situation so auszunutzen, dass dem Opfer in der nachgemachten Website der Bank alles so angezeigt wird, dass keinerlei Verdacht entsteht. Alle Buchungen erscheinen genau so, wie das Opfer sie gewollt hat. Unter diesen Umständen kann das Opfer gar keinen Verdacht schöpfen.
  • In dieser Situation räumen die Verbrecher dreist und in maximal möglichem Umfang ab, ohne dass das Opfer eine Chance hat, etwas davon zu bemerken – und sie haben dabei, da niemand einen Verdacht schöpft, alle Zeit der Welt, das gebuchte Geld zu barem Geld zu machen. (Denn das ist bei solchen Formen des Betruges immer das größte organisatorische Problem.)
  • Wenn endlich ein Kontoauszug postalisch zugestellt wird, wenn eine Mahnung der Bank ins Haus flattert, wenn der Geldautomat kein Geld mehr ausgibt, wenn die Kreditkarte eingezogen wird… ja, denn ist es recht spät geworden, und die Verbrecher sind mit ihrer Beute längst über alle Berge. Ob das Opfer etwas von seinem Geld wiedersehen wird, ist sehr fraglich; es ist davon auszugehen, dass die meisten Banken sich in ihren AGB gegen solche Fälle mangelnder Sorgfalt ihrer Kunden abgesichert haben. Dem Opfer bleibt nur noch die Möglichkeit einer Strafanzeige gegen eine international organisierte Mafia, die zwar routiniert von der Polizei aufgenommen wird, aber kaum zu einem Ermittlungserfolg führen wird. Und natürlich bleibt das Geld verschwunden und ein ordentlicher Haufen Schulden wird für die nächsten Jahre zu einer drückenden Last.

Ich hoffe, dass jetzt auch dem letzten klar geworden ist, warum es sich hier um eine neue kriminelle Qualität im Phishing handelt, die ich in den nächsten Wochen auch in deutscher Sprache erwarte.

3. Wie kann man sich vor Phishing schützen?

Die Grundregeln, wie man sich vor jeder Form des Phishing schützt, sind ganz einfach zu beherzigen. Eigentlich handelt es sich um „gesunden Menschenverstand“, der sich grob in die folgenden fünf Hinweise zusammenfassen lässt:

  1. Die erste und wichtigste Regel: Bevor man wegen einer Mail von einer Bank (oder von einem Versandhaus oder eines anderen Unternehmens, bei dem man Kunde ist) etwas tut, was man selbst nicht versteht, ruft man beim Kundendienst an. Und zwar immer unter der Telefonnummer, die in den schriftlichen Unterlagen steht, und niemals unter einer Nummer, die in der Mail steht. Das gleiche gilt bei Anrufen der Bank oder eines anderen Unternehmens, bei dem man Kunde ist – immer misstrauisch sein, wenn es um Geld geht.
  2. Phishing-Mails erkennen: Wer als Kunde einer Bank oder eines anderen Unternehmens eine Mail erhält, in der er nicht einmal mit seinem Namen angesprochen wird, der hat es mit Sicherheit mit einem Phishing-Versuch zu tun. Am besten ist es, in dieser Situation sofort Kontakt zur Bank aufzunehmen, damit andere Menschen vor diesem wahrscheinlich massenhaften Betrugsversuch gewarnt werden können. Leider sind viele deutsche Banken tendenziell etwas nachlässig in ihrer Verantwortung, ihre Kunden über laufende Angriffe zu informieren – das kann und wird sich jedoch ändern, wenn es immer wieder von Kunden eingefordert wird.
  3. Immer daran denken: Keine deutsche und wohl auch kaum eine ausländische Bank fordert mit Mails dazu auf, die Bank-Homepage zu besuchen und dort irgend etwas angeblich Erforderliches zu tun. Wenn dies doch einmal geschehen sollte, und man ist sich als Empfänger auch nur ein kleines bisschen unsicher (weil man zum Beispiel namentlich angesprochen wurde), denn sollte man immer noch einmal telefonisch bei der Bank nachfragen. Dieses bisschen Prävention kann tausende von Euros sparen und sehr die Nerven schonen.
  4. Vorsicht beim Klicken: Die Internet-Adresse seiner Bank gibt man immer von Hand ein! Ein Klick in eine Mail ist gefährlich, da er zu einer anderen Adresse führen kann, als man glaubt. Es ist aber auch sehr gefährlich, die Lesezeichen seines Browsers zu benutzen, da sich diese relativ leicht durch andere Programme verändern lassen – und irgendwann werden auch solche Wege von Kriminellen beschritten werden. Also nochmal: Die Internet-Adresse seiner Bank gibt man immer von Hand ein! Selbst das gibt noch keine umfassende Sicherheit, da die Namensauflösung manipuliert sein kann (wie ich es etwa als Folge des hier vorgestellten Phishing-Versuches vermute), aber es hilft gegen jene einfachen Angriffe, die komplexen Angriffen voraus gehen müssen.
  5. Spam ungelesen löschen: Niemals auch nur darüber nachdenken, auf einen Link in irgendeiner Spam zu klicken – egal, ob es sich um eine Spammail handelt, ob es ein Spamkommentar in einem Blog oder einem Gästebuch ist, ob es ICQ-Spam oder eine sonstige Form der Spam ist. Die meiste Schadsoftware nimmt heute über Spam ihren Weg auf die Computer. Wenn man den Kriminellen erst einmal den eigenen Rechner zur Verfügung gestellt hat, denn haben sie auch bei komplexen Manipulationen leichtes Spiel. Und das kann für den Betroffenen sehr teuer werden.

Mit Hilfe dieser sehr einfachen Hinweise sollte es jedem möglich sein, Schaden von sich selbst abzuwenden. Diese Hinweise haben zudem noch einen weiteren Vorteil: Sie kosten – im Gegensatz zu mancher in dieser Sache völlig wirkungslosen, aber teuer verkauften Software zum „Schutz“ des Computers – kein Geld, können aber viel Geld sparen helfen.

Es gibt noch einen weiterführenden Hinweis auf eine technische Verbesserung. Die Befolgung dieses Hinweises kostet ebenfalls kein Geld, ist aber mit einem kleinen Aufwand verbunden: Niemals einen unsicheren Browser oder einen unsicheren Mailclient verwenden! Besonders gefährlich ist der Internet-Explorer, doch auch ein Firefox oder ein Opera sollte – ebenso wie ein Thunderbird – immer auf dem neuesten Stand gehalten werden. So kann man das Mögliche dafür tun, dass der eigene Rechner nur das tut, was man selbst möchte, ohne dass man Kriminellen die Chance gibt, mit boshaft präparierten Inhalten Schaden anzurichten.

Volksbanken Raiffeisenbanken AG

Mittwoch, 10. Oktober 2007

Mal wieder ein recht plumper Phishing-Versuch, der vorgibt, von der „Volksbanken Raiffeisenbanken AG“ zu kommen. Die Gestaltung ist durchaus stilsicher, und auch die Sprache hat inzwischen mal ein paar Lektionen in deutscher Grammatik inhaliert:

Betreff: Volksbanken Raiffeisenbanken AG: 07/10/2007

Sehr geehrter Kunde, sehr geehrte Kundin,

Ich bin kein Kunde bei einer Volksbank. Das wissen die Spammer nur nicht, die sprechen einfach jeden als Kunden an. Ein paar werden es schon sein, und einige davon sind vielleicht sogar so blöd und klicken.

Aber davon einmal abgesehen: Jedes Unternehmen würde in einer echten Mail die Kunden mit ihrem Namen ansprechen. Ob hingegen ein so aussageloser Betreff geschrieben würde, ist eine andere Frage. Was das Datum im Betreff zu suchen hat, obwohl es doch sowieso im Header der Mail steht, bleibt das besondere Geheimnis dieser Phisher.

Die Technische Abteilung der Volksbanken Raiffeisenbanken führt zur Zeit eine vorgesehene Software-Aktualisierung durch, um die Qualität des Online-Banking-Service zu verbessern.

Und was habe ich damit zu tun? Können die ihre Software nicht so pflegen, dass die Kunden es nicht merken? Das machen die doch sonst auch immer so?

Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten zu bestätigen.

http://www.vr-networld#de/DEGCB/JPS/portal/Index.do

Was man dem „Link“ sofort ansieht, ist die Tatsache, dass er „ziemlich seltsam“ aussieht und eigentlich kaum funktionieren kann. Was man ihm nicht auf den ersten Blick ansieht, ist eine andere Tatsache: Es handelt sich um eine HTML-Mail, und der wie eine URL aussehen wollende Text verweist auf eine ganz andere URL der Domain vzlad.cn, die noch weniger an eine deutsche Bank erinnert. Dort wird man bestimmt eine gute Gelegenheit erhalten, ein paar geldwerte Daten an Verbrecher zu übermitteln.

Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken Ihnen für Ihre Mithilfe.

Wir bitten Sie, die Abbuchung von einigen Tausend Euro durch mafiös organisierte Kriminelle zu entschuldigen und bedanken uns für Ihre Mithilfe.

DHL verlost Preise

Montag, 24. September 2007

Na, wie blöd muss ein Spamempfänger sein, damit er diese Mitteilung eines Absenders mit gefälschter Mailadresse glaubt (DHL hat damit nichts zu tun):

Betreff: DHL Verlost Preise im Wert von mehr als 1000 Euro

5 JAHRE – DHL PACKSTATION

Gewinnen Sie jetzt Attraktive Preise
Beim DHL PACKSTATION Cup im wert von Über 1000 EUR

Klar, ein Appell an die Gier ist etwas, dem Deppen nicht widerstehen können. Und Deppen sind auch genau das richtige für diesen Angriffsversuch, denn sie merken weder, dass hier jemand mit der Groß-/Kleinschreibung im Deutschen erhebliche Probleme hat…

Melden Sie Sich gleich mit ihren Daten an und nehmen an der Verlosung teil.

http://www.packstation-cup.de

…, noch merken sie, dass sie eine HTML-Mail vor sich liegen haben. Und dieser Link hat es in sich, denn er führt auf eine ganz andere Seite als man beim Anblick der URL glauben möchte. Dort kriegt man zwar keine 1000 Euro, aber dafür darf man seine Anmeldedaten an ein paar Verbrecher weitergeben.

Viel Spass mit PACKSTATION wuenscht Ihnen
Ihr PACKSTATION Team

http://www.packstation-cup.de
Servicenummer 01803 / [… von mir entfernt]*

Ja, mit Pack haben wir es hier wirklich zu tun. Die Servicenummer klingt echt, aber ich habe gerade keine Lust, da anzurufen. Ich schätze nämlich, dass die Mitarbeiter dort ziemlich genervt sein werden, weil sie heute schon mit mehreren tausend zum Teil erbosten Spamempfängern gesprochen haben. Dem kriminellen Spammer ist es aber scheißegal, welchen wirtschaftlichen Schaden er anrichtet.

Da ist es auch nur wenig tröstlich, dass der Mailfälscher am Ende noch einmal vor dem Ausfluss seines eigenen Tuns warnt:

PS:
VORSICHT VOR GEFÄLSCHTEN EMAILS! Immer wieder versuchen Betrüger mit gefälschten Absendern namhafter Firmen an vertrauliche Daten wie z.B. die PIN von Kunden zu gelangen. Bitte löschen Sie verdächtige eMails sofort und geben Sie auf keinen Fall persönliche Daten an! Mehr Informationen auf unserer Website.
http://www.dhl.de/packstation-daten-aendern
*9 ct. je angefangene Min. im Festnetz der T-Com

Hier hat man nämlich gleich unter der Warnung, dass man so etwas niemals machen sollte die zweite Gelegenheit, seine Zugangsdaten an Verbrecher zu senden. Für wie dumm die potenziellen Opfer von so einem Spammer gehalten werden, ist damit wohl klar. Wer nicht so dumm ist, der löscht diesen kriminellen Angriff und lässt sich auch nicht davon zu einem Klick verführen, dass ihm irgendwelche Mails mit gefälschtem Absender zwei hübsche lila Lappen als „Preis“ versprechen.

Wer nämlich DHL-Kunde ist und dort ein Kundenkonto hat, der wird in eventuellen Mails von DHL mit seinem Namen angesprochen werden. Eine unpersönliche Anrede in einer Mail, die angeblich von einer Firma kommen soll, bei der man Kunde ist, sie ist immer ein deutliches Zeichen für eine Spam.

Zahl der Phishing-Opfer gestiegen

Mittwoch, 29. August 2007

Diese Meldung in der Netzeitung sollte jeden warnen, der das Thema Spam immer noch auf die leichte Schulter nimmt:

Die Zahl der Internet-Nutzer, deren Konten mit geklauten Passwörtern geplündert worden seien […] sei im vergangenen Jahr bundesweit um 23 Prozent gestiegen […] Insgesamt seien in 3250 Fällen 13 Millionen Euro von Konten der Opfer gestohlen worden.

Für das einzelne Opfer dieses groß angelegten und mafiös organiserten Betruges ist das ein oft erheblicher Verlust. Die durchschnittliche Schadensumme der Betroffenen liegt nach diesen Zahlen bei immerhin 4000 Euro. Nur wenige Menschen können es sich leisten, mal eben viertausend Euro für Nichts wegzuwerfen, und selbst wer sich das leisten könnte, wird es dennoch nicht wollen.

Nicht alle Opfer des gegenwärtigen Phishings sind so dumm, dass sie eine gefälschte Mail ihrer Bank für echt halten und daraufhin ihre TAN auf den Websites von Betrügern eingeben. Es gibt diese naiven Dummköpfe zwar immer noch, aber die meisten Opfer des Phishings werden heute mit hohem technischem Aufwand überrumpelt:

In den meisten Fällen schickten Betrüger per E-Mail einen sogenannten Trojaner – ein Schadprogramm, das die Daten heimlich ausspäht und weitergibt. Anderer Schadprogramme leiteten die Nutzer beim Online-Banking im Hintergrund auf gefälschte Seiten weiter.

Recht häufig werden die Trojaner übrigens installiert, wenn man auf Links in Spam-Mails klickt und so präparierte Seiten aufruft, die Sicherheitslöcher der gängigen Browser ausnutzen. Die Installation der Software geschieht unauffällig und im Hintergrund, und danach hat man seinen für teures Geld gekauften Rechner in einen Computer verwandelt, der von der Spam-Mafia kontrolliert und ferngesteuert wird. Es ist zwar richtig, wenn die in der Netzeitung zitierte Agenturmeldung folgendes empfiehlt…

Laut Bitkom ist es daher wichtig, die jeweils neuesten Schutzmethoden zu verwenden. Dazu zählt der Schutz des Computers mit einer aktuellen Anti-Viren-Software. Wichtig ist zudem eine gesunde Skepsis beim Empfang von E-Mails […]

…aber die wichtigsten Regeln im Mailverkehr (und auch bei der Benutzung so genannter „Web 2.0″-Dienste) sind noch viel einfacher zu beherzigen und sehr viel wichtiger als das blinde Vertrauen in irgendwelche Programme gegen Viren. Hier in aller Kürze der dreifache Imperativ des gegenwärtigen Internets:

  • NIEMALS auf einen Link in einer Spam klicken!
  • NIEMALS den Anhang einer Spam öffnen!
  • NIEMALS glauben, dass der Absender einer Mail stimmt!

Der letzte Punkt wird in Zukunft von immer größerer Wichtigkeit sein. Es ist leicht, einen Absender zu fälschen, alle Spam-Mails kommen mit gefälschtem Absender. Es dauert wohl nicht mehr lange, bis viele Spams scheinbar von regelmäßigen Kontakten kommen. Wer eine Mail von einem Bekannten erhält, die in irgendeiner Weise untypisch und damit verdächtig ist (falsche Sprache, ungewohnte inhaltliche Schwächen, veränderter Stil, seltsame Ausdrucksweise), sollte vor dem Klick auf einen Link oder vor dem Öffnen eines Anhanges lieber einmal anrufen und nachfragen, ob diese Mail auch wirklich von ihm kommt. Dieses bisschen Prävention kann schnell tausende von Euro und viel Ärger mit einen von Kriminellen übernommenen Rechner sparen.

Es ist nur eine Frage der Zeit, bis die Spam-Mafia dazu übergehen wird, ihren Opfern die Trojaner der nächsten Generation unterzujubeln. Diese Programme werden nicht nur unbemerkt im Hintergrund Passwörter sammeln und die Aktionen beim Online-Banking manipulieren, sondern sich auch verbreiten, indem sie sich selbst an alle Mail-Kontakte des Opfers weitersenden. Dabei können durchaus Mailtexte aus Textfragmenten bisheriger Mails zusammengesetzt werden, so dass die automatische Erkennung durch Spamfilter sehr schwierig wird. Hier ist dann der Mensch gefragt, der immer noch deutlich intelligenter als ein dummer Computer sein sollte und diese Intelligenz eben für die Erkennung von Spam und Angriffsversuchen nutzen muss.

Wer aber glaubt, dass er zusätzlich einen wirksamen technischen Schutz gegen die kriminellen Anliegen der Spam- und Phishing-Mafia benötigt, der sollte sich nicht allein auf Virenscanner verlassen, die nur die technische Anfälligkeit des verwendeten Systemes ausbügeln. Der beste technische Schutz ist es immer noch, für die täglichen Sitzungen im Internet ein Betriebssystem und eine Arbeitsumgebung zu verwenden, die sich als relativ resistent gegen solche Angriffe erweisen – und natürlich, dieses System auch immer auf einem aktuellen Stand zu halten. Ich kann hier nur Linux empfehlen, das nichts kostet, frei ist und dem Anwender wieder den Computer zurückgibt. Das eventuelle Umlernen auf das neue System zahlt sich später hundertfach in gesparter Zeit aus, die man nicht in einen zickig gewordenen Rechner investieren muss.

Wenn ein Verzicht auf Microsoft Windows, diesem Betriebssystem mit der betrüblichen Sicherheitsgeschichte, aber gar nicht möglich ist, denn sollte doch wenigstens nicht die Standardumgebung von Microsoft verwendet werden, auf die viele Angriffsversuche wegen der großen Verbreitung dieser Umgebung und der relativen Leichtigkeit solcher Angriffe abzielen. Es gibt gute und kostenlose Alternativen zum fatalen Dreigespann Microsoft Internet Explorer, Microsoft Outlook und Microsoft Office. Wer sich mit aktuell gehaltenen Versionen von Firefox, Thunderbird und Open Office in seine täglichen Computersitzungen begibt, wer nicht standardmäßig und ohne besondere Notwendigkeit mit Administratorrechten arbeitet, und wer zusätzlich sein Gehirn benutzt und nicht wie ein dressierter Affe auf alles klickt, was sich irgendwie anklicken lässt, der ist auch mit Windows relativ sicher im Internet unterwegs. Der Virenscanner ist dennoch dringend empfohlen, und natürlich müssen die Signaturdateien regelmäßig aktuell gehalten werden. Windows bleibt immer noch ein System, das vor allem für kriminelle Angreifer viele Schlupflöcher bietet.

Die Zitate in diesem Text wurden dem oben verlinkten Artikel in der Netzeitung entnommen.

Danke, dass sie ihre Rechnung rechtzeitig erganzt haben

Donnerstag, 19. Juli 2007

Mit diesem Betreff kommt eine Spam mit dem gefälschten Absender info@t-mobile.de daher, die von sich behauptet, von „t-mobile“ zu stammen. Natürlich handelt es sich hier um einen weiteren Versuch, den Menschen Schadsoftware unterzujubeln. Ich traue den diversen Nachkommen der Deutschen Bundespost ja so manche Form des Schwachsinnes zu, aber die deutsche Sprache wird dort im allgemeinen mit korrekten Umlauten geschrieben. 😉

Aber komme ich mal zum Text der mutmaßlich millionenfach ins deutschsprachige Internet gepusteten Spam:

Die Gesellschaft „T-Mobile“ dankt ihren Kunden, dass sie ihre Abrechnung des Mobiltelefons immer rechtzeitig ergänzen und dafür rechnet sie ihnen die Punkte an.

Sehr erfreulich, dass sich „T-Mobile“ in Anführungszeichen schreibt. Das passt auch gut dazu, dass jede persönliche Ansprache des Kunden unterlassen wurde, dem für sein Erganzen „die Punkte“ angerechnet werden sollen. Klar, ich bin ja auch gar kein Kunde bei denen.

Jetzt fragt sich nur noch, was „die Punkte“ sein sollen. Auch darüber schweigt sich diese asoziale und kriminelle Spam nicht aus, damit auch der letzte Depp versteht, dass diese Punkte etwas wert sein sollen:

1 Punkt sind gleich 20 kostenlose SMS. Die Punktmenge auf Ihrer Rechnung können Sie hier [… URL mit Link auf eine andere URL von mir entfernt] anschauen.

Die angegebene URL gibt vor, auf die Domain t-mobile.de zu verweisen. Es handelt sich allerdings um eine HTML-Mail, und in Wirklichkeit wird hier auf eine kostenlose Homepage bei GeoCities verwiesen, was ja durchaus schon eine gewisse Tradition bei den Malware-Spams hat. Man möchte fast sagen, dass GeoCities inzwischen der beliebteste kostenlose Hoster bei Kriminellen geworden ist – und offenbar bekommt dort niemand derartige Probleme in den Griff.

Ich habe mir jetzt nicht angeschaut, was ich unter dem Link aus der Spam zu sehen bekäme, weil ich gerade kein besonders gesichertes System zur Verfügung habe. Völlig sicher ist aber, dass es nichts mit T-Mobile zu tun hat, da dieses Großunternehmen natürlich eine eigene Homepage hat und nicht auf die Dienste kostenlosen Hostings angewiesen ist. Allein diese Tatsache zusammen mit der ziemlich missglückten Maskierung des wirklichen Linkzieles in der Spam sollte sogar dem Blindesten deutlich machen, dass dort ein wenig erfreuliches Angebot auf die schnell klickenden Deppen wartet.

Zumal das Deutsch am Ende der Mail doch ein wenig hakelig wird:

Eine notwendige Bedingung des Erhaltens der Punkte ist die positive Abrechnung im Laufe von dem Quartal.

Klar, und eine notwendige Bedingung des Erfolges der Spam ist die positive Verwendung grammatisch korrekten Deutsches im Laufe von dem Text. :mrgreen:

Warnung: Man klickt niemals auf einen Link in einer Spam. Niemals. Wer es dennoch tun möchte, der sollte das mit einem besonders gesicherten System tun, und auch dann kann noch Unerfreuliches passieren. Ein blindes Vertrauen auf einen Virenchecker ist fehl am Platze. So groß kann die Freude an der gesättigten Neugier gar nicht sein, dass es sich lohnt, mit dem möglicherweise anschließenden Ärger zu leben. Wer nicht weiß, wie man ein System besonders gegen Angriffe sichert, sollte gar nicht erst über den Klick nachdenken. Und wer sich bei einer Mail von T-Mobile, einem Versandhaus oder einer Bank unsicher ist, ob sie vielleicht echt sein könnte, der sollte einfach den dortigen Kundendienst anrufen, bevor er etwas unsäglich dummes tut. Dort wird ihm auch gesagt werden, dass Kunden in der Regel mit ihrem Namen angesprochen werden und dass eine unpersönliche Anrede immer ein deutliches Zeichen für eine Fälschung ist.

Volksbanken ‚07

Samstag, 16. Juni 2007

Na sowas aber auch. Wieder einmal eine Mail von der „Volksbank“ (natürlich ist der Absender gefälscht), das hatte ich aber lange nicht mehr. Leider sind die Phisher nicht so einfallsreich, Text und Schema des Betrugsversuches entsprechen genau dem schon längst bekannten Schema – und zwar einschließlich gewisser grammatikalischer Schwächen:

Phishing bei Volksbank-Kunden

Wer hier irgendwo in die eingebettete Grafik mit dem Text klickt, ist selbst schuld. Erstens stimmt die angegebene URL ist der Grafik nicht mit der gelinkten URL überein, zweitens führt die gelinkte URL auf einen Server in Hongkong, einem Ort, der bei Spammern und Phishern viel beliebter als bei deutschen Kreditinstituten ist, drittens wird die Grafik von einem Wulst sinnlosen englischen Textes gefolgt, der alles andere als einen Anschein der Seriosität vermittelt. Aber die erste Welle derartiger Phishing-Versuche scheint so erfolgreich gewesen zu sein, dass die mafiös organisierten Verbrecher ein paar Monate später gleich nochmal nachlegen.

Also gleich in die virtuelle Mülltonne damit. Eine reale Bank käme wohl niemals auf die Idee, ihre Kunden mit einer Mail zur Offenlegung von Kontodaten aufzufordern; selbst bei einem von der Post zugestellten Brief sollte man etwas Vorsicht an den Tag legen und gegebenenfalls einmal in seiner Filiale nachfragen. Die Website einer Bank sollte generell nicht über einen Link aufgerufen werden, und schon gar nicht, wenn sich dieser Link in einer nichtsignierten Mail ohne persönliche Ansprache befindet. Die sicherste Methode ist die direkte Eingabe der Adresse in den Browser, selbst Lesezeichen können von aggressiven manipulierten Angreifern manipuliert werden.

So viel nur dazu…

Betreff: Ihr Konto wurde gesperrt

Mittwoch, 6. Juni 2007

Man kann beim Phising wirklich unglaublich dumm vorgehen. Man kann sogar so dumm vorgehen wie der Absender dieser Mail mit einer gefälschten Absenderadresse aus der eBay-Domain:

Betreff: Ihr Konto wurde gesperrt
Guten Tag! Beim Kaufen in unserem Internet-Shop war ein Fehler vorgekommen, weswegen Ihr Konto gesperrt wurde. Um das Konto wieder freizugeben, folgen Sie bitte diesen Link [… URL und Link auf eine andere URL von mir entfernt]

Das wirkt wirklich nicht sehr überzeugend. Das fängt schon mit der sehr unpersönlichen Anrede „Guten Tag“ an, wo eBay doch eigentlich einen Namen kennen sollte. Und dann diese Holpersprache mit kreativer Grammatik! „Beim Kaufen war ein Fehler vorgekommen, weswegen gesperrt wurde.“ – dazu sage ich nur: Beim Lesen war ein Lachen gehört, weswegen gelöscht wurde. :mrgreen:

Unglaublich, für wie dumm die Spam- und Phishing-Mafia ihre Opfer hält.

Der ganze Trick bei dieser wenig trickreichen Mail besteht übrigens darin, dass der verlinkte Text vorgibt, auf eine Seite von eBay zu verweisen, während der Link in Wirklichkeit auf eine kostenlose Website bei GeoCities führt. Was man dort untergejubelt kriegt, habe ich mir heute wegen akuter Unlust nicht angeschaut. Im besten Falle handelt es sich „nur“ um eine nachgebaute Anmeldungs-Seite, die dem Opfer Gelegenheit gibt, die eigenen Zugangsdaten an asoziale Verbrecher weiterzugeben. Im schlimmsten Fall bekommt man außerdem noch jede Menge scheußliche Schadsoftware untergejubelt und verwandelt den eigenen Rechner in einen Bestandteil großer Spamnetzwerke.

Hoffentlich ist niemand so doof, auf eine derart schlechte Phishing-Mail hereinzufallen. Und hoffentlich werden die Menschen noch einmal so intelligent, dass sie auch auf relativ gut gemachte Phishing-Mails nicht hereinfallen.

Fantastische Gelegenheit

Montag, 4. Juni 2007

Das so genannte social web bietet auch für Spammer und Werbeärsche fantastische Gelegenheiten, ihre gierkranken Ideen auf eine arglose Welt loszulassen. Im folgenden Ausschnitt eines MySpace-Profiles sind alle URLs und der Name des mutmaßlich gephishten Opfers unkenntlich gemacht.

Spam in einem gephishten MySpace-Profil

Das ganze MySpace-Profil ist völlig typisch und wurde mit Sicherheit von einer wirklich existierenden Person erstellt. Offenbar wurden die Zugangsdaten dieser Person mit einer Phishing-Attacke abgegriffen, um das Profil mit einer zusätzlichen Werbung anzureichern. Anschließend wurden recht wahllos Freundanfragen rausgesendet, eine davon ging an mein Profil.

Viele andere MySpace-Nutzer scheinen ja ziemlich wahllos „Freunde“ zu sammeln. Ich bin da etwas anders und schaue mir das Profil zu einer Freundanfrage sehr genau an. Wenn jemand in englischer Sprache schreibt und deshalb den Text meines Profiles kaum verstehen kann, bin ich besonders aufmerksam – das heißt aber nicht, dass ich so etwas zurückweise, da meine Musik auch jenseits sprachlicher Grenzen Kontakte knüpft. (Ich habe zum Beispiel Fans aus dem französischsprachigen Raum.)

Aber wenn ich dann auf einer ausschließlich englischen Seite eine aufdringliche Werbung in deutscher Sprache sehe, ist mir klar, dass dieses Profil gephisht wurde.

Natürlich habe ich eine Message an den Autor des Profils gesendet, um auf diesen schamlosen Missbrauch des eigenen Werkes hinzuweisen. Jeder, der bei MySpace nicht aufmerksam ist, kann schnell zum Opfer dieser kriminellen und asozialen Bande von Spammern werden. Tipps, wie so etwas vermieden werden kann, finden sich im MySpace-Profil „Hackers Hell“.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.