Kategoriearchiv „Sonstiges“

Microsoft Outlook

Donnerstag, 8. August 2024

Keine Spam, aber ein im Kontext interessanter Hinweis auf einen aktuellen Artikel bei Golem. Ich schreibe ja manchmal, nein, eigentlich sogar ziemlich häufig, dass man mit durchgehender Nutzung von digitalen Signaturen den gesamten Phishingsumpf hätte trockenlegen können. Das wäre zurzeit nicht der Fall, wenn die leider sehr populäre und im geschäftlichem Umfeld allgegenwärtige Mailsoftware Microsoft Outlook verwendet wird, denn bei Nutzung dieser Software können die Anwender von Kriminellen beliebig getäuscht werden [Archivversion]:

Die besagte Sicherheitswarnung taucht in der Regel auf, wenn Outlook-Nutzer eine E-Mail von einem Absender erhalten, mit dem sie zuvor gar nicht oder nur selten korrespondiert haben. „Sie erhalten nicht oft E-Mails von xyz@beispiel.com. Erfahren Sie, warum dies wichtig ist“ […] Wie aus dem Bericht von Certitude hervorgeht, bettet Outlook diese Warnung allerdings im HTML-Code als Table-Element unmittelbar vor dem Textkörper der E-Mail ein. Durch CSS-Regeln innerhalb der Mail gelang es den Forschern, sowohl die Schrift- als auch die Hintergrundfarbe der Meldung auf Weiß zu ändern und die Warnung dadurch effektiv unsichtbar zu machen.

Das Verstecken der Phishing-Warnung war den Certitude-Forschern allerdings noch nicht genug. Daher untersuchten sie, ob sich per HTML und CSS auch vortäuschen ließ, dass die empfangene E-Mail verschlüsselt oder signiert ist. Und sie hatten Erfolg: „Signed By [Absender]“ steht über einer Mail, deren Screenshot die Forscher in ihrem Blog teilten. Daneben die entsprechenden Symbole – ein Schloss und ein rotes Siegel.

Microsoft ist der Auffassung, dass es sich nicht um eine Sicherheitslücke handelt, wenn ein Angreifer mit relativ einfachen Mitteln einen völlig falschen Eindruck beim Empfänger erwecken kann – und lässt das bekannte Problem einfach offen. Schon seit Monaten. Mit Schloss und Siegel. 🔐️🛡️✅️

Mit Stable Diffusion erzeugtes Bild Ich bin da natürlich völlig anderer Auffassung. Ein optischer Sicherheitshinweis, der von einem Angreifer nach Belieben ausgeblendet oder hinreichend gut simuliert werden kann, ohne dass ein naiver Anwender das auf dem ersten Blick erkennen könnte, hat für die Sicherheit nicht nur überhaupt keinen Wert, sondern macht sogar die damit versprochene Sicherheit völlig zunichte und verkehrt sie in ihr Gegenteil. „Aber natürlich, Cheffe! Ich habe auf den Link geklickt, die Datei geöffnet und den Zugangscode eingegeben. Das wollten sie doch so. Die Mail war doch von ihnen signiert.“ ist alles andere als ein undenkbares Szenario und kann einen fürchterlichen Schaden verursachen. Hinterher, wenn ein ganzes Unternehmensnetzwerk von Kriminellen übernommen wurde, heißt es in den Medien in der üblichen Albernheit der journalistischen Berichterstattung „Cyber Cyber“ und es gibt Symbolbilder von Maskierten im dunklen Zimmer, die wie die Hypnotisierten auf Matrix-Bildschirmschoner gucken, aber Microsoft ist mehr als nur ein bisschen dafür mitverantwortlich, was natürlich niemals so klar benannt wird.

Wenn sie am Arbeitsplatz Microsoft Outlook verwenden müssen – ich hoffe, dass die meisten Menschen privat eine andere gute Mailsoftware benutzen, aber ich befürchte, diese Hoffnung hat genau so einen geringen Wert wie die Sicherheitsfunktionen von Microsoft Outlook – seien sie also vorsichtig und klicken Sie auf gar keinen Fall in eine E-Mail, ohne sich vorher über einen anderen Kanal als E-Mail (zum Beispiel durch ein Telefongespräch) davon überzeugt zu haben, dass sie wirklich vom scheinbaren Absender kommt!

Generell besteht der beste und wirksamste Schutz vor Phishing darin, niemals in eine E-Mail zu klicken und häufig aufgerufene Websites – des Händlers, des Dienstleisters, der Bank – nur über dafür angelegte Lesezeichen im Webbrowser aufzurufen. Ach ja, und auch niemals das Handy auf eine Sackpost mit QR-Code halten, auch nicht, wenn sie scheinbar von der Bank kommt! Dann kann einem auch kein Verbrecher so leicht einen giftigen Link unterschieben.

Phishing auch mit der Briefpost

Dienstag, 6. August 2024

Hier geht es nicht um eine Spam, sondern um eine aktuelle Mitteilung des Landeskriminalamtes Niedersachsen:

Jede Person, die Mails bekommt, bekommt auch ständig Spammails. Einige mehr, einige weniger. Neben zahlreichen ungewollten Werbemails landen auch immer wieder gefährliche Phishingmails, die vorgeben, von einer Bank zu stammen, in den Mail-Postfächern. Die Täter versenden diese Mails massenhaft an zahlreiche Empfänger gleichzeitig. Dabei können die Mail von schlecht gemacht bis professionell sein. Mal enthalten die Mails keine persönlichen Daten, andere dagegen sprechen die Empfänger bereits persönlich an. Viele Mails enthalten dann offizielle Logos von Banken. Nicht selten bekommt man dann solche Phishingmails von „Banken“, bei denen man nicht einmal Kunde ist oder die voller gravierender Rechtschreibfehler sind. Noch gefährlicher wird es aber, wenn die Täter weitere persönliche Daten kennen und diese in die Mail personalisiert und vollkommen automatisiert einbauen. Da kann dann bereits in einfachen Versionen der Name des Empfängers und die zugehörige Bank stimmen.

Dass diese Gefahr besteht, wissen aber auch die Bankkunden, da inzwischen vielseitig vor den Gefahren gewarnt wird. Die Täter wissen dies ebenfalls und ändern in Teilen die Strategie von Phishingmails. Diese werden nun seit einiger Zeit per Briefpost verschickt (Zur Zeit noch wenige bekanntgewordene Einzelfälle).

Der Bankkunde erhält plötzlich und unerwartet einen Brief mit korrekter postalischer Anschrift und dem Logo/der Anschrift der tatsächlich zugehörigen Bank

Die ziemlich gut gemachten Briefe – Abbildungen gibt es drüben beim LKA Niedersachsen – enthalten einen QR-Code, den man mit seinem Smartphone scannen soll.

Bitte auch mit Briefpost vorsichtig sein. Auch, wenn sie mit namentlicher Ansprache und sogar von der richtigen Bank kommt. Die Kriminellen haben leider jede Menge Daten zur Verfügung. Datenschutz wäre Menschenschutz gewesen, aber leider hat in der Praxis der Bundesrepublik Deutschland ein Autokennzeichen mehr wirksam durchgesetzten Datenschutz als ein Mensch.

Ach, deshalb hat Spam aus Nigeria nachgelassen!

Donnerstag, 25. Juli 2024

Keine Spam, sondern ein Hinweis auf einen Artikel der Frankfurter Allgemeinen Zeitung [Archivversion]:

Der Facebook-Mutterkonzern Meta hat in Nigeria 63.000 Instagram-Konten gelöscht, die mit Betrügern in Verbindung standen, die ihre Social-Media-Dienste nutzten, um Menschen mit intimen Fotos zu erpressen […] Betrüger geben sich auf Instagram oder Snapchat als Mädchen im Teenageralter aus und bringen ihre Opfer dazu, Nacktfotos von sich zu verschicken. Mit diesen expliziten Bildern werden die Opfer dann erpresst – die Drohung lautet, man werde die Bilder an Freunde und Familie schicken

Und ich dachte schon, die Vorschussbetrügerbanden aus Nigeria hätten jetzt mit ihren Machenschaften aufgehört, nur weil ich ihre lustigen Mails nicht mehr im Pesteingang habe. Aber nein, die haben sich einfach nur auf etwas Effektiveres gestürzt, auf ein Verbrechen, bei dem sie nicht mehr darauf angewiesen sind, dass ein Mensch ein bisschen dumm sein muss, damit sie ihm das Geld aus der Tasche ziehen können.

Mehr als zwei Dutzend Minderjährige, hauptsächlich Teenager, hätten sich seit Ende 2021 das Leben genommen, nachdem sie Opfer dieser Verbrechen geworden waren

In einer idealen Welt wüsste oder ahnte zumindest jeder Zehnjährige, dass man bei der Kommunikation über ein anonymisierendes, technisches Medium sehr vorsichtig sein muss – und dass sich Nacktfotos von selbst verbieten, egal, wie sehr es beim Chatten zwischen den Beinen zu jucken beginnt. In der wirklichen Welt wissen sie es meistens nicht, wenn sie mit ihren so genannten „Smartphones“ durch ihr Kinderleben gehen, und es ist sehr häufig auch niemand da, es ihnen so klar und unmissverständlich mitzuteilen, dass sie es verstehen und wenigstens etwas vorsichtig werden. Dazu müsste man ja offen über Sex sprechen. Ich befürchte, die FAZ werden die Kinder auch eher nicht lesen… und hier bei Unser täglich Spam geht es leider auch nicht so kindgerecht und attraktiv zu. 😐️

So lange nicht jedem Menschen klar ist, dass alle ins Internet gegebenen Daten irgendwo wieder auftauchen können und auftauchen werden, wo man sie überhaupt nicht haben möchte – das gilt wegen des „real existierenden“ Industriestandards des Datenschutzes auch bei renommierten Unternehmen – so lange werden solche miesen Nummern weiterlaufen. Inzwischen mit mindestens 25 toten Minderjährigen, die sich als Kollateralschaden des kriminellen Geschäftsmodells eine Weltschmerztablette gegeben haben.

Ach, die erwachsenen Menschen sind sich des Problems auch nicht bewusst und geben überall unnötig viel Daten preis? Tja, dann gibt es halt in Zukunft noch mehr von Angst, Scham und Verzweiflung in den Suizid getriebene Kinder. Gefällt mir auch nicht. Aber ich kann es nicht ändern.

Ich bin übrigens der Meinung (und darüber kann man durchaus lange und wortreich streiten), dass so genannte social media für Kinder völlig ungeeignet sind… ja, sie sind sogar für viele Erwachsene ungeeignet. Selbst, wenn die Kinder nicht direkt von Kriminellen kaputtgemacht werden, scheint den meisten Erwachsenen nicht klar zu sein, wie schlimm das Mobbing an bundesdeutschen Schulen ist und wie wenig Hemmungen Mitschüler haben, Gewalt und niederträchtige Methoden anzuwenden. Da kann ein harmloses Posting von vor drei Jahren schnell in die Verzweiflung führen, wenn es einfach fürs Mobbing in einen anderen Rahmen gestellt wird, über den eine ganze Klasse herzlich lacht und böse Witze macht. Die Gewalt, die Kinder im erbarmungslosen Gewalt- und Zwangssystem der Schule erleben und erleiden müssen, dieser unsäglichen gesellschaftlichen Assimilations- und Sortiermaschine für Menschen, die immer weniger mit Bildung und Vermittlung von Fähigkeiten und Kenntnissen zu tun hat; diese Gewalt können die völlig ausgelieferten und rechtlosen Kinder nur untereinander weitergeben, wenn die gequälte Psyche kein anderes Ventil findet. Sie ist in den letzten vierzig Jahren nicht kleiner geworden, diese Gewalt, und sie war schon vor vierzig Jahren unerträglich. Der wichtigste Unterschied zu früher ist, dass die Lehrer noch überforderter sind, dass die Schulklassen noch größer sind, dass sich die… sorry… Lacksäufer auf den Kultusministerkonferenzen noch absurdere Lehrpläne und Aufgaben für die Schule ausdenken – und dass die Kinder vor vierzig Jahren wenigstens noch Rechnen, Lesen und Schreiben gelernt haben, unentbehrliche Grundfertigkeiten des Lebens in einer zivilisierten Gesellschaft, die heute einem Großteil der Schulabgänger mit Universitätszugangsberechtigung (ein so genanntes „Abitur“) bis an den Rand des funktionalen Analphabetimsus abgehen. Was man an diesen Schulen übrigens nicht lernt, und „nicht“ meint hier: überhaupt nicht und nicht einmal in den allerkleinsten Grundlagen lernt, das ist ein Verständnis für digitale Datenverarbeitung, ihre Möglichkeiten und ihre Risiken. Da würden ja auch gleich ganze Geschäftsmodelle zusammenbrechen.

Das muss man wohl hinnehmen, da kann man nichts machen…

Montag, 22. Juli 2024

Hier geht es nicht um eine Spam, sondern um eine aktuelle Meldung der Tagesschau, die im Kontext interessant ist.

Es ist ja journalistisches Sommerloch, und da kann es schon einmal passieren, dass sogar in der Tagesschau der ARD mal eine Meldung mit lebenspraktischer Relevanz auftaucht, die keine Wettervorhersage und keine Wetterwarnung ist. Zum Beispiel dieser Hinweis auf die real existierende Internetkriminalität im Jahr 2024, die immer noch Opfer findet, obwohl die Maschen der Trickbetrüger einen dreißig Jahre lang gewachsenen Bart haben [Archivversion der Tagesschaumeldung]:

Eine 57-Jährige aus Dannenberg (Landkreis Lüchow-Dannenberg) hat nach einer Phishing-Mail ihre Bankdaten angegeben und dadurch mehr als 100.000 Euro verloren.

100.000 Euro sind ziemlich viel Geld, für das ein Mensch ziemlich viel arbeiten muss, bis sie zusammenkommen. So schnell kann es gehen.

Am Samstag hatte die Frau eine E-Mail erhalten.

Ich vermute mal, diese Mail war nicht digital signiert und sah nicht wesentlich anders als andere Phishingmails aus. Wenn persönliche Daten dieser Frau – wegen des „real existierenden“ Datenschutzes – verfügbar waren, kam die Spam vermutlich sogar mit einer persönlichen Ansprache, und vielleicht sogar mit einer passenden Kontonummer. Es ist immer eine gute Idee, mit der Preisgabe von Daten über ein anonymisierendes, technisches Medium sehr zurückhaltend zu sein.

Darin wurde sie nach Angaben der Polizei aufgefordert, ihre Kontodaten zu aktualisieren.

Ich sage es ja, es war wohl eine ganz normale Phishingspam. Als ob es für die Banken irgendeinen Nutzen haben könnte, wenn man Daten, die der Bank längst bekannt sind, noch einmal auf einer Website eingibt. Trotzdem fallen immer wieder Menschen darauf herein, was übrigens auch ein Spiegelbild der kommunikativen Leistung von Bankhäusern gegenüber ihren Kunden und Kundinnen ist. Aber jetzt erfahren wir einmal, was danach passiert:

Kurz danach habe die Frau einen Anruf ihres vermeintlichen Bankberaters erhalten. Dieser gab an, wegen eines Sicherheitsproblems das Bankkonto verifizieren zu müssen. Während der angeblichen Verifizierung habe die 57-Jährige mehrfach ihre Bankdaten angegeben, teilte die Polizei mit. Dadurch konnten bislang unbekannte Täter Geld im niedrigen sechsstelligen Bereich vom Konto abbuchen

Zum Glück für uns alle gibt es einen ganz einfachen, kostenlosen und hundertprozentig sicheren Schutz vor Phishing, der häufigsten Kriminalitätsform im gegenwärtigen Internet: Niemals in eine E-Mail klicken!

Wenn man nicht in eine E-Mail klickt und auch keinen Anhang öffnet, kann einem kein Verbrecher einen giftigen Link unterschieben. Stattdessen einfach ein Lesezeichen für häufig besuchte Websites im Browser anlegen und diese Websites nur über dieses Lesezeichen aufrufen. Hätte sie ganz normal die Website ihrer Bank aufgerufen und sich dort wie gewohnt angemeldet, dann hätte sie gesehen, dass das in der Spam behauptete Problem gar nicht existiert. Sonst hätte sie ja einen entsprechenden Hinweis bekommen. Sie hätte damit einen dieser gefürchteten „Cyberangriffe“ abgewehrt. So einfach geht das. Macht das! 🛡️

Das ist leider die eine lebenspraktisch wichtige Information, die man diesem Tagesschauartikel nicht entnehmen kann. Und wegen dieses Mangels an Aufklärung durch journalistische Medien aller Art ist es sicher, dass Phishing auch in vielen Jahren noch eine zuverlässige Einnahmequelle für solche Trickbetrügerbanden sein wird. Obwohl es eine sehr einfache, keinerlei technische Kenntnisse erfordernde Möglichkeit gibt, sich davor zu schützen. Natürlich ohne jeden Komfortverlust, denn es bleibt ja einfaches Klicken. Nur eben nicht in eine Mail.

Und das finde ich sehr schade. Ich bin nämlich kein Trickbetrüger. Sonst wäre ich froh über solche Artikel, die dafür sorgen, dass ich mich auch in den nächsten Jahren nicht nach einer anstrengenden Arbeit umschauen müsste, sondern mir einfach mit einem fiesen Trickbetrug das Geld anderer Leute unterm Nagel reißen könnte.

Deshalb schreibe ich das schon seit Jahren so. Ich bin ja auch kein Journalist, dem die Leser völlig egal zu sein scheinen… 😐️

Man kann die Sicherheit vor Phishing mit einem ganz einfachen Trick übrigens noch weiter erhöhen: Einfach eine eigene Mailadresse für den Kontakt zur Bank einrichten, die man nirgends anders verwendet oder angibt. Dann wird man eine Phishingspam sofort an der falschen Empfängeradresse erkennen.

Auch darauf weist die Tagesschau nicht hin.

Es ist der Redaktion der Tageschau gleichgültig. Eigentlich ist das schon ein bisschen traurig. Wofür schreiben die eigentlich?

Ich wollte, solche Hinweise wären unnötig

Mittwoch, 19. Juni 2024

Keine Spam, sondern ein Link auf eine Presseerklärung der Staatsanwaltschaft und der Polizei Hannover:

Die Polizei rät der Bevölkerung, bei Kontaktaufnahmen und Geldforderungen unter Darstellung einer Notlage misstrauisch zu sein und daran zu denken, dass es sich um eine Betrugsmasche handeln könnte. Weitere Informationen und Tipps zum „WhatsApp-Enkeltrick“ sind im Internet unter anderem auf folgender Seite zu finden:

https://www.polizei-beratung.de/themen-und-tipps/betrug/enkeltrick/

Leider sind solche Hinweise nicht unnötig.

Ich habe ja keins dieser lustigen Wischofone, und selbst, wenn ich eines hätte, würde ich ganz sicher nicht den Dienst eines börsennotierten asozialen Spammers ohne seriöses Geschäftsmodell (Meta, früher als Facebook bekannt) für meine persönliche Kommunikation verwenden. Aber es haben schon verblüffend viele meiner Bekannten eine Spam über WhatsApp oder SMS mit dem ungefähren Inhalt „Hallo, ich bin dein Sohn, ich habe jetzt eine neue Telefonnummer, nimm die doch bitte gleich mal in dein Telefonbuch auf, wir hören voneinander“ bekommen. Diese Betrügereien laufen also zurzeit. Wenn es einfach herauszukriegen war – mit der Kombination aus Datenlecks und etwas Recherche in so genannten „sozialen“ Netzwerken – gab es diese Mitteilungen sogar mit persönlicher Ansprache und mit Namen des Sohnes, der Tochter, des Enkels, etc. – in einem Fall sogar mit echtem Foto eines Verwandten. Ja, das bisschen Aufwand lohnt sich auch, wenn man für höchstens eine Stunde Arbeitszeit (Verwendung von Websuchmaschinen, Durchforsten von eingesammelten Daten, die man für eine Handvoll Bitcoin in den dunklen Ecken des Internet eingekauft hat) jemanden einen mindestens vierstelligen Betrag aus der Tasche faseln kann. Das ist ein ziemlich guter Stundenlohn. Für die erste Kontaktaufnahme wird aber in der Regel nicht so ein hoher Aufwand getrieben, die war bei allem, was ich am Rande mitbekommen habe, immer recht anonym. Da konnte auch der persönliche Tonfall nicht drüber hinwegtäuschen. Aber ich würde mich nicht darauf verlassen, dass das so bleibt, denn im Prinzip kann man vieles daran automatisieren.

Das ist übrigens der Grund, weshalb Datenschutz Menschenschutz und Kriminalitätsprävention ist. Und der einzige Datenschutz, auf den ihr euch wirklich verlassen könnt, ist eure eigene Datensparsamkeit. Weder von irgendwelchen Unternehmen noch vom Staat könnt ihr im Moment irgendetwas erwarten. In der politisch gewollten Praxis in der Bundesrepublik Deutschland gibt es einen schärfer und wirksamer durchgesetzten Datenschutz für Autokennzeichen als für Menschen. Damit auch jeder bemerken kann, dass es hier nicht um Menschenschutz geht und niemals darum gehen sollte. Insbesondere rate ich strikt davon ab, bei jeder Gelegenheit eine Telefonnummer anzugeben. Auch wenn inzwischen jede dahergelaufene Furzklitsche für irgendwelche kostenlosen Nulldienstleistungen eine Telefonnummer sehen möchte. Meistens mit irgendeiner zusätzlichen „Sicherheit“ gegen so genannte „Cyberangriffe“ begründet. Nachdem die Datenbank ungeschätzt ins offene Web oder auf einen Cloudserver gestellt wurde oder die Klitsche „gecybert“ wurde, hat sich die „zusätliche Sicherheit“ in ihr genaues Gegenteil verwandelt: Man ist verwundbarer und ein noch besseres Ziel für Kriminelle geworden.

Aber ich rede mit ganz leiser Stimme gegen eine brüllende Dummheit an. 😵️

Abzocke: service (strich) rundfunkbeitrag (punkt) de

Sonntag, 26. Mai 2024

Hier geht es nicht um eine Spam, sondern ich verlinke einen möglicherweise für einige Leser interessanten Artikel bei Tarnkappe über eine laufende, vermutlich mit SEO-Spam und gekauften Werbeeinblendungen vorangetriebene Abzocke der SSS Software Special Service GmbH:

Die Verbraucherzentrale Niedersachsen warnt vor der Internetplattform service-rundfunkbeitrag .de. Diese hätte den Rundfunkbeitrags-Service ausgetrickst mit dem Anspruch, solche Leistungen wie das Melden von Adress- oder Namensänderungen sowie einer neuen Bankverbindung bequem per Online-Formular zu erledigen. Jedoch erhebt der Drittanbieter damit für an sich völlig kostenfreie Leistungen Gebühren. Für die Daten-Übermittlung an den Beitragsservice fallen satte 29,99 Euro an

[…] Die Website bietet keinerlei Mehrwert. „Alle angebotenen Änderungen können auf der Seite des Beitragsservice per Online-Formular kostenlos beantragt werden. Der Hinweis auf die Kosten kann zwischen der Formulierung zum SEPA-Lastschriftmandat leicht übersehen werden.“

[…] In einer Pressemitteilung macht die Verbraucherzentrale Niedersachsen zudem auf die leichte Verwechslungsgefahr der beiden Seiten rund um den Rundfunkbeitrags-Service aufmerksam

Bitte nicht darauf reinfallen! Mit den rd. dreißig Euro kann vermutlich jeder Mensch etwas besseres anfangen, als einen fragwürdig vorgehenden „Dienstleister“ mit Abzockergeschäftsmodell zu bezahlen.

Bitte unbedingt, immer und auf jeden Fall einen wirksamen Adblocker für den Webbrowser benutzen! Der schont nicht nur die Nerven und die Privatsphäre, sondern im Falle irreführender, halbseidener und grenzkrimineller Werbung solcher Spezialdienstleister auch den Geldbeutel. Außerdem schützt er den Computer vor den Folgen eines Schadsoftwaretransports über Werbebanner. Das ist nicht selten, insbesondere, wenn sehr „frische“ Sicherheitslücken in Webbrowsern von Kriminellen ausgebeutet werden, für die noch nicht auf jedem Computer eine Sicherheitsaktualisierung eingespielt ist. Die Gefahr einer mit Schadsoftware verseuchten Werbung kann einem sogar auf renommierten Websites begegnen, denen man aus guten Gründen vertraut. Es hat in den letzten Jahren zwar etwas abgenommen, bleibt aber eine sehr ernste Bedrohung. Das Antivirusprogramm – von mir liebevoll als „Schlangenöl“ bezeichnet – hilft in solchen Fällen nicht, denn es hinkt dem Stand der Kriminellen immer ein paar Stunden hinterher. Ein Adblocker geht dieses Problem an der Wurzel an, indem der Transportkanal dicht gemacht wird. Außerdem wird das gesamte Web mit einem Adblocker viel erfreulicher. Vor allem auf den contentindustriellen Websites unserer werten Presseverleger.

Bitte niemals und auf gar keinen Fall glauben, dass die Suchergebnisse einer Websuche nicht mit SEO-Spam manipuliert wurden! Gerade für die spammige Manipulation von Google wird ein sehr großer und leider auch verheerend wirksamer Aufwand betrieben, und das keineswegs nur von Kriminellen. Auch die Suchergebnisse anderer Suchmaschinen werden dadurch beschädigt, aber dort ist der Effekt etwas geringer, weil sie nicht die eigentliche Zielscheibe dieser unerquicklichen Tätig- und Tätlichkeiten sind; nicht der Ort, an dem SEO-Spammer überprüfen, wie gut ihnen die spammige Verspammung einer Dienstleistung gelungen ist.

Tim-Oliver Tettinger rät Verbrauchern, damit sie auf ihrer Suche gar nicht erst Seiten von Drittanbietern anvisieren, dazu: „sich die Ergebnisse bei einer Online-Suche genau anzusehen. Insbesondere die als „Anzeige“, „Gesponsert“ oder „Werbung“ markierten ersten Treffer sollten gemieden werden. Auch ein Blick ins Impressum und die Allgemeinen Geschäftsbedingungen kann helfen, Drittanbieter als solche zu identifizieren“

In einem anonymisierenden, technischen Medium kann man gar nicht vorsichtig genug sein, wenn man Daten eingeben soll oder wenn man eine Dienstleistung rund ums Geld in Anspruch nimmt. Das ist schon wahr.

Aber:

Mit Stable Diffusion generiertes Bild Die richtige Website des Beitragsservice, aus früheren Zeiten auch noch als GEZ bekannt, habe ich eben gerade mit dem sehr naheliegenden Suchbegriff „beitragsservice ard zdf“ als ersten Treffer auf DuckDuckGo gehabt, der nicht mit „Anzeige“ gekennzeichnet war. Ohne irreführende Werbung für diesen Dienstleister, obwohl ich für den Test mal kurz meinen Adblocker und meinen Javascriptblocker abgeschaltet habe. Es gab dort auch zum Suchtreffer einen unmittelbaren Link auf das kostenlose und bequeme Onlineformular des Beitragsservice zum Ändern der Daten. Wer DuckDuckGo naiv benutzt hat, hat also im Gegensatz zu naiven Googlenutzern möglicherweise rd. dreißig Euro gespart. Das ist eine ziemlich gute Entlohnung für die nicht einmal eine Minute Arbeitszeit, die man für die Änderung der Standardsuchmaschine in seinem Webbrowser aufwänden muss. Google ist dort nicht etwa als Standard eingetragen, weil Google so gut wäre, sondern weil Google Geld dafür bezahlt.

Meine Empfehlung, auf jeden Fall eine andere Websuchmaschine als ausgerechnet Google zu verwenden, bleibt nach wie vor bestehen. Google ist eine Spamhölle, von der vor allem halbseidene Geschäftemacher profitieren. Ich finde es schade, dass die Verbraucherzentrale Niedersachsen nicht diesen naheliegenden Tipp gibt – der natürlich auch keine absolute Sicherheit schafft…

Gefälschte Bank-E-Mails bleiben oft unerkannt

Freitag, 17. Mai 2024

Keine Spam, sondern ein Hinweis auf einen im Kontext der Spam interessanten Artikel auf der Website der ARD-Tagesschau [Archivversion, denn der Tagesschauartikel wird leider wieder depubliziert]:

Eine Phishing-Mail von einer echten Mail der Bank zu unterscheiden, fällt vielen schwer. Das zeigt eine aktuelle Studie von Verbraucherschützern. Die Opfer bleiben nicht selten auf den Kosten sitzen […] äußerten nur 57 Prozent der Befragten bei den Phishing-Mails einen Betrugsverdacht. 38 Prozent witterten aber auch bei echten Mails einen Betrug. „Die Maschen von Cyberkriminellen werden immer besser“

Ich habe hier schon in den Zeiten, in denen die meisten Phishingspams noch so schlecht waren, dass ein Mensch durchschnittlicher Intelligenz sofort das Phishing erkennen konnte, darauf hingewiesen, dass es nicht so bleiben wird. Und in der Tat: Phishing ist eine Konstante im täglichen Pesteingang geblieben, und die Spams wurden im Laufe der Zeit immer besser. Rechtschreibfehler sind selten geworden, und die Formulierungen sind insgesamt glatter geworden. Dass das passieren würde, war auch klar, denn die Betrüger sind darauf angewiesen, dass ihren Lügen Glauben geschenkt wird. Sie leben davon. Und sie wollen auch weiterhin davon leben, nachdem alle Naiven zu gebrannten Kindern geworden sind. Sonst müssten sie ja noch mit dem Arbeiten anfangen.

So lange Unternehmen sich weigern, digital signierte E-Mail zu versenden, deren Signatur der Empfänger überprüfen könnte, um die Identität des Absenders und die Integrität des Mailinhaltes jenseits jedes vernünftigen Zweifels sicherstellen zu können, so lange sind alle Menschen dem Phishing mehr oder minder wehrlos ausgeliefert. Das ist traurig, denn digitale Signatur von E-Mail steht seit über dreißig Jahren zur Verfügung, und schon sehr lange in Form von ausgereifter, gut entfehlerter und Freier Software, die nicht einmal Geld kostet und einfach genutzt werden kann.

Sicher, man kann sich den Quelltext einer unsignierten Mail anschauen, man kann die Header lesen (was beides schon über normale Anwenderkenntnisse hinausgeht, obwohl es nicht schwierig ist), man kann auch schauen, wohin die Links in der Mail führen (wobei die Betrüger gern mit vorsätzlich irreführenden Subdomains arbeiten) und sich anschauen, aus welchen Domains extern referenzierte Grafiken in HTML-Mail eingebettet wurden, um herauszubekommen, ob eine Mail möglicherweise echt oder ein Betrugsversuch eines Kriminellen ist. Aber nichts davon ist aus Anwendersicht so einfach und zuverlässig wie das Überprüfen einer digitalen Signatur. Aber genau diese eine einfache und sichere Methode wird den Menschen vorenthalten, wenn Banken und andere Unternehmen die Mail an ihre Kunden nicht digital signieren. Und zwar von den Banken und anderen Unternehmen. Nach über dreißig Jahren darf man meiner bescheidenen Meinung nach noch ergänzen: Und das geschieht vorsätzlich. Das ist bei Unternehmen, die ihr Geschäftsmodell immer weitergehend internetbasiert vorantreiben und ansonsten keinen Aufwand scheuen, keine Fahrlässigkeit mehr. Sie müssen wissen, was sie durch Unterlassung tun und welche Schäden sie damit bei anderen Menschen, ja, bei ihren Kunden unnötigerweise inkauf nehmen. Sie bekommen die Folgen ja unmittelbar mit. Jeden verdammten Tag. Es stört dort nicht weiter, es wird dort als ein „Problem anderer Leute“ betrachtet.

Ich wiederhole aus meinem Tagesschau-Zitat zum Eingang noch einmal einen Satz, der jetzt vielleicht schon wieder vergessen ist, damit er auch ja nicht vergessen wird:

Die Opfer bleiben nicht selten auf den Kosten sitzen

Mit Stable Diffusion generiertes Bild Es können übrigens auch mal fünfstellige Beträge werden, für die ein Mensch ganz schön lange buckeln und knechten muss, um sie zu erarbeiten. Das tut weh. Jeder Mensch könnte mit diesem Geld etwas besseres anfangen, als den verfeinerten Lebensstil von Kriminellen zu finanzieren. Die Betrüger mit ihrem Phishing sind zweifellos Verbrecher, aber die Unternehmen, die es ihnen unnötig leicht machen, sind nicht weniger als die Grundlage dieses Verbrechens. Das gilt auch für ihre Bank, ihr bevorzugtes Shoppingportal und für ihren Einzelhändler. Die sind daran schuld, gar nicht so sehr anders, wie es ein Autohersteller wäre, der vorsätzlich Fahrzeuge ohne zuverlässig funktionierende Bremse verkaufte. Leider wäre zurzeit nur der Autohersteller haftbar. Die Unternehmen, die sich aus überhaupt nicht nachvollziehbaren Gründen weigern, ihre geschäftliche E-Mail digital zu signieren, verbuchen ihre marginalen Ersparnisse als Gewinn und lasten die Folgen und Kosten dieses Gewinnes ihren Kunden auf. Erfreulich straffrei. Also für die Unternehmen erfreulich. Für die Mehrzahl der Menschen leider nicht. Ja, es ist deprimierend. Aber es ist so. Und es ist politischer Wille, dass es so ist. Offenbar parteiübergreifender politischer Wille, denn das Problem besteht ja nicht erst seit gestern. Jede Bundesregierung hatte eine Möglichkeit gehabt, hier steuernd einzugreifen, wenn dazu nur ein politischer Wille bestanden hätte. Hat aber nicht. Es gab immer Wichtigeres. Wir haben jetzt ja eine Cyberwehr.

So lange sich das nicht ändert – wer in dieser Bundesregierung ist eigentlich für den so genannten „Verbraucherschutz“ zuständig, man hört von dieser Person ja gar nichts – bleibt uns allen nur die Selbsthilfe in diesen politisch und wirtschaftlich geschaffenen Zuständen, die schon längst vorsätzlich geschaffene Zustände sind. Leider gibt der Journalismus, weder bei der Tagesschau, noch in anderen journalistischen Medien, dafür eine lebenspraktisch wichtige Handhabe.

Deshalb mache ich das hier und fordere alle Menschen dazu auf, immer und unter allen Umständen jede E-Mail als gefährlich zu betrachten. Insbesondere gilt: Niemals in eine E-Mail klicken! Wenn man nicht in eine E-Mail klickt, kann einem kein Verbrecher einen giftigen, irreführenden Link unterschieben. Stattdessen einfach für alle regelmäßig besuchten Websites ein Lesezeichen im Webbrowser anlegen. Wenn eine Mail ankommt, die dazu auffordert, dass man tätig werden solle, damit man klickt oder einen Anhang öffnet, auf gar keinen Fall in die Mail klicken. Stattdessen einfach die Website über das Lesezeichen im Browser aufmachen, und sich dort ganz normal und wie gewohnt anmelden. Wenn man danach keinen Hinweis sieht, dass man jetzt ganz schnell tätig werden muss, war die E-Mail eine Phishingspam und man hat einen dieser gefürchteten Cyberangriffe abgewehrt. So einfach geht das. Es ist übrigens auch sehr wirksam, im Gegensatz zu allerlei Schlangenöl für die „gefühlte Sicherheit“. Also: Macht das! 🛡️

Und es ist nicht nur einfach, sondern auch völlig ohne Komfortverlust, denn in beiden Fällen muss man ja nur klicken. 🖱️

Aber auf gar keinen Fall in die Mail klicken! Jeder Klick in eine Mail ist gefährlich, wenn man sich nicht über eine andere Quelle davon überzeugt hat (zum Beispiel durch einen kurzen Anruf oder durch die Anmeldung auf der Website des angeblichen Absenders), dass sie wirklich vom scheinbaren Absender stammt. 🚫️

Sollen die Phisher doch verhungern, wenn ihr Betrug nicht mehr läuft!

Ich vermisse sie nicht.

OFGB

Freitag, 3. Mai 2024

Microspam

Hier geht es nicht um eine Spam, sondern um einen Hinweis auf etwas, was man heute offenbar benötigt, wenn man sich ein modernes Betrübssystem von Microsoft kauft: Einen Werbeblocker für den Desktop. Ja, richtig. Nicht für den Webbrowser, sondern für den Desktop.

Früher hat man eine Adware noch als Schadsoftware betrachtet und versucht, sie wieder loszuwerden. Heute kauft man sich die Adware als Betrübssystem. Es gibt tatsächlich ein paar Sachen, die früher besser waren.

Hier der Link mit Downloadmöglichkeit, er geht auf eine englischsprachige Seite: OFGB – Ein GUI-Tool zum Entfernen der Reklame von verschiedenen Stellen in Windows 11:

So so, experiences sollen das also sein… ich will jedenfalls nicht die Erfahrungen machen, die diese Desktopspammer von Microsoft mich machen lassen wollen, ich will einen Computer einfach nur für die paar Dinge benutzen, für die ich eben einen Computer benutze.

Ich habe selbst kein Spamsystem wie Windows 11 und habe das Tool deshalb nicht getestet. Wer überhaupt kein Englisch kann: Einfach alle Kontrollkästchen (neudeutsch: Checkboxen) auswählen und danach den Computer neu starten, dann sollte zumindest so lange Ruhe sein, bis Microsoft sich neue Wege ausdenkt, den Desktop von Microsoft Windows an anderen Stellen mit neuen Formen der Spam zu fluten. Und das wird Microsoft tun. Die Entscheidung zur Vergiftung ihres Betrübssystems mit Adware haben sie ja auch getroffen. Die wissen genau, dass ihre höchst halbseiden vermarkteten Reklameplätze bei den Nutzern nicht willkommen sind und erst recht nicht den Charakter erfreulicher und erbäulicher Erfahrungen haben. Sonst würden sie ja selbst eine einfache und leicht auffindbare Konfigurationsmöglichkeit anbieten, mit der man solche Vergewohltätigungen bequem und übersichtlich abstellen kann, wenn man das möchte. Windows ist doch immer so „benutzerfreundlich“. Deshalb benutzen die das doch alle. Sagen sie ja immer, wenn sie mal sagen sollen, warum sie das tun. 🥳️

Es gibt übrigens auch andere Betrübssysteme als Microsoft Windows, die auch sehr gut sind. Auch kostenlose und spamfreie.