Kategoriearchiv „Sonstiges“

Wie man Schadsoftware aufs Handy kriegt und anschließend ein leergeräumtes Konto hat

Dienstag, 27. August 2024

Keine Spam, sondern nur ein Link auf einen aktuellen Artikel bei Heise Online, der hoffentlich ein paar Menschen davor bewahrt, darauf hereinzufallen:

Android-Malware, die Daten von NFC-Karten kopiert und übermittelt, hat das slowakische IT-Sicherheitsunternehmen ESET in freier Wildbahn gefunden. Über mehrere Monate hinweg wurden damit fremde Konten bei drei tschechischen Banken geleert […]

Die Angriffe begannen mit SMS, wahrscheinlich an wahllose tschechische Handynummern verschickt. Darin wurde die Auszahlung eines Steuerguthabens versprochen, wozu die Installation einer verlinkten App erforderlich sei, die direkt im Browser läuft (Progressive Web App, PWA). Nein, das war noch nicht die NFC-Malware. Wer die App installierte und seine Bankdaten eingab, verschaffte den Tätern Zugriff auf das eigene Bankkonto. Es folgte der Anruf einer Person, die einen „hilfreichen Bankmitarbeiter“ spielte. Diese Person informierte das Opfer (faktisch korrekt) darüber, dass er Opfer eines IT-Angriffs geworden sei.

Die „notwendige Abhilfe“ bestand laut der Erzählung darin, eine weitere App zu installieren, um schnell die PIN für die eigene Bankkarte ändern zu können. Dazu wurde das Opfer auf den Google Play Store nachahmende Webseiten geschickt, um die Malware NGate herunterzuladen und zu installieren. Das war dann die NFC-Malware. (Im echten Google Play Store hat ESET sie nicht gefunden.) Die Software ahmt das Interface echter Bank-Apps nach und fragt Kundennummer, Geburtsdatum und PIN ab. Außerdem leitet sie den Nutzer dazu an, die passende Bankkarte ans Gerät zu halten. Falls notwendig, wird auch das Einschalten von NFC am Handy gefordert.

Tatsächlich dient das alles nicht der Absicherung des Bankkontos; vielmehr schickt die Malware PIN und NFC-Daten an das gerootete Android-Handy eines Täters

Natürlich ist es genau so gefährlich, in eine SMS reinzutappen, wie es gefährlich ist, in eine Mail zu klicken. Allerdings befürchte ich, dass Menschen, die nach dem Anruf eines Unbekannten irgendwelche Software von Unbekannten auf ihren Geräten installieren, von keiner Warnung mehr erreicht werden können. 😐️

Der wichtigste Schutz vor „Cyberkriminalität“ – übrigens ein sehr schlechtes und irreführendes Wort, weil die Straftaten nicht einmal in einem skurillen Sinn des Wortes etwas mit Kybernetik zu tun haben, aber das scheinen weder Journalisten noch Politiker zu wissen – besteht nach wie vor darin, dass man sich gar nicht erst einen giftigen Link auf eine Website von Verbrechern unterschieben lässt.

Limitierte Karte

Montag, 19. August 2024

Foto aus einem Zeitschriftenregal. Es wird ein Detail aus drei Zeitschriften sichtbar: Sammelkartenspiel Serie 9 -- Next Level -- Limitierte Karte Nr. 2

In einer gewissen Weise ist ja alles in unserem Universum limitiert, wir haben ja nur eine begrenzte Anzahl von Atomen zur Verfügung…

Aber schön, dass man noch einmal darauf hingewiesen wird.

Microsoft Outlook

Donnerstag, 8. August 2024

Keine Spam, aber ein im Kontext interessanter Hinweis auf einen aktuellen Artikel bei Golem. Ich schreibe ja manchmal, nein, eigentlich sogar ziemlich häufig, dass man mit durchgehender Nutzung von digitalen Signaturen den gesamten Phishingsumpf hätte trockenlegen können. Das wäre zurzeit nicht der Fall, wenn die leider sehr populäre und im geschäftlichem Umfeld allgegenwärtige Mailsoftware Microsoft Outlook verwendet wird, denn bei Nutzung dieser Software können die Anwender von Kriminellen beliebig getäuscht werden [Archivversion]:

Die besagte Sicherheitswarnung taucht in der Regel auf, wenn Outlook-Nutzer eine E-Mail von einem Absender erhalten, mit dem sie zuvor gar nicht oder nur selten korrespondiert haben. „Sie erhalten nicht oft E-Mails von xyz@beispiel.com. Erfahren Sie, warum dies wichtig ist“ […] Wie aus dem Bericht von Certitude hervorgeht, bettet Outlook diese Warnung allerdings im HTML-Code als Table-Element unmittelbar vor dem Textkörper der E-Mail ein. Durch CSS-Regeln innerhalb der Mail gelang es den Forschern, sowohl die Schrift- als auch die Hintergrundfarbe der Meldung auf Weiß zu ändern und die Warnung dadurch effektiv unsichtbar zu machen.

Das Verstecken der Phishing-Warnung war den Certitude-Forschern allerdings noch nicht genug. Daher untersuchten sie, ob sich per HTML und CSS auch vortäuschen ließ, dass die empfangene E-Mail verschlüsselt oder signiert ist. Und sie hatten Erfolg: „Signed By [Absender]“ steht über einer Mail, deren Screenshot die Forscher in ihrem Blog teilten. Daneben die entsprechenden Symbole – ein Schloss und ein rotes Siegel.

Microsoft ist der Auffassung, dass es sich nicht um eine Sicherheitslücke handelt, wenn ein Angreifer mit relativ einfachen Mitteln einen völlig falschen Eindruck beim Empfänger erwecken kann – und lässt das bekannte Problem einfach offen. Schon seit Monaten. Mit Schloss und Siegel. 🔐️🛡️✅️

Mit Stable Diffusion erzeugtes Bild Ich bin da natürlich völlig anderer Auffassung. Ein optischer Sicherheitshinweis, der von einem Angreifer nach Belieben ausgeblendet oder hinreichend gut simuliert werden kann, ohne dass ein naiver Anwender das auf dem ersten Blick erkennen könnte, hat für die Sicherheit nicht nur überhaupt keinen Wert, sondern macht sogar die damit versprochene Sicherheit völlig zunichte und verkehrt sie in ihr Gegenteil. „Aber natürlich, Cheffe! Ich habe auf den Link geklickt, die Datei geöffnet und den Zugangscode eingegeben. Das wollten sie doch so. Die Mail war doch von ihnen signiert.“ ist alles andere als ein undenkbares Szenario und kann einen fürchterlichen Schaden verursachen. Hinterher, wenn ein ganzes Unternehmensnetzwerk von Kriminellen übernommen wurde, heißt es in den Medien in der üblichen Albernheit der journalistischen Berichterstattung „Cyber Cyber“ und es gibt Symbolbilder von Maskierten im dunklen Zimmer, die wie die Hypnotisierten auf Matrix-Bildschirmschoner gucken, aber Microsoft ist mehr als nur ein bisschen dafür mitverantwortlich, was natürlich niemals so klar benannt wird.

Wenn sie am Arbeitsplatz Microsoft Outlook verwenden müssen – ich hoffe, dass die meisten Menschen privat eine andere gute Mailsoftware benutzen, aber ich befürchte, diese Hoffnung hat genau so einen geringen Wert wie die Sicherheitsfunktionen von Microsoft Outlook – seien sie also vorsichtig und klicken Sie auf gar keinen Fall in eine E-Mail, ohne sich vorher über einen anderen Kanal als E-Mail (zum Beispiel durch ein Telefongespräch) davon überzeugt zu haben, dass sie wirklich vom scheinbaren Absender kommt!

Generell besteht der beste und wirksamste Schutz vor Phishing darin, niemals in eine E-Mail zu klicken und häufig aufgerufene Websites – des Händlers, des Dienstleisters, der Bank – nur über dafür angelegte Lesezeichen im Webbrowser aufzurufen. Ach ja, und auch niemals das Handy auf eine Sackpost mit QR-Code halten, auch nicht, wenn sie scheinbar von der Bank kommt! Dann kann einem auch kein Verbrecher so leicht einen giftigen Link unterschieben.

Phishing auch mit der Briefpost

Dienstag, 6. August 2024

Hier geht es nicht um eine Spam, sondern um eine aktuelle Mitteilung des Landeskriminalamtes Niedersachsen:

Jede Person, die Mails bekommt, bekommt auch ständig Spammails. Einige mehr, einige weniger. Neben zahlreichen ungewollten Werbemails landen auch immer wieder gefährliche Phishingmails, die vorgeben, von einer Bank zu stammen, in den Mail-Postfächern. Die Täter versenden diese Mails massenhaft an zahlreiche Empfänger gleichzeitig. Dabei können die Mail von schlecht gemacht bis professionell sein. Mal enthalten die Mails keine persönlichen Daten, andere dagegen sprechen die Empfänger bereits persönlich an. Viele Mails enthalten dann offizielle Logos von Banken. Nicht selten bekommt man dann solche Phishingmails von „Banken“, bei denen man nicht einmal Kunde ist oder die voller gravierender Rechtschreibfehler sind. Noch gefährlicher wird es aber, wenn die Täter weitere persönliche Daten kennen und diese in die Mail personalisiert und vollkommen automatisiert einbauen. Da kann dann bereits in einfachen Versionen der Name des Empfängers und die zugehörige Bank stimmen.

Dass diese Gefahr besteht, wissen aber auch die Bankkunden, da inzwischen vielseitig vor den Gefahren gewarnt wird. Die Täter wissen dies ebenfalls und ändern in Teilen die Strategie von Phishingmails. Diese werden nun seit einiger Zeit per Briefpost verschickt (Zur Zeit noch wenige bekanntgewordene Einzelfälle).

Der Bankkunde erhält plötzlich und unerwartet einen Brief mit korrekter postalischer Anschrift und dem Logo/der Anschrift der tatsächlich zugehörigen Bank

Die ziemlich gut gemachten Briefe – Abbildungen gibt es drüben beim LKA Niedersachsen – enthalten einen QR-Code, den man mit seinem Smartphone scannen soll.

Bitte auch mit Briefpost vorsichtig sein. Auch, wenn sie mit namentlicher Ansprache und sogar von der richtigen Bank kommt. Die Kriminellen haben leider jede Menge Daten zur Verfügung. Datenschutz wäre Menschenschutz gewesen, aber leider hat in der Praxis der Bundesrepublik Deutschland ein Autokennzeichen mehr wirksam durchgesetzten Datenschutz als ein Mensch.

Ach, deshalb hat Spam aus Nigeria nachgelassen!

Donnerstag, 25. Juli 2024

Keine Spam, sondern ein Hinweis auf einen Artikel der Frankfurter Allgemeinen Zeitung [Archivversion]:

Der Facebook-Mutterkonzern Meta hat in Nigeria 63.000 Instagram-Konten gelöscht, die mit Betrügern in Verbindung standen, die ihre Social-Media-Dienste nutzten, um Menschen mit intimen Fotos zu erpressen […] Betrüger geben sich auf Instagram oder Snapchat als Mädchen im Teenageralter aus und bringen ihre Opfer dazu, Nacktfotos von sich zu verschicken. Mit diesen expliziten Bildern werden die Opfer dann erpresst – die Drohung lautet, man werde die Bilder an Freunde und Familie schicken

Und ich dachte schon, die Vorschussbetrügerbanden aus Nigeria hätten jetzt mit ihren Machenschaften aufgehört, nur weil ich ihre lustigen Mails nicht mehr im Pesteingang habe. Aber nein, die haben sich einfach nur auf etwas Effektiveres gestürzt, auf ein Verbrechen, bei dem sie nicht mehr darauf angewiesen sind, dass ein Mensch ein bisschen dumm sein muss, damit sie ihm das Geld aus der Tasche ziehen können.

Mehr als zwei Dutzend Minderjährige, hauptsächlich Teenager, hätten sich seit Ende 2021 das Leben genommen, nachdem sie Opfer dieser Verbrechen geworden waren

In einer idealen Welt wüsste oder ahnte zumindest jeder Zehnjährige, dass man bei der Kommunikation über ein anonymisierendes, technisches Medium sehr vorsichtig sein muss – und dass sich Nacktfotos von selbst verbieten, egal, wie sehr es beim Chatten zwischen den Beinen zu jucken beginnt. In der wirklichen Welt wissen sie es meistens nicht, wenn sie mit ihren so genannten „Smartphones“ durch ihr Kinderleben gehen, und es ist sehr häufig auch niemand da, es ihnen so klar und unmissverständlich mitzuteilen, dass sie es verstehen und wenigstens etwas vorsichtig werden. Dazu müsste man ja offen über Sex sprechen. Ich befürchte, die FAZ werden die Kinder auch eher nicht lesen… und hier bei Unser täglich Spam geht es leider auch nicht so kindgerecht und attraktiv zu. 😐️

So lange nicht jedem Menschen klar ist, dass alle ins Internet gegebenen Daten irgendwo wieder auftauchen können und auftauchen werden, wo man sie überhaupt nicht haben möchte – das gilt wegen des „real existierenden“ Industriestandards des Datenschutzes auch bei renommierten Unternehmen – so lange werden solche miesen Nummern weiterlaufen. Inzwischen mit mindestens 25 toten Minderjährigen, die sich als Kollateralschaden des kriminellen Geschäftsmodells eine Weltschmerztablette gegeben haben.

Ach, die erwachsenen Menschen sind sich des Problems auch nicht bewusst und geben überall unnötig viel Daten preis? Tja, dann gibt es halt in Zukunft noch mehr von Angst, Scham und Verzweiflung in den Suizid getriebene Kinder. Gefällt mir auch nicht. Aber ich kann es nicht ändern.

Ich bin übrigens der Meinung (und darüber kann man durchaus lange und wortreich streiten), dass so genannte social media für Kinder völlig ungeeignet sind… ja, sie sind sogar für viele Erwachsene ungeeignet. Selbst, wenn die Kinder nicht direkt von Kriminellen kaputtgemacht werden, scheint den meisten Erwachsenen nicht klar zu sein, wie schlimm das Mobbing an bundesdeutschen Schulen ist und wie wenig Hemmungen Mitschüler haben, Gewalt und niederträchtige Methoden anzuwenden. Da kann ein harmloses Posting von vor drei Jahren schnell in die Verzweiflung führen, wenn es einfach fürs Mobbing in einen anderen Rahmen gestellt wird, über den eine ganze Klasse herzlich lacht und böse Witze macht. Die Gewalt, die Kinder im erbarmungslosen Gewalt- und Zwangssystem der Schule erleben und erleiden müssen, dieser unsäglichen gesellschaftlichen Assimilations- und Sortiermaschine für Menschen, die immer weniger mit Bildung und Vermittlung von Fähigkeiten und Kenntnissen zu tun hat; diese Gewalt können die völlig ausgelieferten und rechtlosen Kinder nur untereinander weitergeben, wenn die gequälte Psyche kein anderes Ventil findet. Sie ist in den letzten vierzig Jahren nicht kleiner geworden, diese Gewalt, und sie war schon vor vierzig Jahren unerträglich. Der wichtigste Unterschied zu früher ist, dass die Lehrer noch überforderter sind, dass die Schulklassen noch größer sind, dass sich die… sorry… Lacksäufer auf den Kultusministerkonferenzen noch absurdere Lehrpläne und Aufgaben für die Schule ausdenken – und dass die Kinder vor vierzig Jahren wenigstens noch Rechnen, Lesen und Schreiben gelernt haben, unentbehrliche Grundfertigkeiten des Lebens in einer zivilisierten Gesellschaft, die heute einem Großteil der Schulabgänger mit Universitätszugangsberechtigung (ein so genanntes „Abitur“) bis an den Rand des funktionalen Analphabetimsus abgehen. Was man an diesen Schulen übrigens nicht lernt, und „nicht“ meint hier: überhaupt nicht und nicht einmal in den allerkleinsten Grundlagen lernt, das ist ein Verständnis für digitale Datenverarbeitung, ihre Möglichkeiten und ihre Risiken. Da würden ja auch gleich ganze Geschäftsmodelle zusammenbrechen.

Das muss man wohl hinnehmen, da kann man nichts machen…

Montag, 22. Juli 2024

Hier geht es nicht um eine Spam, sondern um eine aktuelle Meldung der Tagesschau, die im Kontext interessant ist.

Es ist ja journalistisches Sommerloch, und da kann es schon einmal passieren, dass sogar in der Tagesschau der ARD mal eine Meldung mit lebenspraktischer Relevanz auftaucht, die keine Wettervorhersage und keine Wetterwarnung ist. Zum Beispiel dieser Hinweis auf die real existierende Internetkriminalität im Jahr 2024, die immer noch Opfer findet, obwohl die Maschen der Trickbetrüger einen dreißig Jahre lang gewachsenen Bart haben [Archivversion der Tagesschaumeldung]:

Eine 57-Jährige aus Dannenberg (Landkreis Lüchow-Dannenberg) hat nach einer Phishing-Mail ihre Bankdaten angegeben und dadurch mehr als 100.000 Euro verloren.

100.000 Euro sind ziemlich viel Geld, für das ein Mensch ziemlich viel arbeiten muss, bis sie zusammenkommen. So schnell kann es gehen.

Am Samstag hatte die Frau eine E-Mail erhalten.

Ich vermute mal, diese Mail war nicht digital signiert und sah nicht wesentlich anders als andere Phishingmails aus. Wenn persönliche Daten dieser Frau – wegen des „real existierenden“ Datenschutzes – verfügbar waren, kam die Spam vermutlich sogar mit einer persönlichen Ansprache, und vielleicht sogar mit einer passenden Kontonummer. Es ist immer eine gute Idee, mit der Preisgabe von Daten über ein anonymisierendes, technisches Medium sehr zurückhaltend zu sein.

Darin wurde sie nach Angaben der Polizei aufgefordert, ihre Kontodaten zu aktualisieren.

Ich sage es ja, es war wohl eine ganz normale Phishingspam. Als ob es für die Banken irgendeinen Nutzen haben könnte, wenn man Daten, die der Bank längst bekannt sind, noch einmal auf einer Website eingibt. Trotzdem fallen immer wieder Menschen darauf herein, was übrigens auch ein Spiegelbild der kommunikativen Leistung von Bankhäusern gegenüber ihren Kunden und Kundinnen ist. Aber jetzt erfahren wir einmal, was danach passiert:

Kurz danach habe die Frau einen Anruf ihres vermeintlichen Bankberaters erhalten. Dieser gab an, wegen eines Sicherheitsproblems das Bankkonto verifizieren zu müssen. Während der angeblichen Verifizierung habe die 57-Jährige mehrfach ihre Bankdaten angegeben, teilte die Polizei mit. Dadurch konnten bislang unbekannte Täter Geld im niedrigen sechsstelligen Bereich vom Konto abbuchen

Zum Glück für uns alle gibt es einen ganz einfachen, kostenlosen und hundertprozentig sicheren Schutz vor Phishing, der häufigsten Kriminalitätsform im gegenwärtigen Internet: Niemals in eine E-Mail klicken!

Wenn man nicht in eine E-Mail klickt und auch keinen Anhang öffnet, kann einem kein Verbrecher einen giftigen Link unterschieben. Stattdessen einfach ein Lesezeichen für häufig besuchte Websites im Browser anlegen und diese Websites nur über dieses Lesezeichen aufrufen. Hätte sie ganz normal die Website ihrer Bank aufgerufen und sich dort wie gewohnt angemeldet, dann hätte sie gesehen, dass das in der Spam behauptete Problem gar nicht existiert. Sonst hätte sie ja einen entsprechenden Hinweis bekommen. Sie hätte damit einen dieser gefürchteten „Cyberangriffe“ abgewehrt. So einfach geht das. Macht das! 🛡️

Das ist leider die eine lebenspraktisch wichtige Information, die man diesem Tagesschauartikel nicht entnehmen kann. Und wegen dieses Mangels an Aufklärung durch journalistische Medien aller Art ist es sicher, dass Phishing auch in vielen Jahren noch eine zuverlässige Einnahmequelle für solche Trickbetrügerbanden sein wird. Obwohl es eine sehr einfache, keinerlei technische Kenntnisse erfordernde Möglichkeit gibt, sich davor zu schützen. Natürlich ohne jeden Komfortverlust, denn es bleibt ja einfaches Klicken. Nur eben nicht in eine Mail.

Und das finde ich sehr schade. Ich bin nämlich kein Trickbetrüger. Sonst wäre ich froh über solche Artikel, die dafür sorgen, dass ich mich auch in den nächsten Jahren nicht nach einer anstrengenden Arbeit umschauen müsste, sondern mir einfach mit einem fiesen Trickbetrug das Geld anderer Leute unterm Nagel reißen könnte.

Deshalb schreibe ich das schon seit Jahren so. Ich bin ja auch kein Journalist, dem die Leser völlig egal zu sein scheinen… 😐️

Man kann die Sicherheit vor Phishing mit einem ganz einfachen Trick übrigens noch weiter erhöhen: Einfach eine eigene Mailadresse für den Kontakt zur Bank einrichten, die man nirgends anders verwendet oder angibt. Dann wird man eine Phishingspam sofort an der falschen Empfängeradresse erkennen.

Auch darauf weist die Tagesschau nicht hin.

Es ist der Redaktion der Tageschau gleichgültig. Eigentlich ist das schon ein bisschen traurig. Wofür schreiben die eigentlich?

Ich wollte, solche Hinweise wären unnötig

Mittwoch, 19. Juni 2024

Keine Spam, sondern ein Link auf eine Presseerklärung der Staatsanwaltschaft und der Polizei Hannover:

Die Polizei rät der Bevölkerung, bei Kontaktaufnahmen und Geldforderungen unter Darstellung einer Notlage misstrauisch zu sein und daran zu denken, dass es sich um eine Betrugsmasche handeln könnte. Weitere Informationen und Tipps zum „WhatsApp-Enkeltrick“ sind im Internet unter anderem auf folgender Seite zu finden:

https://www.polizei-beratung.de/themen-und-tipps/betrug/enkeltrick/

Leider sind solche Hinweise nicht unnötig.

Ich habe ja keins dieser lustigen Wischofone, und selbst, wenn ich eines hätte, würde ich ganz sicher nicht den Dienst eines börsennotierten asozialen Spammers ohne seriöses Geschäftsmodell (Meta, früher als Facebook bekannt) für meine persönliche Kommunikation verwenden. Aber es haben schon verblüffend viele meiner Bekannten eine Spam über WhatsApp oder SMS mit dem ungefähren Inhalt „Hallo, ich bin dein Sohn, ich habe jetzt eine neue Telefonnummer, nimm die doch bitte gleich mal in dein Telefonbuch auf, wir hören voneinander“ bekommen. Diese Betrügereien laufen also zurzeit. Wenn es einfach herauszukriegen war – mit der Kombination aus Datenlecks und etwas Recherche in so genannten „sozialen“ Netzwerken – gab es diese Mitteilungen sogar mit persönlicher Ansprache und mit Namen des Sohnes, der Tochter, des Enkels, etc. – in einem Fall sogar mit echtem Foto eines Verwandten. Ja, das bisschen Aufwand lohnt sich auch, wenn man für höchstens eine Stunde Arbeitszeit (Verwendung von Websuchmaschinen, Durchforsten von eingesammelten Daten, die man für eine Handvoll Bitcoin in den dunklen Ecken des Internet eingekauft hat) jemanden einen mindestens vierstelligen Betrag aus der Tasche faseln kann. Das ist ein ziemlich guter Stundenlohn. Für die erste Kontaktaufnahme wird aber in der Regel nicht so ein hoher Aufwand getrieben, die war bei allem, was ich am Rande mitbekommen habe, immer recht anonym. Da konnte auch der persönliche Tonfall nicht drüber hinwegtäuschen. Aber ich würde mich nicht darauf verlassen, dass das so bleibt, denn im Prinzip kann man vieles daran automatisieren.

Das ist übrigens der Grund, weshalb Datenschutz Menschenschutz und Kriminalitätsprävention ist. Und der einzige Datenschutz, auf den ihr euch wirklich verlassen könnt, ist eure eigene Datensparsamkeit. Weder von irgendwelchen Unternehmen noch vom Staat könnt ihr im Moment irgendetwas erwarten. In der politisch gewollten Praxis in der Bundesrepublik Deutschland gibt es einen schärfer und wirksamer durchgesetzten Datenschutz für Autokennzeichen als für Menschen. Damit auch jeder bemerken kann, dass es hier nicht um Menschenschutz geht und niemals darum gehen sollte. Insbesondere rate ich strikt davon ab, bei jeder Gelegenheit eine Telefonnummer anzugeben. Auch wenn inzwischen jede dahergelaufene Furzklitsche für irgendwelche kostenlosen Nulldienstleistungen eine Telefonnummer sehen möchte. Meistens mit irgendeiner zusätzlichen „Sicherheit“ gegen so genannte „Cyberangriffe“ begründet. Nachdem die Datenbank ungeschätzt ins offene Web oder auf einen Cloudserver gestellt wurde oder die Klitsche „gecybert“ wurde, hat sich die „zusätliche Sicherheit“ in ihr genaues Gegenteil verwandelt: Man ist verwundbarer und ein noch besseres Ziel für Kriminelle geworden.

Aber ich rede mit ganz leiser Stimme gegen eine brüllende Dummheit an. 😵️

Abzocke: service (strich) rundfunkbeitrag (punkt) de

Sonntag, 26. Mai 2024

Hier geht es nicht um eine Spam, sondern ich verlinke einen möglicherweise für einige Leser interessanten Artikel bei Tarnkappe über eine laufende, vermutlich mit SEO-Spam und gekauften Werbeeinblendungen vorangetriebene Abzocke der SSS Software Special Service GmbH:

Die Verbraucherzentrale Niedersachsen warnt vor der Internetplattform service-rundfunkbeitrag .de. Diese hätte den Rundfunkbeitrags-Service ausgetrickst mit dem Anspruch, solche Leistungen wie das Melden von Adress- oder Namensänderungen sowie einer neuen Bankverbindung bequem per Online-Formular zu erledigen. Jedoch erhebt der Drittanbieter damit für an sich völlig kostenfreie Leistungen Gebühren. Für die Daten-Übermittlung an den Beitragsservice fallen satte 29,99 Euro an

[…] Die Website bietet keinerlei Mehrwert. „Alle angebotenen Änderungen können auf der Seite des Beitragsservice per Online-Formular kostenlos beantragt werden. Der Hinweis auf die Kosten kann zwischen der Formulierung zum SEPA-Lastschriftmandat leicht übersehen werden.“

[…] In einer Pressemitteilung macht die Verbraucherzentrale Niedersachsen zudem auf die leichte Verwechslungsgefahr der beiden Seiten rund um den Rundfunkbeitrags-Service aufmerksam

Bitte nicht darauf reinfallen! Mit den rd. dreißig Euro kann vermutlich jeder Mensch etwas besseres anfangen, als einen fragwürdig vorgehenden „Dienstleister“ mit Abzockergeschäftsmodell zu bezahlen.

Bitte unbedingt, immer und auf jeden Fall einen wirksamen Adblocker für den Webbrowser benutzen! Der schont nicht nur die Nerven und die Privatsphäre, sondern im Falle irreführender, halbseidener und grenzkrimineller Werbung solcher Spezialdienstleister auch den Geldbeutel. Außerdem schützt er den Computer vor den Folgen eines Schadsoftwaretransports über Werbebanner. Das ist nicht selten, insbesondere, wenn sehr „frische“ Sicherheitslücken in Webbrowsern von Kriminellen ausgebeutet werden, für die noch nicht auf jedem Computer eine Sicherheitsaktualisierung eingespielt ist. Die Gefahr einer mit Schadsoftware verseuchten Werbung kann einem sogar auf renommierten Websites begegnen, denen man aus guten Gründen vertraut. Es hat in den letzten Jahren zwar etwas abgenommen, bleibt aber eine sehr ernste Bedrohung. Das Antivirusprogramm – von mir liebevoll als „Schlangenöl“ bezeichnet – hilft in solchen Fällen nicht, denn es hinkt dem Stand der Kriminellen immer ein paar Stunden hinterher. Ein Adblocker geht dieses Problem an der Wurzel an, indem der Transportkanal dicht gemacht wird. Außerdem wird das gesamte Web mit einem Adblocker viel erfreulicher. Vor allem auf den contentindustriellen Websites unserer werten Presseverleger.

Bitte niemals und auf gar keinen Fall glauben, dass die Suchergebnisse einer Websuche nicht mit SEO-Spam manipuliert wurden! Gerade für die spammige Manipulation von Google wird ein sehr großer und leider auch verheerend wirksamer Aufwand betrieben, und das keineswegs nur von Kriminellen. Auch die Suchergebnisse anderer Suchmaschinen werden dadurch beschädigt, aber dort ist der Effekt etwas geringer, weil sie nicht die eigentliche Zielscheibe dieser unerquicklichen Tätig- und Tätlichkeiten sind; nicht der Ort, an dem SEO-Spammer überprüfen, wie gut ihnen die spammige Verspammung einer Dienstleistung gelungen ist.

Tim-Oliver Tettinger rät Verbrauchern, damit sie auf ihrer Suche gar nicht erst Seiten von Drittanbietern anvisieren, dazu: „sich die Ergebnisse bei einer Online-Suche genau anzusehen. Insbesondere die als „Anzeige“, „Gesponsert“ oder „Werbung“ markierten ersten Treffer sollten gemieden werden. Auch ein Blick ins Impressum und die Allgemeinen Geschäftsbedingungen kann helfen, Drittanbieter als solche zu identifizieren“

In einem anonymisierenden, technischen Medium kann man gar nicht vorsichtig genug sein, wenn man Daten eingeben soll oder wenn man eine Dienstleistung rund ums Geld in Anspruch nimmt. Das ist schon wahr.

Aber:

Mit Stable Diffusion generiertes Bild Die richtige Website des Beitragsservice, aus früheren Zeiten auch noch als GEZ bekannt, habe ich eben gerade mit dem sehr naheliegenden Suchbegriff „beitragsservice ard zdf“ als ersten Treffer auf DuckDuckGo gehabt, der nicht mit „Anzeige“ gekennzeichnet war. Ohne irreführende Werbung für diesen Dienstleister, obwohl ich für den Test mal kurz meinen Adblocker und meinen Javascriptblocker abgeschaltet habe. Es gab dort auch zum Suchtreffer einen unmittelbaren Link auf das kostenlose und bequeme Onlineformular des Beitragsservice zum Ändern der Daten. Wer DuckDuckGo naiv benutzt hat, hat also im Gegensatz zu naiven Googlenutzern möglicherweise rd. dreißig Euro gespart. Das ist eine ziemlich gute Entlohnung für die nicht einmal eine Minute Arbeitszeit, die man für die Änderung der Standardsuchmaschine in seinem Webbrowser aufwänden muss. Google ist dort nicht etwa als Standard eingetragen, weil Google so gut wäre, sondern weil Google Geld dafür bezahlt.

Meine Empfehlung, auf jeden Fall eine andere Websuchmaschine als ausgerechnet Google zu verwenden, bleibt nach wie vor bestehen. Google ist eine Spamhölle, von der vor allem halbseidene Geschäftemacher profitieren. Ich finde es schade, dass die Verbraucherzentrale Niedersachsen nicht diesen naheliegenden Tipp gibt – der natürlich auch keine absolute Sicherheit schafft…