Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Anonymität“

Wie Spammer an Namen kommen

Dienstag, 8. Februar 2011

In letzter Zeit sehe ich ja eine beachtliche Zunahme der Versuche der Spammer, eine Mailadresse mit einem richtigen Namen zu verbinden. Offenbar hat man auch auf Seiten der Kriminellen bemerkt, dass eine Betrugsmail mit einer persönlichen Anrede ungleich überzeugender wirkt als das bisher übliche Gestrokel.

Diese Entwicklung sollte für jeden Menschen bedeuten, dass er mit seinen Daten so sparsam wie nur eben möglich umgeht – und zum Selbstschutz vor Betrug und Phishing lieber auch dort Phantasiedaten eingibt, wo die Nutzungsbedingungen so etwas an sich verbieten. Tatsächlich sind Web-Dienste, die Daten ihrer Nutzer akkumulieren, ein lohnendes Ziel für kriminelle Angriffe aus dem Dunstkreis der Spam-Mafia, um sich auf diese Weise die gewünschten persönlichen Daten der Opfer zu verschaffen, wie sich zurzeit bei Heise nachlesen lässt:

Seit dem gestrigen Montag haben uns zahlreiche Leser darüber informiert, dass beim Onlinehändler Mindfactory möglicherweise im großen Stil Kundendaten entwendet wurden. In zahlreichen Beiträgen im Forum des Händlers beschweren sich Kunden über eine Spam-Mail, in der sie persönlich mit Vor- und Zunamen angesprochen wurden […]

Wenn ein solches kriminelles Abgreifen von Daten – es ist im Moment offenbar noch unklar, welche Daten noch in die Hände der Verbrecher gelangt sein könnten – mit überzeugenden Phishing-Mails „aufbereitet“ wird, denn werden die Kriminellen einen erheblichen Reibach einfahren. Eine angebliche Mail von der eigenen Bank, von einem Online-Händler oder einem Internet-Auktionshaus, die mit einer namentlichen Ansprache ihres „Kunden“ kommt, ist nun einmal recht überzeugend und wird nicht nur unerfahrene Nutzer dazu bringen, auf einen derartigen Betrug hereinzufallen.

Es ist ein nicht zu verachtender Schutz vor Betrugsmaschen, wenn die Spammer nicht den Namen zu einer Mailadresse kennen.

Was kann man tun?

Grundsätzlich sollte auf die Angabe eines zutreffenden Klarnamens bei irgendwelchen Internet-Anbietern verzichtet werden. Dies gilt im besonderen Maß bei Anbietern, die eher unwichtige Dienste (wie etwa Gästebücher, Blogkommentare etc.) anbieten – dort sollte in vielen Fällen ein Vorname oder ein Nick ausreichen. Jede Website ist permanenten Angriffen ausgesetzt, und solche Angriffe können auch immer wieder einmal erfolgreich sein. Es ist für den Nutzer eines Dienstes nicht ersichtlich, wie sorgfältig dieser programmiert wurde und welche Schwachstellen eventuell einen Angriff ermöglichen. Auch die „Zertifizierung“ einer deutschen Website durch den TÜV gibt keine Sicherheit, denn es ist schon mehrfach zu großen Datenlecks auf derart „zertifizierten“ Websites gekommen. Der beste Schutz gegen betrügerische Maschen mit solchen Daten ist die Sicherung der eigenen Anonymität bei jeglicher Nutzung des Internet.

Manchmal ist die Angabe eines Klarnamens (oder sogar darüber hinaus gehender persönlicher Daten) aber erwünscht – sei es, dass man unter seinem Namen bei einem „Web-2.0-Dienst“ gefunden werden möchte, sei es, dass man einem Forenbetreiber gegenüber ehrlich sein will, oder sei es auch, dass eine solche Angabe durch die Nutzungsbedingungen verpflichtend gemacht wird.

In diesen Fällen ist eine andere Strategie angemessen: Für jeden Dienst, der unter Angabe des eigenen Klarnamens (und möglicherweise anderer persönlicher Daten) benutzt wird, sollte eine eigene, nur für diesen Zweck benutzte Mailadresse verwendet werden. Wenn unter dieser Mailadresse einmal eine andere Mail ankommt, denn ist klar, …

  1. …dass es sich um eine betrügerische Spam handelt, und
  2. …dass die Site, auf der man diese Mailadresse verwendet hat, gecrackt wurde und dass die Daten in die Hände von Kriminellen gelangt sind.

Auf diese Weise ist das Datenleck bei Mindfactory überhaupt erst bekannt geworden. Deshalb konnte auch relativ schnell eine Warnung an die Kunden in einer Stellungnahme herausgegeben werden.

Zum Glück gibt es eine Menge Freemail-Provider, so dass an Mailadressen für solche Zwecke kein Mangel herrscht. Und wer einen eigenen Mailserver zur Verfügung hat, kann sich sehr schnell eine entsprechende Adresse „machen“. Das bisschen Prävention schützt nicht nur vor betrügerischen Versuchen, sondern erleichtert es auch, eine „verseuchte“ Mailadresse einfach stillzulegen, wenn die Flut der Spam alles andere mit sich zu reißen droht.

Some fraudsters that scammed you

Freitag, 20. März 2009

Jetzt krönt sich der Vorschussbetrug, und die Betrüger spielen schon die Helfer. Eine bemerkenswerte, neue Masche:

Betreff: Some fraudsters that scammed you has been caught and some of your money recovered.

Na, was für ein Jammer, dass bei mir gar kein Geld an irgendwelche Betrüger gegangen ist. Aber das heißt ja nicht, dass man ein paar andere Betrogene nicht noch mal betrügen kann. Inzwischen scheinen unsere Betrugsspammer den Weltvorrat an Deppen erfolgreich abgezockt zu haben.

Dear fraud victim,

Klar, du tust so, als würdest du ermitteln und den Opfern der Betrüger zu Recht verhelfen, aber du kannst sie nicht einmal mit Namen ansprechen. Alles klar. „Wertes Betrugsopfer“ – wer soll denn darauf bitte reinfallen. Doch nur ein zukünftiges Betrugsopfer.

This is to inform you that four of the fraud syndicate that defrauded you has been caught although six escaped. These men used fake identities and documents to scam innocent victims. They confessed that they use tricks of Contract, Inheritance, Lottery and all other manner of payment tricks to lure and defraud their victims. They were caught in attempt to defraud one British. During prosecution, they pleaded for a lesser jail term and the court agreed to grant them lower jail terms if only they would confess their victims so that the court could pay their victims reparations from the loot recovered from them. The court recovered expensive cars, jewelries, houses, stocks and shares including some cash deposits in their bank accounts.

Klingt echt irre wichtig und fast offiziell (die Betrüger mussten es ja auch nicht ins Deutsche übersetzen), und es sagt gar nichts. Aber dafür wird mit jeder Menge Wertgegenständen geglänzt, die da rumliegen und damit geht das Versprechen einher, dass ein Betrugsopfer daraus entschädigt werden könnte.

The court has sold all these properties confiscated from these syndicate to realize enough money for reparation payment to their victims.

Und um das so richtig glaubwürdig zu machen, wird auf jede Angabe verzichtet, welches Gericht diese ganzen Klunker jetzt zu Geld gemacht hat. Denn so kann man es nur glauben und nicht überprüfen.

The four are currently serving eight years jail term each. I am contacting you based on the confessional testimony of the fraudsters that you were among their victims so if you have lost money to fraudsters in the past, please do let me know how much you lost, your contact phone number and address so that we can refund your lost immediately from the recovered sums.

Jeder, der schon einmal mit der Vorschussbetrug im Internet zu tun hatte, weiß, dass die Betrüger sich nach Möglichkeit schon beim Erstkontakt eine Telefonnummer und eine Anschrift holen wollen, um einen möglichst intensiven Kontakt aufzubauen, damit ihre Opfer auch Glauben schöpfen. Und das ganze Zeug haben die Ermittler nicht bei den geständigen Verbrechern gefunden? Und deshalb soll man jetzt nach Möglichkeit gleich seine Telefonnummer und eine Anschrift angeben, damit die „Ermittler“ einen möglichst intensiven Kontakt aufbauen können, der ihre Opfer in Sicherheit wiegen soll. Dreist, aber originell.

Please do not be deceived by the bogus claims of money in Nigeria or any other place in Africa because Africa is a very poor continent with greater percentage of its population very poor.

*prust!* DER WAR GUT!!1! 😆

Please spread this news to your friends and relative that there is no such bogus money in Africa as claimed be scammers so that they won‘t fall victim of fraud especially in this time of economic recession.

Lies mal das Blog hier, du Betrüger! Ich verbreite diese „Neuigkeit“ echt schon ein bisschen länger. Ich verbreite jetzt sogar deine neue Masche, denn die wird bestimmt demnächst Schule machen.

If you are not the person they defrauded […]

Ich denke, „ihr“ habt das ermittelt.

[…] please disregard this mail as it was sent to you based on confessional statement and information provided by the jailed fraudsters. I am aware that the six escaped fraudsters will still be communicating you from clandestine locations. Please if you receive any mail from them, don’t reply from henceforth. If you need further clarifications, call me directly on +2348074037620 or email (user080375 (at) gmail.com) for clarifications.

Klar doch, voll die offizielle Stelle (sogar ein Richter!), aber es hat wieder nicht zu etwas besserem als zu einer kostenlosen Mailadresse bei einem Freemail-Provider gereicht, die darüber hinaus so kryptisch ist, dass jeder fortgeschrittene Idiot merkt, wie diese Adressen automatisch mit einem Skript eingerichtet werden. Wer soll darauf noch reinfallen?!

Yours faithfully,
Honorable Justice Umaru Abdullahi
(President, Court of Appeal Nigeria & Chairman, Crusade for a better Africa)

Aber sicher doch, und ich bin der Kaiser von China.