Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Ansprache“

Leider konnte die Lastschrift von Ihrem Bankkonto nicht durchgeführt werden

Freitag, 16. August 2013

Derartige Spams sind zurzeit eine stinkende Flut. Es gibt viele verschiedene, vermutlich aus Bausteinen zusammengesetze Texte für die immer gleiche Masche. Häufig erscheint dabei der richtige Name in der Anrede, was die Spam noch gefährlicher macht.

Dies ist nur einer dieser Texte, wie er aktuell verwendet wird – übrigens mit einer bemerkenswert guten Formulierung und Rechtschreibung für eine Spam:

Sehr geehrter Kunde Vorname Nachname¹,

Sie haben Ihre Bestellung vom 01.07.2013 bis heute nicht beglichen. Die Summe konnte nicht von Ihrem Konto abgezogen werden. [sic!]

Unser Anwaltsbüro wurde beauftragt den fälligen Betrag für Ihre Bestellung einzufordern. Der Rechnungsbetrag der Bestellung entspricht 201,30 Euro. Zuzüglich wird Ihnen eine Mahngebühr von 21,00 Euro verrechnet und die Gebühren unserer Tätigkeit von 33,98 Euro.

Wir geben Ihnen bis zum 18.08.2013 Zeit das Geld zu zahlen. [Was denn sonst, wenn nicht das Geld?] Falls Sie die Überweisung verweigern [sic! Und das Komma fehlt.] müssen Sie mit sehr erheblichen Kosten [sic!] rechnen. Die Lieferdaten der Bestellung und die Kontonummer sind im angehängten Ordner. [sic!]

Mit freundlichen Grüßen

Anwaltschaft Bastian Cuspinian

Es ist – wie schon gesagt – immer die gleiche Masche.

Eine Rechnung oder eine Mahnung über einen durchaus plausibel wirkenden Betrag kommt per Mail an. In dieser Mail steht nicht, was in Rechnung gestellt wird und auf welches Konto das Geld überwiesen werden soll. Es gibt keine Telefonnummer für eine Rückfrage, um einen Fehler oder ein Missverständnis schnell aufzuklären. Wenn man die Mail ganz nüchtern und frei von der ersten Panik liest, steht eigentlich gar nichts drin – aber das wurde wirklich einschüchternd formuliert. Und natürlich ist eine Frist gesetzt.

Und sie kommt von einem angeblichen „Anwalt“, die Spam. Für den juristisch ungebildeten Durchschnittsmenschen in Deutschland – der als Opfer seiner von staatlichen Schulen erteilten „Bildung“ nicht einmal gelernt hat, was ein Vertrag nach BGB ist, wie er zustande kommt und wie er nicht zustande kommt – bedeutet dieses Wort vor allem eines: Dass es teuer wird, wenn man irgendetwas falsch macht…

Als ob eine unbegründete Forderung begründeter würde, wenn sie von einem „Anwalt“ verfasst wurde! Das wird sie natürlich nicht. Sonst würden Heerscharen von Anwälten davon leben, dass sie jeden Tag hundert Briefe mit dem Text „Zahlen sie mir bitte sofort und völlig grundlos 300 Euro“ absenden und anschließend diese Forderungen gerichtlich vollstrecken ließen. Es ist reine Einschüchterung. Dem Empfänger soll möglichst viel Angst gemacht werden, weil die Verbrecher wissen, dass Angst dumm macht. Und dumme Menschen sind sehr hilfreich für Kriminelle, die andere Menschen überrumpeln wollen.

Apropos Anwalt: Natürlich würde kein Anwalt ein derartiges Mahnschreiben nur mit einer E-Mail versenden – außer als Vorabinformation, der ein in der Regel in der Mail angekündigtes Original auf dem Postweg folgt. Eine E-Mail ist nämlich keine rechtssichere Zustellung, und die Fristsetzung wäre so für die Katz. Dafür nennt jeder richtige Anwalt in jeder auch noch so unwichtig scheinenden E-Mail seine Anschrift und seine Telefonnummer, um Rückfragen zu ermöglichen und Missverständnisse auf einfache Weise ausräumen zu können. Das gilt zumindest für jeden Anwalt, dessen Mail ich bislang lesen durfte, und das waren einige… ;)

Diese Spams haben ein völlig anderes Ziel.

Es geht nicht ums Geld. Der genannte Geldbetrag ist nur ein psychisches Druckmittel. Der Empfänger einer solchen Spam soll, nachdem er die alarmierend formulierte E-Mail gelesen hat, in der objektiv keine hilfreichen Informationen über den Grund des Alarms stehen, den Anhang der Spam öffnen – oder, um es in der etwas unbeholfenen Formulierung des hier genannten Beispiels zu sagen: Den „angehängten Ordner“.

Und dieser Anhang ist in aller Regel ein ZIP-Archiv. In diesem liegt in aller Regel eine Datei mit der Namenserweiterung .pdf.exe oder .docx.exe, die wegen einiger in meinen Augen idiotischer Standardeinstellungen von Microsoft Windows dann als .pdf oder .docx erscheint und so verbirgt, dass es sich um ein direkt ausführbares Programm für Microsoft Windows handelt, das von einem völlig Unbekannten mit einer E-Mail zugestellt wurde. Wenn das Piktogramm dann auch noch wie ein PDF oder wie ein Word-Dokument aussieht, ist die Illusion leider ziemlich gut. Natürlich kann jedem Programm jedes beliebige Piktogramm gegeben werden, so dass dieser Mummenschanz für die Verbrecher einfach durchzuführen ist.

Was das ist?

Es ist jeweils die frischeste Brut der kriminellen Spammer. Wenn man einige Tage wartet, bis die gängigen Antivirus-Programme den Schädling kennen, wird er von mindestens der Hälfte dieser Programme auch sicher erkannt – und von vielen Programmen selbst ein paar Tage später noch nicht. Kurz nach dem Empfang der Mail ist der Schädling jedoch neu und wird nicht erkannt. Beinahe jedes Antivirus-Programm erweist sich als wirkungslos, wenn Menschen dazu gebracht werden können, einfach aktuellen Code von Kriminellen auf ihrem Computer auszuführen. Obwohl man ständig eine „Schutzsoftware“ im Hintergrund laufen lässt, die den Rechner verlangsamt und den Stromverbrauch erhöht, ist man für den konkreten Angriff ungeschützt und hat nach einem unbedachten, in Panik ausgeführten Klick einen Computer anderer Leute auf seinem Schreibtisch stehen – die mit Rechner und Internetleitung machen können, was immer ihnen beliebt.

Deshalb sollte man keine Anhänge in E-Mails von Unbekannten öffnen – und, weil sich die Absenderadresse einer Mail beliebig fälschen lässt, auch keine Anhänge von Bekannten, die nicht vorher abgesprochen wurden. Wie gesagt: Ein richtiger Rechtsanwalt schreibt übrigens immer eine Telefonnummer in die Mail, um Rückfragen zu ermöglichen. ;)

Hier noch einmal eine kurze Zusammenfassung:

Kurze Checkliste für E-Mails mit Anhang

  1. Ist es eine E-Mail von einem Unbekannten? Wenn ja: Äußerste Vorsicht!
  2. Ist es eine E-Mail von einem Bekannten oder von einem Unternehmen, bei dem man Kunde ist? Wenn ja: Immer darüber im Klaren sein, dass der Absender einer E-Mail beliebig gefälscht werden kann! Vorsichtig bleiben! Das gilt besonders, wenn der „eigentliche Inhalt“ der E-Mail ein Anhang ist.
  3. Schreibt eine Unternehmung oder ein Anwalt, ohne dass eine einfache, schnelle Kontaktmöglichkeit für Rückfragen angegeben ist? Das ist immer ein Zeichen für mangelnde Seriosität oder fehlende Sorgfalt.
  4. Ist die E-Mail alarmierend und beängstigend formuliert (mit Angstworten wie: Mahnung, Anwalt, Polizei, Vertragsbruch, Gericht, Frist), aber enthält im Text keine konkreten Angaben zum Vorgang? Muss zusätzlich ein Anhang geöffnet werden, um zu erfahren, um was es eigentlich geht? Wenn ja: Finger weg! Es gibt keinen objektiven Grund für Anwälte und Unternehmer, so zu schreiben. Auf der anderen Seite bestehen sehr viele gute und geldwerte Gründe, geschäftliche Mail so zu formulieren, dass beim Empfänger keine Missverständnisse aufkommen können.
  5. Ist es eine finanzielle Forderung, ohne dass aus dem Text der Mail heraus klar wird, wofür diese Forderung genau erhoben wird? Wenn ja: Löschen! Briefe und Mails der Gattung „Zahlen sie bitte grundlos und sofort einen Haufen Geld“ sind es nicht wert, dass man ihnen auch nur ein Quäntchen der beschränkten Lebenszeit und -kraft widmet. Sie gehören in die „Rundablage“.
  6. Ist der Anhang ein ZIP-Archiv, gern als „beigefügter“ oder „angehänger Ordner“ im Text der Mail verklausuliert? Wenn ja: Es handelt sich fast immer um Schadsoftware. Das Verpacken in ein Archivformat soll den Virenscan erschweren und Spamfiltern die Arbeit schwerer machen. Es gibt keinen Grund, ein bereits komprimierendes Dokumentformat wie PDF noch einmal zu komprimieren.
  7. Erscheint als E-Mail-Anhang eine Datei mit der Erweiterung .pdf oder .docx, obwohl man sonst niemals Dateinamenserweiterungen in Windows sieht, weil die Standardeinstellung nicht geändert wurde? Wenn ja: Es ist Schadsoftware! Die Datei wird in Wirklichkeit .pdf.exe heißen und ein per E-Mail zugestelltes ausführbares Programm sein.
  8. Wer Microsoft Windows benutzt, sollte sich die halbe Minute Mühe machen, die Kriminalität mit so untergeschobenen ausführbaren Dateien an der Wurzel zu unterbinden. Hierzu in den Exploreroptionen unter Extras ▷ Ordneroptionen ▷ Ansicht das Häkchen bei „Erweiterungen bei bekannten Dateitypen ausblenden“ entfernen. Danach ist ein Trick der Marke .pdf.exe unmittelbar sichtbar – und was es zu bedeuten hat, wenn jemand in einer E-Mail solche Tricks benötigt, wird wohl jedem einleuchten. Warum Microsoft das nicht standardmäßig so einstellt, um Windows ein bisschen sicherer und Verbrechern das Leben ein bisschen schwerer zu machen? Das ist eine gute Frage, die ich leider nicht beantworten kann, ohne Mutmaßungen und spekulative böse Worte über Microsoft zu sagen – die eventuell von einem echten Anwaltsbrief gefolgt würden… ;)
  9. Wer Microsoft Windows benutzt, sollte so bald wie möglich mindestens auf Windows 7² updaten. Dann wird eine ausführbare Datei nicht mehr ohne Rückfrage ausgeführt, wenn sie nicht von einer vertrauenswürdigen Stelle kryptographisch signiert wurde. Das gewährt zwar auch keine vollständige Sicherheit, da die Zertifizierungsstellen angreifbar sind, aber es ist besser als nichts. Natürlich hilft eine solche Sicherheitsabfrage nur, wenn Systemmeldungen auch gelesen und nicht einfach mit Klick auf „OK“ weggemacht werden…

¹Hier stand der richtige Name.

²Mir ist vor ein paar Tagen erst aufgefallen, dass beinahe alle Spamkommentare, die hier aus Botnetzen abgesetzt wurden, von Rechnern kamen, die unter Windows XP liefen. Feindlich übernommene Windows-7-Rechner waren die Ausnahme. Das kann natürlich ein Zufall sein, aber ich fand das Muster auffällig genug, um es einmal zu erwähnen. Wer noch sicherer gehen möchte, sollte übrigens – wenn das möglich ist – das Betriebssystem wechseln. Gute Alternativen sind frei und kostenlos verfügbar. Es ist dumm, sie einfach liegenzulassen.

Die zitierte Spam ist ein Zustecksel meiner Leserin W. M. und ist sehr typisch für diese Gattung Spam, aber durch die persönliche Ansprache des Empfängers hochgefährlich.

Vorname Nachname, Mitteilung zu Ihrem Kunden-Konto!

Freitag, 19. April 2013

Anstelle von „Vorname Nachname“ steht der Name des Empfängers. Die Mail mit dem gefälschten Absender hilfe (at) paypal (strich) community (punkt) com kommt natürlich nicht von PayPal. PayPal versendet solche Mails nicht:

PalPal Konfliktlösung -- Guten Tag , Ihr Konto wurde vorübergehend limitiert! Bearbeitungsnummer: PP-8500401 Weitere Informationen finden Sie hier -- Jetzt lesen -- Bei Fragen steht Ihnen unser Kundenservice von Mo.-Fr. 8.30 bis 19.00 Uhr und Sa.-So. 9.00 bis 19.30 Uhr unter der Telefonnummer 0180 500 66 27 zur Verfügung (für Anrufe aus dem Festnetz fallen maximal 14 Cent/Min. an, aus Mobilfunknetzen sind es maximal 42 Cent/Min.)

Im Original stand nach der Anrede „Hallo“ noch der Vorname und der Nachname.

Der Link liegt auf dem etwas peinlichen Schloss und dem Schild mit der Beschriftung „Jetzt lesen“. Er ist über den URL-Kürzer tinyurl (punkt) com maskiert und führt auf eine „liebevoll“ nachgemachte PayPal-Login-Seite in der Domain sslpp (strich) hilfe (punkt) konflikte (strich) kunden (punkt) com:

Screenshot der Phishing-Seite

Dass das nicht die Website von PayPal ist, brauche ich hoffentlich nicht weiter zu erwähnen, und dass die dort angegebenen Anmelde- und Kreditkartendaten direkt in die Hände der organisierten Internet-Kriminalität gehen, sollte auch weniger intellektuell begabten Mitmenschen einleuchten. Wer nur einen einzigen Blick in die Adressleiste seines Browsers wirft, sieht sofort, dass es nicht PayPal ist.

PayPal versendet übrigens niemals E-Mails mit der Aufforderung, irgendwelche Bullshit-Verifizierungen zu machen. PayPal kennt die angegebenen Daten bereits. Die einzigen, die den PayPal-Login, die Postanschrift, das Geburtsdatum, die Bankverbindung und die Kreditkartendaten nicht kennen, sind die Verbrecher, die Identitäten missbrauchen wollen und mit dem Geld anderer Leute ihre „Geschäfte“ machen wollen. Wer auf diese Phishing-Nummern hereinfällt, darf sich nicht nur über sein geplündertes Konto und den folgenden Schriftverkehr mit seiner Bank ärgern, sondern auch über allerhand hässliche Briefe mit Rechnungen und Mahnungen (die bestellten Waren gehen an ebenfalls gephishte Packstation-Accounts) und über jede Menge neuer Bekannter bei Polizeien, Staatsanwaltschaften und Untersuchungsgerichten, die wegen gewerbsmäßigen Betruges ermitteln. In der Folge gibt es zwei bis drei Jahre hässlichen Schriftverkehr, vielleicht die eine oder andere Hausdurchsuchung, Schufa-Einträge, gegen die man vorgehen muss und dergleichen unangenehmes Zeug mehr.

Diese Phishing-Spam ist gut gelungen und durch die Erwähnung des Namens zusätzlich gefährlich. Sie hat allerdings immer noch deutliche Schwächen, die es jedem möglich machen, die Spam zu erkennen:

  1. Vorname und Nachname stehen im Betreff
    Es ist objektiv sinnlos, den Empfänger einer E-Mail an seine persönliche Mailadresse im Betreff namentlich anzusprechen. Der Empfänger weiß, dass er gemeint ist, weil die Mail in seinem Postfach liegt. Niemand würde das tun.
  2. Der Betreff ist „komisch“
    Ein Zahlungsdienstleister wie PayPal macht also „Mitteilung zu Ihrem Kunden-Konto“? Nicht zum PayPal-Konto? Das „müffelt“ ein wenig. Unternehmen würden darauf achten, dass ihre Kommunikation unmissverständlich ist. Vor allem in Kontexten, in denen es um Geld geht.
  3. Guten Tag Vorname Nachname
    So etwas wie „Herr“ oder „Frau“ vor dem Namen fehlt. Kein Unternehmen würde seine Kunden so ansprechen.
  4. Der Absender
    Wie peinlich ist das? Einen Absender fälschen, aber dann nicht einmal einen mit einer Adresse @paypal (punkt) com nehmen. Wenn man schon den Absender fälscht… :mrgreen:
  5. tinyurl (punkt) com stinkt
    PayPal hat es niemals nötig, einen Link auf die eigene Website mit einem URL-Kürzungsdienst zu verschleiern. Kein Unternehmen, das seine Kunden anmailt, hat das nötig. Nur Spammer haben es nötig, um sich mit diesem „Trick“ an den Spamfiltern vorbeizumogeln. Wo der Link hinführt, sieht man übrigens in seiner Mailsoftware, indem man auf die Statusleiste schaut, wenn der Mauszeiger über dem Link ist. Wenn da in so einem Fall nicht die Website des Unternehmens steht, ist es immer Phishing.
  6. Die Bearbeitungsnummer ist überflüssig
    Zum Hinweis „Ihr Konto wurde limitiert“ (als ob es das nicht immer irgendwie wäre) gibt es keinerlei Begründung oder auch nur eine Andeutung der Gründe. Weitere Informationen soll man nach einem angeblichen Login erhalten. Die Angabe einer kryptischen Bearbeitungsnummer ist in diesem Kontext für den Empfänger der Mail sinnlos; der gesamte Vorgang könnte und würde direkt auf der Website dargestellt werden. Diese sinnlose Nummer dient also nur zur psychologischen Einschüchterung (du kommst nicht an dein Geld und du bist damit jetzt für uns nur noch eine Nummer). Jedes Unternehmen würde so etwas im Umgang mit seinen Kunden hoffentlich vermeiden. Phishing-Spammer wissen hingegen ganz genau, dass ein bisschen Angst viel Verstand ausschaltet und so unvernünftiges Verhalten fördert, und sie nutzen dieses Wissen.
  7. Mailadresse
    Im speziellen Fall dieser Mail haben die Spammer eine Adresse angemailt, die gegenüber PayPal gar nicht verwendet wurde. Wer es sich angewöhnt, für jeden „wichtigen“ Dienst eine eigene, ansonsten völlig unbenutzte Mailadresse zu verwenden, hat sich gegen dieses Phishing erfolgreich geschützt. Der Aufwand für diesen Schutz, der einem schnell einige Jahre juristischen Ärger für einen unbedachten Moment der Unvorsicht ersparen kann, liegt im Bereich weniger Minuten pro eingerichteter Mailadresse und ist damit sehr empfehlenswert. Übrigens kann man diese Phishing-Mail auch bekommen, wenn man gar kein PayPal-Kunde ist.
  8. Der Begriff „Konfliktlösung“ ist seltsam
    Welches Unternehmen würde in seiner Kommunikation mit dem Kunden (also nicht intern) einen derartigen Begriff für eine seiner Stellen benutzen? Dieses Wort macht einen recht unvorteilhaften Eindruck eines konfliktträchtigen Daseins als Kunde. Die in die Mail eingebettete, externe Grafik mit diesem Begriff kommt übrigens nicht aus der PayPal-Website, sondern sie wird vom anonym nutzbaren Freehoster image (strich) upload (punkt) de eingebunden. Zurzeit kann sie dort noch betrachtet werden. Meine Abuse-Mail ist schon draußen, und ich hoffe, dass diese Grafik schnell verschwindet. Ich habe in meiner Mail übrigens darum gebeten, die Grafik nicht einfach zu löschen, sondern sie durch eine auffällige Grafik mit einem deutlichen Hinweis auf das Phishing zu ersetzen, um den Schaden durch diese Mails zu beschränken. Dieses Vorgehen werde ich in Zukunft jedem Imagehoster nahelegen, dessen Dienst von solchen Verbrechern missbraucht wird, und ich empfehle das anderen zur Nachahmung. Aber es wäre vermutlich schon viel gewonnen, wenn öfter einmal mit einer Mail auf den Missbrauch anonym nutzbarer Dienste im Web hingewiesen würde…
  9. „Genießer“ merken es in jedem Fall
    Wer sich die Mailheader anschaut, bemerkt, dass diese Mail nicht von PayPal kommt. Stattdessen wird im Header die Domain hausrattreff (punkt) de verwendet.

Doch trotz dieser Schwächen: Phishing wird besser. Arglose und unerfahrene Menschen können auf diese Spam hereinfallen. Die namentliche Ansprache macht die Spam gefährlich. Die Spammer scheinen inzwischen eine Zuordnung von Mailadressen zu Namen aus vielen Quellen zusammengestellt zu haben. Derartige Datenbanken sind unter Kriminellen im Umlauf und werden benutzt.

Es wäre an den Geschäftstreibenden im Internet, die Situation zu verbessern. Die konsequente Verwendung digital signierter Mails in der Kommunikation und die Aufklärung der Kunden über Zweck und Nutzung digitaler Signaturen würde den Phishern schon nach kurzer Zeit das Wasser abgraben und einen kriminellen Sumpf mit monströsen Umsätzen vollständig trockenlegen. Warum PayPal nicht digital signiert? Warum es niemand tut? Ich habe darauf nur eine Antwort: Weil die „Sicherheit“ vor allem ein Wort der Werbeabteilungen ist, und nicht etwa ein Streben im Sinne der Kunden. Mittelbar ist jeder Geschäftstreibende, der seine Mail nicht digital signiert, an der Seuche des Phishings und an den Schäden bei seinen von Verbrechern übertölpelten Kunden mitschuldig.

Diese Spam wurde mir von meinem Leser Cassiel zugesendet.

Spam mit namentlicher Anrede: Woher kommen die Daten?

Freitag, 8. März 2013

Die anonyme Ansprache in einer Mail ist längst kein Kriterium mehr, um eine Spam sicher erkennen zu können. In den letzten Tagen häufen sich große Spamwellen von Schadsoftware-Mails mit namentlicher Ansprache. Diese sind teilweise leicht erkennbar, etwa, wenn eine angebliche Rechnung von einem Unternehmen kommt, mit dem man es bislang noch nie zu tun hatte, sie sind aber auch teilweise hochgefährlich wie die angeblichen Rechnungen von Groupon, bei denen zumindest in einigen Fällen die gleiche abweichende Namensschreibweise wie gegenüber Groupon verwendet wurde.

Zurzeit werden derartige Spams vor allem verwendet, um Menschen mit alarmierenden Texten zur Installation von Schadsoftware zu bewegen, indem sie einen Mailanhang mit einer ausführbaren Datei für Microsoft Windows öffnen. Die Schadsoftware ist in der Regel „frisch“ und kann vom Schlangenöl der gängigen Antivirusprogramme nicht zuverlässig erkannt werden. Die so installierten Trojanerpakete ermöglichen einen beliebigen Missbrauch des Computers und der Internetleitung, insbesondere auch für betrügerische Geschäfte, kriminelle Attacken auf IT-Infrastruktur, manipulierte Online-Kontoführung, Phishing und den Versand von Spam. Wer derartige Trojaner auf seinem Rechner laufen hat, wird mit Sicherheit zu Schaden kommen. Mit dieser Spam wird nicht gespielt! Ob das Konto geplündert wird, oder ob die Kriminalpolizei vor der Tür steht – eine Menge Ärger ist programmiert.

Der einzig sichere Schutz dagegen ist es, wenn der Empfänger die Spam als solche erkennt und löscht. Das ist bei einer Spam mit namentlicher Ansprache erschwert, vor allem, wenn es sich um die angebliche Rechnung (oder ein sonstiges Dokument) eines Unternehmens handelt, mit dem man in geschäftlicher Beziehung steht. So lange diese Spamwelle läuft – und ich befürchte, sie wird noch Monate oder Jahre laufen – gibt es nur eine Möglichkeit, sich zu schützen: Niemals einen Mailanhang öffnen, der in einer nicht digital signierten Mail ohne Absprache zugestellt wurde!

Es ist den Spammern gelungen, die echten Namen zu außerordentlich vielen E-Mail-Adressen zuzuordnen. Eine Spam mit persönlicher Ansprache ist wesentlich gefährlicher als eine anonym formulierte Spam, weil ihr mit weniger angemessener Vorsicht begegnet wird. Es könnte sogar noch schlimmer sein: In einem Kommentar habe ich einen Hinweis darauf erhalten, dass die Spammer sogar wissen, welches Betriebssystem genutzt wird und gezielt eine passende Schadsoftware anhängen. Das ist mit so wenig Beleg wie einem einzigen Blogkommentar bei über 10.000 Lesern des Postings zwar keineswegs gesichert, aber allein diese Vorstellung ist höchst alarmierend und sollte nicht einfach abgetan werden. Denn das wäre eine neue Dimension in der Perfidie der Schadsoftware-Spam, die sich deutlich von der üblichen „Streumunition“ der Spam unterscheidet.

Es gibt in dieser Situation eine Frage, die in meinen Augen unbedingt geklärt werden muss:

Woher haben diese Verbrecher ihre Daten?

Natürlich liegt es nahe, ein Datenleck bei Groupon zu vermuten, wenn sogar die Schreibweise des Namens in Einzelfällen mit den gleichen Fehlern behaftet ist wie der Name, der in der Spam verwendet wird. Groupon hat diesen Verdacht bislang in Kommentaren im Groupon-Blog zurückgewiesen. Auf mich wirkt es zwar nicht sonderlich glaubwürdig, wenn einerseits gesagt wird, dass noch untersucht wird und andererseits schon zugesichert wird, dass keine Daten „geklaut“ wurden, aber hier kann nur eine unabhängige Untersuchung abschließende Aufklärung bringen. Strafanzeigen wegen Computersabotage nimmt übrigens jede Staatsanwaltschaft entgegen, und betroffen ist jeder, dessen Daten für die Zustellung einer Schadsoftware Verwendung fanden. Bis zu einer derartigen Klärung des Sachverhaltes sollte man sich besser in Zurückhaltung bei Schuldzuweisungen üben – und auch ein kleines bisschen Verständnis für die Groupon-Mitarbeiter aufbringen, die im Moment eine sehr unangenehme und arbeitsreiche Zeit durchstehen müssen.

Diese Zurückhaltung empfiehlt sich um so mehr, als dass Spams mit namentlicher Ansprache auch ohne Groupon-Kontext versendet werden, und das durchaus schon seit längerer Zeit. Es müssen also weitere Datenlecks vorliegen, aus denen die Spammer ihren Datenbestand gefüllt haben. Die Frage, wo diese Daten herkommen, führt im Moment zu allerlei Spekulationen.

Es ist an der Zeit, diese Spekulationen mit überprüfbaren Fakten zu unterlegen und vielleicht herauszubekommen, woher die Daten stammen.

Ich sehe die folgenden Möglichkeiten, woher die Namen (und möglicherweise weitere Informationen, etwa, welches Betriebssystem genutzt wird) stammen können – die Links führen jeweils zu weiteren Informationen:

  1. App-Store für Android
    Wenn man bei „Google Play“ eine App kauft, werden die Daten des Besitzers an den Verkäufer weitergegeben. Dazu gehört auch der von Google verpflichtend eingeforderte (und gegebenenfalls durch ein gescanntes Ausweisdokument zu belegende) Realname, zusammen mit der Mailadresse. Alles, was Spammer tun müssen, um an einen Datenbestand zu kommen, ist, ein paar alles in allem schnell zu programmierende Apps zu bauen und dafür zu sorgen, dass diese auch gekauft werden. Google würde – falls das die Quelle der Daten ist – zur helfenden Hand für die organisierte Internet-Kriminalität.
  2. Trojanische Apps auf Smartphones
    Es gibt jede Menge trojanischer Apps auf Smartphones, teilweise sogar von Unternehmungen mit einer zu Unrecht viel zu guten Reputation. Diese Apps können auf die gesamten Adressbestände des Telefons zugreifen und diese an andere Stellen im Internet übertragen, und darunter befinden sich auch jede Menge Kombinationen aus Mailadresse und Realname. Natürlich sind die abgegriffenen Daten nicht darauf beschränkt. Wenn das Smartphone mit dem PC synchronisiert wird, könnte dabei auch durchaus die Information anfallen, welches Betriebssystem auf dem PC verwendet wird.
  3. Social-Web-Sites
    Bei Facebook war es für registrierte App-Entwickler möglich, auf sämtliche Daten beliebiger Facebook-Konten zuzugreifen, auch hier wird sich häufig der echte Name zur E-Mail-Adresse gesellen. Es war möglich, sich fälschlich als Entwickler auszugeben. Der Zugriff gelang auch auf Konten, in denen keine App installiert wurde. Natürlich lässt sich ein derartiges Abgreifen von Daten automatisieren, und natürlich weckt eine große, zentrale Datensammlung auch Begehrlichkeiten von Kriminellen. Einmal ganz davon abgesehen, dass einigen dieser Geschäftsleute ohne seriöses Geschäftsmodell der Datenschutz vollkommen gleichgültig zu sein scheint.
  4. Kommerzielle Anbieter
    Mindestens ein kommerzieller Anbieter im deutschsprachigen Web hat mutmaßlich Adresshandel mit den gesammelten Daten betrieben. Es würde mich nicht überraschen, wenn es viele Unternehmen gäbe, die sich dieses zwar illegale, aber dennoch lukrative Zusatzgeschäft nicht entgehen lassen möchten.
  5. Gewinnspiele im Fernsehen
    Zumindest an halbseidene Callcenter sind Daten, die über Gewinnspiele im Fernsehen erhoben wurden, schon gegangen. Vermutlich werden die Daten ganz allgemein gehandelt.
  6. Datenlecks
    In den letzten achtzehn Monaten kam es zu einer außerordentlichen Häufung von Datenlecks auch bei renommierten Unternehmen, bei denen große Teile des Datenbestandes abgegriffen werden konnten. Betroffen waren unter anderem die belgische Staatsbahn, Coca-Cola, verschiedene so genannte „Singlebörsen“ (hier nur meetOne als ein Beispiel) und mutmaßlich DHL. Desweiteren können im Regelfall schlecht bezahlte Mitarbeiter gewisser Callcenter frei auf Daten zugreifen, und es würde mich sehr überraschen, wenn da nicht der eine oder andere nach Möglichkeiten suchen würde, sein mieses Gehalt aufzubessern. Dass selbst bei großen Anbietern von Pornografie sehr wenig Wert auf Datensicherheit gelegt wird, sei hier nur eine kleine Ergänzung.
  7. Cloud-Dienste
    Es kam bis jetzt immer wieder zu teilweise erheblichen Datenlecks bei so genannten Cloud-Diensten. Je nach dem, welche Daten dort abgelegt sind (zum Beispiel E-Mail-Adressbücher, aber auch andere Dokumente), können dabei personenbezogene Daten in erheblicher Menge abgegriffen und automatisiert ausgewertet werden.

Seit Mitte 2010 kann ich verschiedene Versuche der Spammer und halbseidenen Anbieter irgendwelcher Nutzlosgüter ausmachen, dass sie echte Namen zu den Mailadressen zu erhalten versuchen, und ich habe immer deutlich davor gewarnt – leider nur nach meinen beschränkten Möglichkeiten; in einem kleinen, eher unbedeutendem Blog, das ich nur einmal angefangen habe, um die Spam nicht mehr stumm hinzunehmen…

Dass es irgendwann zu überzeugender Spam mit namentlicher Ansprache kommt, ist zumindest für mich keine große Überraschung.

Meine Frage/Bitte an die Leser

Ich habe weiter oben viele mögliche Quellen für die Kombination Mailadresse und Name im Datenbestand der Spammer genannt. Vermutlich habe ich genau so viele mögliche Quellen vergessen, weil ich sie einfach nicht „auf dem Schirm“ habe. Wenn beim einen oder anderen Leser ein gewisses Entsetzen aufgekommen ist, entspricht das durchaus meiner Absicht – denn die Zeit der Sorglosigkeit gegenüber der organisierten Internet-Kriminalität muss aufhören, und der erste Schritt in einen verantwortungsvolleren Umgang mit dem Internet ist ein Verständnis für das Ausmaß der möglichen Probleme. Es mag sein, dass jemand anders zu anderen Schlüssen kommt als ich, aber ich kann nur eines empfehlen: Niemanden persönliche Daten ohne zwingenden Grund anvertrauen, niemanden glauben, dass er sorgsam mit persönlichen Daten umgeht, niemals persönliche Daten auf Geräten vorhalten, die der eigenen Kontrolle entzogen sind und diese Tatsache hinter einer gefälligen Benutzerschnittstelle verbergen. Ja, mit dem letzten Punkt meine ich Pads und Phones, aber auch generell gewisse Betriebssysteme.

Meiner Meinung nach sollte so genau wie möglich aufgeklärt werden, wie die Spammer in diesem Fall an die Daten gekommen sind. Das kann im günstigen Fall erkennbar machen, welche Menschen in naher Zukunft von möglicherweise perfiden und stark personalisierten Spamattacken betroffen sein könnten, und es kann für diese Menschen ein Beitrag zur angemessenen Vorsicht angesichts der Gefährdung sein. Diese Vorsicht ist der einzige Schutz, so genannte „Antivirenprogramme“ sind hingegen relativ wertlos.

Wie wäre es mit einem heiteren Detektivspiel zu einer wenig heiteren Form des Verbrechens. Wer kann und will dabei helfen, folgende Fragen zu klären – damit eventuell in den zusammengetragenen Informationen Klarheit aufkommt oder wenigstens, damit bestimmte Möglichkeiten ausgeschlossen werden können:

Besonders wertvoll sind dabei Angaben mit E-Mail-Adressen, die an genau einer Stelle verwendet wurden und jetzt zum Ziel der Spam geworden sind; ebenfalls wertvoll sind einmal verwendete Pseudonyme oder falsch angegebene Namen, die jetzt in personalisierter Spam auftauchen. Diese sind eine klare Spur, die zur Quelle der Daten führt.

  1. Woher kommen die Daten?
    Hat jemand bei einem einzigen Dienst eine Mailadresse verwendet, die jetzt personalisiert zugespammt wird? Hat jemand ein Pseudonym oder einen falschen Namen angegeben, für den jetzt „Rechnungen“ kommen? Welcher Dienst war das? Oder taucht eine Falschschreibweise eines Namens in einem Adressbuch auf einem Smartphone oder innerhalb eines Cloud-Dienstes auf und geht jetzt Spam an diesen Namen? Solche Kleinigkeiten können helfen, das Datenleck zu identifizieren und gezielt andere Anwender zu warnen.
  2. Wenn die Spur zu einem Smartphone führt…
    Welches Version hat das Betriebssystem? Welche Apps sind darauf installiert? Welche Apps waren einmal darauf installiert und wurden wegen Nutzlosigkeit oder weil sie einfach nicht funktionierten, wieder gelöscht? Irgendetwas auf diesem Smartphone war nicht koscher, und es gilt, herauszufinden, was das war und wer dafür verantwortlich ist. Wenn genügend derartige Informationen zusammengeführt werden, können sich viele derartige Spuren zu einem konkreten Verdacht verdichten, dem man nachgehen kann.
  3. Wenn die Spur zu einem Unternehmen führt…
    Wann wurde die Registrierung oder Datenangabe durchgeführt? Eventuell lässt sich so eingrenzen, wann die Daten abgegriffen wurden, wenn man feststellt, dass spätere Nutzer nicht betroffen sind. Gab es eine spätere Änderung der Mailadresse oder des Namens, die den Zeitrahmen fassbarer macht?
  4. Gab es Angriffe, die Kenntnisse über das Betriebssystem voraussetzen?
    So lange ich nur einen etwas fragwürdigen Kommentar habe, glaube ich es nicht. Aber wenn es weitere Mac-Anwender gibt, die ebenfalls gezielt Schadsoftware für Mac OS erhalten haben, ist das ein deutliches Indiz dafür, dass die Kriminellen wissen, welches Betriebssystem verwendet wird. An dieses Wissen können sie auf verschiedenen Wegen kommen; am einfachsten übrigens, indem sie es schaffen, dass man auf einen Link in einer Mail klickt und dass der Browser dann über den User-Agent im HTTP-Header mitteilt, welches System verwendet wird. (Das ist ein Grund mehr, niemals in eine Spam zu klicken.) Werden Adressbücher, Terminkalender etc. mit einem Smartphone synchronisiert, dass hierüber die Information abgegriffen werden kann? Wenn ja, siehe weiter oben: Welche Betriebssystemversion und welche Apps sind (oder waren) auf dem Smartphone installiert? Wenn das Smartphone erstmal trojanisiert ist und auch zum Surfen verwendet wird, ist es für die Kriminellen relativ leicht, herauszubekommen, welche Websites häufig aufgerufen werden und daraus zu schließen, wo jemand Kunde sein könnte, um dann „Groupon-Rechnungen“ zu verschicken – und vergleichbar leicht ist ein ähnlich gezielter Angriff auf das Online-Banking, mit namentlicher Ansprache und scheinbar vom richtigen Kreditinstitut.

Ich weiß, dass ich in meinen Punkten sehr auf Smartphones herumreite. Es ist einfach mein stärkster Verdacht, übrigens ohne weitere Anhaltspunkte als „nur“ dem einen Punkt der außerordentlichen Einfachheit, auf diesem Weg persönliche Daten von Menschen abzugreifen. In den Smartphones hat sich die Sicherheits-Blauäugigkeit der Neunziger Jahre mit der organisierten Internet-Kriminaliät der Zehner Jahre kombiniert und ist mit den in meinen Augen fragwürdigen Geschäftsmodellen Apples und Googles eine unheilige Allianz in der Entrechtung, Verdummung und Abzocke der Nutzer eingegangen. Bei den meisten Anwendern ist in all der kindischen Freude an den neuen Möglichkeiten leider noch kein ausgeprägtes Bewusstsein für die möglichen Probleme gewachsen – und die von namhaften Unternehmen installierten Trojaner sind nur ein kleiner Teil des ganzen Wahnsinns, ein Teil übrigens, der leider viel zu wenig Ächtung erfährt. (Meiner Meinung nach wäre das, was Facebook, Twitter, Path etc. klandestin auf Smartphones betreiben, in einem Rechtsstaat etwas, wofür es Gefängnisstrafen gäbe. Wer Trojaner programmiert und als vergifteten Bonbon zur Installation auf Computern anbietet, hat sich selbst aus dem zivilisierten Miteinander verabschiedet und zeigt, dass er die gleichen widerlichen Methoden anwendet wie eine Bande von Verbrechern. Er zeigt auch, dass er die Menschen nicht anders betrachtet, als ein Verbrecher es täte: Als dumme, verachtenswerte Opfer, die man ausraubt und ausbeutet.) Smartphones sind persönlich genutzte Computer, die bei vielen Menschen deutlich weiter in die Intimsphäre hineinragen als der Computer auf dem Schreibtisch und die dabei deutlich unbefangener genutzt werden. Wenn ich selbst ein Krimineller wäre, würde ich mich darauf konzentrieren.

Wer die von mir angesprochenen Punkte aus seiner persönlichen Erfahrung etwas klären kann, schreibe das bitte öffentlich in einen Kommentar zu diesem Posting. Natürlich gilt das auch für Punkte, die ich vergessen habe. Mit einem bisschen Glück wird es so möglich, das Datenleck aufzuklären, indem man einfach Fakten zusammenträgt. Mit einem bisschen Pech allerdings – und ich befürchte, so wird es kommen – wird dabei klar werden, dass längst Daten aus vielen verschiedenen Quellen zusammenfließen und von organisiert Kriminellen für ihre verachtenswerten „Geschäfte“ benutzt werden.

Natürlich darf hier jeder Kommentar auch schön anonym mit falscher Mailadresse und lustigem Phantasienamen abgegeben werden. Ich werde hier allerdings strikt moderieren und jeden völlig unbegründet geäußerten Verdacht löschen. Die IP-Adressen werden von mir nicht langfristig gespeichert.

Abschließendes

Angesichts der momentan zur Massenpest werdenden Spam mit überzeugender namentlicher Anrede möchte ich noch einmal meinen anderthalb Jahre alten Offenen Brief an alle Bankhäuser in die Aufmerksamkeit rücken. Wer im geschäftlichen Mailverkehr auf digitale Signatur verzichtet, ist selbst fördernder Teil der Kriminalität.

Re: Verwöhnen Sie sich wie ein König

Sonntag, 6. März 2011

Es ist ja kaum zu übersehen, dass die Monarchie im deutschen Sprachraum abgeschafft wurde. Selbst dieser Spammer hats bemerkt, denn…

Von: Nun Weihnachten Uhren - Betreff: Re: Verwöhnen Sie sich wie ein König -- Hallo, Mailadresse -- Direkt ab Werk Preise auf Qualitäts-und Markenprodukte Uhren auf unserer Website -- Verwöhnen Sie sich wie ein König -- Ich werde nie für einen Termin zu spät, dank meines Vertrauens Tag Heuer

…dass die Aussage „Ich werde nie für einen Termin zu spät, dank meines Vertrauens Tag Heuer“, deren Sinngehalt sich auch bei dreimaligem Lesen nicht erschließen mag, in deutscher Sprache geschrieben wäre, kann wohl nur der Computer behaupten, der diese Übelsetzung angefertigt hat.

Herzallerliebst ist auch der Absendername „Nun Weihnachten Uhren“. Ist ja nicht mehr so lange hin.

Aber wer sich von alledem nicht abhalten lässt, auf den über durl.me verschleierten Link zu klicken, merkt schon nach einem einfachen Runterscrollen, dass nicht nur die Sprache dieser Betrüger etwas eigenwillig ist. Auch auf der Suche nach Bildmaterial, um dem weiten weiten Internet zu zeigen, was das denn für tolle Uhren sind, war man nicht sehr wählerisch und hat kleine Grafiken einfach aufskaliert, ohne dabei auf so etwas wie die Propotion des Bildes zu achten:

Detail der betrügerischen Website

Wenn man das sieht, könnte man ja glauben, Rolex stelle Eieruhren her. :mrgreen: