Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „Golem“

Microsoft Outlook

Donnerstag, 8. August 2024

Keine Spam, aber ein im Kontext interessanter Hinweis auf einen aktuellen Artikel bei Golem. Ich schreibe ja manchmal, nein, eigentlich sogar ziemlich häufig, dass man mit durchgehender Nutzung von digitalen Signaturen den gesamten Phishingsumpf hätte trockenlegen können. Das wäre zurzeit nicht der Fall, wenn die leider sehr populäre und im geschäftlichem Umfeld allgegenwärtige Mailsoftware Microsoft Outlook verwendet wird, denn bei Nutzung dieser Software können die Anwender von Kriminellen beliebig getäuscht werden [Archivversion]:

Die besagte Sicherheitswarnung taucht in der Regel auf, wenn Outlook-Nutzer eine E-Mail von einem Absender erhalten, mit dem sie zuvor gar nicht oder nur selten korrespondiert haben. „Sie erhalten nicht oft E-Mails von xyz@beispiel.com. Erfahren Sie, warum dies wichtig ist“ […] Wie aus dem Bericht von Certitude hervorgeht, bettet Outlook diese Warnung allerdings im HTML-Code als Table-Element unmittelbar vor dem Textkörper der E-Mail ein. Durch CSS-Regeln innerhalb der Mail gelang es den Forschern, sowohl die Schrift- als auch die Hintergrundfarbe der Meldung auf Weiß zu ändern und die Warnung dadurch effektiv unsichtbar zu machen.

Das Verstecken der Phishing-Warnung war den Certitude-Forschern allerdings noch nicht genug. Daher untersuchten sie, ob sich per HTML und CSS auch vortäuschen ließ, dass die empfangene E-Mail verschlüsselt oder signiert ist. Und sie hatten Erfolg: „Signed By [Absender]“ steht über einer Mail, deren Screenshot die Forscher in ihrem Blog teilten. Daneben die entsprechenden Symbole – ein Schloss und ein rotes Siegel.

Microsoft ist der Auffassung, dass es sich nicht um eine Sicherheitslücke handelt, wenn ein Angreifer mit relativ einfachen Mitteln einen völlig falschen Eindruck beim Empfänger erwecken kann – und lässt das bekannte Problem einfach offen. Schon seit Monaten. Mit Schloss und Siegel. 🔐️🛡️✅️

Mit Stable Diffusion erzeugtes BildIch bin da natürlich völlig anderer Auffassung. Ein optischer Sicherheitshinweis, der von einem Angreifer nach Belieben ausgeblendet oder hinreichend gut simuliert werden kann, ohne dass ein naiver Anwender das auf dem ersten Blick erkennen könnte, hat für die Sicherheit nicht nur überhaupt keinen Wert, sondern macht sogar die damit versprochene Sicherheit völlig zunichte und verkehrt sie in ihr Gegenteil. „Aber natürlich, Cheffe! Ich habe auf den Link geklickt, die Datei geöffnet und den Zugangscode eingegeben. Das wollten sie doch so. Die Mail war doch von ihnen signiert.“ ist alles andere als ein undenkbares Szenario und kann einen fürchterlichen Schaden verursachen. Hinterher, wenn ein ganzes Unternehmensnetzwerk von Kriminellen übernommen wurde, heißt es in den Medien in der üblichen Albernheit der journalistischen Berichterstattung „Cyber Cyber“ und es gibt Symbolbilder von Maskierten im dunklen Zimmer, die wie die Hypnotisierten auf Matrix-Bild­schirm­scho­ner gucken, aber Microsoft ist mehr als nur ein bisschen dafür mitverantwortlich, was natürlich niemals so klar benannt wird.

Wenn sie am Arbeitsplatz Microsoft Outlook verwenden müssen – ich hoffe, dass die meisten Menschen privat eine andere gute Mailsoftware benutzen, aber ich befürchte, diese Hoffnung hat genau so einen geringen Wert wie die Sicherheitsfunktionen von Microsoft Outlook – seien sie also vorsichtig und klicken Sie auf gar keinen Fall in eine E-Mail, ohne sich vorher über einen anderen Kanal als E-Mail (zum Beispiel durch ein Telefongespräch) davon überzeugt zu haben, dass sie wirklich vom scheinbaren Absender kommt!

Generell besteht der beste und wirksamste Schutz vor Phishing darin, niemals in eine E-Mail zu klicken und häufig aufgerufene Websites – des Händlers, des Dienstleisters, der Bank – nur über dafür angelegte Lesezeichen im Webbrowser aufzurufen. Ach ja, und auch niemals das Handy auf eine Sackpost mit QR-Code halten, auch nicht, wenn sie scheinbar von der Bank kommt! Dann kann einem auch kein Verbrecher so leicht einen giftigen Link unterschieben.

Kein Phishing…

Montag, 8. Juli 2024

Kein Phishing sind die (natürlich nicht digital signierten) alarmierenden E-Mails von Microsoft an Kunden mit Link auf eine Website, auch wenn sie offenbar öfter mal vom Spamfilter als Spam aussortiert wurden. Nein, die sind einfach nur dumm und hirnlos [Archivversion]:

Nach Cyberangriff:
Warnmail von Microsoft landet bei vielen Kunden im Spam

[…] Kunden seien jedoch besorgt gewesen, dass es sich um einen Phishing-Versuch handle, „da laut den E-Mail-Headern weder SPF noch DKIM verwendet wurden“ – zwei gängige Methoden zur Sicherstellung der Authentizität von E-Mail-Absendern […] in der Mail eine URL enthalten, die auf eine einfache Azure-Power-App verweise […] Die sei mit einem von einer externen Zertifizierungsstelle ausgestellten DV-SSL-Zertifikat geschützt, das keine Angaben zur Organisation enthalte. Bei den anderen Domains verwende Microsoft hingegen in der Regel OV- oder EV-Zertifikate, die der Konzern selbst ausgestellt habe […]

Weia! 🤦‍♂️️

Für jene, die „dumm und hirnlos“ eine Nummer zu derb ausgedrückt finden, möchte ich kurz daran erinnern, dass Microsoft nicht der kleine Frisörbetrieb von umme Ecke ist, sondern eines der ganz großen Softwarehäuser, die ihren Kunden unter anderem auch Sicherheits- und Serversoftware verkaufen. Immerhin: Selbst der „Windows Defender“ und „Exchange“ haben diese Mail als spamverdächtig aussortiert, scheinen also doch ein bisschen gegen Phishing zu funktionieren. 😁️

Generell finde es ich ziemlich schlimm, dass die Mails größerer Unternehmen auch in den 2020er Jahren noch genau die gleichen Merkmale wie Phishingspams haben, insbesondere mit Link zum Reinklicken statt eines Textes wie „melden sie sich mit ihren Zugangsdaten wie gewohnt an unserem Kundenportal an, um nähere Informationen und Hinweise zu erhalten – wir setzen zum Schutz unserer Kunden vor Phishing niemals einen Link in einer E-Mail“. Sollte Microsoft seine eigenen Kunden wirklich als so dumm einschätzen, dass man dort glaubt, die klicken einfach auf alles, was sich nur anklicken lässt? Ist das ein Beitrag zur Förderung der Kriminalität? Will man Menschen wirklich auf diese Weise ans Phishing gewöhnen, was immer noch eine der häufigsten und gefährlichsten Trickbetrugsformen im Internet ist?

Ich habe so etwas ähnliches schon vor über zehn Jahren, im Jahr 2014, sehr deutlich in Richtung PayPal formuliert, was jetzt auch keine kleine Klitsche ist. Es ist auch auf diesem Hintergrund noch lesenswert.

Der durchgehende Verzicht auf digitale Signaturen war übrigens in den späten Neunziger Jahren schon verantwortungslos.

„Deutsche Industrie und Handelskammer Daten Aktualisierung“ ist Phishing

Montag, 18. März 2024

Hier geht es nicht um eine Spam, sondern um einen für einige Leser vielleicht interessanten und lesenwerten Artikel bei Golem [Archivversion]:

Im Namen der IHK:
Phishing-Welle trifft Firmen in ganz Deutschland

Der Betreff der von der Absenderadresse d-ihk@firmenaktualisierung.com ausgehenden Phishing-Mails lautet der DIHK zufolge „Deutsche Industrie und Handelskammer Daten Aktualisierung“. Empfänger würden darin aufgefordert, bis zum genannten Stichtag aktuelle Daten ihres Unternehmens zu übermitteln, ansonsten drohe ihnen eine vorübergehende Sperrung ihrer HRB-Nummer sowie eine Geldstrafe […] „Die DIHK ist nicht Absender dieser Mails“, betont die Kammer in ihrer Mitteilung […] Carola Jeschke, Sprecherin des LKA Schleswig-Holstein, betonte gegenüber der Zeitung, die mit dem Formular abgefragten Daten ließen sich beispielsweise missbrauchen, um gefälschte Rechnungen zu erstellen und unberechtigte Geldtransfers zu veranlassen

Wie man sich wirksam vor Phishing schützt, habe ich zu beinahe jeder Phishingmail hier auf Unser täglich Spam geschrieben und wiederhole es für jene, die nicht klicken können, gern noch einmal: Niemals in eine E-Mail klicken, niemals einen Anhang einer E-Mail öffnen! Außer, die Mail wurde vorher abgesprochen, ist von einem vertrauenswürdigen Absender digital signiert (und man hat die Signatur auch überprüft) oder man hat sich über einen anderen Kanal als E-Mail (etwa eine telefonische Rückfrage) davon überzeugt, dass der scheinbare Absender auch der wirkliche Absender der Mail ist. Schon kann einem kein Krimineller mehr einen giftigen Link unterschieben, der einem mit perfiden psychologischen Betrügertricks zu dummen Tun motivieren kann. So einfach geht das. Macht das! Es kostet ja noch nicht einmal Geld…

Alles andere funktioniert übrigens nicht. Weder gibt es wirksames Schlangenöl gegen Phishing, noch ist eine überzeugende und „echt aussehende“ Gestaltung der Mail ein zuverlässiger Hinweis auf Echtheit. Obwohl bei dieser speziellen Spam auch das Deppen Leer Zeichen in „Daten Aktualisierung“ im Betreff ein bisschen skeptisch machen sollte. Aber leider kann man sich nicht nach Durchlaufen der nachreformierten Reform der deutschen Reformrechtschreibung und nach täglichem „Genuss“ des Sprachgebrauchs in Reklame und Journalismus nicht mehr darauf verlassen, dass Menschen, die für namhafte Unternehmen und Organisationen formelle Mails verfassen, auch ihre eigene Muttersprache leidlich korrekt schreiben können.

Und das sollte im Jahr 2024 jeder Mensch wissen. Wer nicht einfach in eine E-Mail klickt, ist ziemlich sicher vor einer der häufigsten Betrugsmaschen im Internet.

WormGPT

Sonntag, 16. Juli 2023

Keine Spam, sondern ein für viele Leser vielleicht interessanter Link zu Golem: Chatbot für Cyberkriminelle – WormGPT generiert äußerst überzeugende Phishing-Mails [Archivversion].

Ich bin nicht überrascht. Weder vom dümmlichen Cybergequatsche¹ einer IT-Newswebsite „für Profis“, die leider nicht von Profis gemacht wird, noch davon, dass Kriminelle Computer benutzen können². 😐️

Das Ergebnis ist Kelly zufolge „beunruhigend“. Er testete WormGPT selbst, indem er das Tool, das im Gegensatz zu ChatGPT keine ethischen Grenzen oder Einschränkungen kennt, eine böswillige Phishing-Mail generieren ließ. Diese sollte „einen ahnungslosen Kundenbetreuer dazu bringen, eine betrügerische Rechnung zu bezahlen.“ Und tatsächlich sei das Ergebnis nicht nur „bemerkenswert überzeugend, sondern auch strategisch gerissen“ gewesen. Selbst in den Händen von unerfahrenen Akteuren gehe von WormGPT eine „erhebliche Bedrohung“ aus, so das Fazit des Phishing-Experten

Ich werde auch dann nicht überrascht sein, wenn der primitive Betrug des Phishings wieder zu einer kriminellen Schattenwirtschaft mit Milliardenumsätzen wird, aber weiterhin alle die Nutzung digitaler Signaturen für E-Mail ablehnen, weil das viel zu kompliziert ist. Dafür muss man ja klicken können. 🖱️

Von daher: Bitte auch weiterhin E-Mail nur mit der Kneifzange anfassen! Es ist ein praktisches Medium, aber leider eben auch für Kriminelle. Vor Phishing gibt es einen ganz einfachen und hundertprozentig wirksamen Schutz: Niemals in eine E-Mail klicken, niemals einen Anhang einer E-Mail öffnen, der nicht über einen anderen Kanal als E-Mail abgesprochen wurde! So kann einem kein Krimineller einen giftigen Link oder eine fiese Schadsoftware mit der Mail unterschieben. Die einzige Ausnahme von dieser strikten Vorsicht ist, wenn der Absender vertrauenswürdig ist und er die Mail digital signiert hat (die Absenderadresse einer Mail kann beliebig und kinderleicht gefälscht werden) und man diese digitale Signatur auch überprüft hat. Selbst dann weiß man genau genommen nur, dass der Absender im Besitz eines bestimmten privaten Schlüssels ist. Aber das ist im Alltag hinreichend. Es ist viel mehr als das Nichts, das die meisten Menschen jetzt haben. Übrigens schützt es auch vor Schadsoftware im Anhang einer Mail. 🛡️

Irgendwelche „Schulungen“ der Mitarbeiter…

Als eine der wichtigsten Präventivmaßnahmen empfiehlt Kelly Unternehmern mehr denn je, ihr Personal im Hinblick auf mögliche Phishing-Angriffe schulen zu lassen

…werden hingegen so gut wie gar nicht helfen, wenn sie den Menschen nicht in der Hauptsache ein unbeirrbares Grundmisstrauen gegen das Medium E-Mail einbläuen. Auch, wenn die Mail vom Chef zu kommen scheint. Oder vom Partner, von den Eltern oder den eigenen Kindern. Oder von einem Unternehmen, mit dem man geschäftlich zu tun hat. Die Absenderadresse ist ja beliebig und leicht fälschbar. Dieses vermittelte Grundmisstrauen muss von einer häufigen Kontrolle und einer Belohnung aktiven Misstrauens unterstützt werden. Was man einmal in einer Schulung gehört hat, ist nämlich schon nach einigen Wochen, spätestens nach einigen Monaten ohne Vorfälle wieder vergessen. Es scheint ja keine alltags- und lebensrelevante Wichtigkeit zu haben, bis dann doch einmal etwas passiert und auf Digital first der Hochdruck second, das Bedauern third und schließlich der Fatalismus fourth folgt. Irgendwelche Spamfilter…

Darüber hinaus könne aber auch die Implementierung strengerer E-Mail-Prüfsysteme dabei helfen, böswillige Nachrichten frühzeitig anhand wiederkehrender Merkmale und Sprachmuster zu erkennen

…werden auch immer nur vorübergehend Abhilfe schaffen, denn die Kriminellen sind darauf angewiesen, dass ihre asozialen „Mitteilungen“ ankommen und die Nutzer nicht gewarnt werden. Sie leben davon. Also werden sie vieles dafür tun, solche Mechanismen auszutricksen. Weil sie dann noch (oder: wieder) besser von ihrer Kriminalität leben können. Generell ist die „Sicherheit durch Schlangenöl“ trügerisch und gefährlich. Ganz im Gegensatz zur Sicherheit durch Intelligenz, Einsicht, Wissen und Vorsicht. Nichts anderes kann Spam so sicher und zuverlässig erkennen wie das menschliche Gehirn. 🧠️

Nutzt das Gehirn! Trainiert es! Es ist eure einzige gute Chance. 😉️

¹Die mit der dummen Cyber-Vorsilbe bezeichneten, meist destruktiven oder kriminellen Tätigkeiten haben nicht einmal in einem skurillen und fernliegenden Sinn etwas mit Kybernetik zu tun. Aber woher soll ein Journalist, Politiker oder sonstiger Ahnungsloser das wissen? Wenn sie das wüssten, könnten sie ja etwas Erfreulicheres tun.

²Wer hier regelmäßig mitliest, weiß, dass ich schon seit vielen Monaten immer wieder die Vermutung anmerke, dass neue Formulierungen in ansonsten typischen Spams wohl aus einem angelernten neuronalen Netzwerk – von Politikern, Journalisten und anderen Ahnungslosen meist als „künstliche Intelligenz“ bezeichnet – stammen werden. Zurzeit kann man das noch oft an einer gewissen Weitschweifigkeit und an kleinen sprachlichen Artefakten bemerken, aber das wird sich in der kommenden Zeit ändern. Übrigens finde ich eine Welt, in der Menschen für einen immer weiter an die Armutsgrenze gepressten Elendslohn und die darauf folgende Altersarmut die schwere, lebenszeitverzehrende Arbeit machen, während Maschinen unter obszön hohem Verbrauch von Energie und Ressourcen die Lieder, Gedichte und Texte schreiben und die Bilder malen, nicht besonders erstrebenswert, sondern wünsche es mir ganz genau umgekehrt. Aber wenn die Menschen das in ihrer grenzenlosen Dummheit so wollen, werde ich es wohl nicht aufhalten können. Wohl dem, der sein Leben längst hinter sich hat! Nicht erst nach uns kommt die Sintflut, wir sind die Sintflut.

Frage an Microsoft

Mittwoch, 5. Oktober 2022

Microspam

Was muss ich bei Microsoft eigentlich bezahlen und mit wen im Marketing von Microsoft mache ich den Deal klar, wenn ich am Desktop-Spam-Programm von Microsoft teilnehmen möchte, damit die Leute nach ihrem üblichen Update meine Reklame sehen? 🤮️

Als ich meinen PC diese Woche hochgefahren habe, fand ich das leuchtende Spotify-Icon auf meiner Taskleiste

Was hat dieses „Spotify“ dafür bezahlt?

Warum benutzt noch jemand dieses „Spotify“. Das sind Leute, die für Spam mit einer Schadsoftware-Installation bezahlen. Gut, es ist nur eine unerwünschte Software, die man einfach wieder deinstallieren kann. Spotify, über klandestine Kanäle ohne Willen und Zutun des Nutzers auf einem Rechner installiert, ist Spam, und zwar mit klar erkennbarem finanziellem Interesse. Die Klitsche Spotify, die für diese Dienstleistung sicherlich bezahlt haben wird, ist ein Spammer. Deinstalliert ihre App! Kündigt eventuelle Verträge! Spam ist immer ein ganz schlechtes Zeichen. ⚠️

Sollte Spotify nichts damit zu tun haben – was ich nicht glaube – wird Spotify bald Schadenersatz für den angerichteten Reputationsschaden von Microsoft einklagen. Denn niemand möchte gern mit halbseidenen bis offen kriminellen Geschichten wie Spam in Verbindung gebracht werden. 💩️

Das war die schnellste Deinstallation, die ich in den letzten Jahren durchgeführt habe

Gibt es für noch mehr Bezahlung auch eine Version meiner Reklame, die so tief mit dem Betriebssystem verheddert ist, dass man die für mich von Microsoft gespammte Crapware nicht mehr deinstallieren kann, etwa so wie früher der Microsoft Internet Explorer?

Hat Windows gerade Spotify auch bei anderen auf jedem Gerät nach dem Update installiert? Weil einfach: Nein? Geh weg? Ich nutze Spotify nicht?

Liebe Windows-Anwender (das ist immer noch die Mehrzahl der Computernutzer, obwohl es brauchbare Alternativen gibt): Wenn ihr das Gefühl habt, dass euch gerade jemand kratzt, das ist Microsoft. Die wissen genau, wo es euch juckt. Die wissen genau, was gut für euch ist und was ihr wirklich wollt. Und sie haben sogar recht damit, denn ihr lasst euch ja gern und schon jahrzehntelang von Microsoft entmündigen und gängeln und bezahlt dafür mit eurem oft bitter erarbeiteten Geld und mit euren geschundenen Nerven. Seit ihr alle Windows 10 und die folgenden Windows-Versionen nutzt, zahlt ihr sogar mit eurer Privatsphäre. Das ist auch keineswegs die erste derartige Desktop-Spam von Microsoft, und ich muss sogar einräumen, dass die Spam-Methodik ein bisschen subtiler geworden ist. Aber nichtsdestotrotz bleibt es Spam: Überrumpelung durch unerwünschte, massenhaft und preiswert ausgelieferte Reklame an einer Stelle, an der viele Menschen gar keine Reklame erwarten.

Microsoft Windows ist eben ein Spam-Betriebssystem. 🚽️

Die Spotify-App lässt sich übrigens einfach durch eine normale Deinstallation über die Systemeinstellungen wieder entfernen. Allerdings wird dadurch nicht unbedingt verhindert, dass sie bei einem zukünftigen Update wieder zurückkehrt

Die nächste Desktop-Spam kommt bestimmt. Früher hat Microsoft mal Software teuer verkauft und damit ein Geschäft gemacht. Das Geschäft läuft nicht mehr so gut wie früher. Jetzt scheint Microsoft ins Datensammel-, Überwachungs- und sogar ins offen widerwärtige Spam-Geschäft zu gehen. 😐️

Warum man niemals ohne Adblocker im Web unterwegs ist?

Montag, 8. November 2021

Zum Beispiel, um sich selbst vor Betrug zu schützen:

Ich glaube, wir stehen am Anfang eines neuen Trends in der Internetkriminalität, bei dem Betrüger die Google-Suche als primären Angriffsvektor nutzen, um an Kryptowallets zu gelangen, anstatt traditionell per E-Mail zu phishen […] Am beunruhigendsten ist, dass mehrere Betrügergruppen bei Google Ads auf Schlüsselwörter bieten, was wahrscheinlich ein Zeichen für den Erfolg dieser neuen Phishing-Kampagnen ist

Adblocker sind und bleiben eine unentbehrliche Sicherheitssoftware. Dass sie außerdem noch das ganze Web viel schöner und angenehmer machen, ist ein Zusatzeffekt, zu dem niemand „nein“ sagen kann.

Und übrigens: Wie sich irgendwelche Websites, deren Betreiber wir niemals gebeten haben, eine Website zu betreiben, finanzieren wollen, ist deren Problem, nicht meines und nicht ihres. Wer kein seriöses Geschäftsmodell findet, geht halt den Weg des Bankrotts. Journalistische Produkte, die ihre Leser teilweise mit Lügen und Fehlinformationen genötigt haben, eine Sicherheitssoftware abzuschalten, haben den journalistischen Bankrott übrigens schon hinter sich.

Hallo Leute. Ich bin ein schönes Mädchen!

Samstag, 8. Juni 2019

Screenshot eines Kommentares im Leserforum von Golem -- Hallo Leute. Ich bin ein schönes Mädchen! -- Autor: Willeena 08.06.19 - 02:56 -- Hallo Leute. Ich bin ein schönes Mädchen! Ich mag Flirt und heiße Sexspiele! Meine sexy Bilder und Kontakte sind hier https://s.coop/2xxxx

Quelle des Screenshots: Leserforum von golem.de. Die angegebene URL führt übrigens zu einem wohlbekannten Dating-Beschiss, der hier nur deshalb mit einem weiteren Screenshot gewürdigt wird, weil aus „Dies ist keine Dating-Site“ jetzt „Dies ist kein Verabredungsort“ geworden ist – was wohl schon im Vorfeld klarmachen soll, dass man allein bleibt. Die so nur unwesentlich geänderte Seite, die übrigens häufiger im Internet umzieht, als sich Neurotiker mit Waschzwang die Hände waschen, sieht jetzt so aus (und der überlagerte Schriftzug „Spam“ ist natürlich von mir):

Screenshot der betrügerischen Dating-Site.

Ansonsten hat sich bei diesem spammenden Affiliate-Lumpenkaufmann nichts geändert. Diese Dating-Spam läuft über jeden nur irgendwie zuspammbaren Kanal, mir ist sie das erste Mal im März 2018 bei Twitter begegnet und hat mich gleich zu einer etwas ausgedehnteren und bebilderten Reise in die kalte und dumme Welt der spambeworbenen Dating-Fleischmärkte motiviert. Alles weitere also bitte dort lesen!

Und vor allem: Niemals auf den Dating-Beschiss reinfallen!

Den Menschen bei Golem wünsche ich viel Erfolg beim Vorgehen gegen solche Spamversuche! Wenn sich da nicht immer wieder jemand drum kümmerte (was übrigens bei einer Website wie Golem bezahlte Arbeitszeit und damit Geld kostet, das mit einer Website erstmal erwirtschaftet werden muss), würde jeder Ort im Internet, der auch einen Rückkanal für Feedback und Gedankenaustausch anbietet, von derartigen Spammern in eine unbenutzbare Spamhölle verwandelt. Zum Schaden aller. Wir alle sollten den Menschen, die im Hintergrund diese undankbare (und im besten Fall niemals auffällige) Arbeit machen, viel dankbarer sein. Denn wenn niemand etwas gegen Spam täte, würde das Internet in einer Flut kriminellen Mülls untergehen und unbrauchbar werden.

Kurz verlinkt

Mittwoch, 7. November 2018

Keine Spam, sondern nur ein kurzer Link zu Golem.de: „Ich musste als Ermittler über 1.000 Onanie-Videos schauen“.

Ich habe Tausende solcher Fake-Nachrichten gelesen und sie sind überwiegend in sehr schlechtem Deutsch und mit so plumpen Anmachen verfasst, als würden sie von Zehnjährigen kommen. Trotzdem fallen immer wieder Menschen darauf rein

Eine Schweizer Ärztin hat fast zwei Millionen Franken verloren […] Sie hat sich so geschämt, als ich bewiesen habe, dass es sich um eine Gruppe Betrüger aus Westafrika handelte, und nicht um einen einzelnen Mann, der in sie verliebt war. Sie hat sich nie bei mir gemeldet, es lief alles über ihre Kinder

Die Menschen denken bei der so genannten „Cyberkriminalität“ – übrigens ein selten dummes Wort von dummen Journalisten und dummen Politikern, denn mit Kybernetik haben die damit bezeichneten asozialen und kriminellen Tätig- und Tätlichkeiten nichts zu tun – immer so leicht an Cracker, die in dunklen Zimmern sitzen und in Computer anderer Leute einbrechen, aber beinahe nie an diejenigen gefährlichen Formen der Kriminalität, die am schnellsten in das eigene Leben hineinragen können: Trickbetrug und Identitätsmissbrauch. Und davor kann man sich überhaupt nicht mit einem Antivirus-Schlangenöl schützen. Ein bisschen „gesunder Menschenverstand“ ist hingegen oft sehr hilfreich, vor allem, wenn er um etwas völlig angemessene Vorsicht beim Umgang mit dem Internet ergänzt wird. Wer würde einem wildfremden Menschen auf der Straße persönliche oder gar kompromittierende, für Erpressungen verwertbare Daten geben? Wer würde einem wildfremden Menschen auf der Straße voller Vertrauen nennenswerte Mengen Geldes in die Hand drücken? Aber dieser „wildfremde Mensch auf der Straße“ ist immer noch weniger anonym als jedes mögliche Gegenüber im Internet, denn man hat ihn wenigstens gesehen und seine echte Stimme gehört.

In diesem Zusammenhang muss ich das LKA Niedersachsen wirklich einmal loben, denn dort wurde gestern auf dem Präventionsportal ein begrüßenswert klar formulierter Artikel zu den gegenwärtig umlaufenden Erpressermails veröffentlicht. Wer mir als „dahergelaufenem Blogger“ nicht glauben mag, dass die Fälschung von E-Mail-Adressen kinderleicht ist und dass die Erpressungen der Marke „Ich habe über deine Webcam einen Film aufgenommen, der dich bei der Masturbation zeigt“ völlig substanzlos sind, glaubt vielleicht wenigstens der Polizei. Hauptsache, diese widerlichen und asozialen Halunken sehen kein Geld!

Und angesichts der Tatsache, dass sich immer noch sehr viele gebildete und intelligente Menschen vom Absender einer E-Mail verblenden lassen…

Auch die Verwendung der eigenen Mailadresse als Absender für die Erpressermail sollte nicht beunruhigen. Die Täter können dies mit wenig Aufwand einrichten. Dies ist vergleichbar mit einem Briefumschlag, der auch mit einem beliebigen Absender beschriftet werden kann

…ist dieser Hinweis der Kriminalpolizei von außerordentlicher Wichtigkeit. Ich hoffe, dass auch sehr viele Journalisten dort lesen und die Kunde weiterverbreiten.

Wer darauf angewiesen ist, dass seine E-Mails nicht quasi-anonym sind (auf das für Laien nicht ganz so einfache Lesen der E-Mail-Header im Quelltext der Mail gehe ich hier nicht ein, und diese sichern auch nicht einen Absender zu, sondern zeigen nur, über welchen Server die Mail zugestellt wurde), kommt nicht umhin, digitale Signaturen für seine E-Mail zu verwenden und damit die Empfänger seiner Mails zu ermächtigen, den Absender jenseits jedes vernünftigen Zweifels sicherzustellen¹. Zum Glück ist das einfach und kostenlos. Es wird leider trotzdem nicht gemacht. Es wird auch von Banken, Dienstleistern, Versandhäusern, Versteigerungsplattformen und Social-Media-Anbietern nicht gemacht, so dass Kunden und/oder Nutzer dem Phishing wehrlos ausgeliefert sind. Aber das ist schon ein ganz anderes Thema… 🙁

¹Um eine E-Mail digital signieren zu können, muss der Absender im Besitz des Privatschlüssels sein.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.