Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Kryptografie“

File Encryption software for windows 10

Sonntag, 19. Februar 2017

Die grunzende SEO-Kommentarspamsau des Tages: idooencryption.com

So nannte sich der Mensch (im biologischen Sinne, nicht in einem höheren Sinne dieses Wortes), der den folgenden handgeschriebenen Kommentar hier auf Unser täglich Spam ablassen wollte, aber an der Spamfilterung scheiterte:

Whole Disk Encryption Each day, millions of people go to online to work, do homework, purchase products, manage devices in their homes, and connect with friends. Technology such as the big information are modifying our everyday life at a quick speed, while exponentially increasing the quantity of private data that is attained, used, and shared.

Die dazu angegebene „Homepage“ geht auf ein Spamposting eines Spamusers in einem Webforum, das mit mehreren zustimmenden Spampostings anderer dafür registrierter Spamuser flankiert wurde, um noch mehr konzentrierte spammige Überzeugungskraft zu entfalten. Dieser Spammer spammt auf allen Kanälen, und Zurückhaltung gehört eher nicht zu seinen Tugenden. Direktheit in der Verlinkung übrigens auch nicht, denn er möchte aus nachvollziehbaren Gründen nicht, dass seine Spam-Website in der zurzeit noch „unverbrannten“ Domain idooencryption (punkt) com allzuschnell bei allen Spamfiltern dieser Welt bekannt wird.

Diese Domain ist schon etwas älter, wurde aber erst gestern aktualisiert. Sie gehört zurzeit jemandem mit für mich nicht ganz echt aussehender chinesischer Anschrift und ausgedacht anmutender Telefonnummer¹, der eine interessant klingende „Firma“ betreibt:

$ whois idooencryption.com | grep 'Organization'
Registrant Organization: Super PDF Software
Admin Organization: Super PDF Software
Tech Organization: Super PDF Software
$ _

Zu schade, dass das nicht zur Firmierung passt, unter der die tolle Verschlüsselungssoftware namens „idoo File Encryption“ für Microsoft Windows vertrieben werden soll, die nach von mir völlig unwidersprochener Meinung des Kommentarspammers nicht ohne Spam, Spam und noch mehr Spam an den Kunden zu bringen ist. Die Website mit dem durch Spam beworbenen Angebot sieht übrigens so aus:

Screenshot der spambeworbenen Website in der Domain idooencryption.com

Man kann dort eine Software herunterladen…

idoo File Encryption is a easy-to-use software to encrypt files, which would protect files by password

Detail aus der spambeworbenen Website: Products Awards, angeblich gegeben von ZDNet, Softpedia, software.informer, Majorgeeks, Download.com und cnet -- wenn das stimmte, brauchte er nicht zu spammen …die auf ganz einfache Weise Dateien verschlüsselt. Angesichts der Spamwerbung und des SEO-trächtigen Google-Spammings mit Keywords im verlinkten „Namen“ des Kommentators glaube ich sehr gerne, dass diese Software Dateien verschlüsseln kann. Ob sie allerdings die Dateien wieder entschlüsseln wird, ohne dass man eine Handvoll Bitcoin an irgendwelche Verbrecher geben muss? Spam ist immer ein ganz schlechtes Zeichen. Spam ist niemals eine Empfehlung.

Lt. Selbstanpreisung wurde die tolle, durch Spam beworbene Software schon von diversen Stellen ausgezeichnet, etwa von ZDNet, Softpedia, Majorgeeks und cnet. Wenn das stimmte, wäre die Spam völlig unnötig, da es zu einer Übernahme der Software in diverse Downloadverzeichnisse großer und weniger großer Fachzeitschriften und damit zu einer großen Bekanntheit gekommen wäre, die die Reputation einer Website, eines Produktes, einer Unternehmung nicht so übel verhagelt wie Spam.

Aber würde denn ein Spammer lügen? Eben! :mrgreen:

Übrigens hat sich dieser emsige Spammer nicht mit einer einzigen Spam hier auf Unser täglich Spam begnügt. Hier noch eine weitere Kostprobe aus seiner Feder, die es ebenfalls aus inhaltlichen Gründen nicht durch die Spamfilterung geschafft hat:

Autor: free encryption software

Goode !File Encryption is the best encryption software to encrypt, lock and hide files, folders, drives in a handy method. This encryption software is compatible with all popular versions of Windows operating system.

Der Link geht wieder auf einen Spamkommentar in einem Webforum, in dem die oben abgebildete Webseite verlinkt wurde.

Weitere „Werke“ dieses mit gutem Recht unbekannten Meisters der intellektuellen Magerkost mag ich nicht aus dem Spamfilter heraussuchen, denn er hat natürlich viele Foren mit noch mehr eigens dafür registrierten Spamuser-Accounts vollgespammt, um solche Suchen in von ihm vollgemachten Blogs zu erschweren. Er ist ja ein Spammer, und seine Spam mit Google-trächtigen Keywords lohnt sich am meisten, wenn sie ein paar Tage offen stehen bleibt.

Kurz: Nach Meinung dieses Spammers lässt sich die tolle Software (die – free Download – nichts zu kosten scheint) nur mit Spam auf allen Kanälen an den Interessenten bringen. Dieser Meinung mag ich nicht widersprechen, denn sie wirft das wohl angemessenste Licht auf diese Software einer halbseidenen Klitsche.

Ich werde mir auch in Zukunft immer wieder einmal einen dieser „Kommentatoren“ rauspicken, die mit verlinkten Keywords die Indizes der Suchmaschinen beeinflussen wollen, auf dass die Menschen nicht mehr das finden, was sie suchen, sondern das, was die SEO-Kommentarspammer sie finden lassen wollen. Diese „Kommentare“ sind reine Spam, ein asozialer, widerwärtiger und böser Missbrauch von Kommunikationskanälen auf Kosten vieler anderer Menschen. Im Gegensatz zu den meisten anderen Formen der Spam steht hier jedoch ein Verursacher mit Sicherheit fest – eben der Betreiber der so „hochgebrachten“ Website. Es kann sich auch nicht um Sabotage durch den Mitbewerb handeln, denn niemand kann ein Interesse daran haben, dass sein Konkurrent einen Vorteil am Markt erlangt. Deshalb werde ich diese Websites, die ganz sicher von Leuten betrieben werden, die selbst spammen oder Spam bei anderen Leuten in Auftrag geben, hier immer wieder unter Namensnennung, aber ohne Link erwähnen und als Spammer brandmarken. Wenn sie eine gewerbliche Website betreiben und eine solche „lobende Erwähnung“ nicht wünschen, kann ich ihnen nur empfehlen, auf das gleichermaßen asoziale wie illegale Werbemittel der Spam zu verzichten. Sie könnten es ja mal mit Inhalten versuchen, die auch Leser anziehen.

¹Die Nutzungsbedingungen der Whois-Daten gestatten mir nicht, hier in die Einzelheiten zu gehen. Wer Näheres wissen möchte, schaue es einfach selbst an!

Offener Brief an alle Bankhäuser

Samstag, 20. August 2011

Werte Entscheider bei den Kreditinstituten,

ihnen ist sicherlich bekannt, wie groß der durch Internet-Kriminalität angerichtete Schaden wirklich ist. Ich habe keine präzisen Zahlen, aber ich kann aus der Beobachtung einiger betrügerischer Vorgehensweisen erschließen, dass dieser Schaden groß sein muss.

Von daher muss es auch in ihrem Interesse liegen, im geschäftlich genutzten Internet ein Umfeld zu schaffen, in welchem Spammer, Phisher und sonstige Betrüger nicht leicht einen falschen Eindruck erwecken und ausbeuten können. Deshalb müssen sie doch alles dafür tun, dass niemals ein Spammer, Phisher oder sonstiger Betrüger ihren Kunden gegenüber erfolgreich den falschen Eindruck erwecken könnte, dass seine Mitteilungen von einem Kreditinstitut kommen.

So habe ich bislang immer gedacht.

Und deshalb habe ich hier, in diesem Blog über meine tägliche Spam, auch stets geschrieben, dass Banken alle technischen Möglichkeiten ausschöpfen würden, um zu verhindern, dass Kriminelle in betrügerischer Absicht den Eindruck erwecken könnten, ihre Mitteilungen seien die Mitteilungen einer Bank.

Dass es anders sein könnte, ist mir niemals in den Sinn gekommen.

Leider ist es – wenigstens in einigen Fällen – doch anders, wie mir vor wenigen Stunden von einem Leser mitgeteilt wurde. Dieser bekam von seiner Bank eine Mitteilung über E-Mail, die nicht kryptografisch signiert war. Ihm ist damit – neben dem für Laien eher unüblichen Blick in die Header der Mail – keine einfache Möglichkeit gegeben worden, die Authentizität des Absenders sicher festzustellen. Es wäre für einen „normalen“ Internetnutzer schwierig gewesen, zu entscheiden, ob der Absender echt ist, oder ob es sich um eine Fälschung handelt. Zudem ist ihm überhaupt keine Möglichkeit gegeben worden, die inhaltliche Integrität der Mitteilung zu überprüfen. Jeder Computer, über den diese Mail bei der Zustellung gelaufen ist, hätte unentdeckbare inhaltliche Manipulationen vornehmen können. Dass die Rechner im Internet, über die eine derartige Mail läuft, „Opferrechner“ sind, die vielfachen Angriffen unterliegen, gehört zu den Dingen, die wenigstens in ihrer IT-Abteilung wohlbekannt sein sollten.

Mit Verlaub: Ich finde diese Leichtfertigkeit unfassbar dumm.

Die Verwendung einer digitalen signierten Mail hätte sowohl die Authentizität des Absenders als auch die inhaltliche Integrität jenseits jeden vernünftigen Zweifels sicher gestellt.

Es handelt sich dabei nicht um eine schwer beherrschbare „Raketentechnologie“, sondern um einen Standard des Internet, für den bewährte Softwarewerkzeuge zur Verfügung stehen. Die Verwendung digitaler Signaturen lässt sich in gängige Mailsoftware integrieren. Sie lässt sich ebenso leicht in automatisierte Prozesse integrieren. Beides verursacht nicht einmal große Kosten. Die Verwendung ist aus Nutzersicht einfach. Es entstehen auch keine Nachteile, wenn ein Kunde aus irgendeinem Grund eine Mailsoftware benutzt, die keine digitalen Signaturen verarbeiten kann, wenn man von einer Passage wie…

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla – http://enigmail.mozdev.org/

EiYEARECAAYFAk5vOvQACgkQKuT/O4qfc5oOLgCfX6j8AYedTd5Gp/Y7yQsDbxS1
vfAAoJFNBsp1vsfcg+MrhOTj0WII4iSr
=sg5k
—–END PGP SIGNATURE—–

…am Ende der Mail einmal absieht. (Hier am Beispiel einer PGP-Signatur dargestellt.) Selbst diese zunächst unschön aussehende Passage gibt nach Benutzung einer Internet-Suchmaschine immer noch Aufschluss darüber, dass Absender und Inhalt der Mail überprüft werden können. Die Verwendung digitaler Signaturen hat nur Vorteile. In geschäftlichen Beziehungen, in denen es um das doch immer etwas heikle Thema Geld geht, erachte ich es als ein Muss, dass Quelle und Inhalt der Kommunikation gesichert sind. Ich kann mir keinen einzigen Grund vorstellen, warum ein auf Seriosität und das Vertrauen seiner Kunden – und damit natürlich auch auf „gefühlte“ Sicherheit – bedachtes Kreditinstitut in diesen wichtigen Punkten zu einer anderen Auffassung kommen kann.

Die namentliche Ansprache des Kunden nebst Kontonummer und die Aufführung seiner Adressdaten führt hingegen zu keinerlei Sicherheit. Allein in diesem Jahr sind viele Millionen vollständige Datensätze mit Name, Anschrift, E-Mail-Adresse und Bankdaten wegen der Fahrlässigkeit einiger Unternehmen in die Hände von Kriminellen gelangt, was auch zu einem gewissen Medienecho führte. In wie vielen Fällen solche Daten unbemerkt und damit auch ohne Medienecho abgegriffen werden und auf einem illegalen Markt in die Verfügungsgewalt zwielichtiger Zeitgenossen gelangen, gehört zu den Dingen, über die nur spekuliert werden kann.

Sie müssen als Kreditinstitut davon ausgehen, dass sie zurzeit etliche Kunden haben, von denen in Kreisen der organisierten Kriminalität bekannt ist, dass es sich um ihre Kunden handelt, wie diese Kunden heißen, wann diese geboren wurden, welche Mailadresse und Kontonummer sie haben und wo sie wohnen. Selbst eine individuelle Ansprache ihrer Kunden ist damit in vielen Fällen leicht zu fälschen, um den Eindruck zu erwecken, eine E-Mail stamme von ihrem Kreditinstitut. Die Personalisierung der Mitteilungen ist also bei Weitem nicht hinreichend, um eine Mail in einen ihrer Kunden als authentisch zu kennzeichnen. Kurz und noch einmal das Gleiche: Es gibt keine Alternative zur digitalen Signatur in der elektronischen Kommunikation.

Da ist es doch umso besser, dass es sich um einen gut funktionierenden Standard handelt, der kaum zusätzliche Kosten verursacht und mit Leichtigkeit anzuwenden ist. Für den es getesteten, bewährten und robusten Bibliothekscode für jede Programmiersprache gibt, die sie in ihrem Haus vewenden. So dass die Verwendung digitaler Signaturen nicht das geringste Problem bereitet.

Zumal der Verzicht auf digital signierte Mail in der Kommunikation mit den Kunden einen schweren Nachteil hat. Ihre Kunden werden daran gewöhnt, dass der Absender und die inhaltliche Integrität ihrer Mails nicht überprüft werden kann; ihre Kunden werden auf diese Weise in einer Haltung der Gläubigkeit geschult. Auf der Grundlage dieser Gläubigkeit entsteht jedoch allzu leicht jene Leichtgläubigkeit, die von kriminellen Zeitgenossen für betrügerische Manipulationen ausgenutzt wird und die große Schäden verursachen kann. Das wahre Ausmaß dieser Schäden müsste ihnen bei den Kreditinstituten ja bekannt sein.

Ja, ich würde mich sogar zu der Aussage hinreißen lassen: Wenn sie als Kreditinstitut nicht grundsätzlich jede Mail an ihre Kunden digital signieren, sind sie am Phishing über E-Mail-Spam zu einem erheblichen Anteil mitschuldig. Ich kann mir übrigens als juristischer Laie vorstellen, dass ein Jurist zu einem ähnlichen Urteil kommt, wenn er den Unterschied zwischen der Interpretation eines technischen Mailheaders in einer Quelltextansicht der Mail und einer in die Mailsoftware nahtlos integrierten Anzeige der korrekten Signatur und einer Schlüsselverwaltung in einer grafischen Benutzeroberfläche beurteilen soll – zumal die Verwendung digitaler Signaturen alles andere als eine unzumutbare technische Herausforderung ist.

Denken sie bitte darüber nach, bevor die inzwischen massenhaft verfügbaren Datensätze für perfide kriminelle Angriffe benutzt werden! Und treffen sie eine gute Entscheidung, beginnen sie damit, die Mails an ihre Kunden digital zu signieren!

Mit freundlichen Grüßen

Der Nachtwächter