Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Link“

Einwurf für Google

Montag, 21. Oktober 2024

Heute mal keine Spam aus meinem Posteingang, sondern ein Hinweis auf eine aufregende, neue Briefkastenspam mit höchst verachtenswertem Ursprung.

Dies ist eine Anzeigensonderveröffentlichung von Google.

Mit Stable Diffusion generiertes BildSo ein Aufkleber „Bitte keine Werbung einwerfen“ auf einem Briefkasten ist ja eindeutig genug und sollte von jedem zivilisierten Menschen ohne nennenswerte Auffassungsprobleme verstanden werden. Aber eine Unternehmung namens Google, die sich jetzt offenbar ins Geschäft mit gedruckter Briefkastenspam diversifizieren möchte, weil das noch unseriösere, aber bislang wichtigste Geschäft mit der Werbung im Internet wohl zunehmend wegbricht oder juristisch riskant wird (ohne Not würden sie es wohl nicht tun), kümmert sich nicht weiter darum und stopft trotzdem die Briefkästen voll. Einfach nur eklig! Genau so eklig wie das gesamte Geschäft mit den industriell hergestellten Reklamelügen.

In diesem Fall aber auch erfreulich illegal. Ich empfehle, dagegen vorzugehen, wenn man mit so einem unerwünschten Müll belästigt wird. Bevor das so einreißt.

Google ist eben weiterhin genau so invasiv und privatsphäreverachtend, wie wir es schon seit langem von Google gewohnt sind. Da hilft auch die Neufirmierung als „Alphabet“ nicht.

Grüße auch an die Süddeutsche Zeitung, von mir liebevoll Alpenprawda genannt, die sich für eine Faustvoll Geld nicht zu schade ist, so etwas als Komplize mitzumachen. So schönes Geld! Da ist es doch egal, ob bei so einer Massenbelästigung die letzten Reste guter Reputation im Klo runtergespült werden. Es gibt doch Geld.

Möge es ein Makel werden, der nie wieder von der Alpenprawda weggeht! So schade, dass dieses Pressesterben so langsam geht.

Juraspam zum Reputationsmanagement

Samstag, 19. Oktober 2024

Heute geht es nicht um eine Spam (ich hatte gestern und heute nur langweiligen Standardkram, den ich hier schon oft genug hatte), sondern es gibt zur Auflockerung mal einen Hinweis auf einen meiner Meinung nach lesenswerten kurzen Artikel mit einem interessanten Hintergrund zu den Bewertungen in Google Maps:

Wer zum Beispiel in einem Restaurant war, in dem Service, Ambiente und Preise stimmten, das Essen aber unterdurchschnittlich war, und dafür bei Google Maps 3 von 5 Sternen vergibt, kann sich noch Jahre (!) später mit dem Vorwurf der üblen Nachrede konfrontiert sehen und seine Bewertung von Google infrage stellen lassen. Das ist kein Einzelfall, sondern hat inzwischen System in allen möglichen Branchen. Schlechter Service im Sportfachgeschäft? Verleumdung! Kalte Pommes im Imbiss um die Ecke? Verleumdung!

Inzwischen haben sich offensichtlich zahlreiche Juristen darauf spezialisiert, massenhaft Bewertungen auf Google Maps im Namen von Geschäftsinhabern „offiziell“ anzuzweifeln […]

Google sagt dazu nur:

Wir möchten Sie darauf hinweisen, dass eine Beschwerde eingereicht wurde, in der behauptet wird, dass Ihre kürzliche Rezension für ein lokales Unternehmen bestimmte Rechte verletzt. Daher war Google verpflichtet, die betreffende Rezension zu entfernen.

Ich kann nur sagen: Das nervt gewaltig! Es nimmt mir nicht nur komplett die Lust überhaupt noch etwas zu Google Maps beizutragen, sondern es stellt auch grundlegend die Relevanz und Vertrauenswürdigkeit der vorhanden Bewertungen infrage

Weil ich als erfahrener Bewohner der Bundesrepublik Abmahnistan mit ihrem vollumfänglichen Rechtsschutz für beleidigte Leberwürste sehr vorsichtig geworden bin, gibt es hier auch eine Archivversion des Artikels, falls das Original in nächster Zeit verschwinden sollte. Ach ja, der Artikel ist auch reich kommentiert, und was dort beschrieben wird, ist teilweise haarsträubend.

Mit Stable Diffusion erzeugtes BildUnd damit ich hier nicht einfach nur ein langes Zitat reinklappe, gibt es dazu auch noch eine kleine Wertung von mir. Mit aller erforderlichen Vorsicht sage ich hierzu als Nichtjurist mit Resten von Gerechtigkeitsempfinden: Diese von einigen ruchlosen Rechtsanwälten offenbar als leicht automatisierbare und folglich mit geringem Arbeitsaufwand erbringbare Dienstleistung angebotene Hilfestellung beim Reputationsmanagement irgendwelcher Unternehmungen und Arztpraxen, die es offenbar nicht geschafft haben, wenigstens so etwas wie ein befriedigtes Gefühl bei den meisten ihrer Kunden oder Patienten zu erzeugen, hat in aller seiner wertneutral beschis… ähm… beflissenen Niedertracht und Serienbrieffunktion schon einen sehr spamartigen Charakter.

Nein, ich spreche niemanden das Recht ab, einen Rechtsbeistand zur Hilfe zu ziehen. Auch nicht, um Verleumdungen und üble Nachreden aus der Welt zu schaffen, wo immer das möglich ist. Dieses Recht hat jeder Mensch, jeder Verein, jede Unternehmung. Darum geht es hier nicht. Hier geht es – ich weise noch einmal darauf hin, dass ich das als Nichtjurist sage – um systematischen Rechtsmissbrauch. Zum Zweck der Verbrauchertäuschung. Um Menschen mit gezielt im Internet herbeigeführten Täuschungen zu schlechteren geschäftlichen Entscheidungen zu motivieren. Oder etwas persönlicher ausgedrückt: Um ihnen das Geld aus der Tasche zu ziehen. Für etwas, das vielen früheren Kunden nicht gefallen hat und ihnen auch keine Freude bereiten wird. Frühere Kunden, deren Stimme mit diesen Machenschaften technokratisch stummgeschaltet wurde. Damit die nicht so geschäftsfördernde Stimme verstummt. Vorangetrieben von Rechtsanwälten. Für eine Handvoll Geld. Das ist etwas völlig anderes. Ich hoffe, dass jeder denkende und fühlende Mensch diesen Unterschied begreifen kann, auch wenn ich mich nicht völlig klar ausgedrückt habe. Wer jetzt so etwas wie Ekel oder gar leichte Übelkeit spürt, hat es verstanden.

Ich habe hier eben das neue Schlagwort „Juraspam“ eingeführt. Für solche leicht automatisierbaren Machenschaften zur Manipulation von Internetdiensten. Damit Menschen nicht finden, was sie suchen, sondern was Spammer sie finden lassen wollen. Spammer spammen. Gefällt mir auch nicht.

Was mir ebensowenig gefällt, ist die Tatsache, dass Google mit dieser Form der Juraspam offenbar so verwundbar ist, dass der Zeitpunkt absehbar scheint, in dem die Bewertungsfunktion in Google Maps völlig wertlos wird, weil sie in vielen Fällen nicht mehr reale Bewertungen, sondern nur noch die Folgen der Juraspam anzeigt. Das wächst dann zusammen mit einer Websuchmaschine, die von anderthalb Jahrzehnten SEO-Spam für viele Suchen unbrauchbar gemacht wurde. Vielleicht sollte Google mal an seine eigene Reputation denken!

Aber schön, dass wenigstens das Kartenmaterial davon unbeeinflusst ist. Nicht, dass das Auto noch vom Navi ins Moor gefahren wird. Man gibt halt einfach nur öfter mal Geld für Dinge und Dienstleistungen aus, die nach Meinung vieler anderer Kunden nicht so toll sind, wie man glauben soll. 😁️

Schreiben vom Finanzamt? Zahlungsaufforderung?

Montag, 7. Oktober 2024

Keine Spam, sondern ein Link auf einen aktuellen Hinweis des Landeskriminalamtes Niedersachsen, dass zurzeit angebliche Schreiben von Finanzämtern mit der Briefpost versendet werden. Diese Schreiben sehen zugegebenermaßen ziemlich gut aus, und ich befürchte auch, dass etliche Empfänger nur auf den Betrag schauen werden und darüber hinaus nichts bemerken, nicht einmal, dass ihre Steuernummer gar nicht stimmt. Oder dass der Bundesadler nicht proportional skaliert wurde. Ein Bescheid einer Behörde der Bundesrepublik Deutschland enthält übrigens immer einen Hinweis, dass man rechtlich dagegen vorgehen kann. Das gilt für jede Behörde auf jeder Verwaltungsebene. Der wurde auch vergessen. Zielgruppe dieses Betruges sind Menschen, die nicht gründlich lesen, und selbst Menschen, die gründlicher lesen, sind oft von der kühlen technokratischen Anmut eines deutschen Behördenschreibens viel zu eingeschüchtert, um sich an solchen Unstimmigkeiten zu reiben.

Ich habe ein solches Schreiben erhalten. Wie soll ich mich verhalten?
Zunächst sollten Sie keine Zahlung leisten, wenn Sie die Echtheit des Schreibens nicht überprüft haben. Vergleichen Sie dafür zunächst das Schreiben mit offiziellen Schreiben der vergangenen Jahre. Prüfen Sie Ihre persönlichen Daten, insbesonders die Steuernummer und ID-Nummer. Sollte es bereits hier zu Fehlern kommen, können Sie von einer Fälschung ausgehen!

Die beim LKA Niedersachsen nicht beantwortete Frage, woher die Betrüger wohl die persönlichen Daten haben, kann ich gern ein bisschen beleuchten: Zum einen Teil aus dem gegenwärtigen „Industriestandard“ des „Datenschutzes“, und zum anderen Teil aus den bei betrügerischen „Gewinnspielen“ oder für angebliche Paketzustellungen freiwillig angegebenen Daten. Gerade diese „Gewinnspiele“ und „Paketspams“ waren in den letzten Monaten eine Pest des Posteingangs, was mir zeigt, dass mit dieser Masche wohl sehr erfolgreich persönliche Daten für die weitere kriminelle Nutzung eingesammelt werden konnten. Inzwischen ist relative Ruhe, es scheint also nicht mehr zu laufen. Vermutlich kommen noch viele weitere Quellen dazu, die ich nicht so mitbekomme. Kaum vorstellbar ist für mich etwa, dass betrügerische Datinganbieter sich die Zusatzgroschen für den Handel mit eingesammelten Daten entgehen lassen. Entsprechende, für Kriminelle geeignete Zusammenstellungen von Daten können für eine Handvoll Bitcoin in den dunklen Ecken des Internet erworben werden. Und so etwas wie eine Serienbrieffunktion gab es schon in der Lochkartenzeit

Gebt niemals unnötig persönliche Daten an! Datensparsamkeit schützt euch vor den Maschen fieser Krimineller. Der so genannte „Datenschutz“ schützt euch nicht. Es ist nicht politisch gewollt, dass er euch schützt.

+491736754010

Freitag, 6. September 2024

Hier mal eine SMS von der Telefonnummer aus dem Titel:

Papa, dass ist meine neue HandyNr.

Schreib mir bitte eine Testnachricht auf whatsapp.

Es ist weder Sohn noch Tochter, es ist ein Trickbetrug. Bitte nicht darauf reinfallen und den Müll einfach löschen! Wer mir das nicht glauben will, kann ja mal nach Empfang einer solchen SMS die „alte Telefonnummer“ anrufen und feststellen, dass der Sohn oder die Tochter gar keine neue Nummer hat.

Ich weiß, dass man manchmal von solchen Betrügern auch namentlich angsprochen wird. Ich bin davon nicht überrascht. Wenn jeder dahergelaufene Mülldienst „zur Erhöhung der Sicherheit, sie wollen doch auch keinen gecyberten Account haben“ neben der Mailadresse auch noch die Angabe einer Telefonnummer einfordert, dann erledigt der Industriestandard des Datenschutzes irgendwann den Rest, und den Schaden haben die, deren Leben durch eine angebliche Sicherheitsmaßnahme unsicherer geworden ist. Wenn man dann auch noch schnell auf S/M¹ rauskriegen kann, wie Freunde, Verwandte und Kollegen heißen, kann ein gut vorgetragener Betrug schon sehr fies sein. Die paar Minuten zusätzlicher Aufwand bringen schnell mehrere tausend Euro mehr als der ganz plumpe Vortrag.

Ich rate übrigens seit Jahren davon ab, für irgendwelche Webdienste eine Telefonnummer anzugeben, wenn die zusätzliche Sicherheit durch eine Zweifaktorauthentifzierung nicht wirklich erforderlich ist. (Was für ein Bankkonto angemessen sein kann, ist für eine Katzenfotoschleuder übertrieben.) Bei so plumpen SMS-Spams nützt das aber vermutlich nichts, die werden wohl einfach über große Nummernbereiche gestreut. Ist halt Spam. Die meisten werden so etwas auch fast sofort als Spam erkennen. Aber vor einem fiesen, personalisierten Betrug kann man sich sehr wohl durch strikte Datensparsamkeit schützen.

¹Meine Abk. für social media. Aus Gründen.

Warum Datenschutz wichtig ist, Teil 4927

Donnerstag, 5. September 2024

Keine Spam, sondern ein Hinweis auf einen im Kontext der täglichen Spam möglicherweise interessanten Artikel bei Heise Online:

Eine neue Sextortion-Kampagne macht derzeit die Runde: Kriminelle behaupten, Videos zu haben, in denen sich Menschen selbst befriedigen. Gleichzeitig schicken sie ein Foto des Hauses oder der Umgebung mit, in der Empfänger der Nachricht wohnt […]

Die Kriminellen kontaktieren die Opfer per E-Mail und behaupten, eine Webcam mit der Spyware Pegasus infiziert zu haben, um an die Videos zu gelangen. Das stimmt allerdings nicht. In den Sextortion-Mails wurden die Opfer mit ihrem Namen angesprochen und die Täter drohen, die Masturbations-Videos an all ihre Kontakte weiterzugeben, wenn sie nicht ein Lösegeld in Bitcoin im Wert von rund 2.000 US-Dollar zahlen […]

Ebenso wurde die Adresse in das Erpresserschreiben mit eingebunden und angedeutet, bei Nichtzahlung „persönlich vorbeizuschauen“. Für noch mehr Druck setzen die Täter eine Frist von 24 Stunden. Ebenfalls drohen die Täter, das Videomaterial sofort zu veröffentlichen, wenn die Opfer die E-Mails mit anderen teilen

Hier stellt sich natürlich die Frage…

Unklar ist bisher, anhand welcher Daten die Kriminellen den Standort ausfindig machen. Es könnte sein, dass die Opfer über die Daten aus früheren Leaks an die Adressen gelangten

…die Heise Online auch stellt: Wo diese ganzen kriminell verwendeten Daten überhaupt herkommen. Nun, für mich ist das ziemlich klar, und ich warne hier auch schon seit Jahren vor so etwas: Die Daten kommen aus dem gegenwärtigen Industriestandard des Datenschutzes. Und so lange der Datenschutz für Autokennzeichen strikter und und wirksamer durchgesetzt wird als der Datenschutz für Menschen, wird sich daran auch nichts ändern. Die Kriminellen haben ganz viele Quellen, und so eine an sich haltlose Erpressungsmail ist nun einmal viel überzeugender, wenn sie mit genug persönlichen Daten, einer Anschrift und einem hübschen Foto des Hauses daherkommt. Das Gefühl unmittelbarer Bedrohung in einer zuvor als sicher empfundenen Umgebung erhöht die Zahlungsbereitschaft enorm.

Wo die Anschrift herkommt? Na, wie viele Apps auf dem so genannten „Smartphone“ dürfen auf GPS-Koordinaten zugreifen und funken die nach Hause? Da bekommt man schnell heraus, wo jemand wohnt oder arbeitet, und diese Daten werden dann auch in den dunklen Ecken des Internet gehandelt. Die meisten Menschen haben keinen Überblick mehr darüber, wie weit die „ganz normal“ gewordene Überwachung in ihre Privat- und Intimsphäre hineinragt. Namen von persönlich bekannten Menschen und Kollegen kann man automatisiert über Social-Media-Anbieter rausbekommen. Der Unterschied zwischen einem totalitären Überwachungsstaat und dem gegenwärtigen Überwachungskapitalismus besteht vor allem darin, dass die Menschen inzwischen ihre Akten selbst schreiben, und dass nicht nur Inlandsgeheimdienste darauf Zugriff haben, sondern das gesamte Internet.

Der einzige Datenschutz, der funktioniert, ist und bleibt strikteste Datensparsamkeit. Und es bedeutet auch weiterhin, dass man nach Möglichkeit die naive Nutzung eines so genannten „Smartphones“ und anderer „smarter“ Geräte vermeiden sollte. Aber auf mich hört ja keiner. Datenschutz ist Menschenschutz. Datensparsamkeit ist Selbstschutz.

Und nein, Schlangenöl auf dem Smartphone hilft nicht.

Wie man Schadsoftware aufs Handy kriegt und anschließend ein leergeräumtes Konto hat

Dienstag, 27. August 2024

Keine Spam, sondern nur ein Link auf einen aktuellen Artikel bei Heise Online, der hoffentlich ein paar Menschen davor bewahrt, darauf hereinzufallen:

Android-Malware, die Daten von NFC-Karten kopiert und übermittelt, hat das slowakische IT-Sicherheitsunternehmen ESET in freier Wildbahn gefunden. Über mehrere Monate hinweg wurden damit fremde Konten bei drei tschechischen Banken geleert […]

Die Angriffe begannen mit SMS, wahrscheinlich an wahllose tschechische Handynummern verschickt. Darin wurde die Auszahlung eines Steuerguthabens versprochen, wozu die Installation einer verlinkten App erforderlich sei, die direkt im Browser läuft (Progressive Web App, PWA). Nein, das war noch nicht die NFC-Malware. Wer die App installierte und seine Bankdaten eingab, verschaffte den Tätern Zugriff auf das eigene Bankkonto. Es folgte der Anruf einer Person, die einen „hilfreichen Bankmitarbeiter“ spielte. Diese Person informierte das Opfer (faktisch korrekt) darüber, dass er Opfer eines IT-Angriffs geworden sei.

Die „notwendige Abhilfe“ bestand laut der Erzählung darin, eine weitere App zu installieren, um schnell die PIN für die eigene Bankkarte ändern zu können. Dazu wurde das Opfer auf den Google Play Store nachahmende Webseiten geschickt, um die Malware NGate herunterzuladen und zu installieren. Das war dann die NFC-Malware. (Im echten Google Play Store hat ESET sie nicht gefunden.) Die Software ahmt das Interface echter Bank-Apps nach und fragt Kundennummer, Geburtsdatum und PIN ab. Außerdem leitet sie den Nutzer dazu an, die passende Bankkarte ans Gerät zu halten. Falls notwendig, wird auch das Einschalten von NFC am Handy gefordert.

Tatsächlich dient das alles nicht der Absicherung des Bankkontos; vielmehr schickt die Malware PIN und NFC-Daten an das gerootete Android-Handy eines Täters

Natürlich ist es genau so gefährlich, in eine SMS reinzutappen, wie es gefährlich ist, in eine Mail zu klicken. Allerdings befürchte ich, dass Menschen, die nach dem Anruf eines Unbekannten irgendwelche Software von Unbekannten auf ihren Geräten installieren, von keiner Warnung mehr erreicht werden können. 😐️

Der wichtigste Schutz vor „Cyberkriminalität“ – übrigens ein sehr schlechtes und irreführendes Wort, weil die Straftaten nicht einmal in einem skurillen Sinn des Wortes etwas mit Kybernetik zu tun haben, aber das scheinen weder Journalisten noch Politiker zu wissen – besteht nach wie vor darin, dass man sich gar nicht erst einen giftigen Link auf eine Website von Verbrechern unterschieben lässt.

Microsoft Outlook

Donnerstag, 8. August 2024

Keine Spam, aber ein im Kontext interessanter Hinweis auf einen aktuellen Artikel bei Golem. Ich schreibe ja manchmal, nein, eigentlich sogar ziemlich häufig, dass man mit durchgehender Nutzung von digitalen Signaturen den gesamten Phishingsumpf hätte trockenlegen können. Das wäre zurzeit nicht der Fall, wenn die leider sehr populäre und im geschäftlichem Umfeld allgegenwärtige Mailsoftware Microsoft Outlook verwendet wird, denn bei Nutzung dieser Software können die Anwender von Kriminellen beliebig getäuscht werden [Archivversion]:

Die besagte Sicherheitswarnung taucht in der Regel auf, wenn Outlook-Nutzer eine E-Mail von einem Absender erhalten, mit dem sie zuvor gar nicht oder nur selten korrespondiert haben. „Sie erhalten nicht oft E-Mails von xyz@beispiel.com. Erfahren Sie, warum dies wichtig ist“ […] Wie aus dem Bericht von Certitude hervorgeht, bettet Outlook diese Warnung allerdings im HTML-Code als Table-Element unmittelbar vor dem Textkörper der E-Mail ein. Durch CSS-Regeln innerhalb der Mail gelang es den Forschern, sowohl die Schrift- als auch die Hintergrundfarbe der Meldung auf Weiß zu ändern und die Warnung dadurch effektiv unsichtbar zu machen.

Das Verstecken der Phishing-Warnung war den Certitude-Forschern allerdings noch nicht genug. Daher untersuchten sie, ob sich per HTML und CSS auch vortäuschen ließ, dass die empfangene E-Mail verschlüsselt oder signiert ist. Und sie hatten Erfolg: „Signed By [Absender]“ steht über einer Mail, deren Screenshot die Forscher in ihrem Blog teilten. Daneben die entsprechenden Symbole – ein Schloss und ein rotes Siegel.

Microsoft ist der Auffassung, dass es sich nicht um eine Sicherheitslücke handelt, wenn ein Angreifer mit relativ einfachen Mitteln einen völlig falschen Eindruck beim Empfänger erwecken kann – und lässt das bekannte Problem einfach offen. Schon seit Monaten. Mit Schloss und Siegel. 🔐️🛡️✅️

Mit Stable Diffusion erzeugtes BildIch bin da natürlich völlig anderer Auffassung. Ein optischer Sicherheitshinweis, der von einem Angreifer nach Belieben ausgeblendet oder hinreichend gut simuliert werden kann, ohne dass ein naiver Anwender das auf dem ersten Blick erkennen könnte, hat für die Sicherheit nicht nur überhaupt keinen Wert, sondern macht sogar die damit versprochene Sicherheit völlig zunichte und verkehrt sie in ihr Gegenteil. „Aber natürlich, Cheffe! Ich habe auf den Link geklickt, die Datei geöffnet und den Zugangscode eingegeben. Das wollten sie doch so. Die Mail war doch von ihnen signiert.“ ist alles andere als ein undenkbares Szenario und kann einen fürchterlichen Schaden verursachen. Hinterher, wenn ein ganzes Unternehmensnetzwerk von Kriminellen übernommen wurde, heißt es in den Medien in der üblichen Albernheit der journalistischen Berichterstattung „Cyber Cyber“ und es gibt Symbolbilder von Maskierten im dunklen Zimmer, die wie die Hypnotisierten auf Matrix-Bild­schirm­scho­ner gucken, aber Microsoft ist mehr als nur ein bisschen dafür mitverantwortlich, was natürlich niemals so klar benannt wird.

Wenn sie am Arbeitsplatz Microsoft Outlook verwenden müssen – ich hoffe, dass die meisten Menschen privat eine andere gute Mailsoftware benutzen, aber ich befürchte, diese Hoffnung hat genau so einen geringen Wert wie die Sicherheitsfunktionen von Microsoft Outlook – seien sie also vorsichtig und klicken Sie auf gar keinen Fall in eine E-Mail, ohne sich vorher über einen anderen Kanal als E-Mail (zum Beispiel durch ein Telefongespräch) davon überzeugt zu haben, dass sie wirklich vom scheinbaren Absender kommt!

Generell besteht der beste und wirksamste Schutz vor Phishing darin, niemals in eine E-Mail zu klicken und häufig aufgerufene Websites – des Händlers, des Dienstleisters, der Bank – nur über dafür angelegte Lesezeichen im Webbrowser aufzurufen. Ach ja, und auch niemals das Handy auf eine Sackpost mit QR-Code halten, auch nicht, wenn sie scheinbar von der Bank kommt! Dann kann einem auch kein Verbrecher so leicht einen giftigen Link unterschieben.