Mit ‘Malware’ getaggte Artikel

MMS-Nachricht

Donnerstag, 31. Januar 2013

Und ich dachte immer, die gehen an eine Telefonnummer und nicht an eine Mailadresse. Die gefälschte Absenderadresse der Spam ist mms (at) t (strich) mobile (punkt) de, aber meine beiden Exemplare dieser Spam wurden von der dynamischen IP-Adresse eines mit Schadsoftware übernommenen Privatrechners aus Israel versendet.

Die Text der Mail ist dürftig:

Telefonnummer +491600949126

Offenbar soll das die Telefonnummer eines Absenders sein. In meinen beiden Exemplaren hatte ich zwei verschiedene Nummern, so dass ich davon ausgehe, dass die Telefonnummer immer wechselt.

Die Bombe steckt im Anhang. Es handelt sich um ein ZIP-Archiv, in dem sich eine ausführbare Datei für Microsoft Windows befindet, die mit ihrem Dateinamen so tut, als wäre sie ein JPEG-Bild. Wer sein Windows in den Standardeinstellungen belassen hat, nicht die Dateinamenserweiterung .exe gesehen hat und auf diese Datei (der Name ist variabel) foto (strich) 965904 (punkt) jpg (punkt) exe doppelt geklickt hat, hat verloren. Sein Rechner gehört jetzt der organisierten Internetkriminalität und versendet vermutlich schon selbst derartige Spams – wie üblich handelt es sich um brandaktuelle Schadsoftware. Immerhin wird diese kriminelle Überrumpelung von den meisten „Virenschutzprogrammen“ erkannt, wenn sie dann in den letzten 16 Stunden mit aktuellen Signaturdateien versorgt wurden.

Gut, dass man für derart dümmliche Angriffe keinen Virenchecker braucht, sondern einfach schnell auf die Löschtaste hauen kann – eine MMS geht nun einmal an eine Telefonnummer und nicht an eine Mailadresse und die Unternehmung T-Mobile wird, wenn sie ihre Kunden überhaupt anmailt, mit Sicherheit eine persönliche Ansprache wählen und nicht so einen Krüppeltext versenden.

Wie ich gerade sehe, ist der Schrott gestern auch in der Golem-Redaktion angekommen

Deutsche Post. Sie mussen eine Postsendung abholen #IJV7RRZTON

Montag, 15. Oktober 2012

Diese Mail kommt natürlich nicht von der Deutschen Post, sondern von einer Verbrecherbande.

Lieber Kunde,

Dummes Opfer,

obwohl wie behaupten, dass…

Es ist unserem Boten leider misslungen einen Postsendung an Ihre Adresse zuzustellen.

…wir einen an dich adressierten Brief oder ein Paket vor der Nase liegen haben, wissen wir nicht, wie du heißst. Deshalb reden wir dich lieber als „lieber Kunde“ an.

Grund: Ein Fehler in der Leiferanschrift. [sic!]

Der Grund dafür ist, dass wir nichts weiter als eine riesen Liste mit Mailadressen haben, die wir mit unserem hingerotzten Skript vollmüllen. Dass einige Mailadressen mehrfach in unserer Liste vorkommen, ist uns egal, wir haben das so gekauft und wir verwenden das so. Es ist ja nicht unser Postfach, das da zugemüllt wird. Außerdem haben wir noch keinen aufgeweckten Neunjährigen gefunden, der sich mit solchen Zaubersprüchen wie sort -u auskennt.

Sie konnen Ihre Postsendung in unserer Postabteilung personlich kriegen. [sic! kriegen…] Anbei finden Sie einen Postetikett.

Oh, die „Deutsche Post AG“ (siehe weiter unten) hat eine „Postabteilung“. Da wäre ich niemals drauf gekommen. :mrgreen:

Sie sollen dieses Postetikett drucken lassen, um Ihre Postsendung in der Postabteilung empfangen zu konnen.

Natürlich ist das „Postetikett“ ein ZIP mit einer ausführbaren Datei für Microsoft Windows, und zwar eine, die einen das Gruseln lehrt. Wer entpackt und ausgeführt hat, der hat verloren.

Aber auf einen derart idiotischen Versuch kann eigentlich niemand reingefallen sein.

Vielen Dank!
Deutsche Post AG.

Mit mechanischem Gruß
Die Kriminellen des Internet

Mahnung Nr. 862011152

Freitag, 07. September 2012

Guten Tag,

Sie sind zwar unser Kunde, aber wir haben keine verdammte Ahnung, wie sie heißen. An welche Adresse wir…

bei der Durchsicht unserer Zahlungseingänge stellten wir fest, dass Sie die Rechnung Nr. 4871786/2012 noch nicht beglichen haben.

Artikel: Sony Vaio SGK0 2921,47 Euro

…die Ware geliefert haben, die wir ihnen in Rechnung stellen, bleibt ein ungeklärtes Geheimnis. Da dürfen sie sich nicht drüber wundern, denn wenn sie nachdenken, fallen sie nicht auf unsere Masche rein.

Hiermit bitten wir Sie erneut, Ihre offene Rechnung zu begleichen und damit weitere Inkasso-Büro Kosten einzusparen.

Wir sehen uns gezwungen Ihnen 18,00 Euro zuzüglich zu der noch offenen Forderung als Mahnung in Rechnung stellen.
Wir bitten Sie, den offenen Betrag bis zum 08.09.2012 auf das angegebene Konto zu überweisen.

Seien sie froh, dass es bis zum morgigen Samstag auf unserem Konto sein soll und nicht schon gestern!

Die Rechnung und die Artikel liegen diesem Brief als Kopie bei.

Die Ware haben wir ihnen per Mail zugestellt. :mrgreen:

Mit besten Grüßen

PeniusOnline GmbH Alsfeld
Leitung: Yannick Krüger
Steuer-Nr.: DE289075768

Oh, jetzt habe ich doch glatt „Penis Online“ gelesen. :D

Das Ziel des ganzen ist natürlich, dass Empfänger den Anhang öffnen sollen, und zwar möglichst panikartig und ohne darüber nachzudenken, was zum Henker sie eigentlich gerade tun. Der Anhang ist ein ZIP-Archiv, das ein weiteres ZIP-Archiv enthält, damit Menschen mehr Spaß mit sinnlosem Geklicke habe und Virenscanner ausgetrickst werden. Auf diese Weise ist schließlich eine Datei mit der Dateinamenserweiterung .com verpackt, und das ist eine ausführbare Datei für Microsoft Windows, die aus Code von kriminellen Spammern besteht. Wer diese Datei ausgeführt hat, hat ein großes Problem und vor ihm steht ein Computer anderer Menschen auf dem Tisch; ein Computer, der tut, was Kriminelle aus dem Internet wollen. Die sicherste Abhilfe in dieser Situation ist das Neuaufsetzen von Windows. (Vielleicht eine gute Gelegenheit, mal ein anderes Betriebssystem als das Lieblingssystem der Internet-Kriminellen auszuprobieren.)

Zum Glück ist diese Masche aber so plump, dass wohl kaum jemand darauf reingefallen ist.

Suspicious sign in prevented

Montag, 03. September 2012

Das ist die massenhaft ankommende Pest des heutigen Tages:

Hello,

Someone recently tried to use an application to sign in to your Google Account. We prevented the sign-in attempt in case this was a hijacker trying to access your account. Please review the details of the sign-in attempt in attached file

If you do not recognize this sign-in attempt, someone else might be trying to access your account. You should sign in to your account and reset your password immediately. Find out how at http://support.google.com/accounts?p=reset _pw

If this was you, and you want to give this application access to your account, complete the troubleshooting steps listed at http://support.google.com/mail?p=client_lo gin

Sincerely,
The Google Accounts Team

© 2012 Google Inc. 1600 Amphitheatre Parkway, Mountain View, CA 94043

You have received this mandatory email service announcement to update you about important changes to your Google product or account.

Diese Mail kommt nicht von Google. Es hat auch niemand versucht, den Google-Account zu übernehmen. Das Ziel der Spammer ist es, dass Empfänger den Anhang öffnen. Dieser ist ein ZIP-Archiv, in dem sich eine Datei namens Google_Account_Alerts.exe befindet. Das ist eine ausführbare Datei für Microsoft Windows, und wer die auf seinem Windows-Rechner ausgeführt hat, hat jetzt einen Rechner anderer Leute vor sich, der von organisiert Kriminellen beliebig missbraucht werden kann.

Wie man bei Heise Online nachlesen kann, wird die angehängte Schadsoftware von der Mehrzahl der gängigen Antivirusprogramme zurzeit nicht erkannt.

Deshalb ist es wichtig, dass man solche kriminellen Versuche erkennt und niemals so darauf reagiert, wie es die Spammer wünschen.

In diesem Fall ist das relativ einfach:

  1. Anrede
    Natürlich würde Google eine persönliche Anrede mit dem Namen wählen, mit dem man bei Google registriert ist.
  2. Vorwand
    Es dürfte so gut wie sicher sein, dass es regelmäßig Attacken auf Google-Accounts gibt, aber wenn diese bei Google erkannt werden und es zu keinem Schaden gekommen ist, dann wird Google nicht solche Mails verschicken.
  3. Passwortänderung
    Google hat also einen möglicherweise kompromittierten Account entdeckt, aber nicht sofort seinerseits das Passwort geändert oder den Account vorübergehend gesperrt? Das klingt spätestens beim zweiten Nachdenken völlig unglaubwürdig. Bis man diese Mail zur Kenntnis genommen hat, würde der Account möglicherweise einem kriminellen Angreifer zur Verfügung stehen.
  4. Anhang
    Eine angebliche „Mitteilung“, die eine ausführbare Datei für Microsoft Windows ist, sollte immer alle Alarmglocken Sturm klingeln lassen. Wer sich vor dem Klick anschaut, worauf er klickt und kurz über Plausibilität nachdenkt, wird selbst dann nicht auf diese Spam hereinfallen, wenn sie in kommenden Versionen einmal besser gemacht wird.

Der beste Virenschutz befindet sich im Kopf. Alles andere ist nur Ergänzung. Wer sich auf seine „bequeme Sicherheit“ in Form eines Antivirenprogramms verlassen hat, ist bei diesem Angriff im Regelfall verlassen gewesen.

Zweite Abmahnung Ihrer Bestellung vom 08.08.2012

Freitag, 31. August 2012

Sehr geehrter Kunde,

Sie sind zwar Kunde, aber bedauerlicherweise haben sie den Vertrag, den sie mit uns haben, nicht mit ihrem Namen unterschrieben, und deshalb können wir sie auch nicht mit Namen ansprechen.

bei der Prüfung unserer Zahlungseingänge stellten wir fest, dass Sie die Rechnung Nr. 3858168.2012 noch nicht beglichen haben.

Artikel: Toshiba NSGR 2042,29 Euro

Hiermit verpflichten wir Sie so schnell wie möglich [sic!], Ihre nicht beglichene Rechnung zu begleichen und damit weitere Inkasso Kosten [sic!] einzusparen [sic!].

Wir sehen uns gezwungen Ihnen 10,00 Euro darüber hinaus zu der noch offenen Forderung als Mahnung in Rechnung stellen. [sic!] Wir bitten Sie, den offenen Betrag bis zum 04.09.2012 auf das angegebene Konto zu überweisen.

Der Zahlschein und die bestellten Produkte [sic!] liegen dieser E-Mail als Kopie bei.

Mit verbindlichen Grüßen

PeniusShop GmbH Bad Bramstedt
Geschäftsführer: Marvin Klein
Umsatzsteuer-Nr.: DE376728186

Das ist ja nett, dass dieses Toshiba-Dingens der Mail beiliegt. Allerdings hängt da nur ein ZIP-Archiv dran, in dem ein ZIP-Archiv ist, in dem eine Datei mit der Dateinamenserweiterung .com liegt. Das ist eine ausführbare Binärdatei für Microsoft Windows, die einem direkt von kriminellen Spammern zugestellt wurde.

Welche Freuden man haben wird, wenn man diese Datei gestartet hat, kann sich hoffentlich jeder selbst vorstellen.

Deshalb klickt man ja auch nicht in Spams herum.

04.05.2012 Ihr Kauf 9940148552

Freitag, 04. Mai 2012

Ja ja, schon klar, ich habe ganz viel gekauft! Was? Na, eine Nummer natürlich. Und wo? Ach, das ist nicht so wichtig. Hauptsache, ich bin alarmiert und tue deshalb das, was die kriminellen Spammer wünschen – natürlich für die Spammer.

Guten Tag lieber Kunde/Kundin,

Name? Fehlanzeige. Diese Mail ist nämlich Massenware, geht millionenfach in die Postfächer.

Ihr Anmeldekonto wurde aktiviert.
793,74 Euro Jahresbeitrag ist ab sofort zu begleichen.

Boah, für ein „Anmeldekonto“! :D

Ein dümmeres „Produkt“ ist den Spammern wohl nicht eingefallen.

Die Zahlung wird innerhalb 2 Tagen abgeschrieben. [sic!]
Sie werden in nächsten Tagen angerufen und ein Treffen wird ausgemacht. [sic!]
Bezahlauflistung [sic!] und Widerruf Mitteilung [sic!] finden Sie im zugefügten Ordner [sic!].

Der „zugefügte Ordner“ ist ein ZIP-Archiv mit dem Namen Schreiben.zip, und darin liegt eine einzige Datei Schreiben.exe. Das ist kein Dokument, sondern ein ausführbares Programm für Microsoft Windows, das direkt von kriminellen Spammern zugestellt wurde. Wer das ausführt, hat verloren und bekommt einen reizenden Satz aktueller Viren, Trojaner und Keylogger installiert.

Döbben GmbH
Hermannstal 35
32471 Essen

Telefon: (+49) 869 6106xxx [von mir unkenntlich gemacht]

Verstehe, Essen hat also eine neue Vorwahl bekommen. Dieses lästige 0201 war ja auch viel zu einprägsam, da musste man unbeding 0869 draus machen. Und nein…

(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Hamburg

…zum Hamburg passt die von den Spammern angegebene Vorwahl auch nicht. Oder gefiel den Hamburgern die Vorwahl 040 nicht mehr. :mrgreen:

Aber die Anschrift „Hermannstal 35, Essen“ existiert ja auch nicht. Warum sollten sich Spammer mit derartigen Details Mühe geben? Wenn sie sich Mühe geben wollten, könnten sie ja auch gleich auf weniger verwerfliche Weise Geld verdienen.

Umsatzsteuer-ID: DE667802455
Geschäftsfuehrer: Ralf Voigt

Wie üblich: Keine persönliche Anrede, keine Grußformel, kein Hinweis auf eine Firmenhomepage, maximale unpersönliche Kälte. Allein daran kann man solche Versuche der organisierten Internet-Kriminalität von echten geschäftlichen Mails unterscheiden.

Übrigens gibt es diese Pest mit vielen verschiedenen Texten, aber immer der gleichen Masche. Hier ein anderer Bullshit der Spammer aus meinem heutigen Müllaufkommen:

Betreff: Artikelbestellung 31902893166

Guten Tag lieber Kunde/Kundin,

Ihr Mitgliedskonto wurde aktiviert.
730,47 Euro Mitgliedsbeitrag ist ab sofort zu bezahlen.

Die Zahlung wird innerhalb 2 Tagen abgeschrieben.
Sie werden bald angerufen und ein Termin wird ausgemacht.
Artikeleinzelheiten und Storno Mitteilung finden Sie im zugefügten Ordner.

Soko GmbH
Audorfring 42
06676 Augsburg

Telefon: (+49) 166 0648xxx
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Stuttgart
Umsatzsteuer-ID: DE080687447
Geschäftsfuehrer: Jochan Vigt

Anhang hier ebenfalls Schreiben.zip.

Sehr nett von den Spammern finde ich übrigens die in allen ihren Müllmails konstante Schreibweise „Geschäftsfuehrer“, die mir das Erstellen einer Regel zum Aussortieren des Sondermülls vereinfacht hat.

Selbst wenn die Texte der Betrüger in den nächsten Tagen besser werden sollten: Niemals den Anhang einer unverlangt zugestellten Mail eines Unbekannten öffnen! Vermutlich werden viele, auch frisch aktualisierte Virenscanner bei der Erkennung des Schädlings versagen, die Kriminellen sind da immer ein paar Tage voraus. (Ich kann das nicht beurteilen, weil ich nur Betriebssysteme benutze, für die ich keinen Virenscanner brauche, und das kann ich nur empfehlen!) Es ist also erforderlich, solche kriminellen Versuche mit dem Kopf zu erkennen.

In diesem Fall ist das einfach: Eine angeblich geschäftliche Mail ohne persönliche Ansprache ist immer ein Überrumpelungs- und Betrugsversuch. Aber selbst, wenn das ganze viel überzeugender formuliert worden wäre: Für einen Vertrag, den man nicht abgeschlossen hat, braucht man auch nichts zu bezahlen – es erübrigt sich daher, einen Mailanhang zu öffnen oder ähnliche Panikreaktionen an den Tag zu legen, die sich derartige Spammer wünschen. Stattdessen lieber einmal in aller nur möglichen Ruhe das Internet nach der Firma und ihrer Anschrift durchsuchen (die armen Leute, deren Telefonnummern in den Mails stehen, tun mir leid, denn sie hatten heute einen Tag voller Telefonterror mit vielen entnervten Anrufen) und dabei feststellen, dass nicht einmal die Anschrift existiert – das klärt auch die letzten Unklarheiten. Sollte es eine derartige Firma aber wirklich unter der angegebenen Anschrift geben, kann man immer noch auf deren Homepage die Telefonnummer oder Mailadresse herausfinden und in Kontakt treten, um so eine Sache aufzuklären.

Aber niemals, niemals, niemals sollte man den Mailanhang einer unverlangt zugesandten Mail eines Unbekannten öffnen. Auch nicht, wenn es keine EXE ist, sondern ein beliebiges anderes Format. Die kriminellen Spammer sind auf aktuellem technischen Stand und kennen alle ausbeutbaren Sicherheitsprobleme der populären Betriebssysteme. Solchen Leuten das Privileg einzuräumen, etwas auf dem eigenen Rechner auszuführen oder darzustellen, ist grob vergleichbar mit der Dummheit, eine Horde stadtbekannter Vandalen und Langfinger in die eigene Wohnung zu lassen und dort unbeaufsichtigt ihren Mutwillen treiben zu lassen. Niemand würde das tun, nicht einmal ein Dummkopf. Und niemand sollte in Hinsicht auf seinen Computer – der empfindlich weit in die Privatsphäre reinragt und überdem einem Angreifer direkten Zugriff auf das Bankkonto ermöglicht – anders denken und vorgehen. Anhänge von unverlangt zugestellten Mails öffnet man einfach nicht! Genau so wenig, wie man in eine Spam klickt. Und genau so wenig, wie man einen brutalen Schlägertypen in seine Wohnung lässt.

Wer es dennoch tut: Viel Spaß mit der Beseitung der hier ausgelieferten Variante des BKA-Trojaners, der nur von zehn Prozent der gängigen Virenprogramme als das erkannt wird, was er ist! Anleitungen, wie man diese Pest wieder los wird, gibt es auf einer eigens dafür eingerichteten Website.

Dringende Warnung vor Google+Facebook

Sonntag, 10. Juli 2011

Aktueller Nachtrag, 11. Juli, 3.38 Uhr: Inzwischen haben die Betreiber der Domain crossrider (punkt) com auf Reddit Stellung genommen, was ich gern der Vollständigkeit halber hier verlinken möchte. Der Ton ist höflich und sucht seriös rüberzukommen, die aufgedeckten Vorgehensweisen in der Programmierung der Erweiterung werden entweder wortreich dementiert oder ebenso wortreich als eine normale Praxis wegerklärt. Was mir beim Überfliegen (ich tue mich schwer damit, aufgedunsenen Bullshit zu lesen) allerdings sofort aufgefallen ist: Es wird nicht einmal auf die Tatsache eingegangen, dass der Code der Browsererweiterung versucht, über Webmailer auf das persönliche E-Mail-Konto seines Anwenders zuzugreifen und dieses hinter dem Rücken des Anwenders aktiv zu benutzen. Dass auf einen Vorwurf derartiger Schwere nicht eingegangen wird, während gleichzeitig Beschwichtigung durch Wortreichtum und autoritär-offizielle Sprache versucht wird, lässt bei mir alle Alarmglocken läuten. Wer des Englischen mächtig ist, mache sich anhand des Links selbst ein Bild davon.

Ursprünglicher Text

Liebe Facebook- und Google-Plus-Anwender,

bitte glaubt nicht alles, was auf einer Website steht! Bitte seid auch dann skeptisch, wenn das, was dort steht, so klingt wie das, was ihr euch gerade besonders stark wünscht. Nein, seid dann besonders skeptisch, denn mit solchen Ködern angeln die Internet-Kriminellen ihre Opfer.

Es ist im Moment zum Beispiel nicht möglich, einen Zusatzdienst für Google Plus anzubieten. Google hat nämlich für sein neuestes Experiment in Sachen Beziehungsvermarktung zurzeit noch keine API vorgesehen. Es gibt einfach keine Schnittstelle, über die derartige Zusatzdienste mit Google Plus kommunizieren können; es gibt also nichts, was ihr von Facebook oder Twitter gewohnt seid.

Warum Google das so macht? Das müsst ihr Google fragen, die haben dort bestimmt einen guten Grund dafür. Vielleicht möchte Google in der Beta-Phase die Nutzer erstmal in der Website halten, um aufgrund ihres Verhaltens den letzten Feinschliff an der Benutzerschnittstelle anzulegen (und die Nutzer an den neuen Google-Dienst zu gewöhnen, statt sie einfach mechanische Statusmeldungen erzeugen zu lassen). Vielleicht ist die API auch noch nicht stabil. Vergesst nicht, dass es sich um eine Beta-Phase handelt! Google Plus ist noch nicht fertig, sondern wird gerade mit „richtigen Anwendern“ getestet, damit Fehler verschwinden. Und dabei kommt es auch zu eher peinlichen Aussetzern wie versehentlichem „Spamversand“. Vielleicht wird es auch niemals eine API geben. Alles ist spekulativ, und die wirklichen Antworten kennen nur die Leute bei Google, die einen strategischen Plan ersonnen haben und verfolgen, aber die Einzelheiten nicht an die große Glocke hängen. Ist eben so. Wer das nicht mag, muss Google Plus nicht nutzen oder kann warten, bis die Beta-Phase vorbei ist und ein stabiles Produkt Gestalt angenommen hat, das ihm eine vernünftige Entscheidung über die Nutzung ermöglicht. In der Zwischenzeit verpasst man nicht viel.

Den Verzicht auf Google Plus (und natürlich auch auf die stinkende Spamsau Facebook) würde ich jedem Menschen empfehlen, der seine menschlichen Beziehungen nicht zur Marktware des Web-Zwo-Null machen will. Aber ich weiß natürlich, dass solche Gedanken im Taumel der geilen, zum Selbstzweck gewordenen Technik leider keine große Rolle spielen. Deshalb hier meine hoffentlich deutliche Warnung an alle Nutzer von Google Plus: Seid extrem skeptisch, wenn jemand zurzeit Browser-Plugins, Zusatzdienste oder sonstwas für Google Plus anbietet, denn ein solches Angebot wird von Google technisch nicht ermöglicht! Lasst am besten die Finger davon! Es wird sich ausnahmslos um Betrugsversuche durch fragwürdige Zeitgenossen handeln. Ich wiederhole: ausnahmslos.

Wieso ich das schreibe?

Zurzeit wird, wie mir einige Male berichtet wurde, über Twitter und Facebook ein Link auf ein besonders fragwürdiges Angebot verbreitet. Ich habe auch mehrere Mails mit Hinweisen auf dieses Angebot bekommen, die scheinbar von mir persönlich bekannten Menschen kamen. Es handelt sich um eine Browser-Erweiterung, die angeblich Google Plus und Facebook zusammenführen soll. Die in diesen Hinweisen angegebene Seite möchte ich aus nahe liegenden Gründen nicht verlinken, ihre Inhalte habe ich für die Neugierigen mit Hilfe von WebCite archiviert. Diese Seite sieht in ihrer ganzen „Herrlichkeit“ so aus:

Screenshot der betrügerischen Webseite Google+Facebook

Bestandteil dieser betrügerischen Seite sind die inzwischen leider überall üblichen „social buttons“, die mir verraten, dass diese Seite zurzeit 1.657mal getweetet, 2.536mal geliket und ca 5.200mal gepluseinst wurde. Das ist eine beachtliche Reichweite, und sie wird leider von Minute zu Minute größer. Sehr viele Menschen sind also mit dem Link auf diese Seite konfrontiert, auf der sie unter anderem einen Preview-Screenshot sehen, der wohl viel zu selten die Frage aufwerfen wird, warum nicht einfach die entsprechende Timeline bei Google Plus mitverlinkt wurde, um das Ganze überzeugender zu machen (na warum wohl: Weil es nur im Browser mit der beworbenen Erweiterung so aussieht):

Screenshot eines angeblichen Google-Plus-Profiles mit eingebetteter Facebook-Timeline

Dort, wo dermaßen stark und lecker duftende Köder eingesetzt werden, kann man eine Browser-Erweiterung herunterladen, die einem erlaubt, den eigenen Facebook-Stream [Frage an die aktiven Facebooker: Heißt das auch auf Deutsch so?] innerhalb von Google Plus zu sehen. Einfach nur zu Facebook connecten, und alle Updates erscheinen in einem Tab in Google Plus. Und bitte bitte weitererzählen, dafür sind die Buttons da: Tweet, Like, Pluseins…

Nun, die Seite dieses Anbieters in der Domain crossrider (punkt) com mochte ich nicht verlinken, aber dafür verlinke ich gern eine andere Seite auf reddit.com. Ich verlinke diese Seite nicht nur, sondern ich übersetze sogar den dort veröffentlichten Text zu größeren Teilen in die deutsche Sprache, weil ich hoffe, dass das viele Menschen von einer Installation dieser Schadsoftware abhält.

Ja, Schadsoftware. Es handelt sich um einen Trojaner, der beachtliche Missbrauchsmöglichkeiten eröffnet und nicht einmal davor zurückschreckt, auf persönliche Mails zuzugreifen und Mails an persönliche Kontakte zu versenden. Und im Gegensatz zur Anpreisung auf der erwähnten betrügerischen Webseite ist es auch nicht leicht möglich, diesen Code wieder zu deinstallieren – es ist sogar vorsätzlich unmöglich gemacht worden.

Anfang der Übersetzung [ich verwende im Folgenden durchgehend das informelle „Du“, um den Stil des Original-Textes besser wiederzugeben]:

Google+Facebook ermöglicht dir, deinen Facebook-Stream in Google+ zu betrachten
Beitrag von RogueDarkJedi, 16 Stunden alt

Ich habe mir den Code angeschaut und beschlossen, ein paar Anmerkungen zu machen. Wenn du lesen möchtest, was ich gefunden habe (das ist vielleicht alles ein bisschen technisch), lies es. Aber vor allem möchte ich eines klar machen: INSTALLIER DIR DIESES ADDON NICHT. Dieses Addon verhält sich wie eine Schadsoftware und der Dienst ist eine künstlich gelegte Sicherheitslücke, die darauf wartet, dass sie ausgebeutet wird. […]

Die folgenden Anmerkungen beziehen sich auf die Firefox-Version dieser Erweiterung (denn diese Version konnte ich bekommen, als ich mir das Skript auf der Installationsseite anschaute), aber ich bin mir sicher, dass die Chrome-Version ähnliche Machenschaften verfolgt.

Meine Anmerkungen habe ich in vier Kategorien unterteilt (und ich hoffe, dass so alles leichter zu lesen und zu verstehen ist):

PRIVATHEIT – (für Dinge, welche die Erweiterung und ihren Umgang mit deinen Daten betreffen)
SICHERHEIT – (für Sicherheitsrisiken)
SCHADEN – (für unerwünschte Änderungen, die diese Erweiterung hinter deinem Rücken macht oder für Schadsoftware-Funktionen, die ausgeführt werden)
DIVERSES – (für verschiedene andere Anmerkungen, die nicht in die vorherigen Kategorien passen.)

SICHERHEIT – Die Erweiterung hängt von externem JavaScript ab, das von einem anderen Server nachgeladen wird. (Das heißt: Sie muss eine JavaScript-Datei herunterladen, bevor sie auch nur arbeiten kann. Und das geschieht bei jedem neuen Start.) Mozilla akzeptiert eine derartige Praxis nicht, weil sie Man-in-the-middle-Attacken ermöglicht und hohe Anforderungen an die Serversicherheit stellt (wenn jemand die Macht über den Server erlangen sollte, sind alle Installationen einem hohen Risiko ausgesetzt). Das ist der Grund, warum Conduit Toolsbars nicht in Mozillas offizieller Addon-Datenbank aufgenommen wurden.

Hier ist die Datei mit welcher die Erweiterung die [externe] JavaScript-Datei anfordert – diese sieht zurzeit so aus. [Meine Anmerkung: Beide Links gehen auf die Domain des Addon-Anbieters und können sich im Laufe der Zeit inhaltlich ändern oder sogar ungültig werden. Ich bin allerdings nicht gewillt, an dieser Stelle eine gefährliche Software zu hosten, deshalb lasse ich das so.]

SCHADEN – Die API referenziert mehrfach auf einen [kostenpflichtigen] Premium-Dienst. Was das bedeutet? Wenn der Autor der Erweiterung irgendwann einmal nicht in der Lage sein sollte, das Geld für diesen Dienst zu bezahlen, dann kann CrossRider alle Anwender dieser Erweiterung dazu nötigen, zusätzlichen Schrott zu installieren. Das ist eine erzwungene Änderung, die dir keine Wahlmöglichkeit lässt.

PRIVATHEIT / SICHERHEIT / SCHADEN – Du kannst es nicht mitbekommen, wenn sich diese JavaScript-Datei ändert. Sie wird geladen, wenn der Browser gestartet wird und läuft mit den Rechten der Browser-Anwendung (was als gefährlich betrachtet werden muss). Der Autor der Erweiterung kann zu jedem ihm passenden Zeitpunkt „Leck mich am Arsch“ zu dir sagen und dir ein neues Skript unterjubeln, dass deine persönlichen Daten sammelt und dich ausspäht. Aus deiner Sicht ist das völlig in Ordnung, denn diese Änderung geschieht im Hintergrund, ohne dass du etwas davon bemerken kannst.

DIVERSESDiese Seite wird eingefügt, um Zugriff auf deine Facebook-Daten zu bekommen. Du musst das akzeptieren, bevor die Erweiterung irgendetwas mit Facebook machen kann.

PRIVATHEIT / SCHADEN – Die Erweiterung versucht, ein OpenSearch-Plugin zu installieren. Dabei wird die Suchseite verändert, zu der Firefox geht, wenn du eine Suche in der Adressleiste eingibst. Wenn du eine Suche wie „Was ist dieses Reddit?“ eingibst, leitet dich Firefox nicht mehr zu Google weiter, sondern zu einer Seite, die unter der Kontrolle von CrossRider steht. Auf diese Weise scheinen die Entwickler an Einkünfte zu kommen. Aber nicht nur das, diese Veränderung wird bei einer Deinstallation der Erweiterung nicht zurückgesetzt. Auch ist deren Such-Plugin ausgesprochen trügerisch und versucht alles, um genau so auszusehen wie das standardmäßige Google-Suchplugin, welches zu Firefox gehört. (Zwar stimmt das Piktogramm nicht, aber das Plugin verwendet Texte wie „Google powered web search“, damit du auf diese Machenschaften hereinfällst.) Es ist auch Code in der Erweiterung, der deren OpenSearch-Plugin dazu bringt, deine eingestellte Standardsuchmaschine in der Suchleiste zu überschreiben (das ist normalerweise Google). […]

PRIVATHEIT / SICHERHEIT / SCHADEN – Die Erweiterung schaut aktiv und zu willkürlichen Zeitpunkten nach bekannten Domains von Webmailern und beginnt damit, deine E-Mails zu lesen [!], bis es darin ein Zitat findet. Dort fügt es eine Signatur hinzu. Diese soll deine Freunde dazu bringen, dass sie ebenfalls diese Software verwenden [Das Addon spammt also aktiv unter deiner Adresse!]. Zurzeit läuft dieses „Signatur-Feature“ auf folgenden Domains:

  • mail (punkt) google (punkt) com
  • mail (punkt) yahoo (punkt) com
  • webmail (punkt) aol (punkt) com
  • mail (punkt) live (punkt) com

PRIVATHEIT – Die Erweiterung versendet Browser-Statistiken, während du im Einstellungs-Bildschirm bist. Die Daten umfassen die Browserversion, die Version der Erweiterung, die Skript-Version und diesen Wert namens bic (von dem ich annehme, dass er einzigartig ist und eine Identifikation ermöglicht [!]; er wird nur gesetzt, nachdem die Erweiterung Daten vom Server erhalten hat). Möglicherweise geschieht das auch an anderen Stellen.

DIVERSES – Der Code der API ist unleserlich geschrieben und verschleiert vorsätzlich die Funktion [!]. So etwas wird in einem Addon nur gemacht, wenn man etwas zu verbergen hat. Es ist unfassbar schwierig, diesen Code zu lesen.

SICHERHEIT – Im Code der Erweiterung sind große Mengen von trickreichen Programmierungen enthalten, die nur die Funktion haben, externes JavaScript mit größeren Berechtigungen auszuführen, als dies normalerweise möglich wäre. [!] Es ist ziemlich beschissen, wenn man darüber nachdenkt, dass Mozilla sichere Schnittstellen zur Verfügung stellt, um so etwas zu ermöglichen.

SCHADEN – An verschiedenen Stellen im Code wird versucht, deine eingestellte Startseite im Browser zu überschreiben [!]. Es gibt einen Ort, an dem ich sehen konnte, dass es dort geschieht, aber ich weiß nicht, wie dieser Code aufgerufen werden konnte. Der gesamte Quelltext ist ein einziges [vorsätzlich unverständlich formuliertes] Chaos.

DIVERSES – Du kannst einige Einstellungen ändern, wenn die Erweiterung installiert ist… vielleicht. Geht man vom Code aus, denn scheinen diese Einstellungen nicht besonders wirksam zu sein. Vielleicht verändert sich die Laufleistung mit deinen Einstellungen, aber es sieht eher so aus, als könntest du gar nichts tun, wenn das Plugin als Nicht-Premium registriert ist. [Also alles reine Verarschung, die einen hilflos und machtlos herumklicken lässt!]

SCHADEN – Eine Deinstallation setzt keine dieser Änderungen zurück. [!] Im gesamten Code ist eine Deinstallation nicht vorgesehen. [!] Das Addon kann diesen ganzen Scheiß jederzeit auf den Browser loslassen und räumt niemals auf. Die Zusicherung auf der Homepage, dass es leicht zu deinstallieren sei, ist Bullshit. [!] Premium oder nicht, es wird niemals richtig aufgeräumt. [!]

PRIVATHEIT – Deine Facebook-Daten gehen durch deren Service. [!] Sie haben dort keine Erklärung zum Datenschutz und zur Privatsphäre und keine allgemeinen Bedingungen für ihren Dienst (das ist überraschend, wenn man überlegt, dass die schon seit ein paar Monaten unterwegs sind). Dies sollte ein klares Stoppsignal sein.

Was meinst du? Sollte man diesen Typen vertrauen? Meiner Meinung nach, verdammte Scheiße, niemals. Installier dieses Addon AUF KEINEN FALL, es verursacht mehr Schaden als irgendwas anderes. Lass einfach die verdammten Finger davon!

Ende der Übersetzung.

Ja, liebe Facebook- und Google-Plus-Anwender,

so sehen die tollen Dienste aus, wenn sich Kriminelle darauf stürzen – sie sind nur ein weiterer Kanal für Spam und verbrecherische Attacken. Ihr lasst euch von solchen Web-Zwo-Nulldiensten verblenden und gar nicht wenige von euch lassen sich sogar dazu hinreißen, sich freiwillig eine Schadsoftware auf dem Rechner zu spielen, nur, um ein Minifünkchen Mehrwert auf Websites zu haben, auf denen ihr eigentlich selbst die Ware seid. Und dann wundert ihr euch darüber, dass auf einmal in eurem Namen Spam versendet wird, ohne dass ihr irgendeine Kontrolle darüber habt.

Nun, die Kontrolle habt ihr längst aufgegeben. Ihr habt sie aufgegeben, als ihr euch selbst und eure menschlichen Beziehungen an irgendwelche Web-Zwo-Nullvermarkter für ein paar Glasperlen Flashspielchen und Apps verkauft habt. Ihr gebt die Kontrolle jeden Tag ein bisschen mehr auf. Euer Kontrollverlust – genauer gesagt: Eure soziale Enteignung – ist das „Geschäftsmodell“ dieser ganzen Websites, die nur ein dürftiger, künstlich zentralisierter Ersatz für das eigentliche Potenzial des Internet sind. Ihr freut euch über die Bequemlichkeit und merkt die miesen Folgen dieser Enteignung gar nicht weiter, weil sie zurzeit eben nur von lichtscheuem Gesindel so richtig ausgenutzt werden. Das gleiche gilt auch für den dürftigen Internet-Ersatz in Form so genannter „Apps“ auf mobilen Geräten. Ihr habt alles aus der Hand gegeben und freut euch wie die kleinen Kinder über bunte bunte Bildchen, während man euch als Person beliebig missbrauchen kann.

Wenn sich dieser geschäftlich gewünschte Kontrollverlust und die Neigung zur Bequemlichkeit mit kriminellen „Geschäftsmodellen“ kombinieren, wird es eben unangenehm. Wenn ihr eine Erweiterung für einen Browser installiert, gewährt ihr dem Autoren dieser Erweiterung das Recht, beliebigen Code in eurem Browser auszuführen. Was immer der Browser unter diesen Anweisungen tun wird, es sieht von außen betrachtet genau so aus, als wenn ihr es selbst tätet. Es läuft mit euren Cookies und euren Anmeldedaten. Wie ihr am Beispiel des Zugriffs auf Webmailer seht, lässt sich dieses gewährte Privileg bereits sehr einfach zum Spammen ausbeuten – aber es wäre ebensogut möglich, auf diese Weise ein Botnetz aus übernommenen Browsern aufzubauen, das kriminelle DDoS-Attacken oder gar Schlimmeres ausführt, ohne dass ihr es bemerkt. Euer Vertrauen ist fehl am Platze. Je toller die Zusagen sind, desto kritischer solltet ihr sein. Wenn ihr nicht schon einen durch Schadsoftware-Erweiterungen manipulierten Browser habt, ist Google oft eine gute Wahl, um mal nachzuschauen, welche Erfahrungen andere Menschen mit bestimmten Erweiterungen gemacht haben – genau so habe ich den verlinkten und übersetzten Text gefunden, als mich die Spam wegen dieser Google+Facebook-Malware zu nerven begann. Es war übrigens Spam von Menschen, die ich teilweise persönlich kenne – und wäre der Text der Spam nicht in englischer Sprache gewesen, hätte ich vielleicht nicht einmal Verdacht geschöpft. So groß kann der Schaden durch soziale Enteignung und geistlose Bequemlichkeit werden; so groß, dass ein Mensch zum willfährigen Gehilfen krimineller Spammer wird.

Die klassische Mailspam ist längst am Ende. Die bloße Masse dieses Mülls hat deutlich nachgelassen (und das ist gut), und die Betrugsnummern sind sehr durchschaubar geworden. Aber die asoziale Idee der Spam findet immmer neue Kanäle. Theme-Spam und Plugin-Spam für Webanwendungen, Spam in diesen ganzen Web-Zwo-Nulldingern und immer häufiger Addon-Spam für Browser. Dort ist noch viel Potenzial für weitere Entwicklungen. Ich bin mir sicher, dass ich Mails aus derartiger Addon-Spam demnächst auch in gutem Deutsch haben werde, mit korrekter Anrede und mit meinem Namen aus einem Google-Adressbuch, so dass mich nur noch stilistische Feinheiten der Sprachwahl skeptisch machen könnten. Solche Spam wird hochgefährlich.

Ihr lieben Facebook- und Google-Plus-Anwender (und sonstigen viel zu arglosen Seelen, die ihr euch niemals mit diesem ganzen Technikkram befassen wollt, euch aber gut von dem ganzen Technikkram unterhalten lassen wollt),

wenn ihr gar nicht dazu imstande seid, euch gegen solche Missbräuche zu schützen, indem ihr vor der und bei jeder Computerbenutzung das Gehirn einschaltet, lasst doch bitte gleich die Finger vom Fratzenbuch und von Guhgell Doppelplusgut und installiert euch nur die allernotwendigsten Addons in eure Browser (ein Adblocker muss sein, und JavaScript will man auch nicht jeder dahergelaufenen Website erlauben)!

Und bitte: Denkt doch mal darüber nach, warum ihr eigentlich euren E-Mailverkehr über einen leicht missbrauchbaren und häufig angegriffenen Webbrowser macht! Es gibt wesentlich bessere Lösungen für das Abarbeiten der E-Mail. Wer diese verwendet, gewinnt nicht nur deutlich an Komfort, auch ist es beim völligen Verzicht auf einen Webmailer ungleich schwieriger, ja, nahezu unmöglich, durch den Angriff auf einen Browser Spammails zu versenden. Letzteres gilt natürlich nur, wenn nicht das Passwort im Browser gespeichert ist und wenn man am Webmailer nicht angemeldet ist; nur dann hat der Browser auch keinen Zugriff auf die Mail. Ist nur mistig, wenn man wegen dieses Google Plus immer angemeldet bleiben möchte und die Mailadresse ebenfalls bei Google hat… tja, ich weiß. Das sind eben die konzeptionellen Schwächen im Design der ganzen Web-Zwo-Nulldinger. Die Unsicherheit ist dort Bestandteil des Designs.

Nur, bitte, lasst es euch nicht mehr alles so erschreckend gleichgültig sein!

Euer Elias

Üble JavaScript-Schadsoftware für Facebook

Montag, 24. Januar 2011

Der folgende Text ist eine schnelle Übertragung eines englischsprachigen Textes im Blog „Useful for me“. Die Publikation einer Übersetzung ist dort ausdrücklich gestattet, und weil diese Schadsoftware auch unter deutschen Facebook-Nutzern „umgeht“, habe ich mir die kleine Mühe gemacht. Bitte seid allesamt ein bisschen vorsichtiger mit irgendwelchen eher nutzlosen Angeboten für Facebook, es gibt wirklich schon genug Spam und Betrug auf der Welt. Ein Dank für den Hinweis auf diesen kriminellen Angriff geht an Schoschie.

Schützen sie sich vor Betrug und Identitätsdiebstahl auf Facebook – der „Facebook Time Checker“ ist eine betrügerische Irreführung

Auf diese Weise ist meine persönliche Publishing-Adresse für Facebook in fremde Hände geraten:

(Mit der persönlichen Publishing-Adresse [Meine Frage an die aktiven Facebooker: Heißt das auch auf Deutsch so?] kann ein Facebook-Anwender Bilder und Nachrichten posten, indem er eine E-Mail an diese Adresse sendet. Wenn jemand ihre persönliche Publishing-Adresse kennt, denn kann er in Facebook ihre Identität annehmen und in ihrem Namen sowohl Nachrichten als auch Bilder posten, ohne dass sie damit einverstanden sein oder davon wissen müssen. So etwas kann sehr „gut“ von Menschen mit kranken Absichten verwendet werden, um Facebook mit Spam unbenutzbar zu machen.)

Vor kurzem (am 18. Januar um Mitternacht) habe ich einen Link angeklickt, der mir von einem meiner Freunde auf Facebook gesendet wurde… ich habe letzten Endes das getan, wovon mir dort gesagt wurde, dass ich es tun soll. Ich war ein bisschen müde und deshalb bei dieser Tätigkeit nicht besonders aufmerksam.

Der Link sah so aus¹: „Ich habe in meinem Leben 132 Stunden auf Facebook verbracht. Wow, das ist eine Menge verschwendeter Zeit. Finde heraus, wie viel Zeit du auf Facebook verbracht hast – http (doppelpunkt) (doppelslash) goo (punkt) gl (slash) AYkjm“. Diese gekürzte Adresse war eine Weiterleitung auf http (doppelpunkt) (doppelslash) www (punkt) news17channel (punkt) com (slash) time (slash) next (punkt) php (fragezeichen) id (gleich) SCiGm_d [Meine Anmerkung: Der Betrug ist dort inzwischen nicht mehr verfügbar, aber es ist sicher, dass die gleiche Masche über andere Adressen weiterläuft.]

(mehr …)