Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Name“

Wie Spammer an Namen kommen

Dienstag, 8. Februar 2011

In letzter Zeit sehe ich ja eine beachtliche Zunahme der Versuche der Spammer, eine Mailadresse mit einem richtigen Namen zu verbinden. Offenbar hat man auch auf Seiten der Kriminellen bemerkt, dass eine Betrugsmail mit einer persönlichen Anrede ungleich überzeugender wirkt als das bisher übliche Gestrokel.

Diese Entwicklung sollte für jeden Menschen bedeuten, dass er mit seinen Daten so sparsam wie nur eben möglich umgeht – und zum Selbstschutz vor Betrug und Phishing lieber auch dort Phantasiedaten eingibt, wo die Nutzungsbedingungen so etwas an sich verbieten. Tatsächlich sind Web-Dienste, die Daten ihrer Nutzer akkumulieren, ein lohnendes Ziel für kriminelle Angriffe aus dem Dunstkreis der Spam-Mafia, um sich auf diese Weise die gewünschten persönlichen Daten der Opfer zu verschaffen, wie sich zurzeit bei Heise nachlesen lässt:

Seit dem gestrigen Montag haben uns zahlreiche Leser darüber informiert, dass beim Onlinehändler Mindfactory möglicherweise im großen Stil Kundendaten entwendet wurden. In zahlreichen Beiträgen im Forum des Händlers beschweren sich Kunden über eine Spam-Mail, in der sie persönlich mit Vor- und Zunamen angesprochen wurden […]

Wenn ein solches kriminelles Abgreifen von Daten – es ist im Moment offenbar noch unklar, welche Daten noch in die Hände der Verbrecher gelangt sein könnten – mit überzeugenden Phishing-Mails „aufbereitet“ wird, denn werden die Kriminellen einen erheblichen Reibach einfahren. Eine angebliche Mail von der eigenen Bank, von einem Online-Händler oder einem Internet-Auktionshaus, die mit einer namentlichen Ansprache ihres „Kunden“ kommt, ist nun einmal recht überzeugend und wird nicht nur unerfahrene Nutzer dazu bringen, auf einen derartigen Betrug hereinzufallen.

Es ist ein nicht zu verachtender Schutz vor Betrugsmaschen, wenn die Spammer nicht den Namen zu einer Mailadresse kennen.

Was kann man tun?

Grundsätzlich sollte auf die Angabe eines zutreffenden Klarnamens bei irgendwelchen Internet-Anbietern verzichtet werden. Dies gilt im besonderen Maß bei Anbietern, die eher unwichtige Dienste (wie etwa Gästebücher, Blogkommentare etc.) anbieten – dort sollte in vielen Fällen ein Vorname oder ein Nick ausreichen. Jede Website ist permanenten Angriffen ausgesetzt, und solche Angriffe können auch immer wieder einmal erfolgreich sein. Es ist für den Nutzer eines Dienstes nicht ersichtlich, wie sorgfältig dieser programmiert wurde und welche Schwachstellen eventuell einen Angriff ermöglichen. Auch die „Zertifizierung“ einer deutschen Website durch den TÜV gibt keine Sicherheit, denn es ist schon mehrfach zu großen Datenlecks auf derart „zertifizierten“ Websites gekommen. Der beste Schutz gegen betrügerische Maschen mit solchen Daten ist die Sicherung der eigenen Anonymität bei jeglicher Nutzung des Internet.

Manchmal ist die Angabe eines Klarnamens (oder sogar darüber hinaus gehender persönlicher Daten) aber erwünscht – sei es, dass man unter seinem Namen bei einem „Web-2.0-Dienst“ gefunden werden möchte, sei es, dass man einem Forenbetreiber gegenüber ehrlich sein will, oder sei es auch, dass eine solche Angabe durch die Nutzungsbedingungen verpflichtend gemacht wird.

In diesen Fällen ist eine andere Strategie angemessen: Für jeden Dienst, der unter Angabe des eigenen Klarnamens (und möglicherweise anderer persönlicher Daten) benutzt wird, sollte eine eigene, nur für diesen Zweck benutzte Mailadresse verwendet werden. Wenn unter dieser Mailadresse einmal eine andere Mail ankommt, denn ist klar, …

  1. …dass es sich um eine betrügerische Spam handelt, und
  2. …dass die Site, auf der man diese Mailadresse verwendet hat, gecrackt wurde und dass die Daten in die Hände von Kriminellen gelangt sind.

Auf diese Weise ist das Datenleck bei Mindfactory überhaupt erst bekannt geworden. Deshalb konnte auch relativ schnell eine Warnung an die Kunden in einer Stellungnahme herausgegeben werden.

Zum Glück gibt es eine Menge Freemail-Provider, so dass an Mailadressen für solche Zwecke kein Mangel herrscht. Und wer einen eigenen Mailserver zur Verfügung hat, kann sich sehr schnell eine entsprechende Adresse „machen“. Das bisschen Prävention schützt nicht nur vor betrügerischen Versuchen, sondern erleichtert es auch, eine „verseuchte“ Mailadresse einfach stillzulegen, wenn die Flut der Spam alles andere mit sich zu reißen droht.

Gratis Download

Dienstag, 18. Januar 2011

Es ist nicht unbedingt Spam, auch wenn ich auf die Website mit diesem Angebot über einen etwas fragwürdigen Weg¹ aufmerksam gemacht wurde und auch, wenn die Website mit diesem Angebot zwar viele allgemeine Angaben in ihrem Impressum macht, nur nicht die eine Angabe, die man dort vielleicht ob des Titels „Impressum“ erwartet, nämlich die Angabe zur inhaltlichen Verantwortung. Aber man sollte sich schon einmal die Frage stellen, warum beim Angebot eines „Gratis Download“ [natürlich mit Deppen Leer Zeichen, damits auch besser für Google passt – wer schreibt denn noch für Menschen im Internet?]…

Screenshot: Gratis Download -- 63 wichtige Musterbriefe und Vorlagen für Selbständige und Unternehmer -- jetzt gratis downloaden -- Tragen Sie einfach Ihren Namen und Emailadresse ein und Sie bekommen Alles per Downloadlink zugesendet -- Ihre Daten werden niemals weitergegeben und Sie können sich jederzeit mit einem Klick austragen.

…nicht einfach – wie überall sonst, wo Dinge im Internet zum kostenlosen Download angeboten werden – ein direkter HTTP-Link auf das Angebot gesetzt wird und warum man dort stattdessen eine Mailadresse zusammen mit seinem Namen (!) angeben soll, um dann erst diesen Link in Form einer Mail (!) zu erhalten. Vor allem, wenn dies mit der Zusage einher geht, dass man sich doch „jederzeit mit einem Klick austragen“ kann, ganz so, als würde man mit dieser Angabe, die man eigentlich wegen eines einzigen Download-Angebotes macht, ein Einverständnis für die Zupflasterung des Mailpostfaches mit meist unerwünschter Reklame geben.

Wie gesagt, es ist nicht unbedingt Spam, aber es duftet schon recht markant. Ich wollte jedenfalls nicht ausprobieren, was da kommt, wenn man dort eine Mailadresse angibt – und würde das auch niemandem empfehlen. Dafür kenne ich eine ganze kriminelle Industrie – nicht, dass ich einen Zusammenhang mit diesem speziellen Angebot hier als Tatsache postulieren möchte, aber es gibt ganz generell eine organisierte Spam-Kriminaltät – deren größtes Problem im kriminellen Geschäft darin besteht, dass sie die Menschen nicht persönlich ansprechen kann und die deshalb großes Interesse an Datenbanken hat, in denen eine Mailadresse einem richtigen Namen zugeordnet wird. Auf diesem Hintergrund ist erst recht davon abzuraten, einem völlig anonymen Anbieter eine derartige Kombination von Daten auszuhändigen, nur um an einen Download zu kommen, der sich auf Seiten des völlig anonymen Anbieters auch auf technisch weniger komplexe Weise realisieren ließe.

Niemand wird sich einen unnötig hohen technischen Aufwand für ein einfaches Angebot machen. Und es ist auch beim mehrfachen Nachdenken nicht erkennbar, wieso eigentlich zusammen mit der Mailadresse ein Name angegeben werden sollte. Ich kann nur empfehlen, solche Angebote völlig zu meiden – es hat einfach Vorteile, wenn nur persönliche Bekannte und Geschäftspartner eine Kombination von Name und Mailadresse kennen und deshalb ein Großteil der Phishing-Versuche allein dadurch sofort erkennbar ist, dass sie mit einer unpersönlichen Ansprache ins virtuelle Postfach kommen. Diesen Vorteil sollte man nicht leichtfertig aufgeben.

Datenschutz im Internet beginnt damit, dass man mit seinen eigenen Daten sparsam umgeht und sie nicht an jeder möglichen Stelle angibt. Was nicht gesammelt werden kann, das kann auch nicht missbraucht werden.

¹Der „etwas fragwürdige Weg“ war ein Spam-Follower bei Twitter.