Anstelle von „Max Mustermann“ steht in der zitierten Spam ein richtiger Name – die vielen Wege, echte Namen zu den Mailadressen über Cracks und sicherheitstechnische Blauäugigkeit kommerzieller Anbieter zu ermitteln, werden also schon aktiv missbraucht. Das macht eine derartige Mail viel überzeugender und viel gefährlicher. Der kriminelle Versuch, den Rechner zu übernehmen, ist auch ansonsten sehr gefährlich, weil er in einem zumindest auf dem ersten Blick akzeptablen und halbwegs fehlerfreien Deutsch verfasst wurde. Einige seltsame Formulierungen darin fallen kaum auf. [Ich habe Anmerkungen in eckigen Klammern eingefügt.]
Sehr geehrter Kunde [sic!] Max Mustermann,
ärgerlicherweise hat unsere Finanz-Leitung [sic!] bei Ihnen eine offene Zahlung festgestellt [sic! Keine offene Forderung]. Bestimmt ist es Ihrer Beachtung [sic!] entgangen, die Rechnung für Ihre Bestellung zu überweisen [sic! Nicht „begleichen“].
Datum: 13.02.2013 Max Mustermann
Offene Rechnung: 692,99 Euro
Produkt-Nummer: 10563614 [sic! Sehr kundenfreundlich!]
Kosten dieser Mahnung: 2,00 EuroWir verpflichten Sie [sic!] den gesammten Betrag unter Angaben Ihrer Bestellnummer auf das im Vertrag angegebene Konto umgehen [sic!] zu überweisen.
Weitere Details entnehmen Sie bitte dem abgeschlossenen Vertrag. [sic! Kein Hinweis in einer alarmierend formulierten Mail, wofür der schon etwas erhebliche Betrag bezahlt werden soll.]
Mit freundlichen Grüßen Rheingauer Weinszene Eileen Hartmann
Das einzige, was an dieser Mail noch verdächtig ist – neben den teilweise unbeholfenen Formulierungskünsten der Spammer, die aber bereits eine große Verbesserung gegenüber dem „Standard“ der miesen Spam darstellen – ist der Verzicht auf eine „menschenlesbare“ Angabe, wofür jetzt immerhin fast 700 Euro fällig werden sollen. Einen derartigen Ton in Gelddingen würde sich keine Unternehmung herausnehmen, die auf ihre Kunden wert legt.
Im Anhang liegt eine Datei Kaufvertrag Max Mustermann.zip
mit einer Dateigröße von 21,1 KiB. Der Dateiname des ZIP-Archives ist ebenfalls der echte Name des Empfängers. In diesem ZIP-Archiv liegt ein weiteres ZIP-Archiv mit dem Dateinamen Kaufvertrag - Mahnkosten vom 22.02.2013.zip
. Eine derartige Verpackung eines Archives in einem Archiv sollte schon nachdenklich machen, denn sie ist objektiv unnötig, für Menschen schwieriger zu benutzen und soll vermutlich nur einige „Virenscanner“ übertölpeln. In diesem inneren ZIP-Archiv liegt eine Datei mit der Dateinamenserweitung .com
, was nicht etwa ein Dokumentformat, sondern eine direkt ausführbare Datei für Microsoft Windows ist.
Wer auf diese Datei geklickt hat, um sie damit auszuführen, hat verloren. Sein Computer ist jetzt ein Computer anderer Leute in Diensten der Internet-Kriminalität, seine Daten (zum Beispiel Mailarchive, Passwörter, lokale Dateien) können von Kriminellen abgegriffen werden und seine Internetleitung kann für kriminelle Zwecke beliebig missbraucht werden. Zurzeit wird die Schadsoftware von der Hälfte der gängigen Virenscanner nicht erkannt.
Aber wer klickt schon auf einen Mailanhang in einer angeblichen Rechnung von einer Unternehmung, von der er noch niemals etwas gehört hat? Zumal in der Mail keine Telefonnummer für eine schnelle Rückfrage angegeben wurde…
Gefährlich ist die Spam mit namentlicher Ansprache trotzdem, vor allem, wenn sie überzeugend formuliert ist.
Vorbeugung gegen Spams mit namentlicher Ansprache
- Äußerste Datensparsamkeit – Niemals ohne vernünftigen Grund so etwas wie den echten Namen, die Postanschrift oder die eigene Mailadresse im Internet angeben, auch wenn jemand (wie etwa Facebook oder Google Plus) meint, eine solche Angabe ohne vernünftigen Grund einfordern zu können. Ein vernünftiger Grund ist etwa die Angabe einer Lieferanschrift in einem Webshop. Kein vernünftiger Grund ist es, forenähnliche Websites oder „social media“ nutzen zu können oder eine so genannte „Registrierung“ oder „Aktivierung“ für bereits bezahlte Software vorzunehmen. Niemand ist vertrauenswürdig, überall kommt es zu „bedauerlichen Problemen“. Egal, ob es um eine Suchmaschine für Immobilien, um Gewinnspiele, um so genannte „soziale“ Websites, um Verleger, um Diskussionsforen für ein beliebtes Handy-Betriebssystem, um virtuelle Fleischmärkte, um Optiker im Internet oder um Anbieter von Computerspiele handelt. Die abgegriffenen Daten zirkulieren auf einem kriminellen Schwarzmarkt und können leicht gegeneinander abgeglichen werden, um fehlende Merkmale (wie etwa den Namen) aus anderen Beständen zu ersetzen, wenn eine Angabe wie die Mailadresse identisch ist. Niemand ist vertrauenswürdig, der sein Geschäftchen im Internet macht. Jeder Computer im Internet (auch der Computer, auf dem dieses Blog läuft) ist ein Opferrechner, der vielfältigen Angriffen ausgesetzt ist, die immer wieder einmal erfolgreich sein können. Wenn ein kommerzieller Websitebetreiber irgendwelche Zertifikate des TÜV und in Internet-Sicherhet machender Unternehmen bezahlt und das Geld nicht lieber für qualifizierte administrative Mitarbeiter ausgibt, die ein Auge auf den täglichen Wahnsinn haben, halte ich das für einen deutlichen Hinweis, dieser Klitsche überhaupt keine Daten anzuvertrauen. Nicht einmal relativ irrelevante.
- Mehrere Mailadressen benutzen – Wenn sich die Preisgabe von echten Daten nicht vermeiden lässt (zum Beispiel wegen einer Lieferadresse), dann einfach für jeden Anbieter, der solche Daten hat, eine eigene Mailadresse verwenden. Wenn dann derartige Spam ankommt, ist es leicht, zu erkennen, dass hier eine abgegriffene Mailadresse verwendet wurde. Der alarmierende Ton solcher Mails verflüchtigt sich auf diesem Hintergrund, bevor er zu unvernünftigen Taten motiviert hat.
- Mailanhänge und Links in E-Mails sind immer gefährlich – In diesem Fall war es relativ einfach, die Schädlichkeit des Anhangs zu erkennen, ohne ihn zu öffnen – eine ausführbare Datei ist kein „Rechnungsformat“, und die doppelte Verpackung sollte allein schon sehr skeptisch machen. Aber auch „unverdächtige“ Anhänge sind gefährlich. PDF-Dateien können Schadcode enthalten, der Sicherheitslücken im Adobe Reader ausnutzt, Word- oder Excel-Dokumente können Programmcode enthalten und sogar „harmlos“ aussehende Bilder sind in der Vergangenheit schon für Angriffe benutzt worden. Der Absender einer E-Mail ist beliebig fälschbar. Jede E-Mail, die nicht digital signiert ist, ist als nicht vertrauenswürdig zu betrachten. Wenn im Text einer E-Mail von teuren Rechnungen die Rede ist, aber der Rechnungsgegenstand nur einem Anhang zu entnehmen ist, handelt es sich beinahe immer um Schadsoftware im Anhang. Dass Unternehmen wie die Telekom Deutschland GmbH ähnlich vorgehen, begünstigt diese Masche – oder etwas drastischer gesagt: Jede große Unternehmung, die so etwas praktiziert, erzieht ihre Kunden zum Leichtsinn in der Nutzung von E-Mail und ist mitverantwortlich dafür, dass Spam weiterhin ein lohnendes kriminelles „Geschäft“ für die organisierte Kriminalität bleibt. Das sollte ruhig so kommuniziert werden, damit es aufhört.
- Kein blindes Vertrauen in „Antivirusprogramme“ – Die so genannten Antivirus-Programme laufen den Programmierern der Schadsoftware immer um ein bis zwei Tage hinterher. Selbst, wenn immer alle Updates eingespielt werden und die Signaturdatenbank auf dem neuesten Stand ist, sind solche Programme im besten Fall eine Ergänzung, aber kein Ersatz für ein Sicherheitskonzept für die persönliche oder gewerbliche Datenverarbeitung. Ich sage es gern noch drastischer: Diese Programme sind Schlangenöl. Gefährliches Schlangenöl, weil sie viele Menschen in einer trügerischen Sicherheit wiegen. Besser als dieses Schlangenöl ist ein Betriebssystem, das nicht so leicht angreifbar ist wie das Lieblingssystem der Internet-Verbrecher, Microsoft Windows. Die Leistungsfähigkeit heutiger Rechner macht es problemlos möglich, ein Betriebssystem in einer virtuellen Maschine eigens für die Internet-Nutzung aufzusetzen – und wenn hierfür ein freies und kostenloses System wie PCBSD oder Linux verwendet wird, fallen keine zusätzlichen Lizenzkosten an. Der Gewinn für die Sicherheit ist erheblich, und im Falle einer geschäftlichen Nutzung (Kaufen, Verkaufen, Bankgeschäfte) ist diese Vorgehensweise vermutlich der zurzeit beste Schutz¹. Warum das nicht in Computerzeitschriften steht? Um diese Frage zu beantworten, reicht es, sich anzuschauen, welche Schlangenölverkäufer in derartigen Zeitschriften ihre Werbung abdrucken lassen. Eine Presse, die für ihren Betrieb und Erwerb von Werbung abhängig ist, ist niemals eine freie Presse. Nirgends.
- Wenn es zu spät ist – Wenn man die erste Spam mit persönlicher Ansprache erhalten hat, ist es höchste Zeit, die Mailadresse zu wechseln und die neue Adresse jedem mitzuteilen, mit dem man in Kontakt bleiben möchte. Das gilt auch bei einer rein persönlichen Nutzung. Es ist davon auszugehen, dass missbrauchbare persönliche Daten unter Kriminellen zirkulieren, und diese Daten ermöglichen überzeugende Betrugsnummern über ein anonymisierendes Medium. Zum Beispiel wird eine Mail der Marke „Ich liege in Madrid fest und habe Geld, Kreditkarte und Ausweis verloren, kannst du mir bitte mal 200 Euro über Western Union rüberschicken, damit ich den Bürokratiekram erledigen kann und heute Nacht im Hotel unterkomme, ich gebs dir nächste Woche zurück“ sehr überzeugend, wenn sie mit korrekter Ansprache von jemanden kommt, den man kennt. Daten können mit anderen Quellen mechanisch abgeglichen werden, zum Beispiel auch mit Facebook; persönliche Beziehungen werden auch vor Verbrechern offengelegt. Die Spam ist billig, und wenn 20.000 derartige Spams zu 200 erfolgreichen Versuchen werden, haben Trickbetrüger für das schnelle (Zeitaufwand höchstens fünf Tage, wenn sie es wirklich gut machen) Schreiben eines Skriptes 40.000 Euro abgegriffen. Dass so etwas bei der teilweise hohen Qualität der über so genannte „soziale“ Websites abgreifbaren Daten eine Erfolgsquote von mehr als einem Prozent haben wird, erscheint mir sehr wahrscheinlich. Es ist nur eine Frage der Zeit, bis derartiger Trickbetrug zu einer Seuche wird.
- Man kann es nicht oft genug sagen – Der beste und wirksamste Schutz gegen Spammaschen mit persönlicher Ansprache ist äußerste Datensparsamkeit und die Verwendung von spezifischen Mailadressen für Kontexte, in denen diese Datensparsamkeit nicht möglich ist.
Diese in meinen Augen recht gefährliche und aktuelle Schadsoftware-Spam wurde mir von meinem Leser S. S. zugestellt. Bei mir kann so etwas kaum ankommen, weil ich äußerst sparsam mit meinen Daten umgehe. Danke.
¹Ich benutze ein virtuelles System zum Beispiel auch, um mir die aktuellen Websites der Spammer anzuschauen. Ein direkter Klick in eine Spam ist gefährlich. Die virtuelle Maschine ermöglicht es mir, einen Sicherungspunkt vor der Betrachtung anzulegen und den vorherigen Zustand wiederherzustellen. So lächerlich Spams auch oft aussehen, sie sind kein Spaß.