Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Schadsoftware“

New voicemail: 8:10AM

Samstag, 13. Mai 2017

Whats App -- Missed voicemessage. -- Details -- May 13 8:10 AM, 08 sec -- autoplay -- © Whats App

Ich fasse mich mal kurz, denn diese Spam ist auch kurz und erschreckend schlecht:

  1. Die Spam kommt nicht von WhatsApp. Das sieht man schon, wenn man auf die Absenderadresse schaut.
  2. Das richtige WhatsApp würde seine eigene Firmierung richtig schreiben, und nicht die Schreibweise „Whats App“ benutzen.
  3. Das richtige WhatsApp würde auch die eingestellte Sprache des jeweiligen WhatsApp-Nutzers verwenden. Auch die Angabe der Uhrzeit würde im hier üblichen Format erfolgen.
  4. Die so genannten „Details“ sind ein Witz. Sie teilen nichts Relevantes mit. Wichtiger als Datum und Uhrzeit ist für den Empfänger, wer ihn zu erreichen versucht hat. Aber um so etwas überzeugend schreiben zu können, müsste der Spammer etwas Persönliches über seine Empfänger wissen. Das ist in solcher Massenware nicht möglich.
  5. Um überhaupt etwas zu erfahren, muss man in die Spam klicken. Der Link führt auf eine von Kriminellen betriebene Website, die nicht in der Domain von WhatsApp liegt – das sieht man übrigens, wenn der Mauszeiger über dem Link ist. Dort gibt es… ähm… eine von Kriminellen durchgeführte, kostenlose „Sicherheitsprüfung“ des Betriebssystemes und der verwendeten Internet-Software. Wer da klickt, lasse alle Hoffnung fahren!

Das ist genau das Strickmuster von E-Mail-Spam, in das man niemals hineinklicken sollte. Warum nicht? Darum nicht. Alles weitere habe ich schon so oft geschrieben, dass ich hier nur noch auf meine älteren Texte verweisen möchte. E-Mail ist zwar praktisch, aber eben auch gefährlich.

Die Spam einfach löschen!

Und bitte generell niemals in E-Mail herumklicken, wenn nicht jenseits jedes vernünftigen Zweifels klar ist, wer der Absender ist – das bedeutet in der Praxis: wenn die E-Mail digital signiert ist und man diese Signatur auch überprüft hat – und diesem Absender vertraut werden kann. Bei E-Mail von WhatsApp, Facebook, Banken, Versandhäusern und dergleichen: Wenn man sich unsicher ist, ob die E-Mail echt sein könnte, einfach den Webbrowser aufmachen, die jeweilige Website direkt aufrufen (die Webbrowser haben übrigens seit dem Mosaic Netscape 0.95 beta aus dem Jahr 1994 sehr praktische Lesezeichenfunktionen) und schauen, ob dort wirklich etwas vorliegt! Diese einfache Vorsicht ist wesentlich wirksamer als jedes Antivirus-Schlagenöl und kann eine Menge Geld, Ärger, Dateiverluste und mit den Folgen krimineller Sabotagen verschwendete Lebenszeit einsparen. Übrigens schützt sie auch vor Phishing. Also bitte generell niemals in E-Mail herumklicken… ja, ich wiederhole mich. ;)

Warum man immer mit wirksamem Adblocker surft

Donnerstag, 30. März 2017

Wir unterbrechen unser reguläres Programm für eine interessante und wichtige Durchsage des Bundesamtes für Sicherheit in der Informationstechnik, die Hervorhebung ist von mir:

Die Manipulation von Webseiten ist ein weit verbreitetes Mittel, Cyber-Angriffe durchzuführen. Angreifer verstecken dazu schädliche Programme auf Webseiten, die sich durch eine Sicherheitslücke beim Besuch der Webseite selbst auf den Rechner des Anwenders aufspielen. Häufig wird derartige Schadsoftware verwendet, um Daten auszuspionieren oder Schaden auf dem Zielrechner zu verursachen. Eine der Hauptursachen für diese sogenannten Drive-by-Angriffe sind schädliche Werbebanner. Diese werden von unbekannten Dritten bereitgestellt oder von Agenturen vermarktet und werden häufig ohne Überprüfung oder Qualitätskontrolle in eine Webseite eingebunden. Auf diese Weise werden auch populäre und ansonsten gut abgesicherte Webseiten Ausgangspunkt von Cyber-Angriffen

!Wirksame Adblocker schützen vor den Angriffen der „Cyber-Kriminellen“, denn eine der Hauptursachen für derartige Angriffe sind verseuchte Werbebanner, die über typische gegenwärtige Werbenetzwerke in andere Websites eingebettet werden. Ja, das ist die Ansage des BSI, nicht die im geduldigen Internet veröffentlichte Meinung eines „dahergelaufenen Bloggers“ wie mir, die leider meist ignoriert wird.

Zum Beispiel werden solche Werbebanner auch immer wieder einmal in die journalistischen Websites eingebettet, die ihre Besucher teils aufdringlich mit vorsätzlich irreführenden Texten und lustigen Versuchen der Technikverhinderung zum Abschalten ihrer Adblocker nötigen wollen – damals wie heute. Bei der alltäglichen Webnutzung ist ein wirksamer Adblocker ein wichtigeres und wirksameres Schutzprogramm als ein so genanntes Antivirus-Programm.

Lassen sie sich niemals dazu überreden, einen Webbrowser ohne Adblocker zu benutzen. Es ist gefährlich. Sie würden sich ja auch nicht dazu überreden lassen, ihr Antivirus-Programm abzuschalten, damit das Geschäftsmodell eines anonymen (und verantwortungslos vorgehenden) Gegenübers im Web besser funktioniert.

Und achten sie bitte einmal darauf, ob und wie ihr bevorzugtes journalistisches Webportal heute über diese Presseerklärung des Bundesamtes für Sicherheit in der Informationstechnik berichtet! Ich befürchte, die für die meisten Leser wichtigste, direkt zu einem wirksamen Schutz vor der gegenwärtigen Internet-Kriminalität führende Information aus dieser Presseerklärung wird ihnen von den Qualitätsjournalisten unterschlagen. Daraus können sie dann lernen, was sie, ihr Leben, ihr Schutz vor kriminellen Machenschaften, ihre Privatsphäre und ihre Computersicherheit denjenigen Journalisten wert sind, von denen sie sich täglich die Meinung bilden lassen. Und dann kommen sie bitte nie wieder auf die Idee, ihren Adblocker abzuschalten, weil ein Presseorgan sie darum bittet!

(Vielleicht kommt es ja gar nicht so schlimm und ich sehe nur schwarz. Aber ich habe die Verantwortungslosigkeit und Chuzpe von Journalisten und Pressewebsites in den letzten Jahren als nahezu unendlich kennengelernt.)

Weitere Lektüre zu diesem Thema findet sich unter dem Schlagwort Adblocker hier auf Unser täglich Spam. Gerade die vielen kleinen Artikel, die sich mit dem Versuchen von Presseverlegern beschäftigen, Adblocker kriminalisieren und verbieten zu lassen, sind auf dem Hintergrund der heutigen Ansage des BSI sehr interessant geworden.

Nachtrag 31. März 2017, 0:25 Uhr

Für Allergiker möchte ich vorab warnen, dass dieser Nachtrag ein bisschen bitter schmeckende Galle enthält.

Ich habe keine Mühe gescheut und eben mit Google News nach dem Suchbegriff BSI gesucht. Es gibt gemäß diesem Suchbegriff zurzeit insgesamt drei auf Google News aggregierte journalistische Produkte, die heute über die nicht ganz unwichtige Pressemitteilung des BSI berichtet haben:

  1. Netzpolitik.org – BSI bestätigt: Werbebanner liefern Schadsoftware aus
    Klare und knackige Information, das für Computernutzer Wichtigste steht bereits in der Überschrift, es werden klare Hinweise zum Schutz gegeben und es wird dar Lobbyismus des Presseverlagswesens in der BRD benannt, der alles daran setzt, diese Schutzmöglichkeit zu kriminalisieren. Nun gut, etwas anderes war von Netzpolitik auch nicht zu erwarten.
  2. Golem.de – BSI beschwichtigt und warnt vor schädlichen Werbebannern
    Eine klar formulierte Meldung, die in der Überschrift bereits das für Computernutzer Wichtigste ausdrückt und im Text im Wesentlichen die Presseerklärung des BSI mit anderen Worten wiedergibt und zusätzlich den Hintergrund ein wenig beleuchtet. Genau das, was ich vom Journalisten erwarte, aber nur selten geliefert bekomme. Angesichts der Tatsache, dass Golem einen wohl erheblichen Teil seiner Einnahmen durch die Einblendung von Werbebannern erwirtschaften wird, ist dies einer dieser seltenen und lobenswerten Fälle von Journalismus, der auf Aufklärung setzt, statt einer dem Leser niemals deutlich kommunizierten Agenda des Vertretens wirtschaftlicher Eigeninteressen zu folgen. Dafür ein ganz dickes Lob von mir! (Und ich vergebe das wirklich ungern!)
  3. Bayerischer Rundfunk – Neuer Hackerangriff auf Bundestag
    Das, was Journalisten so sehr am Wort „Lügenpresse“ verletzt, ist vor allem die einfache Tatsache, dass es sich beim besten Willen nicht um eine „Wahrheitspresse“ handelt. Der bayerische Rundfunk verschweigt nicht nur den für Computernutzer wesentlichen Teil der BSI-Presseerklärung, sondern zieht sich einen völlig anderen Infektionsweg aus dem Arsch, der überhaupt keinen Gedanken an Adblocker aufkommen lassen kann. Bitte gut festhalten:

    Bekannt ist lediglich, dass die Abgeordneten ihre Rechner infizierten, als sie eine möglicher Weise gefälschte Nachrichten-Site im Ausland ansurften

    Ich wünsche Ihnen auch weiterhin viel Spaß beim Bezahlen der so genannten Rundfunkgebühr, die in Wirklichkeit eine Abgabe zur Finanzierung der Verblödung der Bevölkerung der Bundesrepublik Deutschland ist!

Alle anderen journalistischen Organe haben entweder die Presseerklärung des BSI komplett vor ihren Web-Lesern verheimlicht oder lehnen es neuerdings ab, in Google News gelistet zu werden, weil sie keine Leser mehr zu den eingeblendeten Werbebannern (können zwar Spuren von gefährlicher Schadsoftware enthalten, aber Geld stinkt ja nicht) locken wollen. Angesichts des SEO-Aufwandes, den diese Pressepublikationen ansonsten betreiben, um gut in Google gelistet zu werden, kann die zweite Erklärungsmöglichkeit wohl vollständig ausgeschlossen werden.

Ich wünsche den Presseverlagen, die in meiner Achtung seit rd. zwanzig Jahren jeden Monat ein bisschen tiefer gesunken sind, viel Spaß auf ihrem Weg in die Irrelevanz und Insolvenz!

Nachtrag 1. April 2017, 0:25 Uhr

Nicht nur mir ist das merkwürdige Schweigen der Pressepublikationen zu einem bemerkenswerten und als Nachricht interessanten Vorgang – immerhin ist der Kontext ein gemutmaßter „Cyberangriff“ auf den Deutschen Bundestag – aufgefallen, sondern auch Mike Kuketz. Die dort geäußerte Meinung, wie es zu diesem brüllend lauten Schweigen kommt, entspricht völlig meiner.

Wenn sie nicht zum Opfer von Verbrechern werden wollen, sollten sie sehr darauf achten, dass sie sich nicht ausschließlich aus Presseorganen informieren. Das Internet ist großartig. Nutzen sie es einfach!

Quelle des Piktogrammes mit dem Ausrufezeichen: Openclipart.

Ihre Postbank – Wichtige Informationen fur Sie

Montag, 26. Dezember 2016

Nein, diese E-Mail kommt nicht von der Postbank. Es ist eine Spam. Sie kommt auch bei Menschen wie mir an, die gar nichts mit der Postbank zu tun haben. Sie wird auch an Honigtopf-Mailadressen gesendet.

Von: Postbank-Center <storm2 (at) bsvst (punkt) ru>

Wenn der Spammer schon eine Absenderadresse fälscht, dann könnte ja auch eine nehmen, die so aussieht, als hätte sie etwas mit der Postbank zu tun.

Datum: 26. Dezember 2016, 07:29 Uhr

Typische Postbank-Arbeitszeiten eben! :mrgreen:

Die eigentliche Mail ist ohne Text; sie besteht in ähnlicher Weise wie die kürzliche Phishing-Kampagne der angeblichen „Deutschen Bankengemeinschaft“ nur aus drei Grafiken. Wer eine gute Mailsoftware in ihren Standardeinstellungen benutzt, sieht gar nichts. Leider tun viele Menschen das nicht, und die sehen den folgenden Überrumpelungsversuch:

Screenshot der Spam -- Postbank -- Sehr geehrter Postbank Kunde, -- Die Sicherheit unserer Kunden steht für uns an erster Stelle. Aus diesem Grund entwickeln wir unsere Sicherheitsstandards stetig weiter. Wir bitten Sie daher, ihr Konto für unsere neuste Digital Zertifizierte Bankingapp freizuschalten. Sie profitieren anschließend von Vorteilen wie dem digitalen Unterzeichnen von Aufträgen oder dem Freigeben von eingehenden Zahlungen. Schützen Sie Ihr Konto gegen unberechtigten Zugriff und sichern Sie sich vor Bedrohungen aus dem Internet ab. Befolgen Sie die nächsten Schritte bitte aufmerksam. Dieser Vorgang nimmt nur wenige Minuten in Anspruch. -- Buttonartige Grafik: Zum nächsten Schritt -- Durch das Herunterladen und Installieren bringen Sie ihr Smartphone auf den neusten Stand. Wir danken für Ihr Verständnis -- Mit freundlichen Grüßen, Ihr Postbank Kundenservice

Der Link auf der Grafik „Zum nächsten Schritt“ führt dann auch nicht in die Website der Postbank, sondern in die Website einer obskuren Subdomain von 92nshffh4 (punkt) ru. Das sieht man übrigens vorm Klicken, wenn man in die Statuszeile seiner Mailsoftware schaut – niemand muss sich also der Gefahr aussetzen, sich dort auch noch Schadsoftware einzufangen. Doch selbst, wenn einem der Blick auf die Statuszeile zuviel Mühe ist, lässt sich diese E-Mail beim Lesen leicht als Sondermüll erkennen.

  1. Die unpersönliche Anrede „Sehr geehrter Postbank Kunde“ (mit Deppen Leer Zeichen) würde in einer echten E-Mail der Postbank nicht verwendet werden.
  2. Normalerweise wird sich eine Mitteilung an einen Bankkunden auf ein bestimmtes Konto beziehen (wenn es keine Reklame der Bank ist). Dieses Konto wird immer genannt werden. Es ist nicht so selten, dass ein Mensch mehrere Konten unterhält. Spammer wissen die Kontonummer in der Regel nicht.
  3. Technische Wartungsarbeiten wie „ihr Konto für unsere neuste [!] Digital Zertifizierte Bankingapp freizuschalten“ gehören weder in den Aufgabenbereich noch in den Möglichkeitsbereich eines Bankkunden; so etwas wird von der Bank erledigt, ohne dass die Kunden überhaupt etwas davon mitbekommen.
  4. Worin liegt der vom Spammer angepriesene Vorteil beim „digitalen Unterzeichnen von Aufträgen“? Aufträge konnten auch vorher rechtssicher erteilt werden, und dies führte zu keinerlei Problemen bei der Abwicklung.
  5. Worin liegt der vom Spammer angepriesene Vorteil beim „Freigeben von eingehenden Zahlungen“? Ist es so typisch für Postbank-Kunden, dass sie sagen: „Nee, diese Buchung mit meinem Weihnachtsgeld, die will ich nicht“?
  6. Das Konto vor unberechtigtem Zugriff zu schützen ist Aufgabe der Bank. Wenn sie diese Aufgabe nicht erfüllen kann, sollte man ihr kein Geld und keinerlei andere Dinge von Wert anvertrauen.
  7. „Wir danken für Ihr Verständnis“ ist eine leserverachtende, pseudohöfliche, arrogant-widerliche Formel zur unterschwelligen Beschimpfung von Menschen, die wohl meist kein Verständnis haben werden. So etwas würde der echten Postbank hoffenlich niemals rausflutschen. Wer auch nur eine Spur Respekt vor seinen Kunden hätte, würde natürlich um Verständnis bitten, statt sich für das nicht vorhandene Verständnis zu bedanken.

So viel nur zu diesen wenigen Worten.

Die in der Spam verlinkte Website ist inzwischen zum Glück nicht mehr erreichbar – offenbar wollte der Hoster nicht zum Komplizen der Verbrecher werden und hat den Stecker gezogen. Es ist davon auszugehen, dass morgen schon die nächste Fuhre Spam mit dann wieder funktionierenden Links ausgeliefert wird. Auf der verlinkten Website eingegebene Daten gehen direkt an die Organisierte Kriminalität, und eine von der verlinkten Website heruntergeladene App für das Smartphone wird das reinste Schadsoftware-Gift sein und aus dem Smartphone ein Smartphone anderer Leute machen. (Ein eventuell laufendes Antivirus-Programm auf dem Smartphone wird vermutlich nicht davor schützen.)

Der beste, wichtigste und wirksamste Schutz vor Phishing und derartigen Überrumpelungen besteht nach wie vor darin, niemals in eine derartige E-Mail zu klicken, und zwar völlig unabhängig davon, wie „echt“ sie aussieht. Einfach die Website der Bank aufrufen und sich dort ganz normal anmelden – wenn wirklich ein Problem vorliegt, das Handeln erfordert, wird das dort ebenfalls unübersehbar angezeigt werden.

Diese leider immer noch erschreckend erfolgreiche Form der Spam funktioniert nur, wenn dem Empfänger ein Link untergeschoben werden kann. Und das geht nur, wenn der Empfänger in die Mail klickt. Deshalb: Immer daran denken, dass E-Mail gefährlich ist, dass der Absender gefälscht sein kann und dass das typische Design einer Bank oder eines Unternehmens leicht imitiert werden kann¹. Niemals in eine E-Mail einer Bank oder eines anderen Unternehmens klicken, mit dem man Geschäfte macht! Immer die Website direkt im Browser aufrufen! Diese ebenso einfache wie wirksame Vorsichtsmaßnahme kann einem sehr viel Geld und Ärger ersparen…

¹Jedes aufgeweckte Kind kann E-Mail-Absender fälschen, genau so, wie jeder Mensch jeden beliebigen Absender auf einen Brief schreiben könnte, der mit der Sackpost versendet wird. Und die Übernahme grafischer Elemente aus einer „corporate identity“ ist von banaler Einfachheit, wie man sehr „schön“ an diesem Postbank-Beispiel gesehen hat. Natürlich könnten Banken endlich damit beginnen, kryptografisch signierte E-Mail zu versenden und unter ihren Kunden für die Überprüfung dieser Signaturen zu werben, um den Phishing-Sumpf ein für allemal auszutrocknen, aber das ist nicht erwünscht. An etwas anderem als den (mutmaßlich politischen) Wünschen kann es nicht scheitern. Es würde im täglichen Prozess kein Geld kosten, wäre in der Programmierung eher unaufwändig und hätte keine damit verbundenen Nachteile. Banken und große Unternehmen, die sich auch im Jahr 2016 noch verweigern, E-Mail kryptografisch zu signieren, sind Helfershelfer der Organisierten Kriminalität und sollten das auch immer wieder einmal von ihren Kunden mitgeteilt bekommen.

Booking Confirmation

Donnerstag, 15. Dezember 2016

Oh, im Honigtöpfchen…

Booking Confirmation

Das hast du schon im Betreff gesagt, Spammer!

This email and any attachments are confidential. If you have received it in error – notify the sender immediately, delete it from your system, and do not use, copy or disclose the information in any way. Kirklees Council monitors all emails sent or received.

Aha, eine E-Mail, die eine ganz geheime Geheimsache, weshalb sie unverschlüsselt und lesbar wie eine Postkarte durch das Internet geht (und dabei angeblich von irgendeinem durch die Leitungen fliegenden Superhelden bewacht wird). Dafür steht aber auch gar nichts drin. Stattdessen gibt es einen Anhang, der…

$ file BookingConfirmation_61429_a9c32xv4@tamagothi.de.doc 
BookingConfirmation_61429_a9c32xv4@tamagothi.de.doc: Microsoft Word 2007+
$ _

…ein Dokument für Microsoft Word ist¹. Dieses kann beliebige Makros enthalten, die beim Öffnen des Dokumentes ausgeführt werden. Das sind „richtige Programme“, die innerhalb von Microsoft Word ausgeführt werden und im Großen und Ganzen alles können, was jede ausführbare Datei für Microsoft Windows auch kann. Wenn das schon einmal zugelassen wurde, kann die Makroausführung sogar automatisch und für den Anwender unsichtbar geschehen. Das ist immer noch in sehr vielen Unternehmen der Fall, weil vor einigen Jahren ganz viele Menschen die Idee hatten, dass das Microsoft-Office-Paket eine gut geeignete Runtime für allerlei betriebliche Software sei. Und heute haben sie halt den Salat!

Was wird ein krimineller Spammer wohl in so einer Form an jede Mailadresse versenden, die er irgendwie im Web einsammeln kann? Richtig: Es ist die kriminelle Pest.

Auch weiterhin gilt: Mailanhänge sind grundsätzlich mit äußerster Vorsicht zu behandeln! Niemals einen Mailanhang öffnen, der nicht vorher und über einen anderen Kanal als E-Mail explizit vereinbart wurde! Im Zweifelsfall und wenn es doch einmal eilig sein könnte: Die Zeit für ein kurzes Telefongespräch mit dem vorgeblichen Absender ist immer. Und Mailanhänge von Unbekannten verbieten sich von selbst. Ein Unternehmen, in dem diese einfachen Regeln nicht von Jedem und Jeder befolgt werden, findet sich schnell in der gleichen Lage wieder, in der vor einigen Monaten die Stadtverwaltung Dettelbach war. Wenn dann mit einer guten und regelmäßig überwachten Backup-Strategie vorgesorgt wurde, bedeutet das einige Stunden Betriebsausfall bei weiterlaufendem Kostenapparat, und wenn nicht vorgesorgt wurde, bedeutet es bei hinreichend großem Schaden sogar das Ende einer wirtschaftlichen Unternehmung.

Übrigens: Mein Mitleid mit zerstörten Unternehmen, die es trotz gefährlicher, E-Mail betriebener Internet-Kriminalitätsformen im Jahre 2016 immer noch nicht geschafft haben, wenigstens innerbetrieblich digitale Signaturen für ihre E-Mail-Kommunikation zu verwenden (und dies auch wichtigen Geschäftspartnern zumindest nahezulegen), ist außerordentlich klein. Alles, was dafür benötigt würde, ist seit anderthalb Jahrzehnten fertig und kostet nichts. Zu schade, wenn es für „Entscheidungsträger“ – das ist Neusprech für Menschen, die Geld zum Fenster hinauswerfen und sich deshalb unfassbar wichtig nehmen – nur eine Informationsquelle gibt, nämlich die Werbung und die Schleichwerbung in der Fachjournaille, aus der man niemals etwas über kostenlose Produkte erfährt.

¹Die Mailadresse aus dem Dateinamen existiert jetzt nicht mehr…

Strafanzeige gegen (Name) Sehr geehrte Frau wegen Betrug bzw. Versuch

Montag, 5. Dezember 2016

KEINE PANIK! Diese E-Mail kommt natürlich nicht von einer Polizei, sondern ist eine Spam mit Schadsoftware-Anhang.

Auf gar keinen Fall den Anhang öffnen!

Es ist zu schade, dass diese Masche nicht bei mir angekommen ist. Die folgenden Zitate habe ich dem Artikel „Trojaner-Warnung! Hinter einer Strafanzeige versteckt sich ein Trojaner“ bei mimikama entnommen und hier ein bisschen kommentiert, um den wichtigsten und besten Spamfilter damit zu schulen: Das Gehirn.

Bevor auch nur ein einziges Wort der Spam betrachtet wird, eine wichtige Feststellung: Die Polizei verschickt solche E-Mail nicht. Die Vorstellung, dass eine polizeiliche Ermittlung in einer Strafsache, die ja doch empfindlich in die Privatsphäre des Betroffenen hineinragt und bei Bekanntwerden (wer geht denn immer erst einmal von Unschuld aus) erhebliche Konsequenzen haben kann, mit einer unverschlüsselten und offen wie eine Postkarte durch das Internet bewegten E-Mail mitgeteilt wird, ist schlechterdings absurd. Sicher, ich habe im Laufe meines Lebens so einige Polizeibeamte kennengelernt, die nicht die hellsten Leuchten im Lampenladen waren, aber dermaßen unterbelichtet wird keiner sein. Vor allem, weil so eine grobe Pflichtvergessenheit ein disziplinarrechtliches Nachspiel hätte, zu dessen Folgen auch eine Kürzung der Bezüge und später eine geringere Pension gehörten.

Also noch einmal: Die Polizei verschickt solche E-Mail nicht. Stattdessen gibt es einen Brief, der mit der Sackpost kommt. In diesem Brief wird die Ermittlung mitgeteilt und ein Termin genannt, zu dem man seine Aussage bei der Polizei machen kann. (Das muss man übrigens nicht, und ich – als Nichtjurist, der keine Rechtsberatung geben darf, wohlgemerkt – rate jedem davon ab, außer es handelt sich ganz sicher um ein Missverständnis, das sich sehr leicht ausräumen lässt, ohne dass die Staatsanwaltschaft weiter tätig werden muss.) Ein solcher Brief ist selbstverständlich von einem Polizeibeamten unterschrieben und enthält auch eine Telefonnummer für eventuelle Rückfragen (oder zum Aushandeln eines anderen Termins, wenn man doch eine Aussage bei der Polizei machen möchte, obwohl das nicht muss).

Schon dieses Wissen, das meiner Meinung nach zur Allgemeinbildung gehört, macht völlig klar, dass die Mail nicht echt ist, sondern nur einen Zweck hat: Dem Empfänger einen gehörigen Schrecken einzujagen, damit er ohne Gehirnbenutzung den Anhang der Spam öffnet. Der ist hier natürlich eine in einem Word-Makro untergejubelte Schadsoftware.

Diese Spam ist vor allem deshalb sehr gefährlich, weil…

  1. …die Masche neu ist, und weil
  2. …der Empfänger namentlich angesprochen wird.

Wer wissen möchte, woher die Kriminellen seinen Namen haben und wie sie diesen zu einer Mailadresse zuordnen konnten, fühle sich von mir aufgefordert, einen Blick in die Datenschleuder-Seite zu werfen. Das kann allerdings sehr schlechte Laune machen.

Und nun zum Text der Spam, der hier, wie schon erwähnt, nach mimikama.at zitiert wird.

Von: Polizei Dienststelle Cyber <manske (at) polizeiwache (punkt) online>

So so, „Dienststelle Cyber“. :mrgreen:

Betreff: Strafanzeige gegen (Vorname) Sehr geehrte Frau wegen Betrug bzw. Versuch

Aha, eine Strafanzeige gegen „Sehr geehrte Frau“. Sehr überzeugend. ;)

(Nachname + Vorname) Sehr geehrte Frau,

Offenbar waren die Absender des Deutschen nicht so mächtig und bevorzugten deshalb die Grußformel „Elias Schwerdtfeger Sehr geehrter Herr“ anstelle von „Sehr geehrter Herr Elias Schwerdtfeger“, was auf der Stelle weiteren Zweifel daran erwecken sollte, ob hier wirklich ein Polizeibeamter schreibt, der solche Texte sicherlich schon häufiger geschrieben hat. ;)

vorab per Mail, Ihre schriftliche Ladung folgt in Kürze.

Nun, das ist zur Abwechslung einmal ein halbwegs realistisch aussehender Textbaustein. Allerdings: Eine derartige Mitteilung über eine polizeiliche Ermittlung in einer unverschlüsselten, offen durch das Internet transportierten E-Mail wäre ein Verstoß gegen geltende Datenschutzgesetze der Bundesrepublik Deutschland. Und das ist auch der Grund, weshalb richtige Polizeien so etwas nicht tun würden.

Von der Dienststelle in Stuttgart wurde uns ein Verfahren gegen Sie übergeben.
Es geht um mehrere Fälle von Betrug bzw. versuchten Betrug auf der Handelsplattform quoka.de.
Nach Aktenlage sind Sie Beschuldigter in diesem Verfahren und werden in Kürze geladen.

Ah ja! Und warum werde ich nicht gleich „geladen“?

Im Anhang finden Sie eine Kopie der uns vorliegenden Akte als Microsoft Word Datei (Passwortschutz ist aktiviert, das Passwort lautet „verfahren2016-3248882″ – ohne Anführungszeichen.)

Spätestens bei diesem Absatz sollte jedem nach sehr kurzem Nachdenken klar sein, dass etwas nicht stimmt.

Warum?

Nun, welchen Zweck sollte es haben, jemanden ein verschlüsseltes Dokument zuzustellen und ganz offen für jeden eventuellen Mitleser dazuzuschreiben, wie man das Dokument entschlüsselt. Das wäre doch hirnrissig. Da könnte man es doch gleich in Klartext anhängen.

Natürlich hat diese Verschlüsselung sehr wohl einen Zweck: Sie verhindert einen automatischen Virenscan auf dem Mailserver, denn das Antivirus-Programm kann ja den Text der Mail im Gegensatz zu einem menschlichen Leser nicht verstehen und deshalb die Anweisung zur Entschlüsselung nicht ausführen. Diese Idee, Schadsoftware in einem verschlüsselten ZIP-Archiv zu versenden, ist auch keinesfalls eine neue. Ich habe sie vor rd. zwei Jahren zum ersten Mal in meinem Posteingang gesehen, und was ich damals dazu schrieb, hat auch heute noch uneingeschränkte Gültigkeit.

Wie gesagt: Spätestens bei dieser völlig sinnlosen Verschlüsselung kann jeder nach recht kurzem Nachdenken bemerken, dass die Geschichte nicht stimmen kann. Denn die Polizei…

Mit freundlichen Grüßen,
Manske M. – Kriminaloberkommissar
Polizeiinspektion Cyberabteilung – Polizeihauptwache Köln- Stockholmer Allee 1, 50765 Köln, Tel: 0221-554xxx

…ist doch nicht dümmer, als die Polizei erlaubt.

Auch in Zukunft gilt: Das beste Mittel zur Herstellung von Computersicherheit ist ein Gehirn, das vor jedem Klick in eine Mail kurz nachdenkt. In diesem Fall war es relativ klar, dass die Behauptungen, mit denen Menschen zum Start von Schadsoftware überrumpelt werden sollten, nicht stimmen können.

Dennoch befürchte ich, dass es diesmal zehntausende Opfer gibt – und viele von ihnen werden wohl demnächst bang Euro in Bitcoin tauschen und darauf hoffen, dass sie wieder Zugriff auf ihre Dokumente, Korrespondenz, Fotos, Filme, Musik haben. Gegen diese Gefahr gibt es übrigens auch ein gutes, einfach anzuwendendes und billigeres Mittel, das man allerdings vorsorglich anwenden muss: Das regelmäßige Anlegen von Datensicherungen mit teilweise sehr einfach zu bedienender Software. Aber wenn es dafür zu spät ist, dann ist es dafür zu spät. Von Geldzahlungen an Schadsoftware-Spammer und Erpresser rate ich strikt ab. Dieses Pack darf meinetwegen gepflegt verhungern!

Ihr System wird von (vier) Virus schwer beschädigt

Freitag, 2. Dezember 2016

DON‘T PANIC! ;)

Wer diese (oder eine ähnliche) Meldung beim Besuch einer Website auf seinem Android-Handy sieht, sollte sich nicht eine Sekunde lang beunruhigen lassen und schon gar nicht auf die Idee kommen, sich wegen einer derartigen Meldung eine App auf seinem Handy zu installieren – diese wird nämlich mit Sicherheit eine Schadsoftware sein, die alles halten wird, was der Text nur „versprechen“ kann:

Auf der Seite http://us.amarketa.top steht: Ihr System wird von (vier) Virus schwer beschädigt. -- Wir erkennen, dass ihr Generic Android 2.0 28,1% BESCHÄDIGT wegen vier schädlichen Viren aus den jüngsten Erwachsenen-Sites. Bald wird es ihres Telefones SIM-Karte beschädigt werden und korrupt Ihre Kontakte, Fotos, Daten, Anwendungen, usw. -- Wenn Sie den Virus nicht entfernen jetzt, wird es zu schweren Schäden an Ihrem Telefon führen. Hier ist, was sie (Schritt für Schritt) tun müssen: -- Schritt 1: Taste tippen und installieren AppLock kostenlos bei Google Play! -- Schritt 2: Öffnen der App zu beschleunigen und Ihrem Browser

Auf der Seite http://us.amarketa.top steht: [Wiederholter Text aus dem zweiten Screenshot entfernt] beheben jetzt! -- ACHTUNG! -- Das Generic Android 2.0 ist mit Viren infiziert und Ihrem Browser ist schwer beschädigt. Sie müssen Viren entfernen und sofort Korrekturen vornehmen. -- Es ist notwendig, jetzt zu entfernen und zu beheben. -- Sie dieses Fenster nicht schließen. -- **Wenn Sie verlassen, werden Sie in Gefahr sein** -- [OK]

Dass es sich hier keineswegs um eine Systemmeldung handelt, sollte schon die lustige Sprache klar machen, mit der hier naiven Anwendern ein schwerer Schrecken eingejagt werden soll, damit sie vor Schreck etwas sehr, sehr Dummes tun.

Aber dass die Leute, die hier mit irreführenden, beängstigenden und zur Eile drängenden Texten anderen Leuten eine App aufschwatzen wollen, demnächst etwas geschickter in ihrer Präsentation werden, halte ich für relativ sicher. Und nein, dass man eine App über Google Play installiert, bedeutet leider niemals, dass es sich nicht doch um einen Trojaner oder eine sonstige Schadsoftware handelt – und auch eine gut aussehende Bewertung der App und vertrauenerweckende Kommentare sind für Spammer schnell geschrieben.

Vielen Dank für die Screenshots an B.G.!

Delivery status

Dienstag, 22. November 2016

Dear Client! Our delivery department could not accept your operation due to a problem with your current account.
In order to avoid falling into arrears and getting charged, please fill out the document in the attachment as soon as possible and send it to us.

Es ist eigentlich nicht der Rede wert, aber leider fallen doch immer wieder Menschen auf so etwas herein. Der Anhang ist wie üblich ein ZIP-Archiv…

$ unzip -l document_info.zip 
Archive:  document_info.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
    12853  2016-11-22 11:00   0YI8F0V1R3BTB4SU140-WXGNRMR19QL1U5.js
---------                     -------
    12853                     1 file
$ _

…in dem nur eine einzige Datei enthalten ist, und zwar ein vorsätzlich unlesbar gecodetes Javascript-Programm, das im Windows Script Host ausgeführt wird, wenn man darauf klickt. Es handelt sich also um eine ausführbare Datei für Microsoft Windows, die mit einer E-Mail-Spam zugestellt wurde. Wer darauf klickt, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Und diese anderen Leute sind Kriminelle.

Wie gewohnt bieten Antivirus-Programme in vielen Fällen keinen Schutz, da sie nur Schadsoftware erkennen können, die beim Hersteller der Antivirus-Programme schon bekannt ist.

Deshalb: Niemals einen Anhang einer E-Mail öffnen, wenn dieser nicht vorher und über einen anderen Kanal als E-Mail explizit verabredet wurde! Das Gehirn ist und bleibt der beste Virenschutz.

[Scan] 2016-1111 06:35:28

Freitag, 11. November 2016

So so, ein Scan… und zwar zusammen mit einer Mail ohne Text, aber dafür…


Sent with Genius Scan for iOS.

…mit Reklame für eine Scan-Software. Weil wir alle viel zu wenig Reklame in unserem Leben sehen. Ich will mal hoffen, dass die echte Software auf eine derartige Vergällung der Kommunikation mit Reklame verzichtet.

Und natürlich mit einem Anhang. Dieser besteht zwar nur aus…

$ unzip -l 2016-1111\ 06-35-28.zip 
Archive:  2016-1111 06-35-28.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
    20599  2016-11-10 16:41   PWYDWN763731.wsf
---------                     -------
    20599                     1 file
$ _

…einer einzigen Datei, nämlich einem ZIP-Archiv, in dem wiederum eine einzige Datei liegt, aber diese Datei ist dafür auch garantiert kein Scan, sondern eine ausführbare Datei für Microsoft Windows. In einer irreführend formulierten Mail zugestellt. Vorsätzlich kryptisch gecodet, um eine Analyse zu erschweren.

Das ist sichere Schadsoftware.

Wer Microsoft Windows benutzt und klick klick diese Datei öffnet, hat hinterher einen Computer anderer Leute auf seinem Schreibtisch stehen. Da es eine relativ frische Brut der Verbrecher ist, wird die Schadsoftware noch nicht von jedem Antivirus-Programm erkannt.

Das ist leider fast immer so.

Deshalb öffnet man niemals E-Mail-Anhänge, die nicht vorher explizit und über einen anderen Kommunikationskanal als E-Mail vereinbart wurden – und sollte es doch einmal angemessen erscheinen, hält man telefonische Rücksprache, bevor man sich mit einem Klick enormen Ärger einhandelt.

Übrigens: Wenn ich Chef wäre und ich hätte Mitarbeiter eingestellt, die in ihrer Bewerbung behauptet haben, dass sie Grundkenntnisse in der Benutzung von PC, E-Mail und Internet haben (fast jeder schreibt so etwas in seine Bewerbungen; es gehört zu den Hokuspokus-Formeln, die man heute wohl jedem Menschen nahelegt) und diese Mitarbeiter richteten mit ihrem Geklicke auf dermaßen offensichtliche Schadsoftware einen möglicherweise netzwerkübergreifenden Schaden an, dann würde ich diese Mitarbeiter für ihre grobe Fahrlässigkeit so weitgehend haftbar machen, wie es das Gericht mitmacht. Ich würde ihnen das allerdings auch vorher sehr deutlich sagen und ihnen klarmachen, dass man niemals unabgesprochen zugesandte Mailanhänge öffnet (und sowohl innerbetrieblich als auch im Kontakt zu Kunden so oft wie möglich digital signierte E-Mail verwendet). Ich gehe davon aus, dass ich nicht auf meinem Schaden sitzenbliebe, aber der Idio… ähm… naive Mitmensch, der auf so eine 08/15-Spam reingefallen wäre, bliebe dafür jahrelang auf seinem Schuldenberg sitzen. Und zwar zu Recht. Es wird nämlich höchste Zeit, dass Dummheit wieder zum Nachteil für die Dummen selbst statt für alle ihre Mitmenschen wird.