Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Schadsoftware“

Trojanische Tastatur-App auf HTC-Smartphones

Montag, 17. Juli 2017

Hier geht es nicht um eine Spam, sondern um einen Hinweis auf einen Golem-Artikel zu den neuesten Bemühungen der (leider) legal Reklametreibenden, die bestehende Allgegenwart der Werbung noch weiter auszubauen – wenn es auch ein bisschen halbseiden bis kriminell wird:

Android:
Tastatur des HTC 10 zeigt Werbung an

Gemeint ist hier die werksseitig vorinstallierte Tastatur-App eines Android-Handys, die personalisierte (also auf der Grundlage von Tracking und Überwachung ausgewählte) Reklame einblendet. Das sieht dann so aus (diesen Screenshot habe ich von Reddit mitgenommen):

Screenshot eines Handys mit der Keyboard-App, die Werbung einblendet

Meiner Meinung nach ist dieses Bild einer mit werkseitig installierter Schadsoftware – ja, eine Adware ist eine Schadsoftware – vergällten Systemanwendung für Smartphone-Kernfunktionalität ein treffliches Symbolbild für die ekelerregende Unkultur, die sich in den letzten Jahren zusammen mit den so genannten „Smartphones“ breitmachen konnte, ohne dass ihr ein nennenswerter Widerstand entgegengesetzt würde. Wer sich persönliche Computer andrehen lässt, auf denen werkseitig für den Benutzer uninstallierbare – oder genauer: nur unter Verlust der Gewährleistung für das Gerät und nur mit hohem Aufwand deinstallierbare – Trojaner installiert wurden, gehört zu den Menschen, an denen die menschliche Würde verschwendet ist.

Die Werbung wird natürlich in Abhängigkeit von Eingaben eingeblendet, die auf der Tastatur gemacht werden – es handelt sich hier also nicht nur um eine Adware, sondern um einen Keylogger, der jede Eingabe an einen anonym bleibenden Dritten sendet. Ich wünsche allen Nutzern viel Vergnügen dabei, mit einem derartigen Gerät Online-Banking zu betreiben oder irgendetwas zu bezahlen! Selbst, wenn die mutmaßlich mit HTC kooperierenden Werber mit ihrer Tastaturtrojaner-Idee niemals auf die Idee kommen sollten, die so eingesammelten Daten für kriminelle Zwecke zu missbrauchen oder an irgendwelche Dritte zu verkaufen, ist die Beschädigung der Privatsphäre durch Weitergabe sämtlicher Kommunikationsinhalte und Websuchen an eine Klitsche, die Geschäfte mit Schadsoftware macht, erheblich genug, um sich diese Unverschämtheit auf gar keinen Fall widerstandslos bieten zu lassen. Die Frage, ob nicht schon vor der sichtbaren Werbeeinblendung Tastatureingaben (also Passwörter, IM, Mail, Websuchen) überwacht wurden, lässt sich leider nicht klären, aber ich würde bis zum überzeugenden Beleg des Gegenteiles – und dieser besteht nicht in einer Presseerklärung – davon ausgehen.

Natürlich gibt es alternative Tastatur-Apps, die man sich schnell installieren kann. Aber wer nach einer derartig arschlochhaft vorangetriebenen Sauerei noch das geringste Vertrauen in eine offensichtlich mit Schadsoftware-Programmierern zusammenarbeitende Unternehmung wie HTC hat, zeigt damit nur, dass er nicht zu den Hellsten gehört. Meiner bescheidenen Meinung nach – ich bin wohlgemerkt kein Jurist – handelt es sich hier um einen dermaßen großen, jede Nutzung beeinträchtigenden Produktmangel, dass nur noch eine Reaktion angemessen ist: Die Rückgabe des mit uninstallierbarer Schadsoftware verseuchten Smartphones und die Rückforderung des Kaufpreises. Dieses selbstverständlich vorbehaltlich einer Strafanzeige wegen des Ausspähens von Daten und darauffolgender zivilrechtlicher Forderungen wegen eventuell angerichteter Schäden.

Denn mit Leuten und Unternehmungen, die mit so viel krimineller Energie zum Schaden ihrer eigenen Kunden beim Vorantreiben ihrer halbseidenen Geschäftsideen vorgehen, ist kein friedliches Miteinander mehr möglich. Hier sind sich illegale Spam, direkt von der organisierten Internetkriminalität (bullshitdeutsch: Cybercrime) abgeschaute Vorgehensweisen und leider legale Reklame ganz nahe gekommen, so dass eine Unterscheidung nicht mehr möglich ist. :(

Nachträge, 21:35 Uhr

Ihre Automatische Konto-Lastschrift 27208377 konnte nicht vorgenommen werden 03.07.2017

Montag, 3. Juli 2017

ACHTUNG! Auf gar keinen Fall den Anhang öffnen!

Immerhin, das Datum stimmt. Im Gegensatz zur lustigen Zahl für eine Lastschrift (statt der Kontonummer des vermutlich ungedeckten Kontos) hat es für mich sogar eine gewisse Bedeutung… :D

Von: DirectPay AG Stellvertretender Sachbearbeiter <admin@ebay.com>

eBay, die Klitsche, wo ein Vizeersatzsachbearbeiter die Mailadresse „admin“ kriegt. Natürlich ist der Absender gefälscht. Es ist kinderleicht, den Absender einer E-Mail zu fälschen. Mein Exemplar dieser Spam kam von einem Server, der bei einem US-amerikanischen Hoster gemietet wurde. Der Hoster ist bereits informiert. Ich hoffe, er hat Vorkasse genommen, als ein Verbrecher die Daten und die Kreditkarte eines anderen Menschen missbrauchte, sich einen Server zu mieten, um das Internet mit Spam vollzumachen.

Sehr geehrter Käufer,

Was habe ich denn gekauft?

wir wurden von der Firma DirectPay AG gebeten Ihre gesetzlichen Rechte in Ihrer Angelegenheit zu schützen.

Was verkauft mir diese „DirectPay AG“? Meine eigenen Rechte? :mrgreen:

Die Zahlung erwarten wir bis spätestens 07.07.2017. Falls wir bis zum genannten Datum keine Überweisung verbuchen, sehen wir uns gezwungen Ihren Fall an ein Gericht abzugeben. Sämtliche damit verbundenen Zusatzkosten werden Sie tragen müssen.

Welche Zahlung? Wofür? An wen? Welcher Betrag? Auf welches Konto? Jemand, der wirklich Geld wollte, würde sehr darauf achten, dass diese Angaben in seiner Mail stehen.

Fristsetzungen kommen aus Gründen der Rechtssicherheit immer mit der Sackpost.

Aufgrund des bestehenden Zahlungsrückstands sind Sie verpflichtet zusätzlich, die durch unsere Tätigkeit entstandene Gebühren von 52,03 Euro zu tragen.

Auf welcher Grundlage bin ich dazu verpflichtet, diesen Mondpreis von über fuffzich Øre für eine E-Mail zu bezahlen?

Bei Rückfragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb von 48 Stunden.

Eine Telefonnummer für eine Kontaktaufnahme wurde nicht angegeben. Niemand würde das tun, wenn er wirklich eine Kontaktaufnahme erwartete.

Um zusätzliche Kosten auszuschließen, bitten wir Sie den ausstehenden Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Buchungseingänge bis zum 30.06.2017.

Eine Kontonummer oder der Betrag wurde nicht angegeben.

In diesem ganzen aufgequollenen Text einer hochkriminellen Standardspam steht nichts, was für den Empfänger in irgendeiner Weise sinnvoll sein könnte. Wenn er auch nur erfahren möchte, um was zum hackenden Henker es hier geht, muss der Empfänger…

Eine vollständige Forderungsausstellung Nummer 272083776, der Sie alle Positionen entnehmen können, fügen wir bei.

…einen Mailanhang öffnen. Das ist das Standardmuster für Schadsoftware-Mails und immer ein sicheres Zeichen dafür, dass man die Mail einfach in den virtuellen Papierkorb werfen kann.

Der Anhang ist ein ZIP-Archiv mit einem nichtssagenenden Dateinamen, in dem…

$ unzip -l 03.07.2017.zip 
Archive:  03.07.2017.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
   506420  2017-07-03 00:22   03.07.2017.zip
---------                     -------
   506420                     1 file
$ _

…ein weiteres ZIP-Archiv liegt. Derartig komplizierte „Verpackungen“ für angehängte Dateien erfüllen nur einen Zweck: Sie sollen einen Antivirus-Scan auf einem Mailserver erschweren. Mal schauen, was da doppelt verpackt wurde:

$ mv 03.07.2017.zip 03.07.2017.old.zip 
$ unzip 03.07.2017.old.zip 
Archive:  03.07.2017.old.zip
  inflating: 03.07.2017.zip
$ unzip -l 03.07.2017.zip 
Archive:  03.07.2017.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
   694272  2017-07-03 00:22   03.07.2017 Rechnung.com
---------                     -------
   694272                     1 file
$ _

Es handelt sich nicht etwa um eine Rechnung, sondern um eine ausführbare Datei für Microsoft Windows, die mit einer vorsätzlich irreführenden E-Mail von einem Spammer zugestellt wurde. Wer darauf einen Doppelklick macht, startet auf seinem Computer ein Programm von Verbrechern und hat in weniger als einer Sekunde einen Computer anderer Leute auf dem Schreibtisch stehen (und darf wohl demnächst sein Backup zurückspielen oder sich, wenn kein Backup vorhanden ist, von seinen verschlüsselten Daten verabschieden, denn eine Lösegeldzahlung an derartige Verbrecher kommt nicht in Frage). In der jüngeren Vergangenheit wurden durch einen solchen unbedachten Klick vielfach ganze Firmennetzwerke an Verbrecher übergeben – mit großem wirtschaftlichen Schaden für das davon betroffene Unternehmen und teilweise sogar mit großem gesellschaftlichen Schaden.

Wer sich hier auf sein Antivirus-Programm verlässt, ist verlassen. Diese Schadsoftware wird zurzeit von deutlich weniger als einem Zehntel der gebräuchlichen Antivirus-Programme als das erkannt, was sie völlig sicher ist: Schadsoftware. Antivirus-Programme – von mir meist despektierlich „Schlangenöl“ genannt – schützen nur vor Schadsoftware, die beim Hersteller des Antivirus-Programmes bekannt ist und versagen regelmäßig bei neuer Schadsoftware. Und das Wort „neue Schadsoftware“ bedeutet hier auch: Mit winzigen Änderungen versehene Versionen alter, an sich längst bekannter Schadsoftware. Diese relative Unfähigkeit so genannter Antivirus-Programme wird richtig fürchterlich, wenn Menschen auch noch von der Reklame und einem schlechten Journalismus verblendet an die bequeme Sicherheit durch ein Antivirus-Programm glauben und deshalb gedanken- und bedenkenlos auf alles klicken, was sich nur anklicken lässt. Am Ende ist dann zum Beispiel eine ganze Stadtverwaltung kriminell übernommen. :(

Wer aber niemals einen Anhang einer E-Mail öffnet, der nicht vorher explizit abgesprochen wurde, wer generell nicht in E-Mail herumklickt und wer sich auch nicht durch einschüchternd formulierte Nonsens-Spams von solchen Verbrechern überrumpeln lässt, ist immer auf der sicheren Seite. Es ist eine Haltung, die man sich leicht angewöhnen kann und die in der Praxis beim täglichen Abarbeiten der E-Mail zu mehr Sicherheit führt, als jedes Antivirus-Produkt einbringen kann. Eine sinnvolle Ergänzung dazu sind übrigens nicht Antivirus-Programme, sondern die durchgehende Verwendung digital signierter E-Mail (eine Technik, die jedem Menschen seit rund zwanzig Jahren Frei und kostenlos zur Verfügung steht), um den Absender einer E-Mail jenseits jedes vernünftigen Zweifels feststellen zu können – erst danach kommen Antivirus-Produkte als mögliche Ergänzung. Dass die verwendete Software und das verwendete Betriebssystem immer auf aktuellem Stand gehalten werden müssen, versteht sich von allein – denn ein beseitigter Fehler in der Software kann nicht mehr von Kriminellen ausgenutzt werden.

Mit besten Grüßen

Stellvertretender Sachbearbeiter Justus Melber

Das wichtigste Hilfsmittel zur Herstellung von Computersicherheit ist und bleibt das Gehirn des Menschen, der vorm Computer sitzt. Zurzeit kann dieses Gehirn von keiner Software ersetzt werden, und ich gehe davon aus, dass dies auch in den nächsten zehn Jahren nicht möglich ist. Erfreulicherweise ist die Nutzung des Gehirnes kostenlos und verbraucht auch keinen zusätzlichen Strom. Also bitte, liebe Mitmenschen: Nutzt eure Gehirne!

Invoice PIS4710314

Mittwoch, 14. Juni 2017

Oh, ich habe eine Rechnung bekommen? Von wen? Und vor allem: Wofür? Mal schauen, was in der E-Mail drinsteht:

Please find Invoice PIS4710314 attached.

Aha! Es ist eine dieser E-Mails, in deren Text gar nichts steht und deren Anhang alle Fragen beantworten soll – oder anders und so deutlich wie möglich gesagt: Es ist eine Schadsoftware im Anhang.

Der Anhang ist ein ZIP…

$ unzip -l InvoicePIS4710314.zip 
Archive:  InvoicePIS4710314.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
     6670  2017-06-13 11:37   C8DTJJCH.zip
---------                     -------
     6670                     1 file
$ _

…das ein ZIP enthält…

$ unzip InvoicePIS4710314.zip 
Archive:  InvoicePIS4710314.zip
  inflating: C8DTJJCH.zip 
$ unzip -l C8DTJJCH.zip
Archive:  C8DTJJCH.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
    19739  2017-06-13 11:37   C8DTJJCH.wsf
---------                     -------
    19739                     1 file
$ _

…das nicht etwa eine Rechnung in irgendeinem Dokumentformat, sondern ein Windows Script File enthält; ein ausführbares Programm für Microsoft Windows. Dieses Programm wurde in einer E-Mail mit irreführendem Text zugestellt; von ihm wurde behauptet, dass es sich um ein Dokument mit einer Rechnung handele und es ist ausgesprochen kryptisch formuliert, um eine Analyse zu erschweren. Es ist eine ganz klare Schadsoftware. Wer dieses Programm auf einem unter Microsoft Windows laufenden Computer mit einem Doppelklick ausführt, hat in weniger als einer Sekunde einen Computer anderer Leute auf dem Schreibtisch stehen. Ob diese „anderen Leute“ die Festplatte verschlüsseln, den Rechner sperren und Bitcoin für die Entsperrung und Entschlüsselung einfordern, oder ob sie einfach „nur“ heimlich ein paar Trojaner nachinstallieren, die Online-Banking manipulieren, Betrugsgeschäfte durchführen, illegale Pornografie verteilen und Spam versenden, in jedem Fall wird ein Schaden entstehen.

Zurzeit wird diese Version der Schadsoftware nur von rd. der Hälfte der gängigen Antivirus-Programme als Schadsoftware erkannt. Wer sich auf die bequeme „Sicherheit“ durch Antivirus-Programme verlässt, wird von diesem Schlangenöl regelmäßig verlassen und sitzt dann vor einem von Halunken übernommenen und missbrauchten Computer.

Zum Glück ist es aber auch für Menschen ohne technische Kenntnisse möglich, sich vor der Schadsoftware zu schützen, die über E-Mail verteilt wird: Einfach niemals in eine E-Mail klicken, die nicht vorher über einen anderen Kanal als E-Mail ausdrücklich verabredet wurde, und schon ist eine Übernahme des Computers sehr erschwert¹. Es ist das Internet. Da muss man vor dem Klicken kurz das Gehirn einschalten. Antivirus-Programme sind nur eine Ergänzung.

Übrigens: In letzter Zeit sehe ich derartige Schadsoftware-Spam wieder häufiger, nachdem mal für ein paar Monate relative Ruhe war.

¹Die durchgehende Verwendung von digitalen Signaturen, mit denen man den Absender und die unveränderte Mail jenseits jedes vernünftigen Zweifels sicherstellen kann, ist in vielen Fällen eine wertvolle Ergänzung dieses Vorgehens und ebenfalls nicht so aufwändig, dass Laien davon überfordert wären.

Rechnung 77405577 – bitte gegenlesen

Montag, 12. Juni 2017

ACHTUNG: Auf gar keinen Fall und unter keinen Umständen den Anhang dieser Mail (oder ähnlicher Mails) aufmachen. Es ist das reinste Gift! Hier gibt es keine Rechnung. Die E-Mail einfach löschen (oder Strafanzeige erstatten)!

Sehr geehrte Kundin, Sehr geehrter Kunde,

Bin ich nicht.

Wo ich Kunde bin, werde ich mit Namen angesprochen.

vielen Dank für Ihren Auftrag, anbei erhalten Sie Ihre Rechnung als Anhang.

Welcher Auftrag? Von wann? An wen? Mit welchem Inhalt? An welchem Tag ausgeführt? Was ist die Auftragsnummer? Alle Fragen, die diese Mail möglicherweise beantworten könnte, wenn sie echt wäre, beantwortet sie nicht. Stattdessen soll ein Mailanhang aufgemacht werden. Es gibt keinen sachlichen Grund, so vorzugehen.

Näheres zum Anhang später.

Bitte beachten Sie unsere neue Bankverbindung und überweisen Sie den Rechnungsbetrag in Höhe von 164,44 EUR

Damit der Anhang auch aufgemacht werde, wird Geld gefordert. Die Bankverbindung wird nicht angegeben. Genau das würde aber jeder tun, der das Geld auch wirklich haben will.

Für weitere Fragen zu Ihrer Rechnung erreichen Sie uns per:

+49 30 40 xx xxx

Die E-Mail zu beantworten ist sinnlos. Der Absender ist gefälscht. (Die Telefonnummer habe ich unkenntlich gemacht, damit nicht die arme Seele zusätzlich gequält wird, die diese Telefonnummer hat.)

Mit freundlichen Grüßen

Ihr Team

Was für ein Team? Handelt es sich um Gebäudereiniger oder um Fußballspieler?

Wer mich hochnäsig schimpfen will, der schimpfe mich hochnäsig, aber ich meine, dass jeder Mensch mit einem kleinen bisschen Erfahrung diese E-Mail sofort als Spam erkennen und löschen muss.

Wer dann aber auch noch den Anhang aufmacht, handelt grob fahrlässig und sollte meiner Meinung nach dafür haftbar gemacht werden.

Der Anhang

Dieser Anhang ist…

$ file 976255919.xls | sed "s/,/\n/g"
976255919.xls: Composite Document File V2 Document
 Little Endian
 Os: Windows
 Version 6.0
 Code page: 1251
 Name of Creating Application: Microsoft Excel
 Create Time/Date: Wed Nov 30 07:48:22 2011
 Last Saved Time/Date: Mon Jun 12 11:19:32 2017
 Security: 0
$ _

…eine 2021 Tage alte Excel-Mappe, die neulich mal wieder kurz aufgemacht wurde. (Nein, wenn man eine Rechnung aus einer Rechnungsvorlage erstellt, steht da nicht die Erzeugungszeit der Vorlage, sondern des Dokumentes drin.) Die Zustellung einer „Rechnung“ in einem Dokumentformat, das jeder Empfänger einfach mit einem Standardprogramm öffnen, bearbeiten und wieder abspeichern kann, ist übrigens eine bemerkenswert sinnlose Idee.

Diese angebliche „Rechnung“ enthält Makros, die beim Öffnen automatisch gestartet werden. Ein sicher konfiguriertes Office-Programm sollte diese Makros gar nicht erst ausführen, sondern eine deutlich formulierte Warnung anzeigen:

Dieses Dokument enthält Makros. -- Makros können Viren enthalten. Die Ausführung dieser Makros wird aufgrund der aktuellen Makroeinstellungen im Menü unter Extras - Optionen - LibreOffice - Sicherheit unterbunden. -- Manche Funktionen stehen daher möglicherweise nicht zur Verfügung. [OK]

Für alle, die es jetzt immer noch nicht verstanden haben, möchte ich gern den wichtigsten Satz aus dem soeben gezeigten LibreOffice-Dialog (Microsoft Office zeigt übrigens recht ähnlich formulierte Dialoge an) noch einmal angemessen hervorgehoben wiederholen:

Makros können Viren enthalten.

Das der Empfänger so vor einem verbrecherischen Angriff gewarnt wird, wissen die Verbrecher natürlich auch, denn sie leben ja davon, dass ihre verbrecherischen Angriffe funktionieren. Deshalb sieht die Rechnung folgendermaßen aus:

Screenshot der angeblichen Rechnung

Das ist nun eine tolle „Rechnung“, denn in ihr steht im „schönsten“ Layout der frühen Neunziger Jahre nichts. Die einzige Zahl, die ich ausmachen kann, ist der Mehrwertsteuersatz von 9,5% – das waren noch Zeiten! :D

Der Zweck dieses Mummenschanzes ist es aber, den Anwender dazu zu bringen, dass er die Ausführung von Makros zulässt, damit die Verbrecher den Computer übernehmen können (zum Beispiel, um einen Verschlüsselungstrojaner darauf zu installieren). Denn in der Tabellenkalkulation ist ganz oben eine Zeile hinterlegt, die nicht gedruckt wird:

Sie auf der gelben Statusleiste auf Inhalt aktivieren klicken, um den Inhalt zu aktivieren

Wer in der Hoffnung, dass die Rechnung dadurch lesbarer würde, dieser patzig formulierten Aufforderung folgt, startet ein Programm, dass ihm Verbrecher mit einer E-Mail zugestellt haben. Der Computer auf dem Schreibtisch ist in weniger als einer Sekunde ein Computer anderer Leute, und diese Leute wären wesentlich besser mit Handschellen und einer Gefängniszelle als mit einem weiteren Computer bedient. Wenn eine für einen Wurm ausnutzbare Sicherheitslücke hinzukommt, kann mit diesem einen Klick ein ganzes Unternehmensnetzwerk an Kriminelle übergeben werden – so, wie dies neulich auch medial breit rezipiert im Fall von „WannaCry“ geschehen ist.

Und deshalb…

  1. …klickt man nicht in E-Mails, die nicht zuvor über einen anderen Kanal als E-Mail ausdrücklich vereinbart wurden;
  2. …öffnet man erst recht keine Anhänge von unvereinbarten, anonym und völlig nichtssagend formulierten E-Mails;
  3. …ist man sich immer der Tatsache bewusst, dass E-Mail ein zwar praktisches, aber auch gefährliches Medium ist, das Verbrechern ermöglicht, Dateien und Programme unter gefälschtem Absender auf die Computer anderer Menschen zu befördern;
  4. …öffnet man eine unabgesprochen zugestellte E-Mail auch dann nicht, wenn sie auf dem ersten Blick völlig legitim erscheint, sondern fragt im Zweifelsfall einmal telefonisch nach; und
  5. …richtet sein Office-Programm so ein, dass es niemals automatisch Makros ausführt und schaltet die Makroausführung auch dann nicht frei, wenn jemand anders darum bittet. Es ist niemals nötig, für den Dokumentenaustausch Programme auf den Rechnern der Empfänger auszuführen. Wer dies dennoch einfordert, ist mit Sicherheit jemand, der nichts Gutes im Schilde führt.

Meiner bescheidenen Meinung nach sollte das jeder Mensch wissen, der in seine Bewerbungen und in seinen Lebenslauf reinschreibt, dass er Computerkenntnisse auf Anwenderniveau hat – wenn ich Chef wäre und es käme in meinem Betrieb zu einer kriminellen Übernahme von Rechnern, weil einer meiner bezahlten Mitarbeiter mit zugesicherten „Computerkenntnissen“ willentlich und mit eigenhändigem Klick Software aus einer anonym formulierten E-Mail ausgeführt hat, würde ich diesen Mitarbeiter vollumfänglich für den von ihn angerichteten Schaden haftbar machen und ihm wegen seines Vertrauensmissbrauches fristlos kündigen. Denn entweder hat er es vorsätzlich getan, oder aber die Angaben in Lebenslauf und Bewerbung waren eine vorsätzliche Lüge. (Und ja, zur Absicherung dieses Standpunktes würde ich meine Mitarbeiter unterschreiben lassen, dass sie dies zur Kenntnis genommen haben.)

Früher, als ich noch naiv war, habe ich ja auch mal geglaubt, dass Menschen aus Eigeninteresse halbwegs vernünftig und informiert handeln, aber dann habe ich nach und nach die ganzen Dummen und Bequemen kennengelernt, die nur unter Schmerzen widerwillig ihr Gehirn benutzen… :(

New voicemail: 8:10AM

Samstag, 13. Mai 2017

Whats App -- Missed voicemessage. -- Details -- May 13 8:10 AM, 08 sec -- autoplay -- © Whats App

Ich fasse mich mal kurz, denn diese Spam ist auch kurz und erschreckend schlecht:

  1. Die Spam kommt nicht von WhatsApp. Das sieht man schon, wenn man auf die Absenderadresse schaut.
  2. Das richtige WhatsApp würde seine eigene Firmierung richtig schreiben, und nicht die Schreibweise „Whats App“ benutzen.
  3. Das richtige WhatsApp würde auch die eingestellte Sprache des jeweiligen WhatsApp-Nutzers verwenden. Auch die Angabe der Uhrzeit würde im hier üblichen Format erfolgen.
  4. Die so genannten „Details“ sind ein Witz. Sie teilen nichts Relevantes mit. Wichtiger als Datum und Uhrzeit ist für den Empfänger, wer ihn zu erreichen versucht hat. Aber um so etwas überzeugend schreiben zu können, müsste der Spammer etwas Persönliches über seine Empfänger wissen. Das ist in solcher Massenware nicht möglich.
  5. Um überhaupt etwas zu erfahren, muss man in die Spam klicken. Der Link führt auf eine von Kriminellen betriebene Website, die nicht in der Domain von WhatsApp liegt – das sieht man übrigens, wenn der Mauszeiger über dem Link ist. Dort gibt es… ähm… eine von Kriminellen durchgeführte, kostenlose „Sicherheitsprüfung“ des Betriebssystemes und der verwendeten Internet-Software. Wer da klickt, lasse alle Hoffnung fahren!

Das ist genau das Strickmuster von E-Mail-Spam, in das man niemals hineinklicken sollte. Warum nicht? Darum nicht. Alles weitere habe ich schon so oft geschrieben, dass ich hier nur noch auf meine älteren Texte verweisen möchte. E-Mail ist zwar praktisch, aber eben auch gefährlich.

Die Spam einfach löschen!

Und bitte generell niemals in E-Mail herumklicken, wenn nicht jenseits jedes vernünftigen Zweifels klar ist, wer der Absender ist – das bedeutet in der Praxis: wenn die E-Mail digital signiert ist und man diese Signatur auch überprüft hat – und diesem Absender vertraut werden kann. Bei E-Mail von WhatsApp, Facebook, Banken, Versandhäusern und dergleichen: Wenn man sich unsicher ist, ob die E-Mail echt sein könnte, einfach den Webbrowser aufmachen, die jeweilige Website direkt aufrufen (die Webbrowser haben übrigens seit dem Mosaic Netscape 0.95 beta aus dem Jahr 1994 sehr praktische Lesezeichenfunktionen) und schauen, ob dort wirklich etwas vorliegt! Diese einfache Vorsicht ist wesentlich wirksamer als jedes Antivirus-Schlagenöl und kann eine Menge Geld, Ärger, Dateiverluste und mit den Folgen krimineller Sabotagen verschwendete Lebenszeit einsparen. Übrigens schützt sie auch vor Phishing. Also bitte generell niemals in E-Mail herumklicken… ja, ich wiederhole mich. ;)

Warum man immer mit wirksamem Adblocker surft

Donnerstag, 30. März 2017

Wir unterbrechen unser reguläres Programm für eine interessante und wichtige Durchsage des Bundesamtes für Sicherheit in der Informationstechnik, die Hervorhebung ist von mir:

Die Manipulation von Webseiten ist ein weit verbreitetes Mittel, Cyber-Angriffe durchzuführen. Angreifer verstecken dazu schädliche Programme auf Webseiten, die sich durch eine Sicherheitslücke beim Besuch der Webseite selbst auf den Rechner des Anwenders aufspielen. Häufig wird derartige Schadsoftware verwendet, um Daten auszuspionieren oder Schaden auf dem Zielrechner zu verursachen. Eine der Hauptursachen für diese sogenannten Drive-by-Angriffe sind schädliche Werbebanner. Diese werden von unbekannten Dritten bereitgestellt oder von Agenturen vermarktet und werden häufig ohne Überprüfung oder Qualitätskontrolle in eine Webseite eingebunden. Auf diese Weise werden auch populäre und ansonsten gut abgesicherte Webseiten Ausgangspunkt von Cyber-Angriffen

!Wirksame Adblocker schützen vor den Angriffen der „Cyber-Kriminellen“, denn eine der Hauptursachen für derartige Angriffe sind verseuchte Werbebanner, die über typische gegenwärtige Werbenetzwerke in andere Websites eingebettet werden. Ja, das ist die Ansage des BSI, nicht die im geduldigen Internet veröffentlichte Meinung eines „dahergelaufenen Bloggers“ wie mir, die leider meist ignoriert wird.

Zum Beispiel werden solche Werbebanner auch immer wieder einmal in die journalistischen Websites eingebettet, die ihre Besucher teils aufdringlich mit vorsätzlich irreführenden Texten und lustigen Versuchen der Technikverhinderung zum Abschalten ihrer Adblocker nötigen wollen – damals wie heute. Bei der alltäglichen Webnutzung ist ein wirksamer Adblocker ein wichtigeres und wirksameres Schutzprogramm als ein so genanntes Antivirus-Programm.

Lassen sie sich niemals dazu überreden, einen Webbrowser ohne Adblocker zu benutzen. Es ist gefährlich. Sie würden sich ja auch nicht dazu überreden lassen, ihr Antivirus-Programm abzuschalten, damit das Geschäftsmodell eines anonymen (und verantwortungslos vorgehenden) Gegenübers im Web besser funktioniert.

Und achten sie bitte einmal darauf, ob und wie ihr bevorzugtes journalistisches Webportal heute über diese Presseerklärung des Bundesamtes für Sicherheit in der Informationstechnik berichtet! Ich befürchte, die für die meisten Leser wichtigste, direkt zu einem wirksamen Schutz vor der gegenwärtigen Internet-Kriminalität führende Information aus dieser Presseerklärung wird ihnen von den Qualitätsjournalisten unterschlagen. Daraus können sie dann lernen, was sie, ihr Leben, ihr Schutz vor kriminellen Machenschaften, ihre Privatsphäre und ihre Computersicherheit denjenigen Journalisten wert sind, von denen sie sich täglich die Meinung bilden lassen. Und dann kommen sie bitte nie wieder auf die Idee, ihren Adblocker abzuschalten, weil ein Presseorgan sie darum bittet!

(Vielleicht kommt es ja gar nicht so schlimm und ich sehe nur schwarz. Aber ich habe die Verantwortungslosigkeit und Chuzpe von Journalisten und Pressewebsites in den letzten Jahren als nahezu unendlich kennengelernt.)

Weitere Lektüre zu diesem Thema findet sich unter dem Schlagwort Adblocker hier auf Unser täglich Spam. Gerade die vielen kleinen Artikel, die sich mit dem Versuchen von Presseverlegern beschäftigen, Adblocker kriminalisieren und verbieten zu lassen, sind auf dem Hintergrund der heutigen Ansage des BSI sehr interessant geworden.

Nachtrag 31. März 2017, 0:25 Uhr

Für Allergiker möchte ich vorab warnen, dass dieser Nachtrag ein bisschen bitter schmeckende Galle enthält.

Ich habe keine Mühe gescheut und eben mit Google News nach dem Suchbegriff BSI gesucht. Es gibt gemäß diesem Suchbegriff zurzeit insgesamt drei auf Google News aggregierte journalistische Produkte, die heute über die nicht ganz unwichtige Pressemitteilung des BSI berichtet haben:

  1. Netzpolitik.org – BSI bestätigt: Werbebanner liefern Schadsoftware aus
    Klare und knackige Information, das für Computernutzer Wichtigste steht bereits in der Überschrift, es werden klare Hinweise zum Schutz gegeben und es wird dar Lobbyismus des Presseverlagswesens in der BRD benannt, der alles daran setzt, diese Schutzmöglichkeit zu kriminalisieren. Nun gut, etwas anderes war von Netzpolitik auch nicht zu erwarten.
  2. Golem.de – BSI beschwichtigt und warnt vor schädlichen Werbebannern
    Eine klar formulierte Meldung, die in der Überschrift bereits das für Computernutzer Wichtigste ausdrückt und im Text im Wesentlichen die Presseerklärung des BSI mit anderen Worten wiedergibt und zusätzlich den Hintergrund ein wenig beleuchtet. Genau das, was ich vom Journalisten erwarte, aber nur selten geliefert bekomme. Angesichts der Tatsache, dass Golem einen wohl erheblichen Teil seiner Einnahmen durch die Einblendung von Werbebannern erwirtschaften wird, ist dies einer dieser seltenen und lobenswerten Fälle von Journalismus, der auf Aufklärung setzt, statt einer dem Leser niemals deutlich kommunizierten Agenda des Vertretens wirtschaftlicher Eigeninteressen zu folgen. Dafür ein ganz dickes Lob von mir! (Und ich vergebe das wirklich ungern!)
  3. Bayerischer Rundfunk – Neuer Hackerangriff auf Bundestag
    Das, was Journalisten so sehr am Wort „Lügenpresse“ verletzt, ist vor allem die einfache Tatsache, dass es sich beim besten Willen nicht um eine „Wahrheitspresse“ handelt. Der bayerische Rundfunk verschweigt nicht nur den für Computernutzer wesentlichen Teil der BSI-Presseerklärung, sondern zieht sich einen völlig anderen Infektionsweg aus dem Arsch, der überhaupt keinen Gedanken an Adblocker aufkommen lassen kann. Bitte gut festhalten:

    Bekannt ist lediglich, dass die Abgeordneten ihre Rechner infizierten, als sie eine möglicher Weise gefälschte Nachrichten-Site im Ausland ansurften

    Ich wünsche Ihnen auch weiterhin viel Spaß beim Bezahlen der so genannten Rundfunkgebühr, die in Wirklichkeit eine Abgabe zur Finanzierung der Verblödung der Bevölkerung der Bundesrepublik Deutschland ist!

Alle anderen journalistischen Organe haben entweder die Presseerklärung des BSI komplett vor ihren Web-Lesern verheimlicht oder lehnen es neuerdings ab, in Google News gelistet zu werden, weil sie keine Leser mehr zu den eingeblendeten Werbebannern (können zwar Spuren von gefährlicher Schadsoftware enthalten, aber Geld stinkt ja nicht) locken wollen. Angesichts des SEO-Aufwandes, den diese Pressepublikationen ansonsten betreiben, um gut in Google gelistet zu werden, kann die zweite Erklärungsmöglichkeit wohl vollständig ausgeschlossen werden.

Ich wünsche den Presseverlagen, die in meiner Achtung seit rd. zwanzig Jahren jeden Monat ein bisschen tiefer gesunken sind, viel Spaß auf ihrem Weg in die Irrelevanz und Insolvenz!

Nachtrag 1. April 2017, 0:25 Uhr

Nicht nur mir ist das merkwürdige Schweigen der Pressepublikationen zu einem bemerkenswerten und als Nachricht interessanten Vorgang – immerhin ist der Kontext ein gemutmaßter „Cyberangriff“ auf den Deutschen Bundestag – aufgefallen, sondern auch Mike Kuketz. Die dort geäußerte Meinung, wie es zu diesem brüllend lauten Schweigen kommt, entspricht völlig meiner.

Wenn sie nicht zum Opfer von Verbrechern werden wollen, sollten sie sehr darauf achten, dass sie sich nicht ausschließlich aus Presseorganen informieren. Das Internet ist großartig. Nutzen sie es einfach!

Quelle des Piktogrammes mit dem Ausrufezeichen: Openclipart.

Ihre Postbank – Wichtige Informationen fur Sie

Montag, 26. Dezember 2016

Nein, diese E-Mail kommt nicht von der Postbank. Es ist eine Spam. Sie kommt auch bei Menschen wie mir an, die gar nichts mit der Postbank zu tun haben. Sie wird auch an Honigtopf-Mailadressen gesendet.

Von: Postbank-Center <storm2 (at) bsvst (punkt) ru>

Wenn der Spammer schon eine Absenderadresse fälscht, dann könnte ja auch eine nehmen, die so aussieht, als hätte sie etwas mit der Postbank zu tun.

Datum: 26. Dezember 2016, 07:29 Uhr

Typische Postbank-Arbeitszeiten eben! :mrgreen:

Die eigentliche Mail ist ohne Text; sie besteht in ähnlicher Weise wie die kürzliche Phishing-Kampagne der angeblichen „Deutschen Bankengemeinschaft“ nur aus drei Grafiken. Wer eine gute Mailsoftware in ihren Standardeinstellungen benutzt, sieht gar nichts. Leider tun viele Menschen das nicht, und die sehen den folgenden Überrumpelungsversuch:

Screenshot der Spam -- Postbank -- Sehr geehrter Postbank Kunde, -- Die Sicherheit unserer Kunden steht für uns an erster Stelle. Aus diesem Grund entwickeln wir unsere Sicherheitsstandards stetig weiter. Wir bitten Sie daher, ihr Konto für unsere neuste Digital Zertifizierte Bankingapp freizuschalten. Sie profitieren anschließend von Vorteilen wie dem digitalen Unterzeichnen von Aufträgen oder dem Freigeben von eingehenden Zahlungen. Schützen Sie Ihr Konto gegen unberechtigten Zugriff und sichern Sie sich vor Bedrohungen aus dem Internet ab. Befolgen Sie die nächsten Schritte bitte aufmerksam. Dieser Vorgang nimmt nur wenige Minuten in Anspruch. -- Buttonartige Grafik: Zum nächsten Schritt -- Durch das Herunterladen und Installieren bringen Sie ihr Smartphone auf den neusten Stand. Wir danken für Ihr Verständnis -- Mit freundlichen Grüßen, Ihr Postbank Kundenservice

Der Link auf der Grafik „Zum nächsten Schritt“ führt dann auch nicht in die Website der Postbank, sondern in die Website einer obskuren Subdomain von 92nshffh4 (punkt) ru. Das sieht man übrigens vorm Klicken, wenn man in die Statuszeile seiner Mailsoftware schaut – niemand muss sich also der Gefahr aussetzen, sich dort auch noch Schadsoftware einzufangen. Doch selbst, wenn einem der Blick auf die Statuszeile zuviel Mühe ist, lässt sich diese E-Mail beim Lesen leicht als Sondermüll erkennen.

  1. Die unpersönliche Anrede „Sehr geehrter Postbank Kunde“ (mit Deppen Leer Zeichen) würde in einer echten E-Mail der Postbank nicht verwendet werden.
  2. Normalerweise wird sich eine Mitteilung an einen Bankkunden auf ein bestimmtes Konto beziehen (wenn es keine Reklame der Bank ist). Dieses Konto wird immer genannt werden. Es ist nicht so selten, dass ein Mensch mehrere Konten unterhält. Spammer wissen die Kontonummer in der Regel nicht.
  3. Technische Wartungsarbeiten wie „ihr Konto für unsere neuste [!] Digital Zertifizierte Bankingapp freizuschalten“ gehören weder in den Aufgabenbereich noch in den Möglichkeitsbereich eines Bankkunden; so etwas wird von der Bank erledigt, ohne dass die Kunden überhaupt etwas davon mitbekommen.
  4. Worin liegt der vom Spammer angepriesene Vorteil beim „digitalen Unterzeichnen von Aufträgen“? Aufträge konnten auch vorher rechtssicher erteilt werden, und dies führte zu keinerlei Problemen bei der Abwicklung.
  5. Worin liegt der vom Spammer angepriesene Vorteil beim „Freigeben von eingehenden Zahlungen“? Ist es so typisch für Postbank-Kunden, dass sie sagen: „Nee, diese Buchung mit meinem Weihnachtsgeld, die will ich nicht“?
  6. Das Konto vor unberechtigtem Zugriff zu schützen ist Aufgabe der Bank. Wenn sie diese Aufgabe nicht erfüllen kann, sollte man ihr kein Geld und keinerlei andere Dinge von Wert anvertrauen.
  7. „Wir danken für Ihr Verständnis“ ist eine leserverachtende, pseudohöfliche, arrogant-widerliche Formel zur unterschwelligen Beschimpfung von Menschen, die wohl meist kein Verständnis haben werden. So etwas würde der echten Postbank hoffenlich niemals rausflutschen. Wer auch nur eine Spur Respekt vor seinen Kunden hätte, würde natürlich um Verständnis bitten, statt sich für das nicht vorhandene Verständnis zu bedanken.

So viel nur zu diesen wenigen Worten.

Die in der Spam verlinkte Website ist inzwischen zum Glück nicht mehr erreichbar – offenbar wollte der Hoster nicht zum Komplizen der Verbrecher werden und hat den Stecker gezogen. Es ist davon auszugehen, dass morgen schon die nächste Fuhre Spam mit dann wieder funktionierenden Links ausgeliefert wird. Auf der verlinkten Website eingegebene Daten gehen direkt an die Organisierte Kriminalität, und eine von der verlinkten Website heruntergeladene App für das Smartphone wird das reinste Schadsoftware-Gift sein und aus dem Smartphone ein Smartphone anderer Leute machen. (Ein eventuell laufendes Antivirus-Programm auf dem Smartphone wird vermutlich nicht davor schützen.)

Der beste, wichtigste und wirksamste Schutz vor Phishing und derartigen Überrumpelungen besteht nach wie vor darin, niemals in eine derartige E-Mail zu klicken, und zwar völlig unabhängig davon, wie „echt“ sie aussieht. Einfach die Website der Bank aufrufen und sich dort ganz normal anmelden – wenn wirklich ein Problem vorliegt, das Handeln erfordert, wird das dort ebenfalls unübersehbar angezeigt werden.

Diese leider immer noch erschreckend erfolgreiche Form der Spam funktioniert nur, wenn dem Empfänger ein Link untergeschoben werden kann. Und das geht nur, wenn der Empfänger in die Mail klickt. Deshalb: Immer daran denken, dass E-Mail gefährlich ist, dass der Absender gefälscht sein kann und dass das typische Design einer Bank oder eines Unternehmens leicht imitiert werden kann¹. Niemals in eine E-Mail einer Bank oder eines anderen Unternehmens klicken, mit dem man Geschäfte macht! Immer die Website direkt im Browser aufrufen! Diese ebenso einfache wie wirksame Vorsichtsmaßnahme kann einem sehr viel Geld und Ärger ersparen…

¹Jedes aufgeweckte Kind kann E-Mail-Absender fälschen, genau so, wie jeder Mensch jeden beliebigen Absender auf einen Brief schreiben könnte, der mit der Sackpost versendet wird. Und die Übernahme grafischer Elemente aus einer „corporate identity“ ist von banaler Einfachheit, wie man sehr „schön“ an diesem Postbank-Beispiel gesehen hat. Natürlich könnten Banken endlich damit beginnen, kryptografisch signierte E-Mail zu versenden und unter ihren Kunden für die Überprüfung dieser Signaturen zu werben, um den Phishing-Sumpf ein für allemal auszutrocknen, aber das ist nicht erwünscht. An etwas anderem als den (mutmaßlich politischen) Wünschen kann es nicht scheitern. Es würde im täglichen Prozess kein Geld kosten, wäre in der Programmierung eher unaufwändig und hätte keine damit verbundenen Nachteile. Banken und große Unternehmen, die sich auch im Jahr 2016 noch verweigern, E-Mail kryptografisch zu signieren, sind Helfershelfer der Organisierten Kriminalität und sollten das auch immer wieder einmal von ihren Kunden mitgeteilt bekommen.

Booking Confirmation

Donnerstag, 15. Dezember 2016

Oh, im Honigtöpfchen…

Booking Confirmation

Das hast du schon im Betreff gesagt, Spammer!

This email and any attachments are confidential. If you have received it in error – notify the sender immediately, delete it from your system, and do not use, copy or disclose the information in any way. Kirklees Council monitors all emails sent or received.

Aha, eine E-Mail, die eine ganz geheime Geheimsache, weshalb sie unverschlüsselt und lesbar wie eine Postkarte durch das Internet geht (und dabei angeblich von irgendeinem durch die Leitungen fliegenden Superhelden bewacht wird). Dafür steht aber auch gar nichts drin. Stattdessen gibt es einen Anhang, der…

$ file BookingConfirmation_61429_a9c32xv4@tamagothi.de.doc 
BookingConfirmation_61429_a9c32xv4@tamagothi.de.doc: Microsoft Word 2007+
$ _

…ein Dokument für Microsoft Word ist¹. Dieses kann beliebige Makros enthalten, die beim Öffnen des Dokumentes ausgeführt werden. Das sind „richtige Programme“, die innerhalb von Microsoft Word ausgeführt werden und im Großen und Ganzen alles können, was jede ausführbare Datei für Microsoft Windows auch kann. Wenn das schon einmal zugelassen wurde, kann die Makroausführung sogar automatisch und für den Anwender unsichtbar geschehen. Das ist immer noch in sehr vielen Unternehmen der Fall, weil vor einigen Jahren ganz viele Menschen die Idee hatten, dass das Microsoft-Office-Paket eine gut geeignete Runtime für allerlei betriebliche Software sei. Und heute haben sie halt den Salat!

Was wird ein krimineller Spammer wohl in so einer Form an jede Mailadresse versenden, die er irgendwie im Web einsammeln kann? Richtig: Es ist die kriminelle Pest.

Auch weiterhin gilt: Mailanhänge sind grundsätzlich mit äußerster Vorsicht zu behandeln! Niemals einen Mailanhang öffnen, der nicht vorher und über einen anderen Kanal als E-Mail explizit vereinbart wurde! Im Zweifelsfall und wenn es doch einmal eilig sein könnte: Die Zeit für ein kurzes Telefongespräch mit dem vorgeblichen Absender ist immer. Und Mailanhänge von Unbekannten verbieten sich von selbst. Ein Unternehmen, in dem diese einfachen Regeln nicht von Jedem und Jeder befolgt werden, findet sich schnell in der gleichen Lage wieder, in der vor einigen Monaten die Stadtverwaltung Dettelbach war. Wenn dann mit einer guten und regelmäßig überwachten Backup-Strategie vorgesorgt wurde, bedeutet das einige Stunden Betriebsausfall bei weiterlaufendem Kostenapparat, und wenn nicht vorgesorgt wurde, bedeutet es bei hinreichend großem Schaden sogar das Ende einer wirtschaftlichen Unternehmung.

Übrigens: Mein Mitleid mit zerstörten Unternehmen, die es trotz gefährlicher, E-Mail betriebener Internet-Kriminalitätsformen im Jahre 2016 immer noch nicht geschafft haben, wenigstens innerbetrieblich digitale Signaturen für ihre E-Mail-Kommunikation zu verwenden (und dies auch wichtigen Geschäftspartnern zumindest nahezulegen), ist außerordentlich klein. Alles, was dafür benötigt würde, ist seit anderthalb Jahrzehnten fertig und kostet nichts. Zu schade, wenn es für „Entscheidungsträger“ – das ist Neusprech für Menschen, die Geld zum Fenster hinauswerfen und sich deshalb unfassbar wichtig nehmen – nur eine Informationsquelle gibt, nämlich die Werbung und die Schleichwerbung in der Fachjournaille, aus der man niemals etwas über kostenlose Produkte erfährt.

¹Die Mailadresse aus dem Dateinamen existiert jetzt nicht mehr…