Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Smartphone“

Angriff der Nerv-Popups

Freitag, 11. August 2017

Hier geht es nicht um eine Spam, sondern um eine Leseempfehlung und einen Link auf einen Artikel bei Heise Online zu einer derzeitig laufenden, auf Smartphones gerichteten, ausgesprochen asozialen und spam-artigen Werbemethodik, die einem selbst auf seriösen Websites begegnen kann.

Es gibt kaum ein Entkommen: Von Ebay bis Boredpanda, von Reuters.com bis taz.de – auf zahlreichen reputablen Seiten tauchen in den letzten Monaten Pop-Ups auf, die sogar oft von einem Vibrationsalarm begleitet werden. „Glückwünsche! Google Benutzer!“, heißt es dort zum Beispiel. „Sie wurden als Sieger des heutigen iPhone 7, € 500 Amazon oder Samsung Galaxy S7 ausgewählt! […] Auch die Mainzer Firma Lead Spot Media, die hinter der Website smartphone-prize.de steht, bestreitet jede Kenntnis. Man lasse die Website durch Affiliate-Netzwerke bewerben, die gegen Provision Besucher auf die Seite lenken, erklärte Geschäftsführer Dennis Sauer telefonisch gegenüber heise online. Nun wolle sich die Firma bemühen, die Urheber der Werbekampagne zu identifizieren, die gegen die Werberichtlinien seiner Firma verstoße

Die Verwendung von wirksamen Adblockern ist und bleibt alternativlos – und Betriebssysteme, die eine Installation wirksamer Adblocker erschweren oder unterbinden, sind nicht benutzbar. Punkt. Selbst der Heise-Verlag – nach wie vor selbst davon abhängig, auf seiner Website Einnahmen über eingeblendete Werbung aus Drittquellen zu erwirtschaften – weist diesmal lobenswerterweise auf das Sicherheitsrisiko durch derartige Ads hin, was leider eine Ausnahme ist:

Die Urheber haben bewiesen, dass sie nach Belieben Skripte auf seriösen Seiten unterbringen können. Falls die Provisionen aus dem Direktmarketing nicht mehr fließen, könnten sie sich nach anderen Einnahmequellen umsehen

Erpressungstrojaner sollen zurzeit etwa ein gutes, einträgliches Geschäft sein, habe ich mir sagen lassen – und ein erheblicher Anteil der Mobilgeräte hat riesige, leicht ausbeutbare Sicherheitslöcher. Das Antivirus-Schlangenöl wird bei der ersten Welle nicht helfen. Das hilft nur gegen bekannte Schadsoftware (und auch das tut es nicht zuverlässig). Natürlich werden die Verbrecher ihre kriminellen Attacken mit den gängigen Antivirus-Programmen austesten. Die Verbrecher sind ja darauf angewiesen, dass ihre Attacken funktionieren; sie leben schließlich davon.

Und deshalb ist ein wirksamer Adblocker völlig alternativlos. Ein wirksamer Adblocker ist ein Adblocker, der sämtliche Ads blockt, statt gewisse, angeblich „weniger nervige und asoziale“ Ads durchzulassen, wenn Werbefirmen (also professionelle Lügner) dafür bezahlen. Ein wirksamer Adblocker unterbindet einen wichtigen, gefährlichen und schon vielfach kriminell ausgebeuteten Verbreitungsweg an der Wurzel, statt wie das Antivirus-Schlangenöl zu versuchen, erst nachträglich eine mögliche Schadsoftware zu erkennen, sie zu isolieren und ihre Ausführung zu unterbinden.

Ich erkläre es noch einmal ganz plump und hoffentlich für jeden Menschen unmittelbar verständlich: Natürlich könnte man sich vor einer Vergiftung „schützen“, indem man regelmäßig gewisse Dosen eines Gegengiftes einnähme und die damit verbundenen Nebenwirkungen in Kauf nähme. Dieser Schutz wäre allerdings recht dumm. Besser und intelligenter ist es, wenn man das Gift gar nicht erst einnimmt und sich die Belastung und das dauerhafte Risiko durch das Gegengift erspart. Ein Antivirus-Schlangenöl ist ein präventiv eingenommenes Gegengift, und die Nebenwirkungen dieses Gegengiftes können durchaus erheblich sein. Die Verwendung eines wirksamen Adblockers bedeutet hingegen, dass man das über Werbenetzwerke eindringende Gift gar nicht erst einnimmt.

Deshalb sind wirksame Adblocker vollkommen alternativlos. Sie sind die beste Lösung gegen das so genannte Malvertising, also gegen den Schadsoftwaretransport über Werbenetzwerke – und auf den Schutz vor Träcking und Überwachung, der Adblocker bereits zur vernünftigen Wahl macht, bin ich dabei noch nicht einmal eingegangen. Es ist dumm und unverantwortlich, keinen wirksamen Adblocker zu benutzen, wenn man sich im Web bewegt. Es ist dumm und unverantwortlich, Betriebssysteme zu benutzen, die die Benutzung von wirksamen Adblockern erschweren oder unterbinden. Macht das bitte niemals!

Und nein, ein „eingebauter Adblocker“ im Webbrowser des größten Trackers, Menschenüberwachers und Werbevermarkters der Welt ist kein wirksamer Adblocker. Ein wirksamer Adblocker blockt ausnahmslos sämtliche Werbung.

Trojanische Tastatur-App auf HTC-Smartphones

Montag, 17. Juli 2017

Hier geht es nicht um eine Spam, sondern um einen Hinweis auf einen Golem-Artikel zu den neuesten Bemühungen der (leider) legal Reklametreibenden, die bestehende Allgegenwart der Werbung noch weiter auszubauen – wenn es auch ein bisschen halbseiden bis kriminell wird:

Android:
Tastatur des HTC 10 zeigt Werbung an

Gemeint ist hier die werksseitig vorinstallierte Tastatur-App eines Android-Handys, die personalisierte (also auf der Grundlage von Tracking und Überwachung ausgewählte) Reklame einblendet. Das sieht dann so aus (diesen Screenshot habe ich von Reddit mitgenommen):

Screenshot eines Handys mit der Keyboard-App, die Werbung einblendet

Meiner Meinung nach ist dieses Bild einer mit werkseitig installierter Schadsoftware – ja, eine Adware ist eine Schadsoftware – vergällten Systemanwendung für Smartphone-Kernfunktionalität ein treffliches Symbolbild für die ekelerregende Unkultur, die sich in den letzten Jahren zusammen mit den so genannten „Smartphones“ breitmachen konnte, ohne dass ihr ein nennenswerter Widerstand entgegengesetzt würde. Wer sich persönliche Computer andrehen lässt, auf denen werkseitig für den Benutzer uninstallierbare – oder genauer: nur unter Verlust der Gewährleistung für das Gerät und nur mit hohem Aufwand deinstallierbare – Trojaner installiert wurden, gehört zu den Menschen, an denen die menschliche Würde verschwendet ist.

Die Werbung wird natürlich in Abhängigkeit von Eingaben eingeblendet, die auf der Tastatur gemacht werden – es handelt sich hier also nicht nur um eine Adware, sondern um einen Keylogger, der jede Eingabe an einen anonym bleibenden Dritten sendet. Ich wünsche allen Nutzern viel Vergnügen dabei, mit einem derartigen Gerät Online-Banking zu betreiben oder irgendetwas zu bezahlen! Selbst, wenn die mutmaßlich mit HTC kooperierenden Werber mit ihrer Tastaturtrojaner-Idee niemals auf die Idee kommen sollten, die so eingesammelten Daten für kriminelle Zwecke zu missbrauchen oder an irgendwelche Dritte zu verkaufen, ist die Beschädigung der Privatsphäre durch Weitergabe sämtlicher Kommunikationsinhalte und Websuchen an eine Klitsche, die Geschäfte mit Schadsoftware macht, erheblich genug, um sich diese Unverschämtheit auf gar keinen Fall widerstandslos bieten zu lassen. Die Frage, ob nicht schon vor der sichtbaren Werbeeinblendung Tastatureingaben (also Passwörter, IM, Mail, Websuchen) überwacht wurden, lässt sich leider nicht klären, aber ich würde bis zum überzeugenden Beleg des Gegenteiles – und dieser besteht nicht in einer Presseerklärung – davon ausgehen.

Natürlich gibt es alternative Tastatur-Apps, die man sich schnell installieren kann. Aber wer nach einer derartig arschlochhaft vorangetriebenen Sauerei noch das geringste Vertrauen in eine offensichtlich mit Schadsoftware-Programmierern zusammenarbeitende Unternehmung wie HTC hat, zeigt damit nur, dass er nicht zu den Hellsten gehört. Meiner bescheidenen Meinung nach – ich bin wohlgemerkt kein Jurist – handelt es sich hier um einen dermaßen großen, jede Nutzung beeinträchtigenden Produktmangel, dass nur noch eine Reaktion angemessen ist: Die Rückgabe des mit uninstallierbarer Schadsoftware verseuchten Smartphones und die Rückforderung des Kaufpreises. Dieses selbstverständlich vorbehaltlich einer Strafanzeige wegen des Ausspähens von Daten und darauffolgender zivilrechtlicher Forderungen wegen eventuell angerichteter Schäden.

Denn mit Leuten und Unternehmungen, die mit so viel krimineller Energie zum Schaden ihrer eigenen Kunden beim Vorantreiben ihrer halbseidenen Geschäftsideen vorgehen, ist kein friedliches Miteinander mehr möglich. Hier sind sich illegale Spam, direkt von der organisierten Internetkriminalität (bullshitdeutsch: Cybercrime) abgeschaute Vorgehensweisen und leider legale Reklame ganz nahe gekommen, so dass eine Unterscheidung nicht mehr möglich ist. :(

Nachträge, 21:35 Uhr

Ihre Postbank – Wichtige Informationen fur Sie

Montag, 26. Dezember 2016

Nein, diese E-Mail kommt nicht von der Postbank. Es ist eine Spam. Sie kommt auch bei Menschen wie mir an, die gar nichts mit der Postbank zu tun haben. Sie wird auch an Honigtopf-Mailadressen gesendet.

Von: Postbank-Center <storm2 (at) bsvst (punkt) ru>

Wenn der Spammer schon eine Absenderadresse fälscht, dann könnte ja auch eine nehmen, die so aussieht, als hätte sie etwas mit der Postbank zu tun.

Datum: 26. Dezember 2016, 07:29 Uhr

Typische Postbank-Arbeitszeiten eben! :mrgreen:

Die eigentliche Mail ist ohne Text; sie besteht in ähnlicher Weise wie die kürzliche Phishing-Kampagne der angeblichen „Deutschen Bankengemeinschaft“ nur aus drei Grafiken. Wer eine gute Mailsoftware in ihren Standardeinstellungen benutzt, sieht gar nichts. Leider tun viele Menschen das nicht, und die sehen den folgenden Überrumpelungsversuch:

Screenshot der Spam -- Postbank -- Sehr geehrter Postbank Kunde, -- Die Sicherheit unserer Kunden steht für uns an erster Stelle. Aus diesem Grund entwickeln wir unsere Sicherheitsstandards stetig weiter. Wir bitten Sie daher, ihr Konto für unsere neuste Digital Zertifizierte Bankingapp freizuschalten. Sie profitieren anschließend von Vorteilen wie dem digitalen Unterzeichnen von Aufträgen oder dem Freigeben von eingehenden Zahlungen. Schützen Sie Ihr Konto gegen unberechtigten Zugriff und sichern Sie sich vor Bedrohungen aus dem Internet ab. Befolgen Sie die nächsten Schritte bitte aufmerksam. Dieser Vorgang nimmt nur wenige Minuten in Anspruch. -- Buttonartige Grafik: Zum nächsten Schritt -- Durch das Herunterladen und Installieren bringen Sie ihr Smartphone auf den neusten Stand. Wir danken für Ihr Verständnis -- Mit freundlichen Grüßen, Ihr Postbank Kundenservice

Der Link auf der Grafik „Zum nächsten Schritt“ führt dann auch nicht in die Website der Postbank, sondern in die Website einer obskuren Subdomain von 92nshffh4 (punkt) ru. Das sieht man übrigens vorm Klicken, wenn man in die Statuszeile seiner Mailsoftware schaut – niemand muss sich also der Gefahr aussetzen, sich dort auch noch Schadsoftware einzufangen. Doch selbst, wenn einem der Blick auf die Statuszeile zuviel Mühe ist, lässt sich diese E-Mail beim Lesen leicht als Sondermüll erkennen.

  1. Die unpersönliche Anrede „Sehr geehrter Postbank Kunde“ (mit Deppen Leer Zeichen) würde in einer echten E-Mail der Postbank nicht verwendet werden.
  2. Normalerweise wird sich eine Mitteilung an einen Bankkunden auf ein bestimmtes Konto beziehen (wenn es keine Reklame der Bank ist). Dieses Konto wird immer genannt werden. Es ist nicht so selten, dass ein Mensch mehrere Konten unterhält. Spammer wissen die Kontonummer in der Regel nicht.
  3. Technische Wartungsarbeiten wie „ihr Konto für unsere neuste [!] Digital Zertifizierte Bankingapp freizuschalten“ gehören weder in den Aufgabenbereich noch in den Möglichkeitsbereich eines Bankkunden; so etwas wird von der Bank erledigt, ohne dass die Kunden überhaupt etwas davon mitbekommen.
  4. Worin liegt der vom Spammer angepriesene Vorteil beim „digitalen Unterzeichnen von Aufträgen“? Aufträge konnten auch vorher rechtssicher erteilt werden, und dies führte zu keinerlei Problemen bei der Abwicklung.
  5. Worin liegt der vom Spammer angepriesene Vorteil beim „Freigeben von eingehenden Zahlungen“? Ist es so typisch für Postbank-Kunden, dass sie sagen: „Nee, diese Buchung mit meinem Weihnachtsgeld, die will ich nicht“?
  6. Das Konto vor unberechtigtem Zugriff zu schützen ist Aufgabe der Bank. Wenn sie diese Aufgabe nicht erfüllen kann, sollte man ihr kein Geld und keinerlei andere Dinge von Wert anvertrauen.
  7. „Wir danken für Ihr Verständnis“ ist eine leserverachtende, pseudohöfliche, arrogant-widerliche Formel zur unterschwelligen Beschimpfung von Menschen, die wohl meist kein Verständnis haben werden. So etwas würde der echten Postbank hoffenlich niemals rausflutschen. Wer auch nur eine Spur Respekt vor seinen Kunden hätte, würde natürlich um Verständnis bitten, statt sich für das nicht vorhandene Verständnis zu bedanken.

So viel nur zu diesen wenigen Worten.

Die in der Spam verlinkte Website ist inzwischen zum Glück nicht mehr erreichbar – offenbar wollte der Hoster nicht zum Komplizen der Verbrecher werden und hat den Stecker gezogen. Es ist davon auszugehen, dass morgen schon die nächste Fuhre Spam mit dann wieder funktionierenden Links ausgeliefert wird. Auf der verlinkten Website eingegebene Daten gehen direkt an die Organisierte Kriminalität, und eine von der verlinkten Website heruntergeladene App für das Smartphone wird das reinste Schadsoftware-Gift sein und aus dem Smartphone ein Smartphone anderer Leute machen. (Ein eventuell laufendes Antivirus-Programm auf dem Smartphone wird vermutlich nicht davor schützen.)

Der beste, wichtigste und wirksamste Schutz vor Phishing und derartigen Überrumpelungen besteht nach wie vor darin, niemals in eine derartige E-Mail zu klicken, und zwar völlig unabhängig davon, wie „echt“ sie aussieht. Einfach die Website der Bank aufrufen und sich dort ganz normal anmelden – wenn wirklich ein Problem vorliegt, das Handeln erfordert, wird das dort ebenfalls unübersehbar angezeigt werden.

Diese leider immer noch erschreckend erfolgreiche Form der Spam funktioniert nur, wenn dem Empfänger ein Link untergeschoben werden kann. Und das geht nur, wenn der Empfänger in die Mail klickt. Deshalb: Immer daran denken, dass E-Mail gefährlich ist, dass der Absender gefälscht sein kann und dass das typische Design einer Bank oder eines Unternehmens leicht imitiert werden kann¹. Niemals in eine E-Mail einer Bank oder eines anderen Unternehmens klicken, mit dem man Geschäfte macht! Immer die Website direkt im Browser aufrufen! Diese ebenso einfache wie wirksame Vorsichtsmaßnahme kann einem sehr viel Geld und Ärger ersparen…

¹Jedes aufgeweckte Kind kann E-Mail-Absender fälschen, genau so, wie jeder Mensch jeden beliebigen Absender auf einen Brief schreiben könnte, der mit der Sackpost versendet wird. Und die Übernahme grafischer Elemente aus einer „corporate identity“ ist von banaler Einfachheit, wie man sehr „schön“ an diesem Postbank-Beispiel gesehen hat. Natürlich könnten Banken endlich damit beginnen, kryptografisch signierte E-Mail zu versenden und unter ihren Kunden für die Überprüfung dieser Signaturen zu werben, um den Phishing-Sumpf ein für allemal auszutrocknen, aber das ist nicht erwünscht. An etwas anderem als den (mutmaßlich politischen) Wünschen kann es nicht scheitern. Es würde im täglichen Prozess kein Geld kosten, wäre in der Programmierung eher unaufwändig und hätte keine damit verbundenen Nachteile. Banken und große Unternehmen, die sich auch im Jahr 2016 noch verweigern, E-Mail kryptografisch zu signieren, sind Helfershelfer der Organisierten Kriminalität und sollten das auch immer wieder einmal von ihren Kunden mitgeteilt bekommen.

Android Detect Calls FREE, enjoy our limited offer!

Donnerstag, 2. Juli 2015

Wie, klingelt das Telefon jetzt etwa, wenn man angerufen wird? Ist ja toll, dass es das völlig freibier gibt und dass ich mich an diesem in jedem Sinne des Wortes beschränkten Angebot erfreuen kann!

Detect Calls FREE, limited offer!

When your phone rings, this brilliant app shows you extra information about the phonenumber. Along with the country details, information about the city and state is provided.

Click To Install

Click Here To Unsubscribe

Aber nein, es ist viel toller! Diese E-Mail, die übrigens an jede Adresse gesendet wird, die irgendwo im Internet gefunden werden kann und nicht bei drei auf den Bäumen ist, hat eine App anzubieten. Eine brillante App. Die zeigt zusätzliche Infos an, wenn jemand anruft. Die leuchtet geradezu in die geistige Umnachtung hinein. Die ist so toll, dass die Leute, die sie gemacht haben, glauben, dass sie nur mit illegaler und asozialer Spam weggeht, diese juwelenhaft gleißende App.

Der Link enthält die E-Mail-Adresse als URI-Parameter, so dass zu den Spammern zurückgefunkt wird, welche Leute in die Spam klicken. Nachdem die unendlich wichtige Aufgabe erledigt wurde, Spammern mitzuteilen, wer alles in eine Spam klickt¹, gibts eine einfache Weiterleitung in den Google Playstore². Dort kann man sich den gnadenvollen Code von Spammern appholen, der bei jedem eingehenden Anruf folgende Infos anzeigt:

  1. Den Namen des Landes, aus dem angerufen wurde
  2. Die Telefonnummer
  3. Die Länderkennung nach ISO 3166 (es wird also für Anrufe aus der Bundesrepublik Deutschland „de“ angezeigt)
  4. Das Kfz-Kennzeichen des Anrufers, aber diese Daten sind unvollständig
  5. Die Hauptstadt des Landes, aus dem angerufen wurde

Also völlig brillante und unentbehrliche Informationen, bei denen sich wohl kaum jemand vorstellen kann, wie es so lange möglich war, ohne zu leben. :mrgreen:

Welche „Zusatzfunktionen“ diese Software für einen persönlich genutzten Computer hat, der weit in die Privatsphäre hineinragt, wird allerdings nicht genannt. Unter „Berechtigungen“ sind im Playstore folgende Punkte aufgelistet:

  • Geräte & App-Verlauf
    • Systeminternen Status abrufen
    • Aktive Apps abrufen [Wozu?]
    • Vertrauliche Protokolldaten lesen [Oops!]
    • Lesezeichen für Webseiten und das Webprotokoll lesen
  • Einstellungen für Mobilfunkdaten
    • Netzwerkeinstellungen und -verkehr ändern/abfangen [Aha, das scheint mir hier die „eigentliche“ Funktion zu sein…]
  • Identität
    • Konten auf dem Gerät suchen
    • Konten hinzufügen oder entfernen
    • Kontaktkarten lesen
    • Ihre Kontaktkarten ändern [Was zum Henker?!]
  • Kalender
    • Kalendertermine sowie vertrauliche Informationen lesen
    • Ohne Wissen der Eigentümer Kalendertermine hinzufügen oder ändern und E-Mails an Gäste senden [Also spammen!]
  • Kontakte
    • Ungefährer Standort (netzwerkbasiert)
    • Genauer Standort (GPS- und netzwerkbasiert)
    • Auf zusätzliche Standortanbieterbefehle zugreifen
  • SMS
    • SMS senden [Na, Lust auf teure „Premium-Dienste“? Oder Lust, dafür zu zahlen, dass man von Spammern ferngesteuert SMS-Spam an sein ganzes Adressbuch sendet?]
    • SMS oder MMS lesen
    • MMS empfangen
    • SMS empfangen
    • WAP-Nachrichten empfangen
    • SMS oder MMS bearbeiten
  • Telefon
    • Ausgehende Anrufe umleiten [!]
    • Telefonnummern direkt anrufen [für nur noch 9 Øre die Minute]
    • Telefonstatus ändern
    • Alle Telefonnummern direkt anrufen
    • Anrufliste lesen
    • Anrufliste bearbeiten [Also: Spuren verwischen]
  • Fotos/Medien/Dateien
    • USB-Speicherinhalte ändern oder löschen
    • USB-Speicher löschen
    • Auf Dateisystem des USB-Speichers zugreifen
    • USB-Speicherinhalte lesen
  • Kamera
    • Bilder und Videos aufnehmen [Was zum hl. Henker?!]
  • Mikrofon
    • Audio aufnehmen [Das wird ja unbedingt benötigt, um rauszukriegen, wer einen gerade anruft…]
  • WLAN-Verbindungsinformationen
    • WLAN-Verbindungen abrufen
  • Geräte-ID & Anrufinformationen
    • Telefonstatus und Identät abrufen
  • Sonstige
    • Auf Check-in-Eigenschaften zugreifen
    • Auf SurfaceFlinger zugreifen
    • Widgets auswählen
    • Mit einem Geräteadministrator interagieren
    • An eine Eingabemethode binden [Keylogging?]
    • An einen Widget-Dienst binden
    • An einen Hintergrund binden
    • Gerät dauerhaft deaktivieren [Und gegen Zahlung von hundert Tacken über Western Union wieder aktivieren?]
    • Broadcast ohne Paket senden [lokales Netzwerk durchtesten?]
    • Per SMS empfangenen Broadcast senden [fernsteuern?]
    • Von WAP-PUSH empfangenen Broadcast senden
    • App-Komponenten aktivieren oder deaktivieren
    • Daten anderer Apps löschen [!]
    • Benachrichtigung für Standortaktualisierung steuern
    • Caches anderer Apps löschen [!]
    • Apps löschen [!]
    • Gerät ein- oder ausschalten
    • Lese-/Schreibberechtigung für zur Diagnosegruppe gehörige Elemente
    • Im Werkstestmodus ausführen
    • Schließen der App erzwingen
    • Hardware testen
    • Tasten und Steuerungstasten drücken [!]
    • Berechtigung zur Installtion eines Standortanbieters
    • Apps direkt installieren [Wäre ja auch schade, wenn da nur eine komische App auf dem Wischofon landet…]
    • Nicht autorisierte Fenster anzeigen
    • App-Tokens verwalten
    • System auf Werkseinstellungen zurücksetzen [also „plattmachen“]
    • Frame-Puffer lesen
    • Tastatureingaben und Aktionen aufzeichnen
    • Synchronisierungsstatistiken lesen
    • Neustart des Geräts erzwingen
    • Andere Apps schließen
    • Start von Apps überwachen und steuern [Fernsteuerung?]
    • Bildschirmausrichtung ändern
    • Zeigergeschwindigkeit ändern [Wozu?!]
    • Zeit einstellen [Wozu?]
    • Größe des Hintergrundbildes anpassen
    • Statusleiste deaktivieren oder ändern
    • Abonnierte Feeds lesen
    • Akku-Daten ändern
    • Karte der Google-Dienste ändern
    • Sicherheitseinstellungen für das System ändern [!]
    • An eine Bedienungshilfe binden
    • An einen Textdienst binden
    • An einen VPN-Dienst binden
    • In sozialem Stream lesen
    • In sozialen Stream schreiben [und spammen?]
    • Zugriff auf alle Netzwerke [!]
    • Über anderen Apps einblenden [und damit andere Apps blockieren]
    • Netzwerkverbindungen abrufen
    • Netzwerkkonnektivität ändern
    • Verknüpfungen installieren
    • Verknüpfungen deinstallieren
    • Beim Start ausführen
    • Simulierte Standortquellen für Testzwecke
    • Als Konto-Manager fungieren [!]
    • Konten erstellen und Passwörter festlegen [!]
    • Akkudaten lesen
    • Pairing mit Bluetooth-Geräten durchführen
    • Auf Bluetooth-Einstellungen zugreifen
    • Dauerhaften Broadcast senden
    • System-Anzeigeeinstellungen ändern
    • WLAN-Multicast-Empfang zulassen
    • WLAN-Verbindungen herstellen und trennen
    • Alle Cache-Daten der App löschen
    • Bildschirmsperre deaktivieren
    • Statusleiste ein-/ausblenden
    • Lichtanzeige steuern
    • Speicherplatz der App ermitteln
    • Andere Apps schließen [Wozu?]
    • Audio-Einstellungen ändern
    • Nahfeldkommunikation steuern
    • Aktive Apps neu ordnen
    • Apps in Hintergrund schließen
    • Allgemeine Animationsgeschwindigkeit einstellen
    • Fehlerbeseitigung für App aktivieren
    • Anzahl der laufenden Prozesse beschränken [auf Null?]
    • Zeitzone festlegen [Wozu?]
    • Hintergrund festlegen
    • Linux-Signale an Apps senden
    • Konten auf dem Gerät verwenden
    • SIP-Anrufe tätigen/empfangen
    • Vibrationsalarm steuern
    • Ruhezustand deaktivieren
    • Systemeinstellungen ändern
    • Synchonisierung aktivieren oder deaktivieren
    • App permanent ausführen
    • Begriffe lesen, die Sie zum Wörterbich hinzugefügt haben [Wozu?]
    • Wecker stellen [Braucht man unbedingt, wenn man die Nummer eines Anrufers anzeigen will]
    • Bevorzugte Apps festlegen
    • Lesezeichen für Webseiten setzen und das Webprotokoll aufzeichnen [also umfassenden Tracking der Webnutzung machen]
    • Wörter zu meinem Wörterbuch hinzufügen

:shock:

Das ist eine beeindruckend lange Liste für eine App, die im Wesentlichen bei einem Anruf die Telefonnummer anzeigt… die Frage, wozu diese sehr weiten Berechtigungen dienen könnten, beantwortet sich daraus, dass die Hersteller dieser App aus irgendeinem Grund zu der Auffassung gekommen sind, dass sich diese App ohne Spam niemanden andrehen lässt.

Diese mutmaßlich trojanische Brillanz von „Produxio Labs“ wurde bislang auf zwischen 100 und 500 Geräten installiert und hat insgesamt vier ziemlich gute Bewertungen erhalten, die ganz sicher von hochzufriedenen Kunden kommen, denn ich würde ja niemals ohne Beleg behaupten, dass hier vier Google-Konten von Spammern zur Abgabe einer irreführenden Bewertung benutzt wurden.

Als jemand, der diese mutmaßlich trojanische App mit dem Namen „Detect Call FREE“ aus inzwischen hoffentlich verständlichen Gründen nicht ausprobiert hat, aber regelmäßig sein Näschen in die ganze Spam steckt, würde allerdings strikt von einer Installation abraten.

Denn mit einer Spam kommt niemals etwas Gutes.

¹Der Klick hat also Folgen. Bis zu dreißig, die jeden verdammten Tag im Postfach liegen, eine dümmer und krimineller als die andere. Deshalb klickt man nicht in eine Spam.

²Bewusst nicht verlinkt, weil ich keine Schadsoftware verlinken will…

Aus aktuellem Anlass: mTAN-Phishing

Dienstag, 23. Juni 2015

Ein aktueller Hinweis auf einen Artikel bei Heise Online – ich selbst habe die Spam noch nicht gesehen und kann mir gut vorstellen, dass es sich um eine personalisierte¹, „gut“ gemachte Spam handelt, die vor allem Kunden zu Gesicht bekommen:

mTAN-Trojaner hat es erneut auf Android-Nutzer abgesehen

Gefälschte E-Mails im Namen der Postbank machen aktuell die Runde und fordern Nutzer dazu auf, eine SSL-Zertifikat-App zu installieren

Das ist mal etwas deutlich anderes als „Bestätigen sie ihre Information weil… ähm… wissen schon, wegen der Sicherheit“ und der Aufforderung, einer „Bank“ auf einer obskuren Website alles noch einmal zu sagen, was die Bank schon längst weiß.

Ich kann mir kaum vorstellen, dass diese Form des Phishings erfolgreich sein könnte, aber wenn ich nur etwas länger drüber nachdenke, gilt das für beinahe jeden Betrug, den ich jeden Tag zu Gesicht bekomme. Leider fällt immer wieder jemand darauf herein.

Deshalb noch einmal ganz klar für jeden Menschen zum Mitschreiben, Merken und Mitteilen: Wenn ihre Bank sie in einer E-Mail dazu auffordert, eine App für ihr Smartphone oder Tablet aus einer unbekannten Quelle zu installieren, rufen sie sofort den Kundendienst ihrer Bank an und fragen sie so deutlich und genervt wie nur irgend möglich, was die Technik-Spezialexperten bei ihrer Bank geraucht haben, um diese Idee zu entwickeln! Vielleicht bekommen sie ja etwas von diesem tollen Kraut ab… ;)

Etwas weniger flappsig gesagt: Wenn sie wirklich Kunde bei einer Bank sind, die allen Ernstes von ihnen einfordert [!], dass sie aus Sicherheitsgründen [!!] Apps für Smartphone und Tablet aus unbekannter Quelle [!!!] installieren, um „Online-Banking“ betreiben zu können [!!!!], dann wechseln sie sofort fristlos die Bank und stellen sie ihrer jetzigen Bank sämtliche ihnen dabei entstehenden Kosten in Rechnung² und überlegen sich schon einmal in aller Ruhe eine Schadenersatzforderung für den sonstigen ihnen entstehenden Aufwand! Es handelte sich bei einem solchen Schritt nur um eine Maßnahme zum Selbstschutz vor den Folgen der Organisierten Kriminalität im Internet. Die Bank, bei der sie Kunde sind, setzte ihre Sicherheit nämlich grob fahrlässig aufs Spiel, und sie hätte damit jede Vertrauensgrundlage für irgendein Vertragsverhältnis zerstört.

Ich hoffe aber, dass kein wirkliches Kreditinstitut jemals auf eine dermaßen dämliche, solches Phishing geradezu mit dem Megafon herbeirufende und den Kriminellen offen zuarbeitende Idee käme. Und deshalb sind sie vermutlich gut beraten, solche Spam einfach unbesehen zu löschen, genau so, wie auch die anderen Phishing-Spams.

Ich muss allerdings eingestehen, dass die meisten Banken noch nicht einmal dazu bereit sind, ihre E-Mail digital zu signieren, so dass die Kunden überhaupt erst die Möglichkeit hätten, den Absender und den unveränderten Inhalt einer E-Mail „der Bank“ zu überprüfen. Und das, obwohl diese defensive Maßnahme, die jedes Phishing erschwerte, im Betrieb keinen Cent Geld kostete, in der technischen Einrichtung aus der Portokasse bezahlbar wäre und die gesamte dafür erforderliche Technik kostenlos und frei zur Verfügung stünde. Von daher würde mich auch eine weitergehende, grob fahrlässige Dämlichkeit bei einigen Banken nicht überraschen. Vielleicht sollten sie das ihrer Bank auch mal deutlich mitteilen. Damit es besser wird. Damit es weniger Arbeit für die Kriminalpolizei gibt. Damit es weniger Geldwäsche über fremde Konten gibt. Damit es weniger Betrug gibt. Damit weniger Opfer der Internet-Kriminalität ihre Geschichte bei der Polizei oder gar vor einem Untersuchungsrichter erklären müssen, weil sie als Kontoinhaber ins Visier der Ermittler geraten sind. Für die Bank kostenlos. Für alle anderen Menschen – ja, fast jeder kann vom Betrug betroffen sein – eine Verbesserung des Lebens.

Auf diesem trüben Hintergrund würde es mich nicht wundern, wenn diese interessante (und für mich neue) Form des Phishings darauf zurückginge, dass einige Banken ihren Kunden sehr ähnliche Zumutungen aufbürdeten.

¹Nach den diversen Datenlecks der letzten Jahre haben die Verbrecher sehr viel Material, um sehr gezieltes Phishing zu machen, wenn sie wollen.

²Dies versteht sich als lebenspraktischer Ratschlag, der dem „gesunden Menschenverstand“ folgt, nicht als juristische Beratung.

Trojaner des Tages

Donnerstag, 5. Februar 2015

Kein Text, sondern nur ein kurzer Link zu Avast: Gaming-Apps auf Google Play infizieren Millionen von Nutzern mit Adware

Den Programmierern der trojanischen Apps und den in meinen Augen halbseidenen Firmen, welche die von dieser Schadsoftware zur Verfügung gestellte Schnittstelle zum Zuspammen der Menschen mit unerwünschter Reklame nutzen, gebührt jede nur denkbare Verachtung. Wer eine derartige Werbung auf seinem Handy wahrnimmt, sollte diese als dringende Empfehlung wahrnehmen, niemals mehr etwas von einer Klitsche zu kaufen, die glaubt, derartige Methoden nötig zu haben.