Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Warnung“

Ein Fehler in der Lieferanschrift

Freitag, 8. Juni 2012

Diese Mail kommt nicht von der Deutschen Post, und auch wenn das Piktogramm des Anhanges so aussieht, handelt es sich nicht um ein PDF, sondern um eine ausführbare Datei für Microsoft Windows. Wer auf dieses scheinbare PDF geklickt hat, hat einen Rechner vor sich stehen, der nicht mehr ihm selbst, sondern organisiert Kriminellen gehört und von diesen auch benutzt wird.

Die Schadsoftware ist wirklich gefährlich und wird von vielen Virenscannern zurzeit noch nicht erkannt. Den Müll bitte ungeöffnet löschen!

Alles weitere bitte bei Heise Online nachlesen.

„Frau Ida Janus“ ist eine Hochstaplerin

Montag, 2. April 2012

Es war ja nur eine Frage der Zeit, bis die allgemeine und von der Contentindustrie bewusst geschürte Verunsicherung vieler Menschen in Bezug auf die persönliche Verwendung urheberrechtlich geschützten Materiales auch eine kriminelle „Nutzung“ finden würde wie etwa im Briefe der Frau Janus von der angeblichen Janus AG:

In den E-Mails mit dem Betreff „Urheberrechtsverletzung – illegalem Download Janus AG“ tritt als Absenderin eine „Frau Janus“ aus der „Abteilung Mahnbescheid“ in Erscheinung. Sie gibt an, den Mandanten Universal Music zu vertreten und wirft dem Angeschriebenen vor, „häufig urheberrechtlich geschütztes Material in Form von Musik“ heruntergeladen zu haben. Gegen eine Überweisung von 169,40 Euro könne man jedoch dem Mahnverfahren entgehen.

Ich erwarte, dass dieser Betrug – neben der angeblich von GEMA, BKA oder Bundespolizei auf Privatrechnern installierten Schadsoftware – demnächst in verschiedenen Spielarten auftreten wird, habe aber selbst noch kein Exemplar einer derartigen Müllmail erhalten. Offenbar können sich derartige Betrüger darauf verlassen, dass nach den verunsichernden und kriminalisierenden Kampagnen der Contentindustrie ein erheblicher Anteil der Internetnutzer in der Bundesrepublik Deutschland genug schlechtes Gewissen und diffuse Angst vor Konsequenzen hat, dass eingeforderte Geldzahlungen einfach überwiesen werden. Ob diese Kampagnen zusätzlich zur Schaffung eines derartigen „psychischen Biotops“ für dreiste Betrugsversuche wohl den eigentlich angestrebten Zweck erreicht haben?

Auf keinen Fall bezahlen, sondern diesen Mist einfach in den virtuellen Mülleimer werfen!

Warnhinweis: PayPal-Phishing

Mittwoch, 14. März 2012

Im Moment kommen hier eine ganze Menge englischsprachige Phishing-Spams für PayPal-Nutzer an, die als (gefälschten) Absender service (at) paypal (punkt) com eingetragen haben. Diese Spams haben variierende Texte und sind auffallend stilsicher formuliert. Wenn sie durch den (hoffentlich vorhandenen) Spamfilter kommen, können sie wegen des Absenders von der Mailsoftware in einen Ordner mit echten Mails von PayPal einsortiert werden.

Wenn sie eine Mail „von PayPal“ bekommen haben, die von Unregelmäßigkeiten in ihrem PayPal-Konto spricht: Keine Panik! Die Mail kommt mit an Sicherheit grenzender Wahrscheinlichkeit nicht von PayPal.

Es ist immer noch recht einfach, die Phishing-Versuche zu erkennen.

  1. PayPal spricht seine Kunden immer namentlich an, die Spams kommen aber mit einer unpersönlichen Ansprache.
  2. Der Link geht nicht auf die PayPal-Website. Das sieht man, wenn man beim Überstreichen des Links mit dem Mauszeiger in die Statusleiste seiner Mailsoftware schaut.
  3. Die Begründungen, dass man etwas „verifizieren“ muss, weil PayPal irgendwelche nicht näher bezeichnete Auffälligkeiten bemerkt haben will, sind hanebüchen und sollen vor allem technisch weniger versierte PayPal-Nutzer verunsichern.

Also nochmal: Keine Panik!

Bei Webdiensten, bei denen es um „richtiges Geld“ geht: Niemals auf einen Link in einer Mail klicken, sondern immer die Adresse von Hand in die Adressleiste des Browsers eingeben! Egal, wie überzeugend diese Mail aussieht, und unabhängig davon, ob man persönlich angesprochen wurde oder nicht. Mit dieser sehr einfachen Vorsichtsmaßnahme kann man wirksam verhindern, dass man in einem Moment der Verunsicherung Zugangsdaten in die Hände von Kriminellen gibt – und das kann einem eine Menge Ärger und Geld sparen.

Wer für PayPal (und vergleichbare Dienste) eine eigens eingerichtete Mailadresse benutzt, die an keiner anderen Stelle angegeben wird, baut eine wichtige zusätzliche Sicherung ein, da eine solche Mailadresse nicht so leicht in die Datenbanken der Spammer geraten kann. Das ist unbedingt empfehlenswert – hilft aber nur, wenn man bei Mails „von PayPal“ auch einen Blick darauf wirft, an welche Mailadresse sich die Nachricht richtet.

Gegen Phishing hilft keine Software. Gegen Phishing gibt es nur ein Mittel: Vernunft.

Deshalb: Niemals in Panik versetzen lassen, niemals unüberlegt in eine Mail klicken, niemals so handeln, wie es die Spammer am liebsten hätten.

Vernunft ist kostenlos, und jeder ist mit der Möglichkeit zur Vernunft ausgestattet.

Unvernunft kann schnell verdammt teuer werden.

Keine Chance den Phishern!

BIST DU FACEBOOKSUCHTIG???

Donnerstag, 8. Dezember 2011

Diese Plage läuft zurzeit über Twitter ab, natürlich mit viel mehr Accounts als nur diesen einen:

BIST DU FACEBOOKSUCHTIG??? Aktivieren Sie dieses lustige Video, Sie werden wie

Wie man sieht, ist die Spam nicht besonders einfallsreich. Die Opfer dieser Spammasche werden wohl aus der allgemeinen Timeline herausgepickt, mit einer @-Anfrage angesprochen und bekommen alle das gleiche Textbröckchen vorgeworfen, natürlich auch mit dem immer wieder gleichen Link, den ich hier unkenntlich gemacht habe, um niemanden zu gefährlichen Experimenten zu verführen. Die gewählte Form ist dafür gemacht, Menschen abzuholen, die auch auf Facebook aktiv sind.

Der Link geht zu einem bei blogspot (punkt) com liegenden Blog, das mit einem Riesenberg CSS „liebevoll“ die Erscheinung einer Facebook-Timeline nachempfindet und ganz nebenbei die typischen Steuerelemente der dort gehosteten Blogs versteckt hat, damit auch nicht jedem mäßig erfahrenen Netznutzer auf dem ersten Blick auffällt, was das für ein Schwindel ist. Das Ergebnis ist durchaus gelungen und sieht so aus (zum Vergrößern auf das folgende Bild klicken):

Screenshot des betrügerischen, durch Spam beworbenen Blogs

Dass jemand, der so gezielt einen falschen Eindruck erweckt, nichts Gutes im Schilde führt, brauche ich hoffentlich nicht weiter zu erwähnen.

Der Quelltext ist sehr verbastelt. Ich kann ihn nicht in fünf Minuten durchanalysieren. Er enthält eine Menge Techniken, die ich nach einem ersten Überfliegen nur halb verstehe, und meine Motivation zum gründlichen Verstehen ist gerade nicht so hoch, dass ich mir alles anschauen mag.

Was ich mir allerdings angeschaut habe¹, ist zum Beispiel dieses scheinbare eingebettete YouTube-Video, und das ist etwas völlig anderes als ein gewöhnliches YouTube-Video. Es ist ein IFRAME, der mit ein paar darin angeordneten Grafiken optisch wie ein YouTube-Player gestaltet wurde und in dessen Inneren eine in der Domain allinfree (punkt) net gehostete Seite dargestellt wird – es ist also im Gegensatz zum erweckten Eindruck nicht ein normal eingebettetes, bei YouTube verfügbares Video.

Auf diesem so hinterhältig als YouTube getarnten Bereich wird ein kleiner JavaScript-Fetzen ausgeführt, der überprüft, welcher Browser gerade für die Ansicht verwendet wird. Wenn es sich dabei um Chrome oder Firefox handelt, fordert das Skript im angeblichen YouTube-Player dazu auf, eine Extension namens „YouTube Premium“ zu installieren, der Code für diese Extension wird allerdings ebenfalls aus der Domain allinfree (punkt) net installiert, also von einer Seite, die unter der Kontrolle der Spammer steht.

Wenn auf solche Weise Code unter Vorspiegelung falscher Tatsachen zur angeblich erforderlichen Installation angeboten wird, sollte allein wegen der gewählten Methodik Alarmstufe Rot herrschen. Ich bin mir vollkommen sicher, dass es sich bei dieser angeblichen Extension um Schadsoftware handelt. Ich bin allerdings im Moment nicht gewillt, mir auch noch anzuschauen, welche unerwünschten „Funktionen“ diese Schadsoftware implementiert – es kann jede Aktion sein, die sich innerhalb eines Browsers ausführen lässt, vom Spammen über das Abgreifen von Passwörtern bis hin zum manipulierten Online-Banking. Natürlich kann eine solche Schadsoftware auch auf Facebook, Twitter und YouTube zugreifen und die angebliche Video-Seite dort im Namen des Opfers spammend weiterempfehlen, wenn man sich nicht abgemeldet hat und die Cookies noch im Browser gespeichert sind. Eine erwünschte Funktion wird es auf keinen Fall sein, und übrigens lässt sich YouTube und auch ein gewöhnliches, in andere Seiten eingebettetes YouTube-Video ganz hervorragend ohne diese angebliche Extension nutzen, wie jeder mit Leichtigkeit ausprobieren kann.

Für andere Browser gibt es eine Weiterleitung auf ein Dokument, das den Code zum Einbetten eines YouTube-Videos enthält, so dass Nutzern der Browser Konqueror, Internet Explorer, Opera, Galeon oder Safari gar nichts besonderes an dieser Schadsoftware-Schleuder der Spammer auffällt – außer vielleicht, dass das hier von Spammern missbrauchte Video ein bisschen… na ja… nicht so toll ist, wie es die gefälschten, im Facebook-Stil aufgelisteten Kommentare versprochen haben. Das finde jedenfalls ich… ;)

Der relativ hohe Aufwand und die beachtliche kriminelle Energie in dieser Masche lassen mich annehmen, dass bei jenen, die darauf reinfallen, ein relativ großer Schaden entstehen wird. Da die Nummer „frisch“ ist, ist auch davon auszugehen, dass die meisten Virenscanner die Schadsoftware noch nicht erkennen. Wer schon darauf hereingefallen ist, hat ein ernsthaftes Problem. Es ist erforderlich, etwas dagegen zu tun.

Wegen der sehr perfiden Vorgehensweise und der momentanen Massivität, mit der diese Masche auf Twitter (und vermutlich auch bei vergleichbaren Web-2.0-Sites) durchgezogen wird, kann ich nur eine deutliche Warnung aussprechen: Nicht auf jeden Link klicken, der einem mit einer „persönlichen“ Nachricht zugesteckt wird. Dies gilt in besonderer Weise, wenn der Link von einem bislang völlig Unbekannten kommt oder der begleitende Text dermaßen dümmlich um Aufmerksamkeit buhlt. Wenn dann ein Blick in die Twitter-Timeline dieses völlig Unbekannten zeigt, dass dauernd gleichlautende Links an alle möglichen Leute gesteckt werden, ist die Sache klar: Es handelt sich um einen Spammer, der gemeldet werden sollte, damit der Schaden für andere Menschen begrenzt wird. Das bisschen Vorsicht vor einem schnellen, unüberlegten Klick kann eine Menge späteren Ärger ersparen.

Wer glaubt oder nur befürchtet, dass er schon auf diese besondere Masche reingefallen ist, sollte unbedingt handeln. Alle Erweiterungen sollten im betroffenen Browser – in diesem Fall sind nur Firefox, Chrome und Chromium betroffen – sofort entfernt werden (die Schadsoftware kann unter völlig anderem Namen auftreten), das Verzeichnis mit den Extensions im Dateisystem gelöscht werden und dann können die wirklich benötigten Extensions neu installiert werden. Nicht einmal bei dieser etwas ruppigen Vorgehensweise kann ich zusichern, dass die Schadsoftware zuverlässig entfernt wurde (HTML 5 kennt viele Wege, Daten lokal zu speichern); ich kann auch nicht auszuschließen, dass ein weiterer, von mir beim schnellen Überfliegen nicht bemerkter Schadcode dieser Spammer noch einen anderen Schaden angerichtet hat. Wie ich oben bereits gesagt habe: Es ist ein ernstes Problem.

Dieses Problem wäre übrigens vermieden worden, wenn das Firefox-Plugin NoScript installiert und aktiviert gewesen wäre. Dieses verbietet die Ausführung von JavaScript in unbekannten Seiten und verlangt vor der Ausführung eine explizite Freischaltung. Doch selbst dieser Schutz ist wertlos, wenn man das Skripting leichtfertig aktiviert, weil man ein als lustig angepriesenes Video schauen will. Kein Plugin kann den Verstand ersetzen, und der Verstand sollte einem im Zeitalter einer mit hoher krimineller Energie und beachtlicher technischer Fertigkeit vorgehenden Internet-Mafia sagen, dass man gar nicht vorsichtig genug sein kann. Ein angeblich „lustiges Video“ aus einer derart obskuren und trüben Quelle sollte niemals zum Grund werden, die Vorsicht für etwas befriedigte Neugier zu opfern. Nur in einer solchen Haltung helfen Plugins als zusätzliche Unterstützung beim Streben nach einer sicheren Internetnutzung.

Beinahe jeder Hack eines privat genutzen Rechners lässt sich vermeiden – und das übrigens fast immer – wenn man die Spam als Spam erkennt (das erfordert manchmal etwas Nachdenken und Überprüfung, also Mühe) und niemals in einer Spam herumklickt (das erfordert nur einen gesunden Menschenverstand, ist also kaum der Rede wert).

¹Bevor mich jemand falsch versteht: So etwas schaut man sich nur auf einem besonders gesicherten System an. Ein installierter Virenscanner und eine laufende „personal firewall“ reichen nicht aus, um das System zu sichern. Wer nicht weiß, wie man sich ein besonders gesichertes System einrichtet, sollte niemals auf die Idee kommen, in einer offensichtlichen Spam herumzuklicken.

Hey, Twitter!

Freitag, 5. August 2011

Hey, Twitter!

Ich begrüße es ja, dass du nach diesen ganzen Jahren irgendwie bemerkt hast, dass es bei dir ein massives Spamproblem gibt. Es gefällt mir wirklich gut, dass du etwas gegen diese Pest unternehmen willst. Aber mit Schlangenöl-Sicherheit allein ist es nicht getan.

Wenn ich etwa einen meiner amöbenhaften Follow-Spammer vor mir habe, der auch mittlerweile ein ganz anständiges Auditorium von Leuten hat, die unreflektiert jedem Follower zurückfolgen; wenn ich die Timeline dieses scheinbar unentwegt über digitale Fotografie dahinplappernden und verlinkenden Idioten vor mir sehe und beim Klick auf jeden seiner letzten dreißig geposteten Links die folgende Warnung von dir, Twitter, präsentiert bekomme…

Die Seite die Du versuchst zu besuchen könnte gefährlich sein. Dieser Link wurde als potenziell schädlich eingestuft. Die folgenden Seiten können schädlich sein: Web Seiten Fälschungen oder Phishing Seiten, Seiten welche schädliche software auf deinen Computer laden können, Spam Seiten die zur Eingabe privater Informationen auffordern. Zurück zu Twitter, Mehr erfahren

…dann frage ich mich, warum dieser Typ, dessen Links du offenbar völlig zutreffend als kriminell erkennst, überhaupt noch weiterspammen kann.

Oder glaubst du, der wird das nicht irgendwann selbst bemerken? Und einen anderen URL-Kürzer als dein automatisch verwendetes t.co verwenden? Oder noch ein paar Weiterleitungen zu seiner eigentlichen Zielseite dazwischenbasteln? Für Letzteres nimmt man unter Spammern übrigens gern gehackte Foren, am liebsten solche, die noch aktiv genutzt und deshalb auch wirklich verlinkt werden. Und da dieser kriminelle Drecksspammer von dir – trotz recht eindeutiger Hinweise auf eine ausschließlich kriminelle Nutzung deines Angebotes – nicht rausgeschmissen wurde, kann er noch eine Menge ausprobieren. Und wenn du ihn nicht bald sperrst, Twitter, dann wird er bei dir auch noch seine Opfer finden.

Und nachdem diese Opfer öfter mal eine solche Warntafel von dir gesehen haben, wiegen sie sich auch noch in falscher Sicherheit, wenn sie diese Warntafel nicht vor sich sehen.

Bitte Twitter, denk daran: Kriminalität im Internet bekämpft man nicht, indem man irgendwelche Stoppschilder oder sonstigen Verkehrszeichen aufstellt, sondern indem man konsequent und möglichst schnell durchlöscht (eventuell unter Sicherung der Spuren für die Strafverfolgung). Sogar in der CDU, CSU, SPD und FDP hat man das mittlerweile verstanden…

Mach sie richtig weg, die Spammer!

Dringende Warnung vor Google+Facebook

Sonntag, 10. Juli 2011

Aktueller Nachtrag, 11. Juli, 3.38 Uhr: Inzwischen haben die Betreiber der Domain crossrider (punkt) com auf Reddit Stellung genommen, was ich gern der Vollständigkeit halber hier verlinken möchte. Der Ton ist höflich und sucht seriös rüberzukommen, die aufgedeckten Vorgehensweisen in der Programmierung der Erweiterung werden entweder wortreich dementiert oder ebenso wortreich als eine normale Praxis wegerklärt. Was mir beim Überfliegen (ich tue mich schwer damit, aufgedunsenen Bullshit zu lesen) allerdings sofort aufgefallen ist: Es wird nicht einmal auf die Tatsache eingegangen, dass der Code der Browsererweiterung versucht, über Webmailer auf das persönliche E-Mail-Konto seines Anwenders zuzugreifen und dieses hinter dem Rücken des Anwenders aktiv zu benutzen. Dass auf einen Vorwurf derartiger Schwere nicht eingegangen wird, während gleichzeitig Beschwichtigung durch Wortreichtum und autoritär-offizielle Sprache versucht wird, lässt bei mir alle Alarmglocken läuten. Wer des Englischen mächtig ist, mache sich anhand des Links selbst ein Bild davon.

Ursprünglicher Text

Liebe Facebook- und Google-Plus-Anwender,

bitte glaubt nicht alles, was auf einer Website steht! Bitte seid auch dann skeptisch, wenn das, was dort steht, so klingt wie das, was ihr euch gerade besonders stark wünscht. Nein, seid dann besonders skeptisch, denn mit solchen Ködern angeln die Internet-Kriminellen ihre Opfer.

Es ist im Moment zum Beispiel nicht möglich, einen Zusatzdienst für Google Plus anzubieten. Google hat nämlich für sein neuestes Experiment in Sachen Beziehungsvermarktung zurzeit noch keine API vorgesehen. Es gibt einfach keine Schnittstelle, über die derartige Zusatzdienste mit Google Plus kommunizieren können; es gibt also nichts, was ihr von Facebook oder Twitter gewohnt seid.

Warum Google das so macht? Das müsst ihr Google fragen, die haben dort bestimmt einen guten Grund dafür. Vielleicht möchte Google in der Beta-Phase die Nutzer erstmal in der Website halten, um aufgrund ihres Verhaltens den letzten Feinschliff an der Benutzerschnittstelle anzulegen (und die Nutzer an den neuen Google-Dienst zu gewöhnen, statt sie einfach mechanische Statusmeldungen erzeugen zu lassen). Vielleicht ist die API auch noch nicht stabil. Vergesst nicht, dass es sich um eine Beta-Phase handelt! Google Plus ist noch nicht fertig, sondern wird gerade mit „richtigen Anwendern“ getestet, damit Fehler verschwinden. Und dabei kommt es auch zu eher peinlichen Aussetzern wie versehentlichem „Spamversand“. Vielleicht wird es auch niemals eine API geben. Alles ist spekulativ, und die wirklichen Antworten kennen nur die Leute bei Google, die einen strategischen Plan ersonnen haben und verfolgen, aber die Einzelheiten nicht an die große Glocke hängen. Ist eben so. Wer das nicht mag, muss Google Plus nicht nutzen oder kann warten, bis die Beta-Phase vorbei ist und ein stabiles Produkt Gestalt angenommen hat, das ihm eine vernünftige Entscheidung über die Nutzung ermöglicht. In der Zwischenzeit verpasst man nicht viel.

Den Verzicht auf Google Plus (und natürlich auch auf die stinkende Spamsau Facebook) würde ich jedem Menschen empfehlen, der seine menschlichen Beziehungen nicht zur Marktware des Web-Zwo-Null machen will. Aber ich weiß natürlich, dass solche Gedanken im Taumel der geilen, zum Selbstzweck gewordenen Technik leider keine große Rolle spielen. Deshalb hier meine hoffentlich deutliche Warnung an alle Nutzer von Google Plus: Seid extrem skeptisch, wenn jemand zurzeit Browser-Plugins, Zusatzdienste oder sonstwas für Google Plus anbietet, denn ein solches Angebot wird von Google technisch nicht ermöglicht! Lasst am besten die Finger davon! Es wird sich ausnahmslos um Betrugsversuche durch fragwürdige Zeitgenossen handeln. Ich wiederhole: ausnahmslos.

Wieso ich das schreibe?

Zurzeit wird, wie mir einige Male berichtet wurde, über Twitter und Facebook ein Link auf ein besonders fragwürdiges Angebot verbreitet. Ich habe auch mehrere Mails mit Hinweisen auf dieses Angebot bekommen, die scheinbar von mir persönlich bekannten Menschen kamen. Es handelt sich um eine Browser-Erweiterung, die angeblich Google Plus und Facebook zusammenführen soll. Die in diesen Hinweisen angegebene Seite möchte ich aus nahe liegenden Gründen nicht verlinken, ihre Inhalte habe ich für die Neugierigen mit Hilfe von WebCite archiviert. Diese Seite sieht in ihrer ganzen „Herrlichkeit“ so aus:

Screenshot der betrügerischen Webseite Google+Facebook

Bestandteil dieser betrügerischen Seite sind die inzwischen leider überall üblichen „social buttons“, die mir verraten, dass diese Seite zurzeit 1.657mal getweetet, 2.536mal geliket und ca 5.200mal gepluseinst wurde. Das ist eine beachtliche Reichweite, und sie wird leider von Minute zu Minute größer. Sehr viele Menschen sind also mit dem Link auf diese Seite konfrontiert, auf der sie unter anderem einen Preview-Screenshot sehen, der wohl viel zu selten die Frage aufwerfen wird, warum nicht einfach die entsprechende Timeline bei Google Plus mitverlinkt wurde, um das Ganze überzeugender zu machen (na warum wohl: Weil es nur im Browser mit der beworbenen Erweiterung so aussieht):

Screenshot eines angeblichen Google-Plus-Profiles mit eingebetteter Facebook-Timeline

Dort, wo dermaßen stark und lecker duftende Köder eingesetzt werden, kann man eine Browser-Erweiterung herunterladen, die einem erlaubt, den eigenen Facebook-Stream [Frage an die aktiven Facebooker: Heißt das auch auf Deutsch so?] innerhalb von Google Plus zu sehen. Einfach nur zu Facebook connecten, und alle Updates erscheinen in einem Tab in Google Plus. Und bitte bitte weitererzählen, dafür sind die Buttons da: Tweet, Like, Pluseins…

Nun, die Seite dieses Anbieters in der Domain crossrider (punkt) com mochte ich nicht verlinken, aber dafür verlinke ich gern eine andere Seite auf reddit.com. Ich verlinke diese Seite nicht nur, sondern ich übersetze sogar den dort veröffentlichten Text zu größeren Teilen in die deutsche Sprache, weil ich hoffe, dass das viele Menschen von einer Installation dieser Schadsoftware abhält.

Ja, Schadsoftware. Es handelt sich um einen Trojaner, der beachtliche Missbrauchsmöglichkeiten eröffnet und nicht einmal davor zurückschreckt, auf persönliche Mails zuzugreifen und Mails an persönliche Kontakte zu versenden. Und im Gegensatz zur Anpreisung auf der erwähnten betrügerischen Webseite ist es auch nicht leicht möglich, diesen Code wieder zu deinstallieren – es ist sogar vorsätzlich unmöglich gemacht worden.

Anfang der Übersetzung [ich verwende im Folgenden durchgehend das informelle „Du“, um den Stil des Original-Textes besser wiederzugeben]:

Google+Facebook ermöglicht dir, deinen Facebook-Stream in Google+ zu betrachten
Beitrag von RogueDarkJedi, 16 Stunden alt

Ich habe mir den Code angeschaut und beschlossen, ein paar Anmerkungen zu machen. Wenn du lesen möchtest, was ich gefunden habe (das ist vielleicht alles ein bisschen technisch), lies es. Aber vor allem möchte ich eines klar machen: INSTALLIER DIR DIESES ADDON NICHT. Dieses Addon verhält sich wie eine Schadsoftware und der Dienst ist eine künstlich gelegte Sicherheitslücke, die darauf wartet, dass sie ausgebeutet wird. […]

Die folgenden Anmerkungen beziehen sich auf die Firefox-Version dieser Erweiterung (denn diese Version konnte ich bekommen, als ich mir das Skript auf der Installationsseite anschaute), aber ich bin mir sicher, dass die Chrome-Version ähnliche Machenschaften verfolgt.

Meine Anmerkungen habe ich in vier Kategorien unterteilt (und ich hoffe, dass so alles leichter zu lesen und zu verstehen ist):

PRIVATHEIT – (für Dinge, welche die Erweiterung und ihren Umgang mit deinen Daten betreffen)
SICHERHEIT – (für Sicherheitsrisiken)
SCHADEN – (für unerwünschte Änderungen, die diese Erweiterung hinter deinem Rücken macht oder für Schadsoftware-Funktionen, die ausgeführt werden)
DIVERSES – (für verschiedene andere Anmerkungen, die nicht in die vorherigen Kategorien passen.)

SICHERHEIT – Die Erweiterung hängt von externem JavaScript ab, das von einem anderen Server nachgeladen wird. (Das heißt: Sie muss eine JavaScript-Datei herunterladen, bevor sie auch nur arbeiten kann. Und das geschieht bei jedem neuen Start.) Mozilla akzeptiert eine derartige Praxis nicht, weil sie Man-in-the-middle-Attacken ermöglicht und hohe Anforderungen an die Serversicherheit stellt (wenn jemand die Macht über den Server erlangen sollte, sind alle Installationen einem hohen Risiko ausgesetzt). Das ist der Grund, warum Conduit Toolsbars nicht in Mozillas offizieller Addon-Datenbank aufgenommen wurden.

Hier ist die Datei mit welcher die Erweiterung die [externe] JavaScript-Datei anfordert – diese sieht zurzeit so aus. [Meine Anmerkung: Beide Links gehen auf die Domain des Addon-Anbieters und können sich im Laufe der Zeit inhaltlich ändern oder sogar ungültig werden. Ich bin allerdings nicht gewillt, an dieser Stelle eine gefährliche Software zu hosten, deshalb lasse ich das so.]

SCHADEN – Die API referenziert mehrfach auf einen [kostenpflichtigen] Premium-Dienst. Was das bedeutet? Wenn der Autor der Erweiterung irgendwann einmal nicht in der Lage sein sollte, das Geld für diesen Dienst zu bezahlen, dann kann CrossRider alle Anwender dieser Erweiterung dazu nötigen, zusätzlichen Schrott zu installieren. Das ist eine erzwungene Änderung, die dir keine Wahlmöglichkeit lässt.

PRIVATHEIT / SICHERHEIT / SCHADEN – Du kannst es nicht mitbekommen, wenn sich diese JavaScript-Datei ändert. Sie wird geladen, wenn der Browser gestartet wird und läuft mit den Rechten der Browser-Anwendung (was als gefährlich betrachtet werden muss). Der Autor der Erweiterung kann zu jedem ihm passenden Zeitpunkt „Leck mich am Arsch“ zu dir sagen und dir ein neues Skript unterjubeln, dass deine persönlichen Daten sammelt und dich ausspäht. Aus deiner Sicht ist das völlig in Ordnung, denn diese Änderung geschieht im Hintergrund, ohne dass du etwas davon bemerken kannst.

DIVERSESDiese Seite wird eingefügt, um Zugriff auf deine Facebook-Daten zu bekommen. Du musst das akzeptieren, bevor die Erweiterung irgendetwas mit Facebook machen kann.

PRIVATHEIT / SCHADEN – Die Erweiterung versucht, ein OpenSearch-Plugin zu installieren. Dabei wird die Suchseite verändert, zu der Firefox geht, wenn du eine Suche in der Adressleiste eingibst. Wenn du eine Suche wie „Was ist dieses Reddit?“ eingibst, leitet dich Firefox nicht mehr zu Google weiter, sondern zu einer Seite, die unter der Kontrolle von CrossRider steht. Auf diese Weise scheinen die Entwickler an Einkünfte zu kommen. Aber nicht nur das, diese Veränderung wird bei einer Deinstallation der Erweiterung nicht zurückgesetzt. Auch ist deren Such-Plugin ausgesprochen trügerisch und versucht alles, um genau so auszusehen wie das standardmäßige Google-Suchplugin, welches zu Firefox gehört. (Zwar stimmt das Piktogramm nicht, aber das Plugin verwendet Texte wie „Google powered web search“, damit du auf diese Machenschaften hereinfällst.) Es ist auch Code in der Erweiterung, der deren OpenSearch-Plugin dazu bringt, deine eingestellte Standardsuchmaschine in der Suchleiste zu überschreiben (das ist normalerweise Google). […]

PRIVATHEIT / SICHERHEIT / SCHADEN – Die Erweiterung schaut aktiv und zu willkürlichen Zeitpunkten nach bekannten Domains von Webmailern und beginnt damit, deine E-Mails zu lesen [!], bis es darin ein Zitat findet. Dort fügt es eine Signatur hinzu. Diese soll deine Freunde dazu bringen, dass sie ebenfalls diese Software verwenden [Das Addon spammt also aktiv unter deiner Adresse!]. Zurzeit läuft dieses „Signatur-Feature“ auf folgenden Domains:

  • mail (punkt) google (punkt) com
  • mail (punkt) yahoo (punkt) com
  • webmail (punkt) aol (punkt) com
  • mail (punkt) live (punkt) com

PRIVATHEIT – Die Erweiterung versendet Browser-Statistiken, während du im Einstellungs-Bildschirm bist. Die Daten umfassen die Browserversion, die Version der Erweiterung, die Skript-Version und diesen Wert namens bic (von dem ich annehme, dass er einzigartig ist und eine Identifikation ermöglicht [!]; er wird nur gesetzt, nachdem die Erweiterung Daten vom Server erhalten hat). Möglicherweise geschieht das auch an anderen Stellen.

DIVERSES – Der Code der API ist unleserlich geschrieben und verschleiert vorsätzlich die Funktion [!]. So etwas wird in einem Addon nur gemacht, wenn man etwas zu verbergen hat. Es ist unfassbar schwierig, diesen Code zu lesen.

SICHERHEIT – Im Code der Erweiterung sind große Mengen von trickreichen Programmierungen enthalten, die nur die Funktion haben, externes JavaScript mit größeren Berechtigungen auszuführen, als dies normalerweise möglich wäre. [!] Es ist ziemlich beschissen, wenn man darüber nachdenkt, dass Mozilla sichere Schnittstellen zur Verfügung stellt, um so etwas zu ermöglichen.

SCHADEN – An verschiedenen Stellen im Code wird versucht, deine eingestellte Startseite im Browser zu überschreiben [!]. Es gibt einen Ort, an dem ich sehen konnte, dass es dort geschieht, aber ich weiß nicht, wie dieser Code aufgerufen werden konnte. Der gesamte Quelltext ist ein einziges [vorsätzlich unverständlich formuliertes] Chaos.

DIVERSES – Du kannst einige Einstellungen ändern, wenn die Erweiterung installiert ist… vielleicht. Geht man vom Code aus, denn scheinen diese Einstellungen nicht besonders wirksam zu sein. Vielleicht verändert sich die Laufleistung mit deinen Einstellungen, aber es sieht eher so aus, als könntest du gar nichts tun, wenn das Plugin als Nicht-Premium registriert ist. [Also alles reine Verarschung, die einen hilflos und machtlos herumklicken lässt!]

SCHADEN – Eine Deinstallation setzt keine dieser Änderungen zurück. [!] Im gesamten Code ist eine Deinstallation nicht vorgesehen. [!] Das Addon kann diesen ganzen Scheiß jederzeit auf den Browser loslassen und räumt niemals auf. Die Zusicherung auf der Homepage, dass es leicht zu deinstallieren sei, ist Bullshit. [!] Premium oder nicht, es wird niemals richtig aufgeräumt. [!]

PRIVATHEIT – Deine Facebook-Daten gehen durch deren Service. [!] Sie haben dort keine Erklärung zum Datenschutz und zur Privatsphäre und keine allgemeinen Bedingungen für ihren Dienst (das ist überraschend, wenn man überlegt, dass die schon seit ein paar Monaten unterwegs sind). Dies sollte ein klares Stoppsignal sein.

Was meinst du? Sollte man diesen Typen vertrauen? Meiner Meinung nach, verdammte Scheiße, niemals. Installier dieses Addon AUF KEINEN FALL, es verursacht mehr Schaden als irgendwas anderes. Lass einfach die verdammten Finger davon!

Ende der Übersetzung.

Ja, liebe Facebook- und Google-Plus-Anwender,

so sehen die tollen Dienste aus, wenn sich Kriminelle darauf stürzen – sie sind nur ein weiterer Kanal für Spam und verbrecherische Attacken. Ihr lasst euch von solchen Web-Zwo-Nulldiensten verblenden und gar nicht wenige von euch lassen sich sogar dazu hinreißen, sich freiwillig eine Schadsoftware auf dem Rechner zu spielen, nur, um ein Minifünkchen Mehrwert auf Websites zu haben, auf denen ihr eigentlich selbst die Ware seid. Und dann wundert ihr euch darüber, dass auf einmal in eurem Namen Spam versendet wird, ohne dass ihr irgendeine Kontrolle darüber habt.

Nun, die Kontrolle habt ihr längst aufgegeben. Ihr habt sie aufgegeben, als ihr euch selbst und eure menschlichen Beziehungen an irgendwelche Web-Zwo-Nullvermarkter für ein paar Glasperlen Flashspielchen und Apps verkauft habt. Ihr gebt die Kontrolle jeden Tag ein bisschen mehr auf. Euer Kontrollverlust – genauer gesagt: Eure soziale Enteignung – ist das „Geschäftsmodell“ dieser ganzen Websites, die nur ein dürftiger, künstlich zentralisierter Ersatz für das eigentliche Potenzial des Internet sind. Ihr freut euch über die Bequemlichkeit und merkt die miesen Folgen dieser Enteignung gar nicht weiter, weil sie zurzeit eben nur von lichtscheuem Gesindel so richtig ausgenutzt werden. Das gleiche gilt auch für den dürftigen Internet-Ersatz in Form so genannter „Apps“ auf mobilen Geräten. Ihr habt alles aus der Hand gegeben und freut euch wie die kleinen Kinder über bunte bunte Bildchen, während man euch als Person beliebig missbrauchen kann.

Wenn sich dieser geschäftlich gewünschte Kontrollverlust und die Neigung zur Bequemlichkeit mit kriminellen „Geschäftsmodellen“ kombinieren, wird es eben unangenehm. Wenn ihr eine Erweiterung für einen Browser installiert, gewährt ihr dem Autoren dieser Erweiterung das Recht, beliebigen Code in eurem Browser auszuführen. Was immer der Browser unter diesen Anweisungen tun wird, es sieht von außen betrachtet genau so aus, als wenn ihr es selbst tätet. Es läuft mit euren Cookies und euren Anmeldedaten. Wie ihr am Beispiel des Zugriffs auf Webmailer seht, lässt sich dieses gewährte Privileg bereits sehr einfach zum Spammen ausbeuten – aber es wäre ebensogut möglich, auf diese Weise ein Botnetz aus übernommenen Browsern aufzubauen, das kriminelle DDoS-Attacken oder gar Schlimmeres ausführt, ohne dass ihr es bemerkt. Euer Vertrauen ist fehl am Platze. Je toller die Zusagen sind, desto kritischer solltet ihr sein. Wenn ihr nicht schon einen durch Schadsoftware-Erweiterungen manipulierten Browser habt, ist Google oft eine gute Wahl, um mal nachzuschauen, welche Erfahrungen andere Menschen mit bestimmten Erweiterungen gemacht haben – genau so habe ich den verlinkten und übersetzten Text gefunden, als mich die Spam wegen dieser Google+Facebook-Malware zu nerven begann. Es war übrigens Spam von Menschen, die ich teilweise persönlich kenne – und wäre der Text der Spam nicht in englischer Sprache gewesen, hätte ich vielleicht nicht einmal Verdacht geschöpft. So groß kann der Schaden durch soziale Enteignung und geistlose Bequemlichkeit werden; so groß, dass ein Mensch zum willfährigen Gehilfen krimineller Spammer wird.

Die klassische Mailspam ist längst am Ende. Die bloße Masse dieses Mülls hat deutlich nachgelassen (und das ist gut), und die Betrugsnummern sind sehr durchschaubar geworden. Aber die asoziale Idee der Spam findet immmer neue Kanäle. Theme-Spam und Plugin-Spam für Webanwendungen, Spam in diesen ganzen Web-Zwo-Nulldingern und immer häufiger Addon-Spam für Browser. Dort ist noch viel Potenzial für weitere Entwicklungen. Ich bin mir sicher, dass ich Mails aus derartiger Addon-Spam demnächst auch in gutem Deutsch haben werde, mit korrekter Anrede und mit meinem Namen aus einem Google-Adressbuch, so dass mich nur noch stilistische Feinheiten der Sprachwahl skeptisch machen könnten. Solche Spam wird hochgefährlich.

Ihr lieben Facebook- und Google-Plus-Anwender (und sonstigen viel zu arglosen Seelen, die ihr euch niemals mit diesem ganzen Technikkram befassen wollt, euch aber gut von dem ganzen Technikkram unterhalten lassen wollt),

wenn ihr gar nicht dazu imstande seid, euch gegen solche Missbräuche zu schützen, indem ihr vor der und bei jeder Computerbenutzung das Gehirn einschaltet, lasst doch bitte gleich die Finger vom Fratzenbuch und von Guhgell Doppelplusgut und installiert euch nur die allernotwendigsten Addons in eure Browser (ein Adblocker muss sein, und JavaScript will man auch nicht jeder dahergelaufenen Website erlauben)!

Und bitte: Denkt doch mal darüber nach, warum ihr eigentlich euren E-Mailverkehr über einen leicht missbrauchbaren und häufig angegriffenen Webbrowser macht! Es gibt wesentlich bessere Lösungen für das Abarbeiten der E-Mail. Wer diese verwendet, gewinnt nicht nur deutlich an Komfort, auch ist es beim völligen Verzicht auf einen Webmailer ungleich schwieriger, ja, nahezu unmöglich, durch den Angriff auf einen Browser Spammails zu versenden. Letzteres gilt natürlich nur, wenn nicht das Passwort im Browser gespeichert ist und wenn man am Webmailer nicht angemeldet ist; nur dann hat der Browser auch keinen Zugriff auf die Mail. Ist nur mistig, wenn man wegen dieses Google Plus immer angemeldet bleiben möchte und die Mailadresse ebenfalls bei Google hat… tja, ich weiß. Das sind eben die konzeptionellen Schwächen im Design der ganzen Web-Zwo-Nulldinger. Die Unsicherheit ist dort Bestandteil des Designs.

Nur, bitte, lasst es euch nicht mehr alles so erschreckend gleichgültig sein!

Euer Elias

Kein JavaScript, keine Pillen

Samstag, 4. Juni 2011

Entschuldigen, wir können Ihre Anfrage nicht bearbeiten, weil Ihr JavaScript abgeschaltet ist! KLICKEN SIE HIER wenn Cookies und JavaScript aktiviert werden!

Was von „kanadischen Apothekern“ zu halten ist, deren Angebote nur über kriminelle Spam bekannt gemacht werden und die ihre „Kunden“ mit so einem Text begrüßen…

Entschuldigen, wir können Ihre Anfrage nicht bearbeiten, weil Ihr JavaScript abgeschaltet ist!
KLICKEN SIE HIER wenn Cookies und JavaScript aktiviert werden!

…sollte angesichts der Tatsache, dass beinahe alle Cracker-Angriffe über JavaScript laufen, jedem klar sein. Zurzeit werden sogar mit ferner liegenden Varianten der Spam derartige Angriffe versucht.

Aber wer seine fünf Sinne beisammen hat, wird ja nicht in einer Spammail herumklicken, oder?!

Gefährliche Masche in der Referer-Spam

Donnerstag, 2. Juni 2011

Es gibt einige Randerscheinungen der Spampest, die immer mal wiederkommen. Zum Beispiel die Referer-Spam, die in sehr vielen Fällen nur für den Betreiber einer Website bei der Auswertung der Logdateien sichtbar wird. Sie richtet sich vor allem auf Websites, die irgendwo anzeigen, welchen Links von anderen Websites die Besucher gefolgt sind – was eine technische Spielerei ist, die leider auch immer mal wiederkommt, dann aber schnell wieder verschwindet, weil nur sehr wenige Leute gern auf ihrer Website Links auf den Dreck setzen, der sich über ein derartiges Einfallstor vordrängelt.

Im Moment verfolgen die Referer-Spammer allerdings eine interessante und sehr gefährliche neue Strategie. Sie setzen URLs, die den Eindruck erwecken sollen, dass die vollgespammte Website in irgendeinem Dienst zur Bewertung von Websites oben stünde. Eine von den vielen hierfür verwendeten URLs sieht zurzeit ungefähr¹ so aus: http (doppelpunkt) (slash) (slash) obskure (punkt) domain (punkt) info (slash) top (strich) 70 (strich) wordpress (stich) blogs (punkt) php. Sie richtet sich offenbar an den Betreiber der Website, hier mit der besonderen Zielgruppe „WordPress-Blogger“. Dieser soll voller Entzücken in der Vorstellung gefangen werden, dass sich sein Blog in einer Liste der besten 70 WordPress-Blogs befinde. Das dürfte manchem wenig gelesenen Zeitgenossen sehr schmeicheln, und deshalb ist die Chance gar nicht so klein, dass sich viele Blogger einmal anschauen, wo sie denn zurzeit so groß (und unerwartet) im Kommen sind. Wer die Statistiken von WordPress.com über das entsprechende Plugin nutzt (was übrigens gegen geltende Datenschutzbestimmungen in der BRD verstößt), kann sogar aus dem Dashboard heraus direkt auf die „verlinkende Seite“ mit der so schmeichelhaft klingenden Adresse klicken, um sie zu besuchen. (Bequemlichkeit in der Anwendung und Gedankenlosigkeit bei der Anwendung technischer Möglichkeiten sind eine Kombination, von der lichtscheue Gestalten sehr profitieren können.)

Dort gibts allerdings keine weiteren Schmeicheleien, sondern „nur“ eine HTTP-Weiterleitung auf „Inhalte“…

Screenshot der durch Spam in die Aufmerksamkeit gedrängten Site

…die nach Meinung der so eifrigen Spammer niemand ohne Spam und freiwillig seinem Dasein hinzufügen würde. Kein Wunder, es sind ja auch recht hohle „Inhalte“. Spam eben; Wörter, die nur so lange Sätze zu formen scheinen, bis man versucht, diesen Sätzen einen Sinn zu entnehmen.

Das mit der Inhaltslosigkeit gilt zumindest dann, wenn man diese Site so betrachtet, wie ich eine Site von Spammern zu betrachten pflege, also mit abgeschaltetem JavaScript und abgeschalteten Plugins. Dass mit einem gewissen Aufwand und großem Einfallsreichtum gespammt wird, nur, um solche aus Textbausteinen zusammengesetzten Nichtigkeiten zu befördern, erschien mir doch ein bisschen unwahrscheinlich. Deshalb habe ich auch einmal einen oberflächlichen Blick in die Quelltexte der mit Spam beworbenen Site geworfen.

Der Quelltext verriet mir, dass da einiges an JavaScript nachgeladen werden sollte, aber ich habe es nicht ganz genau untersucht. Nachdem ich dechiffrierte, dass da in Abhängigkeit von der verwendeten Browserversion mal ein IFRAME (mit weiterem nachladendem JavaScript, das wiederum… ja, noch mehr JavaScript nachlädt), ein anderes Mal ein Flash-Applet und ein drittes Mal schlicht ein nachgeladenes JavaScript geholt wird; dass sich die ganzen nachgeladenen Daten ferner lustig im Netz verteilen; ja, da hatte ich genug gesehen, um mich nicht weiter durch diesen vorsätzlich kryptisch und unlesbar formulierten Quelltext zu quälen. Vermutlich gibt es bei diesen Spammern eine im Hintergrund arbeitende, aktuelle Kollektion von Angriffen gegen populäre Browser und Betriebssysteme, wann immer sich jemand diese vordergründig inhaltslose Drecksseite aus Neugierde und narzisstischer Freude über seinen „Erfolg“ so anschaut, wie es die Verbrecher gern hätten. Wer das unvorsichtigerweise getan hat, wird hinterher oft die Seuche auf seinem Rechner haben. Entsprechende Baukästen für das Ausbeuten bekannter Sicherheitslöcher stehen den Verbrechern zurzeit sogar kostenlos zur Verfügung.

Deshalb meine DRINGENDE WARNUNG: Wer sich mit Auswertungen der Logdatei des Webservers oder einem Statistiktool für sein Blog oder eine sonstige Website beschäftigt und dort unter den verlinkenden Websites auch solche findet, die vordergründig einen schmeichelhaften Eindruck erwecken sollen, der sollte sich nur mit äußerster Vorsicht anschauen, was es damit auf sich hat – oder es besser ganz lassen. Der Ärger, den man sich dabei einholen kann, wägt die befriedigte Neugierde nicht auf. Generell kann ich jedem Menschen nur davon abraten, mit aktiviertem JavaScript im Internet unterwegs zu sein und beliebigen Websites das Einbetten von Plugins zu gestatten, denn damit räumt man anonym bleibenden Leuten das Privileg ein, Code im Browser auf seinem Rechner auszuführen. Das ist ein Privileg, das angesichts der Vielzahl krimineller Angriffe auf der einen Seite und einer maßlos gewordenen Lust am Tracking und Datensammeln auf der anderen Seite nur in gut begründeten Sonderfällen berechtigt sein kann – egal, wie sehr irgendwelche Leute von Interaktivität, Unterhaltung, Multimedia und Web-Zwo-Null faseln. Eine Website, die ohne JavaScript und Plugins nichts mitzuteilen hat, wird in den meisten Fällen nicht interessanter, wenn man ihrem Gestalter derartig weitreichende Privilegien einräumt. Das gilt im besonderen Maße für Websites, die über sonderbare und für Spammer bequem gangbare Wege in die Aufmerksamkeit gebracht wurden.

¹Warum ich diese Drecksite nicht einmal in Textform erwähne, sollte sich aus dem Kontext von allein ergeben. Ich möchte niemanden zu Experimenten damit einladen.