Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „Windows“

Your credit card is blocked

Mittwoch, 21. September 2011

Das ist die massive Spamflut des heutigen Tages, ich habe gar keine Lust mehr, das zu zählen. Ach, das macht ja auch der Rechner für mich, wenn ich das will…

$ grep '^Subject.*blocked$' spam | wc -l
     109

…aber ob ich das wirklich wollte. Ich schätze mal, dass dieser virtuelle Kothaufen auch in viele andere Postfächer gemacht wurde.

Dear Customer,
Your credit card is locked!
With your credit card was removed $ 087,2 [sic!]

Possibly illegal transaction! [sic!]

More detailed information in the attached file.

Immediately contact your bank .
Best regards, MASTER CARD CUSTOMER SERVICES.

Schon die Anrede „Sehr geehrter Kunde“ sollte klar machen, dass man hier keine Mail seines Kreditkartenunternehmens vor sich hat, sondern eine relativ schlecht gemachte Spam. Der Betrag ändert sich von Mail zu Mail, im Beispiel habe ich einen besonders missglückten Betrag mit führender Null und einer Nachkommastelle rausgepickt.

Schnellerklärung

Der Anhang ist ein ZIP-Archiv. Der Datei ist in jeder Spam anders, hat jedoch eine andere Gemeinsamkeit. Darin ist nämlich eine Datei mit einem ganz besonders lustigen Dateinamen, die so tut, als hätte sie die Dateinamenserweiterung .docwas aber nicht stimmt. In Wirklichkeit hat hier jemand mit ein paar Steuersequenzen herumgespielt, um diesen falschen Eindruck zu erwecken, und es handelt sich um eine ausführbare Datei für Microsoft Windows und nicht um ein Dokument für Microsoft Word. Was von einem Programm zu halten ist, das einem so hinterhältig untergejubelt wird, muss ich wohl nicht vertiefen – es dürfte eine aktuelle Kollektion von Schadsoftware installieren.

Deshalb: Nicht drauf klicken! Löschen! Und generell niemals auf den Virenscanner vertrauen, wenn eine dermaßen leicht als Spam erkennbare Mail die Aufmerksamkeit erzwingen will.

Etwas technischer: Wie haben die das gemacht?

Ich gehe davon aus, dass dieser durchaus intelligente Hack in den kommenden Wochen häufiger versucht werden wird. Deshalb hier eine kurze Beschreibung, was da geschieht:

  1. Der Dateiname endet mit der Zeichenfolge cod.exe.
  2. Vor diesen Zeichen befinden sich (im Dateinamen) die Unicode-Zeichen U+202B und U+202E.
  3. Diese steuern, ob der Text von links nach rechts (wie lateinische Schrift) oder von rechts nach links (wie arabische Schrift) gelesen wird und überschreiben die Einstellung für die angezeigte Sprache.
  4. Moderne Betriebssysteme können Unicode in Dateinamen korrekt interpretieren (so dass beliebige Namen in beliebigen Sprachen und Alphabeten möglich sind) und zeigen den Namen genau so an, wie es von diesen selbst unsichtbaren Steuerzeichen gefordert wird.
  5. Im Ergebnis wird cod ans Ende der Zeile gestellt und die Zeichenfolge wird umgekehrt, so dass der Dateiname auf exe.doc zu enden scheint, was bei oberflächlicher Betrachtung wie ein Dokument für Microsoft Word aussieht.

Ich weiß, das war immer noch etwas zu schnell, aber ich kann hier nicht das ganze Unicode-System erklären. (Auch deshalb, weil ich es nicht im vollen Umfang verstehe.)

Der irreführende Dateiname ist also möglich, weil bei der Darstellung des Dateinamens auch Unicode-Sequenzen interpretiert werden, die im Zusammenhang eines Dateinamens im Allgemeinen nicht sinnvoll sind. Diese Funktionalität wird vermutlich mit den Standardbibliotheken der grafischen Oberfläche „mitgeliefert“, der Dateiname erhält keine weitere Filterung durch den verwendeten Dateimanager. Dieses Problem ist nicht auf Windows beschränkt, ich konnte die irreführende Anzeige mit dem Thunar-Dateimanager der XFCE-Desktop-Umgebung unter Debian GNU/Linux reproduzieren. (Dort ist Gtk+ für die graphische Darstellung zuständig.) Unter Linux ist das Problem nur deshalb kleiner, weil Dateinamenserweiterungen keine so bedeutende Rolle spielen. Ob auch MacOS darauf „hereinfällt“, kann ich mangels Mac leider nicht entscheiden. Es ist ein ziemlich allgemeines Problem. Die Flexibilität moderner Betriebssysteme, die beinahe jede lebende (und manche tote) Sprache dieser Welt überall ermöglichen, kommt den kriminellen Spammern entgegen, die erfolgreich einen falschen Eindruck erwecken können. Allgemeine Abhilfe ist schwierig, es gibt gewiss noch weitere Eigenschaften von Unicode, die sich in vergleichbarer Weise ausbeuten lassen.

Der hier kurz beschriebene Trick wird wohl morgen (oder im schlimmsten Fall: übermorgen) von den meisten Virenscannern erkannt werden. Dafür hat er heute vermutlich schon einen gewaltigen Schaden angerichtet.

Für normale Menschen kann ich immer nur mit der Beharrlichkeit einer mechanisch betriebenen Gebetsmühle den immer gleichen Hinweis wiederholen: Niemals in einer Spam herumklicken! Auch dann nicht, wenn der Anhang einer Spam relativ harmlos aussieht, etwa wie eine Textdatei, ein PDF, ein Bild. Die „Kreativität“ der organisiert Kriminellen, wenn es darum geht, anderen Menschen bösartige Software unterzujubeln, sie ist schier unerschöpflich. Virenscanner und so genannte „Personal Firewalls“ sind niemals ein ausreichender Schutz. Die Sicherheit des eigenen Computers beginnt mit dem Menschen, der vorm Computer sitzt.

Und generell sollte äußerste Vorsicht bei Mailanhängen gelten, die nicht vorher verabredet waren. Wer etwas mitzuteilen hat, kann es in der Regel in der Mail schreiben und muss dafür kein Dokument anhängen.

Noch ein Hinweis

Ich habe bei einer sehr kurzen Recherche gefunden, dass dieser Trick bereits im Mai dieses Jahres als eine mögliche Schwachstelle erörtert wurde. Vier Monate sind im Bezug auf eine ausbeutbare Schwachstelle in der Internet-Kommunikation eine kleine Ewigkeit. Wenn dieses Problem bei Microsoft bekannt war, und wenn nichts in Hinsicht auf dieses Problem unternommen wurde, dann sind die Menschen, die sich auf Microsoft verlassen haben, wieder einmal verlassen gewesen. Im Ergebnis hat das organisierte Verbrechen im Internet vermutlich wieder einige zehntausende Bots für äußerst unerfreuliche Tätigkeiten zur Verfügung.

Angriffe auf Computer jetzt kostenlos

Dienstag, 24. Mai 2011

Es empfiehlt sich generell niemals, auf einen Link in einer Spam zu klicken. Es handelt sich immer um die Machwerke von schwer kriminellen Zeitgenossen, die großen Schaden anrichten können.

Zurzeit empfiehlt es sich allerdings gar nicht. Dies gilt vor allem, wenn ihr Computer unter Microsoft Windows läuft. Ein Baukasten zum Ausnutzen von Sicherheitslöchern in Microsoft Windows steht nämlich zurzeit auch solchen Spammern kostenlos zur Verfügung, die nicht einmal Geld für ihre Attacken ausgeben wollen:

Zwei Wochen nachdem der Quellcode des ZeuS-Bots seinen Weg ins Internet gefunden hat, sinkt die Einstiegshürde für Cyberkriminelle weiter: Unbekannte haben nun die Exploit-Packs BlackHole und Impassioned Framework in Umlauf gebracht, die unter Ausnutzung diverser Sicherheitslücken Windows-Systeme mit der eigentlichen Malware wie etwa ZeuS infizieren.

BlackHole zählt zu den professionellsten illegalen Angriffswerkzeugen, die man derzeit auf dem Schwarzmarkt erwerben kann […] Eine Besonderheit von BlackHole ist laut Threatpost das Traffic Direction Script, mit dem man die Opfer in spe abhängig vom eingesetzten Browser und Betriebssystem auf verschiedene Landingpages umleiten kann.

Wer nicht gerade ein unbezwingbares Interesse daran hat, seinen Computer Kriminellen zur Verfügung zu stellen – und damit sein Online-Banking in die Hände dieses Packs zu geben, seinen Internet-Anschluss zu einer Spamschleuder zu machen, diese Canaillen sein Mobiltelefon benutzen zu lassen (es kann über die Synchronisation befallen werden), die Zugangsdaten diverser Accounts von Foren und Web-2.0-Diensten in die Hände von Spammern zu legen oder den Gangstern dabei zu helfen, illegale Dateien aller Art so zu verbreiten, dass die Polizei bei ihm an der Tür klingelt und den Computer beschlagnahmt – der sollte ab jetzt nicht nur vorsichtig, sondern sogar paranoid sein. Es ist so gut wie sicher, dass der jetzt frei verfügbare Baukasten für Angriffe auf Windows-PCs benutzt werden wird.

Was kann man tun?

Es gelten die „üblichen“ Vorsichtsmaßnahmen:

  1. Niemals in einer Spam herumklicken! Egal, ob es eine Mail, ein Blogkommentar, ein Gästebucheintrag ist, ein Link in einer Twitter-Timeline, ein über Facebook verbreiteter Link oder sonstwas ist. Niemals! Das bisschen befriedigte Neugierde kann den möglichen Schaden nicht aufwägen.
  2. Äußerste Vorsicht auch in der normalen Kommunikation bewahren! Es wird in nächster Zeit vermehrt dazu kommen, dass Web-2.0-Accounts, Forenaccounts und Mailkonten anderer Menschen kompromittiert und von Spammern missbraucht werden. Wann immer irgend etwas an Wortwahl, Inhalt oder Stil auffällig ist, genau so vorsichtig sein wie bei einer sicher erkannten Spam. Dies gilt selbst dann, wenn eine derartige Nachricht mit namentlicher Anrede kommt, denn die Spammer werden in Zukunft vermehrt auf Adressbücher in Handys und Mailprogrammen zugreifen können, und dort steht in der Regel ein Klarname zur Mailadresse assoziiert.
  3. Restriktive Konfiguration der Internet-Software! Nicht jeder Website im Internet das Ausführen von JavaScript und Plugins gestatten, sondern diese Features pauschal verbieten und nur in Ausnahmefällen freischalten. Ein Plugin wie NoScript für Firefox ist eine große Hilfe, solche Einstellungen komfortabel nach Bedarf vorzunehmen. Immer daran denken: Mit dem Freischalten von JavaScript und Plugins gestattet man einer anderen (möglicherweise sogar ohne Wissen ihres Betreibers von Kriminellen kompromittierten) Website das Ausführen von beliebigem Code auf dem eigenen Computer. Eine Website, die einem ohne derartige Privilegien nichts zu sagen hat, wird in aller Regel auch mit derartigen Privilegien nichts zu sagen haben.
  4. Nur aktuelle Internet-Software verwenden! Egal, ob es ein Mailclient, ein IM-Programm, ein Browser oder sonstwas ist – immer Updates durchführen. Außerordentlich viele Angriffe erfolgen auf bekannte Fehler in der Internet-Software. Den Adobe-Reader muss man, weil er oft in Form eines Plugins eingebettet wird, ebenfalls als Internet-Software betrachten, und er hat vor allem wegen seiner eher weniger genutzten Möglichkeiten¹ eine inzwischen bemerkenswerte Sicherheitsgeschichte. Leider kann man ihn nicht so restriktiv konfigurieren wie einen Browser, deshalb ist es um so wichtiger, dass der Browser standardmäßig einer Website nicht das Einbetten von Plugins gestattet.
  5. Nach Möglichkeit niemals Microsoft Windows im Internet verwenden! Es handelt sich immer noch um das Lieblings-Betriebssystem der Internet-Kriminellen, und die Mehrzahl der Angriffe richten sich auf Schwachstellen in Windows. Der Versuch, ein Windows durch so genannte „personal firewalls“ und Virenscanner „sicher“ zu machen, führt vor allem zu eingebildeter Sicherheit, die zur Sorglosigkeit anreizen kann und deshalb sehr gefährlich ist. Es gibt verschiedene Linux-Distributionen, die sich direkt von einem Speicherstick booten lassen, es ist aber auch möglich, ein Linux in einer virtuellen Maschine unter Windows laufen zu lassen. In einer solchen Umgebung ist die Benutzung des Internet zwar nicht sicher, aber deutlich sicherer. Und es kostet nichts.
  6. Auch Google-Suchergebnissen gegenüber misstrauisch bleiben! Googles Ranking – das, was letztlich zur Sortierung der präsentierten Ergebnisse führt – ist manipulierbar und wird zunehmend manipuliert. Bei einigen Suchbegriffen – vor allem zu Markennamen und zu Termini aus dem sexuellen Bedeutungskreis – ist die Google-Suche bereits jetzt so gut wie unbrauchbar für jeden, der richtige Informationen (und keine Werbung von oft schäbigen oder fragwürdigen Vermarktern) sucht. Auch Kriminelle werden alles dafür tun, Einfluss auf Google zu nehmen, weil sie wissen, dass viele Menschen den Google-Suchergebnissen mit großem Vertrauen gegenübertreten.
  7. Und generell: Niemals auf Software verlassen, die mühelose Sicherheit verspricht! Keine Software kann den aufmerksamen Verstand bei der Nutzung des Internet ersetzen. Immer aufmerksam bleiben! Wenn einer das Blaue vom Himmel verspricht – etwa, dass man mühelos zu Geld oder wertvollen Gütern kommen könne – ist er ein Betrüger. Immer. Nicht nur im Internet. Was so ein Halunke im Internet anbietet, sollte allerdings gemieden oder nur mit der Kneifzange angefasst werden. Wenn einer obskure Zusatzdienste zu irgendwelchen Web-2.0-Angeboten verheißt – vor allem Facebook ist bei dieser Art Schwindel der Spammer sehr beliebt; vermutlich, weil dort die Mehrzahl der Menschen unkritisch genug für derartige Maschen ist, noch unkritischer als die meisten Twitter-Nutzer – ist das ebenfalls mit äußerster Vorsicht zu behandeln. Besonders, wenn dabei obskure Codezeilen in die Adressleiste des Browsers eingegeben werden sollen oder Software zum Download angeboten wird. Generell bedeutet jede Form der Software aus dem Internet, dass man einem unbekannten Gegenüber das Privileg einräumt, Code auf dem eigenen Rechner auszuführen, deshalb sollte großer Wert auf vertrauenswürdige Quellen für die Software gelegt werden. Spammer, kontextlose Links in Foren und Blogkommentaren und obskure Warez-Sites sind niemals vertrauenswürdig. Die Software-Verzeichnisse der großen Zeitschriften schon eher. Ich empfehle übrigens das Software-Verzeichnis von Heise Online. Vor jedem Klick kurz nachdenken ist ein besserer Schutz als jeder so genannte Sicherheitssoftware. Die so genannte Sicherheitssoftware aber hinkt den aktuellen Angriffen der Kriminellen im Internet immer ein paar Tage hinterher, sie bietet nur einen unvollständigen Schutz, der im besten Fall als Ergänzung zur vernünftigen Nutzung des Internet dienen kann.

Dass derartige Vorsichtsmaßnahmen auch dann wärmstens zu empfehlen sind, wenn es gerade nicht „brennt“, brauche ich hoffentlich nicht weiter zu erwähnen.

¹Ich werde nie verstehen, wozu zum schwefelkackenden Höllenhund ein druckbares Dokument eine Art JavaScript benötigt. Oder eingebettete Animationen. Oder Plugins. Das ist reiner Bullshit, was Adobe sich ausgedacht hat, ein Versuch, die „Weltherrschaft durch Software“ anzutreten. Dieser Bullshit hat riesige Schäden verursacht, weil immer noch viele Menschen glauben, ein PDF sei sicher. Es ist nicht sicher – außer, man betrachtet oder druckt es in alternativen Programmen, die nicht von Adobe kommen und nicht mit so viel Bullshit überfrachtet sind.. Dass diese Programme oft nicht nur sicherer, sondern auch schneller und schlanker sind, ist dabei ein erfreulicher Nebeneffekt. Es gilt übrigens die Faustregel: Je komplexer eine Software ist, desto unsicherer ist sie.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.