Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Sonstiges“

Spam per Banküberweisung

Montag, 4. Juli 2016

Sicher, die meiste Spam kommt immer noch über E-Mail. Aber: Unermüdlich denken sich Spammer neue Wege aus, an bislang unerwarteten Stellen die Aufmerksamkeit der Menschen an sich zu reißen und so die Menschen zu überrumpeln. Die neueste Idee einiger Spammer ist Spam per Banküberweisung.

SEPA-GUTSCHRIFT 1605485 Bitte rufen Si e uns an: 0211-867xxxx CODADEFXXX DE30360400xxxxxxxxxxxxxxx GFKL Collections GmbH

Bitte auf so etwas nicht hereinfallen und auf gar keinen Fall anrufen! Besser die angegebene Telefonnummer mit einer kurzen Beschreibung der Vorgehensweise der Spammer an die Bundesnetzagentur melden! Das geht schnell und einfach. Wer spammt, führt niemals etwas Gutes im Schilde.

Via @benediktg@gnusocial.de.

Spam von Microsoft! Über den Desktop gelegt!

Sonntag, 3. Juli 2016

Screenshot Windows 7 mit bildschirmfüllenden Update-Hinweis auf Windows 10

Piktogramm: Ein Monitor mit den großen, bildfüllenden Anzeige 'Desktop-Spam'Microsoft – wir erinnern uns: das ist die Unternehmung, die schon 1997-1998 so „vorausschauend“ und „innovativ“ war, dass sie über die „Channel-Leiste“ des „Active Desktop“ in Windows 98 Reklame direkt auf den Arbeitsbildschirm bringen wollte – unterbricht die Arbeit unter Windows 7 für einen wichtigen Hinweis: „Greifen sie jetzt kostenlos zu und nehmen sie jetzt unser neues Betriebssystem Windows 10, bevor sie dafür viel Geld bezahlen müssen! Das ist so irre mega wichtig, dass ihre eigentliche Computernutzung kurz hinter diesen Reklamehinweis von uns zurücktreten muss und deshalb unterbrochen wurde. Machen sie schon und klicken sie einen unserer Klickeknöpfe oder klicken sie auf einen etwas unsichtbarer gemachten Link, mit dem sie unsere Scheißspam abbestellen können“.

Wer dabei denkt, dass eine derartige bildschirmfüllende Präsentation verdächtig an die Präsentation eines Erpressungstrojaners erinnert, denkt das Gleiche wie ich.

Microsoft hat sich einen Eintrag in die Annalen der Spam verdient. Es ist die erste Unternehmung, die sich getraut hat, ihre Spam – als „Windows-Update“ getarnt und dem Opfer klandestin untergejubelt – direkt auf dem Desktop zu machen. Ich kann natürlich niemanden daran hindern, weiterhin Produkte eines offensiv auftretenden Spammers zu verwenden (und damit dem Spammer zu vertrauen, obwohl es sich um einen Spammer handelt), aber ich glaube, dass jeder Mensch, der mit einem so genannten Gehirn ausgestattet ist, selbst bemerken sollte, dass es sich dabei um eine ganz schlechte Idee handelt.

In jedem Fall verbietet sich die Nutzung eines durch Spam beworbenen Produktes von allein. Spam ist nämlich immer ein ganz schlechtes Zeichen. Das gilt auch, wenn es sich um eine neue, „innovative“ Form der Spam handelt. Nein, es gilt gerade dann!

Achtung! Spekulation!

Nach diesen Worten nun noch etwas Spekulatives von mir, nämlich eine völlig unbelegte Vermutung, wie es weitergehen wird. Des Schwierige an Prognosen ist ja diese Zukunft… 😉

Niemand glaube, dass mit dem ersten August der Wahnsinn der immer aufdringlicheren, grenzkriminelleren, überrumpelnderen, spamartigeren Werbemethoden von Microsoft für ein ohne derartige Spam offenbar nicht so gut weggehendes Windows 10 vorbei sein wird!

Ich halte es für ziemlich sicher, dass es danach noch eine Menge vergleichbar aggressiver Versuche geben wird, Windows-7-Nutzern das neue Windows 10 aufzuzwingen… ähm… auf vielerlei Wegen „nahezulegen“. Auch mit Sonderpreisen, vielleicht sogar (nach einer kurzen Schamfrist) weiterhin kostenlos.

Ich kann mich noch gut daran erinnern, wie der „sanfte“ Update-Druck damals mit Windows 98 gemacht wurde – ein Betriebssystem, das eher ein Bugfix-Paket zu Windows 95 als ein neues Betriebssystem war, aber angereichert um solche Unverschämtheiten wie einen Microsoft-Zwangsbrowser als „Betriebssystemkomponente“, um solche scheunentorgroßen Sicherheitslücken wie „ActiveX“ und um lustige Desktop-Reklame-Versuche der totgeborenen Marke „Channel-Leiste“. Dies geschah, indem mit aller neuerer Software eine aktualisierte comdlg32.dll¹ mitgeliefert wurde. Es handelte sich um eine Version, die unter Windows 95 ein kleines Speicherleck aufwies, so dass ein Windows 95, auf dem auch neuere Software installiert war (zum Beispiel ein aktuelleres Microsoft Office oder ein Internet Explorer 4), bei längerer Nutzungsdauer immer instabiler wurde, bis schließlich irgendwann einer der vielen möglichen blauen Bildschirme erschien. Dies geschah völlig unabhängig vom Speicherausbau des verwendeten Computers, weil vom DOS-basierten Windows aus technischen Gründen nur ein sehr kleiner Speicherbereich für Systemressourcen verwendet wurde. Im Lande des vollumfänglichen Rechtsschutzes für beleidigte Leberwürste würde ich natürlich niemals unbelegt und angesichts der geheimgehaltenen Quelltexte auch unbelegbar behaupten, dass es sich dabei um einen Vorsatz gehandelt habe; und selbstverständlich wäre die schwierig nachzuweisende Straftat einer Sabotage von Millionen Computern auch inzwischen verjährt². Aber Windows 98 war dann halt viel stabiler und zuverlässiger…

Wenn es demnächst zu allerlei billigen bis kostenlosen „Probierangeboten“ und „Aktionen“ für Windows 10 kommt, beginnt auch spätestens die Zeit, in der man den Microsoft-Updates für Windows 7 nicht mehr vertrauen kann (sie hat eigentlich jetzt schon begonnen, denn es wird von Seiten Microsofts Spam darüber ausgeliefert), sondern gut damit beraten ist, immer ein paar Tage mit dem Update zu warten und aufmerksam in diversen technischen Websites nachzulesen, was es damit auf sich hat und welche Probleme von einer Installation verursacht werden können. Von einer Fortsetzung der asozialen Spam bis hin zu kriminellen Methoden traue ich Microsoft auch bei der Vermarktung von Windows 10 alles zu, und ich glaube nicht, dass irgendetwas davon wohltuend für die Betroffenen sein wird. Warum? Weil Microsoft nicht einmal mehr vor der Erfindung neuer Spamformen zurückschreckt, um auch noch dem Letzten etwas anzudrehen, was er gar nicht haben will.

Und was ist die Folge dieser… sorry… Arschlochnummer von Microsoft? Richtig: Dass eine größere Anzahl von Computern nicht mehr vertrauensvoll und möglichst unmittelbar mit Sicherheitsupdates gegen die kriminelle Ausbeutung von Softwarefehlern abgesichert werden kann.

Ja: Microsoft macht sich gerade zum größten Freund der Organisierten Kriminalität. Die davon angerichteten Schäden bei Privatpersonen, Unternehmen, Verwaltungen und Organisationen werden in ihrer Summe zwar nicht präzise ausweisbar, aber gewaltig sein. Mir wäre es jedenfalls lieber, wenn sich Microsoft zum größten Feind der Organisierten Kriminalität machte (und auf diesem Weg auch mal ein paar dumme, häufig kriminell ausgebeutete GUI-Designentscheidungen aus den Neunziger Jahren korrigierte, wie etwa die standardmäßige Ausblendung von Dateinamenserweiterungen, wenn man schon die an sich gefährliche, grundlegende Idee der Kennzeichnung einer ausführbaren Datei durch ihren Dateinamen nicht ändern kann, ohne schwere Inkompatibilitäten zu verursachen).

Was für ein Zufall, dass bei solcher „Partnerschaft“ der bildschirmfüllende, den Desktop überlagernde Reklame-Hinweis auf Windows 10 so verdammt ähnlich wie der Hinweis eines Erpressungstrojaners aussieht… :mrgreen:

Ein abschließendes Wort an Microsoft

Microsoft-Entscheider!

Statt zu Spammern zu werden und eure Kunden (die euch immerhin bezahlen) so offen zu verachten, dass ihr ihnen mit asozialer, den Desktop überlagernder Spam kommt, seht lieber ein, warum eure Kunden Microsoft Windows benutzen! Sie tun das nicht, weil sie ein weiteres Spielzeug-Betriebssystem für Spielzeug-Computer wie diese Wischofone³ haben wollen, sondern weil sie mit ihrem Computer arbeiten wollen. Sonst würden sie sich ja auch direkt Spielzeug-Computer kaufen. Für das, was eure Kunden wollen, brauchen sie keinen Appstore, keine Kacheln, keine Reklame auf dem Desktop, keine Datenenteignung durch Cloud-Dienste, keine klandestin verbauten Überwachungsfunktionen und übrigens auch keine Arbeitsunterbrechungen durch eure Drecksspam.

Denkt an diese Menschen (programmiert meinetwegen eine zweite, alternative Shell für Kinder und Vollidioten, wie ihr es schon einmal gemacht habt), und sofort wird sich euer Erfolg wieder einstellen. Dann braucht ihr auch keine Spam. Und die Lizenzen werden sogar bezahlt. Nicht, weil man euch liebt. (Das ist auch eine Haltung, die man eher gegenüber Menschen als gegenüber Computern einnehmen sollte.) Sondern weil eine gewisse Abhängigkeit von eurem Betriebsystem gewachsen ist. Auf dieser Grundlage nehmen Menschen leider einiges in Kauf. Aber nicht alles.

Plonk!

¹Diese DLL von Microsoft ist zuständig für die Darstellung von Standarddialogen wie etwas zur Dateiauswahl, zur Schriftartauswahl, für den Ausdruck, für die Farbauswahl und dergleichen.

²Es gibt auch im Zusammenhang der spamartigen Windows-7-Marketingaktionen von Microsoft Menschen, die offen von Sabotage sprechen (hier auch eine dauerhaft archvierte Version der aus nachvollziehbaren Gründen patzig und aggressiv gestellten „Frage“ an den Microsoft-Support). Als Windows technisch noch ein Aufsatz auf DOS war, hat Microsoft sein Windows gezielt zu DOS-Versionen inkompatibel gemacht, die nicht von Microsoft kamen. Das war sicherlich nicht leicht, aber was tut man nicht alles für ein bisschen Erpresserlohn…

³Wischofon: Mein Wort für ein Smartphone.

Influencer-Marketing

Dienstag, 14. Juni 2016

Keine Spam, sondern eine unbedingte Leseempfehlung zu einer Form der Spam von PR- und Reklameunternehmen, die zum Glück nicht jeden Menschen betrifft:

Anfangs habe ich mir nichts dabei gedacht, habe die Meldungen als Spam markiert und weggeklickt. Doch das Problem ging nicht weg. Im Gegenteil. Die Schlagzahl erhöhte sich von Monat zu Monat. Verirrten sich vor Jahren mal eine oder zwei solcher „Presseinformationen“ in meinem Eingangskorb, sind es heute im Schnitt 50 Mails am Tag.

Oft sind die Texte mit meinem Namen personalisiert, so dass ich aufpassen muss, nicht aus Versehen eine wichtige Nachricht zu übersehen oder gar zu löschen. Besonders schlimm ist es, wenn ich mal einen oder zwei Tage meine Mails nicht checke. Dann stauen sich schon mal 200-300 Mails auf, die alle gesichtet werden müssen. In anderen Worten: Meine Mail-Adresse, auf die ich beruflich angewiesen bin und die ich auch auf Briefköpfen oder Visitenkarten angebe, ist unbenutzbar geworden

Richard Gutjahr: Die illegalen Methoden der PR-Adressbroker

SMS-Spam: Fünfhundert Euro bei SATURN gewonnen

Mittwoch, 13. April 2016

Eine für mich noch neue Methode der Spam ist die SMS-Spam, die ihren Absender etwas (nicht sehr viel) Geld kostet. Mit selbst ist noch keine untergekommen, deshalb hier ein Beispiel eines meiner Leser¹:

HERZLICHEN GLÜCKWUNSCH! SATURN 500EURO! Der Hauptgewinn der Endauslosung wartet auf SIE! Klicken und ansehen: http (doppelpunkt) (doppelslash) SATURN (punkt) gewinn (strich) 2 (punkt) info (slash) ID von mir entfernt

So so, SATURN… und ein Link in die Domain gewinn (strich) 2 (punkt) info. Warum „Saturn“ wohl nicht einfach seine eigene Domain saturn (punkt) de für seine eigenen Werbeaktionen verwendet, in der ja auch die Saturn-Website liegt? Mal schauen, wer die benutzte Domain betreibt:

$ whois gewinn-2.info | grep -i '^registrant'
Registrant ID: ovh570b81aak0c7
Registrant Name: Adnan Nesic
Registrant Organization: ESTEO ADS d.o.o.
Registrant Street: ?kolska br. 70
Registrant City: Zenica
Registrant State/Province:
Registrant Postal Code: 72000
Registrant Country: BA
Registrant Phone: +387.6175xxxx
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: admin@esteo-ads.com
$ _

[Telefonnummer von mir unkenntlich gemacht.]

Diese obskure Firmierung mit „Ads“ und ihrem Unternehmenssitz in Bosnien-Herzegowina sieht nicht gerade nach „Saturn“ aus. Übrigens macht diese halbseidene Klitsche auch in „Apple“. Und in Dating-Spam. Wer sich dafür interessiert:

$ whois gewinn-2.info | grep -i '^creation'
Creation Date: 2016-03-31T15:43:12Z
$ _

Die verwendete Domain wurde erst vor 13 Tagen registriert. Sie wird weggeworfen, wenn sie verbrannt ist. Es ist ein erfahrener Spammer.

Dass das richtige Saturn keine Reklame mit einem solchen Gewinnspiel macht, bei dem beliebige Menschen eine SMS auf ihr Telefon bekommen, fällt übrigens bei einem einfachen Besuch der richtigen Website von Saturn auf. Natürlich würde es Saturn in seiner Reklame ganz groß rausposaunen, wenn es einfach wahllos Menschen mit fünfhundert Euro beglückte. So etwas soll ja nicht umsonst sein, sondern eine Reklamewirkung haben.

Kurz: Es handelt sich um Spam, die beim Empfänger einen falschen Eindruck erwecken soll. So etwas machen nur Leute, die andere Leute überrumpeln wollen. Ich habe mir jetzt nicht angeschaut, was es dort zu sehen gäbe, denn ohne die eindeutige ID in der URI, die zum Spammer zurückfunkt, dass die Spam-SMS angekommen ist und am Smartphone beklickt wird…

$ lynx -mime_header http://SATURN.gewinn-2.info/
HTTP/1.1 200 OK
Date: Wed, 13 Apr 2016 11:02:39 GMT
Server: Apache/2.2.22 (Debian)
X-Powered-By: PHP/5.4.45-0+deb7u2
Vary: Accept-Encoding
Connection: close
Content-Type: text/html

Keine gültige Angabe.
$ _

…sieht man dort nichts. Und dem Empfänger der Spam-SMS möchte ich es lieber ersparen, dass er in Zukunft jeden Tag so einen kriminellen Müll auf sein Handy geschaufelt bekommt. (Auch die Verwendung einer Fantasie-Angabe führt nur auf eine leere Seite, das habe ich natürlich ausprobiert.) Ich tippe darauf, dass es zu einer ähnlichen Dateneinsammlung wie beim angeblichen Lidl-Bingo kommt, wo ebenfalls ein angeblicher Preis im Wert von fünfhundert Euro als Köder diente.

Also: Wer so eine SMS bekommt, lasse ja die Finger davon!

Danke, @benediktg@gnusocial.de

Neu und super! Microsofts Sicherheits-Update-Spam!

Donnerstag, 10. März 2016

Wichtiger Hinweis: Dieses Posting ist inhaltlich falsch, weil der Artikel auf Heise Online inhaltlich falsch war, wie dort inzwischen zu lesen ist:

UPDATE: In einer vorigen Version der Meldung haben wir an dieser Stelle geschrieben, dass sich die neue Werbefunktion durch das im Bild gezeigte Overlay zu erkennen gibt. Diese Aussage war falsch. Das Overlay ist ein Werbebanner der MSN-Startseite und tritt auch mit anderen Webbrowsern sowie unabhängig vom Windows Update KB3139929 auf. Vielen Dank an unsere Leser für die Hinweise.

Der Text bleibt hier aus Archivgründen erhalten. Letztlich ist es erfreulich, dass Microsoft sich doch nicht der hier beschriebenen niederträchtigen Methoden bedient und dass die – für Windows-Nutzer essentiellen Sicherheits-Updates – nicht als Transportmittel für Reklame missbraucht werden. Ja, das ist etwas, was es hier viel zu selten gibt: Eine gute Nachricht.

Ich bitte Microsoft um Entschuldigung für den rauen Tonfall. Zu meiner Rechtfertigung habe ich nur anzumerken, dass sich ein solcher Tonfall an dieser Stelle nie wirklich gegen Menschen und Unternehmen richtet, sondern gegen ein höchst asoziales Verhalten von Menschen und Unternehmen; eben gegen Spam.

Ab hier beginnt mein ursprüngliches Posting

Nachbearbeitete Version des Microsoft-Logos mit dem Text 'Microspam'.

Microsoft versucht sein aktuelles Betriebssystem Windows 10 mit einer „innovativen“ Methode zu vermarkten: Klandestin mit einem Sicherheits-Update ausgelieferte Massenreklame, die im Internet Explorer sichtbar wird.

Der mit diesem „Marketing“ von Microsoft ausgedrückten Selbsteinschätzung, dass das (bereits aus vielerlei anderen Gründen in Verruf geratene) aktuelle Microsoft-Betriebssystem von so „überragender Qualität“ ist, dass es mit weniger spammigen Methoden nicht mehr vermarktet werden kann, mag ich beim besten Willen nicht widersprechen. Tatsächlich frage ich mich, was wohl die nächste Episode in derartig grenzkrimineller und spamartiger Reklame sein könnte: Den Desktop überlagernde Werbebanner, die man vor jeder Arbeitssitzung erst einmal wegklicken muss, vielleicht?

Wer noch ein Restgefühl für seine eigene Würde hat, wird in dieser spamartigen Reklamemethode jedenfalls nur eine Empfehlung sehen, auf Windows 10 und nach Möglichkeit generell auf Microsoft-Produkte zu verzichten.

Spam stinkt!

Neu und super: PayPal als Spamlieferant

Freitag, 15. Januar 2016

Unendlich ist die „Kreativität“ der Spammer zwar nicht beim Formulieren ihrer literarisch ungenießbaren Spams, aber sehr wohl bei der Suche nach neuen Vertriebskanälen oder für den Spamtransport missbrauchbaren Diensten.

Zurzeit scheint es Spammern zu gelingen, PayPal als Lieferanten für ihre asozialen und illegalen „Mitteilungen“ zu missbrauchen (Link auf einen englischsprachigen Text).

Es handelt sich dabei um echte E-Mails von PayPal mit einer Rechnung über null Dollar, in deren Mitteilungsfeld dann der Spamtext nebst Link auf wenig empfehlenswerte Websites zu lesen ist. Hier nur ein schnell (von mir) übersetztes Zitat aus dem oben verlinkten Blogeintrag:

Kurz gesagt, und bislang ohne Reaktion von PayPal oder irgendeinen Beleg für das Gegenteil, schaut es so aus, als diene PayPal als Auslieferungsmechanismus für Spam, die natürlich nicht als Spam erkannt wird, da sie eine „erwünschte“ E-Mail von PayPal ist. Die Mitteilung in der Rechnung ist völlig klare Spam, und das ist so gut wie sicher ein Missbrauch des Rechnungssystems von PayPal.

Ich nehme an, dass entweder für einen Absender keine Kosten anfallen, wenn er eine Rechnung über null Dollar versendet, oder aber, dass diese Kosten niedrig genug sind, dass sich solche Spam dennoch lohnt. Auf jeden Fall sollte PayPal dieses Problem in den Griff bekommen. Hierzu sei es mir erlaubt, einen Vorschlag zu machen: Wenn ein PayPal-Account massenhaft Rechnungen über null Dollar versendet, handelt es sich dabei um etwas, was wohl einen Alarm auslösen sollte!

[Hinweis via @benediktg@gnusocial.de]

Wie Heise Online (manchmal) seine Leser verblödet

Donnerstag, 7. Januar 2016

FacepalmHier geht es nicht um eine Spam, sondern um einige wichtige Richtigstellungen und Ergänzungen zu einem aktuellen Artikel auf Heise Online: „Erste Malvertising-Kampagne mit Let’s-Encrypt-Zertifikat“.

Ich halte diesen Artikel für einen der blödesten und für seine weniger kundigen Leser gefährlichsten Texte auf Heise Online, den ich in den letzten Monaten gesehen habe, und glaubt mir, ich habe viel Durchschnittliches und Dummes von Heise ertragen. Um das näher dazulegen, komme ich nicht umhin, etwas größere Teile des Artikels zu zitieren, als ich es gewöhnlicherweise tun würde. Trotz allergrößter Mühe wird es mir dabei nicht immer gelingen, meine Darlegungen frei von ätzender Polemik zu halten.

HTTPS-Webseiten wecken Vertrauen.

Nein. HTTPS bedeutet, dass der Transportweg der Daten verschlüsselt ist. Mehr nicht. (Aber auch nicht weniger.)

Es bedeutet nicht, dass dem Gegenüber vertraut werden kann. Es bedeutet auch nicht, dass die Website frei von Schadsoftware ist. Es bedeutet, dass der Transportweg… ach, ich wiederhole mich.

Verschlüsselung allein weckt noch kein Vertrauen, und schon gar nicht im Web. Oder genauer gesagt: Verschlüsselung allein sollte noch kein Vertrauen erwecken. Auch auf einer Phishing-Seite, die über HTTPS kommt und die Daten verschlüsselt überträgt, gehen die Daten am Ende unverschlüsselt an den Empfänger – im Falle eventuell eingegebener Daten sind dies dann Kriminelle. „Nur“ das Mitlesen durch Dritte wird unterbunden.

Richtig hingegen ist: Kurzschlüssiger, dummer Journalismus, der Menschen niemals richtig über die Bedeutung und Wirkung von Kryptografie aufklärt, sorgt dafür, dass immer wieder einmal von „journalistisch aufgeklärten“ Menschen einer Website von Verbrechern vertraut wird, nur, weil ein kleines Schlösschen im Browser sichtbar ist. (Bei Heise Online übrigens nicht, denn der verschlüsselte Transport der Website würde im Zusammenhang mit den in die Seiten eingebetteten, unverschlüsselt übertragenen Ads zu hässlich aussehenden Warnungen im Browser führen, so dass man es dort lieber unterlässt.)

Doch auch Online-Gauner können sich oft über Umwege vertrauenswürdige Zertifikate ausstellen.

Was für ein Witz! Über „Umwege“! Das geht genau so direkt wie bei jedem anderen, und das ist auch keineswegs eine Neuigkeit, sondern seit mindestens einem Jahr aktuelle kriminelle Praxis.

Nun haben Kriminelle das erste Let’s-Encrypt-Zertifikat genutzt, um Vertrauenswürdigkeit vorzugaukeln.

Die „Neuigkeit“ ist, dass die Kriminellen jetzt nicht mehr eine gephishte Kreditkarte nehmen und die Identität eines anderen Menschen missbrauchen müssen (oder alternativ: Rd. zehn Euro selbst in die Hand nehmen müssen), um sich mit einem über TLS transportierten Phishing einige zehntausend Euro kriminellen Reibach unterm Nagel reißen zu können.

Nun ja, das schreibt Heise Online allerdings auch selbst, nachdem der hochgradig clickbait-verdächtige „quantitätsjournalistische“ Reißerton erst einmal überwunden wurde:

[…] Das [sic!] Online-Gauner SSL-Zertifikate einsetzen, ist nichts neues. Hierbei handelt es sich jedoch um den ersten bekannt gewordenen Fall, in dem Kriminelle ein kostenloses Zertifikat von Let’s Encrypt einsetzen

Geht doch! 😉

Das eigentliche Problem in diesem Fall war auch keineswegs ein kostenloses Zertifikat, sondern, dass es Kriminellen gelungen ist, die DNS-Konfiguration in einer Domain anderer Leute zu verändern – also nichts mit „Let’s Encrypt“ und nicht einmal etwas mit Krypto, sondern administrative Unfähigkeit beim Unternehmen, dessen Domain da offensichtlich von anderen konfiguriert werden konnte.

Und in der Tat, das hat Nachrichtenwert! Aber der Autor im Brote von Heise Online hatte sich dazu entschlossen, über etwas völlig anderes zu schreiben, indem er völlig andere Schwerpunkte setze.

Das Anlegen einer Subdomain ist nicht ohne weiteres möglich. Denkbar wäre, dass die Online-Gauner auf irgendeinem Weg an die Zugangsdaten für die Domain-Verwaltung gekommen sind. Wie das passiert ist, erläutert Trend Mirco nicht

Denn wenn sich ein Journalist der Aufgabe entledigt, über eine Sache zu schreiben, von der er nichts genaueres weiß und nicht einmal weiß, welches Unternehmen davon betroffen ist – es gibt ja ansonsten nur exakt eine Erklärung, wie es dazu kommen konnte: Administrative Unfähigkeit oder unverantwortlicher Leichtsinn in diesem Unternehmen – schreibt er eben über etwas anderes und eher nebensächliches: Darüber, dass „Let’s Encrypt“ es dann auch noch möglich macht, dass ein Schlösschen in der Adresszeile des Browsers sichtbar wird.

Als ob es darauf noch ankommen würde!

Ich will es einmal so sagen: Wenn Kriminelle in der Domain – sagen wir mal als ein an den Haaren herbeigezogenes Beispiel: – der Deutschen Bank herumkonfigurieren können und da eine hypothetische Subdomain wie sicherheit (punkt) deutsche (strich) bank (punkt) de anlegen können, die auf einen von diesen Kriminellen kontrollierten Server verweist, dann wird zum Beispiel das Phishing nach Konto- und Zugangsdaten auch ohne das Schlösschen im Browserfenster sehr gut funktionieren. Und um es noch besser funktionieren zu lassen – ich würde aus dem Bauch schätzen, dass es die Erfolgsquote und damit den kriminellen Reibach verdoppelt – können die Kriminellen zehn Euro ausgeben und ein Zertifikat kaufen oder sich ein kostenloses von „Let’s Encrypt“ holen, damit wirklich niemand mehr einen Verdacht schöpft. Kaum jemand, der vom verdummenden Bullshit-Journalismus jahrelang darauf konditioniert wurde, dass dieses Schlösschen im Browser der Inbegriff der Vertrauenswürdigkeit und Sicherheit sei, wird auf die Idee kommen, mal auf dieses Schlösschen zu klicken und sich die Einzelheiten anzuschauen.

Opfer in Sicherheit wägen

Zur Aufheiterung eine kleine Korinthenkackerei von mir: Es heißt „Opfer in Sicherheit wiegen“. Es hat nichts mit einer Waage zu tun, aber viel damit, ein unmündiges, dummes Kleinkind sanft zu schaukeln, damit es auch schön fest schlafe… :mrgreen:

Und genau dazu leistet jeder Journalist seinen Beitrag, der seinen Lesern immer wieder sagt, dass das Schlösschen in der Adresszeile des Browsers der Inbegriff der Sicherheit und Vertrauenswürdigkeit sei, während es in Wirklichkeit zunächst „nur“ bedeutet, dass der Transportweg der Daten verschlüsselt ist und von Dritten weder mitgelesen noch manipuliert werden kann. Dann kommt es eben dazu…

Mit der legitimen Domain und dem Zertifikat im Rücken wollen die Kriminellen ihre bösartige Webseite, die ein Exploit-Kit beinhaltet und einen Online-Banking-Trojaner verteilt, vertrauenswürdig erscheinen lassen

…dass eine Website von Verbrechern für die Opfer des verblödenden Journalismus „vertrauenswürdig“ aussieht. So ist das eben, wenn man sich ausgerechnet von Journalisten das Sehen beibringen lässt.

Die Fehleinschätzung ist insbesondere dann kein Wunder, wenn es sich um eine Subdomain einer Domain derjenigen Unternehmung handelt, für die sich die Kriminellen bei ihrem gewerbsmäßigen Betrug ausgeben – so etwas würde wohl auch ohne Schlösschen oft für „vertrauenswürdig“ gehalten. Ist es aber nicht, wenn die technischen Administratoren in dieser Unternehmung so unfähig sind, dass sie Dritten die Konfiguration ihres DNS-Servers ermöglichen.

Bleibt noch eine Frage: Wie kommen die Kriminellen an die Seitenbesucher für das Ergebnis ihres beeindruckenden Hacks? Nun, das verrät der Heise-Artikel auch eher so nebenbei, als wenn es nicht das Wichtigste wäre:

Der Schadcode soll sich in einer Werbeanzeige verstecken, die an Webseiten verteilt wird. Aus Gründen der Glaubwürdigkeit soll die Anzeige einen Bezug zur legitimen Domain aufweisen

Mit einer von den Kriminellen gekauften (und vermutlich sogar bezahlten) Ad-Einblendung in andere Websites.

Es gibt also einen höchst effizienten Schutz davor, von einer derartigen Kriminalität überrumpelt zu werden: Die durchgängige Verwendung eines wirksamen Adblockers beim „Surfen“ im Web, der diesen Weg an der Wurzel blockiert. Aber genau das ist es, was Heise Online in seinem gnadenlos schlechten Artikel nicht schreibt, obwohl es für die meisten unkundigen Leser die wichtigste Information sein dürfte. Ob das wohl daran liegt, dass die klare Kommunikation der Tatsache, dass ein wirksamer Adblocker eine unverzichtbare und sehr wirksame Schutzsoftware für das gegenwärtige Web ist, auch das Geschäftsmodell von Heise Online beschädigen könnte? Da weiß man als Leser dann aber gleich, wie scheißegal einem Journalisten die Computersicherheit ist, wenn er über ein Computersicherheitsthema schreibt, um Klickercents mit Reklameeinblendungen generieren zu lassen…

Eine Zusammenfassung

Folgendes ist vorgefallen:

  1. Die Domain einer zurzeit unbekannten Unternehmung war für kriminelle Dritte konfigurierbar, und diese Dritten haben eine Subdomain eingerichtet, die auf einen von Kriminellen betriebenen Server aufgelöst wird. Knackig ausgedrückt: Die technische Administration dieser zurzeit noch unbekannten Unternehmung ist so unfähig, dass sie einen für Kriminelle lukrativ ausbeutbaren Security-SuperGAU produziert hat, indem sie Dritten auf einem noch unbekannten Weg das Konfigurieren ihres DNS-Servers ermöglichte. Glaubt es mir: Es ist gar nicht einfach, jemanden anders solche Möglichkeiten einzuräumen…
  2. Die Kriminellen haben sich über „Let’s Encrypt“ ein Zertifikat für ihre „gekaperte“ Subdomain geholt.
  3. Die Kriminellen haben über diese Subdomain Schadsoftware verteilt.
  4. Damit die Schadsoftware auch bei ihren Opfern ankommt, haben die Kriminellen Ads gebucht, die Schadsoftware von der „gekaperten“ Domain nachladen oder verlinken.
  5. Es gibt einen einfachen und effizienten Schutz gegen die ausgeübte Kriminalitätsform: Einen wirksamen Adblocker. (Wirksam ist ein Adblocker, der jede Werbung von Drittanbietern blockt und nicht wie „AdBlock Plus“ und Konsorten Whitelists mit „weniger unerträglichen“ Werbeformen pflegt, die dann durchgelassen werden.)

Folgendermaßen klingt das in seiner Schwerpunktsetzung bei Heise Online:

  1. Das Schloss im Browser war bislang ein zuverlässiges Symbol des Vertrauens.
  2. Wegen „Let’s Encrypt“ ist das Schloss im Browser kein zuverlässiges Symbol des Vertrauens mehr, „Let’s Encrypt“ zerstört eine Grundlage des Vertrauens im Web, indem es kriminelle Nutzungen ermöglicht.
  3. Da es scheinbar keinen Schutz gegen die „Zerstörung des Vertrauens“ durch „Let’s Encrypt“ gibt, wäre es besser, wenn „Let’s Encrypt“ in die Pflicht genommen würde, aber „Let’s Encrypt“ sieht das natürlich völlig anders.

Folgende Sachverhalte werden bei Heise Online nicht deutlich oder gar nicht erwähnt:

  1. Die Umkonfiguration des DNS-Servers durch irgendwelche Dritte darf einfach nicht passieren und ist zurzeit nur mit Unfähigkeit und/oder verantwortungslosem Leichtsinn zu erklären.
  2. Bei der ausgeübten Kriminalitätsform handelt sich um eine einfache Ausbeutung der Ad-Verteilung im gegenwärtigen Web.
  3. Es gibt einen wirksamen Schutz gegen diese Kriminalitätsform, der nicht einmal Geld kostet und das ganze Web viel schöner und schneller macht.

Jeder möge selbst sein Urteil fällen. Ich habe jedenfalls heute einen journalistischen Offenbarungseid gelesen. Von der normalen Online-Presse, deren Journalisten ihre Arbeitszeit damit verbringen, dass sie die Meldungen der Nachrichtenagenturen halbautomatisch in ein Content-Management-System übertragen, das dann dafür sorgt, dass diese Meldungen mit massenhaft Werbung (und deshalb auch immer wieder einmal: mit krimineller Schadsoftware) vergällt werden, erwarte ich ja gar nichts Besseres mehr. Aber von den Gestalten in der Karl-Wiechert-Allee schon.

Es täte mir nach den ganzen guten Jahren mit Heise, die sich seit zwei bis drei Jahren immer deutlicher zum Ende neigen, schon ein bisschen weh, wenn ich nur noch vom „ehemaligem Fachjournalismus“ schreiben könnte…

Das hier verwendete Facepalm-Piktogramm stammt vom Wikipedia-User Chrkl und ist lizenziert unter den Bedingungen von CC BY-SA 3.0

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.