Bis eben hatte ich ja eine riesen große Angst vor der „Weltkrisis“, aber dann…
…kam diese wunderbare HTML-formatierte Mail bei mir an, die mir empfahl, doch einfach die Pimmelpillen der Betrugsapotheker gegen die Angst vor der „Weltkrisis“ zu schmeißen.
Eine großartige Idee, auf die ich selbst nie gekommen wäre… 
Werte Entscheider bei den Kreditinstituten,
ihnen ist sicherlich bekannt, wie groß der durch Internet-Kriminalität angerichtete Schaden wirklich ist. Ich habe keine präzisen Zahlen, aber ich kann aus der Beobachtung einiger betrügerischer Vorgehensweisen erschließen, dass dieser Schaden groß sein muss.
Von daher muss es auch in ihrem Interesse liegen, im geschäftlich genutzten Internet ein Umfeld zu schaffen, in welchem Spammer, Phisher und sonstige Betrüger nicht leicht einen falschen Eindruck erwecken und ausbeuten können. Deshalb müssen sie doch alles dafür tun, dass niemals ein Spammer, Phisher oder sonstiger Betrüger ihren Kunden gegenüber erfolgreich den falschen Eindruck erwecken könnte, dass seine Mitteilungen von einem Kreditinstitut kommen.
So habe ich bislang immer gedacht.
Und deshalb habe ich hier, in diesem Blog über meine tägliche Spam, auch stets geschrieben, dass Banken alle technischen Möglichkeiten ausschöpfen würden, um zu verhindern, dass Kriminelle in betrügerischer Absicht den Eindruck erwecken könnten, ihre Mitteilungen seien die Mitteilungen einer Bank.
Dass es anders sein könnte, ist mir niemals in den Sinn gekommen.
Leider ist es – wenigstens in einigen Fällen – doch anders, wie mir vor wenigen Stunden von einem Leser mitgeteilt wurde. Dieser bekam von seiner Bank eine Mitteilung über E-Mail, die nicht kryptografisch signiert war. Ihm ist damit – neben dem für Laien eher unüblichen Blick in die Header der Mail – keine einfache Möglichkeit gegeben worden, die Authentizität des Absenders sicher festzustellen. Es wäre für einen „normalen“ Internetnutzer schwierig gewesen, zu entscheiden, ob der Absender echt ist, oder ob es sich um eine Fälschung handelt. Zudem ist ihm überhaupt keine Möglichkeit gegeben worden, die inhaltliche Integrität der Mitteilung zu überprüfen. Jeder Computer, über den diese Mail bei der Zustellung gelaufen ist, hätte unentdeckbare inhaltliche Manipulationen vornehmen können. Dass die Rechner im Internet, über die eine derartige Mail läuft, „Opferrechner“ sind, die vielfachen Angriffen unterliegen, gehört zu den Dingen, die wenigstens in ihrer IT-Abteilung wohlbekannt sein sollten.
Mit Verlaub: Ich finde diese Leichtfertigkeit unfassbar dumm.
Die Verwendung einer digitalen signierten Mail hätte sowohl die Authentizität des Absenders als auch die inhaltliche Integrität jenseits jeden vernünftigen Zweifels sicher gestellt.
Es handelt sich dabei nicht um eine schwer beherrschbare „Raketentechnologie“, sondern um einen Standard des Internet, für den bewährte Softwarewerkzeuge zur Verfügung stehen. Die Verwendung digitaler Signaturen lässt sich in gängige Mailsoftware integrieren. Sie lässt sich ebenso leicht in automatisierte Prozesse integrieren. Beides verursacht nicht einmal große Kosten. Die Verwendung ist aus Nutzersicht einfach. Es entstehen auch keine Nachteile, wenn ein Kunde aus irgendeinem Grund eine Mailsoftware benutzt, die keine digitalen Signaturen verarbeiten kann, wenn man von einer Passage wie…
—–BEGIN PGP SIGNATURE—– Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla – http://enigmail.mozdev.org/ EiYEARECAAYFAk5vOvQACgkQKuT/O4qfc5oOLgCfX6j8AYedTd5Gp/Y7yQsDbxS1 vfAAoJFNBsp1vsfcg+MrhOTj0WII4iSr =sg5k —–END PGP SIGNATURE—–
…am Ende der Mail einmal absieht. (Hier am Beispiel einer PGP-Signatur dargestellt.) Selbst diese zunächst unschön aussehende Passage gibt nach Benutzung einer Internet-Suchmaschine immer noch Aufschluss darüber, dass Absender und Inhalt der Mail überprüft werden können. Die Verwendung digitaler Signaturen hat nur Vorteile. In geschäftlichen Beziehungen, in denen es um das doch immer etwas heikle Thema Geld geht, erachte ich es als ein Muss, dass Quelle und Inhalt der Kommunikation gesichert sind. Ich kann mir keinen einzigen Grund vorstellen, warum ein auf Seriosität und das Vertrauen seiner Kunden – und damit natürlich auch auf „gefühlte“ Sicherheit – bedachtes Kreditinstitut in diesen wichtigen Punkten zu einer anderen Auffassung kommen kann.
Die namentliche Ansprache des Kunden nebst Kontonummer und die Aufführung seiner Adressdaten führt hingegen zu keinerlei Sicherheit. Allein in diesem Jahr sind viele Millionen vollständige Datensätze mit Name, Anschrift, E-Mail-Adresse und Bankdaten wegen der Fahrlässigkeit einiger Unternehmen in die Hände von Kriminellen gelangt, was auch zu einem gewissen Medienecho führte. In wie vielen Fällen solche Daten unbemerkt und damit auch ohne Medienecho abgegriffen werden und auf einem illegalen Markt in die Verfügungsgewalt zwielichtiger Zeitgenossen gelangen, gehört zu den Dingen, über die nur spekuliert werden kann.
Sie müssen als Kreditinstitut davon ausgehen, dass sie zurzeit etliche Kunden haben, von denen in Kreisen der organisierten Kriminalität bekannt ist, dass es sich um ihre Kunden handelt, wie diese Kunden heißen, wann diese geboren wurden, welche Mailadresse und Kontonummer sie haben und wo sie wohnen. Selbst eine individuelle Ansprache ihrer Kunden ist damit in vielen Fällen leicht zu fälschen, um den Eindruck zu erwecken, eine E-Mail stamme von ihrem Kreditinstitut. Die Personalisierung der Mitteilungen ist also bei Weitem nicht hinreichend, um eine Mail in einen ihrer Kunden als authentisch zu kennzeichnen. Kurz und noch einmal das Gleiche: Es gibt keine Alternative zur digitalen Signatur in der elektronischen Kommunikation.
Da ist es doch umso besser, dass es sich um einen gut funktionierenden Standard handelt, der kaum zusätzliche Kosten verursacht und mit Leichtigkeit anzuwenden ist. Für den es getesteten, bewährten und robusten Bibliothekscode für jede Programmiersprache gibt, die sie in ihrem Haus vewenden. So dass die Verwendung digitaler Signaturen nicht das geringste Problem bereitet.
Zumal der Verzicht auf digital signierte Mail in der Kommunikation mit den Kunden einen schweren Nachteil hat. Ihre Kunden werden daran gewöhnt, dass der Absender und die inhaltliche Integrität ihrer Mails nicht überprüft werden kann; ihre Kunden werden auf diese Weise in einer Haltung der Gläubigkeit geschult. Auf der Grundlage dieser Gläubigkeit entsteht jedoch allzu leicht jene Leichtgläubigkeit, die von kriminellen Zeitgenossen für betrügerische Manipulationen ausgenutzt wird und die große Schäden verursachen kann. Das wahre Ausmaß dieser Schäden müsste ihnen bei den Kreditinstituten ja bekannt sein.
Ja, ich würde mich sogar zu der Aussage hinreißen lassen: Wenn sie als Kreditinstitut nicht grundsätzlich jede Mail an ihre Kunden digital signieren, sind sie am Phishing über E-Mail-Spam zu einem erheblichen Anteil mitschuldig. Ich kann mir übrigens als juristischer Laie vorstellen, dass ein Jurist zu einem ähnlichen Urteil kommt, wenn er den Unterschied zwischen der Interpretation eines technischen Mailheaders in einer Quelltextansicht der Mail und einer in die Mailsoftware nahtlos integrierten Anzeige der korrekten Signatur und einer Schlüsselverwaltung in einer grafischen Benutzeroberfläche beurteilen soll – zumal die Verwendung digitaler Signaturen alles andere als eine unzumutbare technische Herausforderung ist.
Denken sie bitte darüber nach, bevor die inzwischen massenhaft verfügbaren Datensätze für perfide kriminelle Angriffe benutzt werden! Und treffen sie eine gute Entscheidung, beginnen sie damit, die Mails an ihre Kunden digital zu signieren!
Mit freundlichen Grüßen
Der Nachtwächter
Wie, UPS hat vergessen, wie man UPS schreibt…
HELLO!
Dear Client, Recipient’s address is wrong
PLEASE PRINT OUT THE INVOICE COPY ATTACHED AND COLLECT THE PACKAGE AT OUR DEPARTMENTBest regards, UPS Customer Services
Moment, irgendwas fehlt in dieser Mail… ❓
Was ist es denn nur… 😮
Ach ja, da fehlt der Anhang mit der Extension .pdf.exe oder so ähnlich. 😳
Na, diese frische Kollektion von Schadsoftware kommt bestimmt mit der zweiten Fuhre dieses Mülls – sogar Spammer bemerken es, wenn ihr Dreck gar keine Wirkung entfaltet.
Und warum sollte man auch vor dem Absenden einiger Millionen Müllmails einen Blick auf das Ergebnis werfen? Das wäre doch nur Mühe. Und die will sich ein krimineller Spammer eben nicht machen.
Quickly and easily send your advertising message by e-mail addresses of USA!
The database 300 million addresses commercial organizations and individuals.
Separately by city or by mailing grown not do! [sic!]
You pay only for successfully delivered the mail! Payment can be made only through webmoney!
The cost of successfully delivered 1 million letters – $ 35
Minimum order – 5 Millin! [sic!] Maximum order 50 million a day!
Contact support by email only salemail (at) mail (punkt) com
An dieser elegant formatierten und formulierten Spam, die Werbung für Spamwerbung machen will, entzückt nicht nur die Stümperhaftigkeit, dass man sie nicht beantworten kann, indem man auf Antworten klickt, weil der Absender mit seinem Drecksskript, dessen Dienste er darin anbietet, nicht den Header Reply-To in der Mail setzen konnte. Solcherart technische Inkompetenz auf dem Level eines intelligenzmäßig minderbegabten Zehnjährigen, der mal eben schnell einen RFC quergelesen und halbverstanden ausprobiert hat, prägt die Kost der täglichen Spam. Nein, auch ist der USA-Begriff dieses Absenders etwas erweitert… denn meine Mailadresse ist nicht die eines Einwohners dieses seltsamen Staates.
Da tröstet es doch, dass man nur bezahlen muss, wenn die Spam erfolgreich zugestellt wurde. Wie man das überprüft? Na, man könnte doch jeden Empfänger einzeln anrufen: „Haben sie auch meine Spam bekommen, die mit den Pimmelpillen im Jackpotcasino?“ und jedes Mal einen Stich machen, wenn diese Frage mit deftigen und lästerlichen Verwünschungen beantwortet wird. Wenn man diese Striche am Ende zählt, müsste ja eine Million herauskommen – wie schon Josef Stalin sagte, ist Kontrolle besser als Glaube. Aber diesem Messverfahren haftet doch der Makel an, nicht besonders zuverlässig zu sein, da etliche Menschen mit einer Mailadresse jedem Spammer dieser Welt die Beulenpest zusammen mit der Syphillis, der Cholera, dem langsamen eitrigen Hirnzerfall und der anschließenden Höllenstrafe an den Leib wünschen werden, so dass man sich eingestehen muss, dass die Zustellung der Mails gar nicht richtig überprüfbar ist – zumal der Spammer wohl kaum seine Adressliste herausgeben wird und diese Adressliste wohl keine Telefonnummern zu den Mailadressen zuordnen wird. Es bleibt also nur die Wahl, dass man dem Spammer 175 Dollar mit einem anonymen Verfahren dafür rüberbeamt, dass man ihm glaubt, dass er fünf Millionen unerwünschter und asozialer Drecksmails zugestellt habe. Und dazu besteht ja aller Grund. Es wäre ja schlechterdings absurd, wenn man annähme, dass ein hinter einer Freemail-Adresse versteckter, anonymer Jemand, der seine Absenderadresse fälscht, in solchen Dingen lügen könnte.
Ein rundes, goldiges Angebot für Zeitgenossen, die mit dem Geschenk ihres Verstandes nicht einverstanden waren und es deshalb gegen einen im Dickdarm endenden Schädel umgetauscht haben.
Das war der „Name“ des Kommentarspammers, der heute ein paar Links auf verschiedene Seiten zum ganz schnellen und ganz großen Geldverdienen setzen wollte, sich aber unglücklicherweise im Spamfilter verfing. Da half es auch nicht, dass er manchmal auch „My Blog Title“ hieß – was aber noch lange nicht bedeutete, dass sich sein „Kommentar“ unterschieden hätte:
Title…
This is my Excerpt…
Nun, Spamdepp, vielleicht sieht es ja eher wie ein Kommentar aus, wenn du deine Platzhalter mal durch leidlich sinnvolle Texte ersetzt. Ach, du hast dein Spamskript gar nicht richtig verstanden. Na, das merkt man aber auch.
Reale Gewinne und Preise wären mir lieber…
Das CC Casino ist super stylisch, aber Sie müssen sich nicht feinmachen, um hier zu spielen – Sie können die Millionen komfortabel von zu Hause aus gewinnen
Boah, die Website sieht irre toll aus (eben wie der etwa 12 Monate alte Entwurf CC-Casino des alten, recht befähigten Grafikers, einschließlich falsch codierten Währungszeichens im Jackpot-Hochzähler der weniger befähigten JavaScript-Jongleure) und ich kann da voll die Millionen gewinnen. Oh, die haben auch noch spezielle Angebote. Mal reinschauen:
Bonus 1
-100% Bonus � Bis zu 150� gratis Sobald Sie 150� einzahlen, bekommen Sie sofort weitere 150� gutgeschrieben. Sie haben also insgesamt 300� zum Spielen zur Verf�gung. Viel Gl�ck!
Hey, Spammer! Da wollt ihr Scheißbetrüger mal wieder voll das riesen Casino sein, in dem man Millionen gewinnen kann, aber wenn ihr für eure „Casino-Website“ mal einen Umlaut oder ein Sonderzeichen fehlerfrei in HTML codieren müsst, dann scheint das für euch eine total schwierige und völlig unbeherrschbare Weltraumtechnologie zu sein. Ihr könnt euch gar nicht vorstellen, wie sehr eure schon idiotisch formulierte Mail durch solche Stümpereien an „Glaubwürdigkeit“ gewinnt. Fragt doch einfach mal den nächsten fünfjährigen Nachwuchshacker, der wird euch ganz schnell erklären, was es mit diesen HTML-Entitäten auf sich hat und wie man sie anwendet.
Mann! Nach einem Jahr hättet ihr es ruhig mal hinkriegen können – und der Jackpot mit falsch codierten Währungszeichen auf der Startseite erweckt auch so richtig den Eindruck eines virtuellen Zockladens, der mit Millionenbeträgen umgeht.
Oh, wer folgt denn jetzt schon wieder alles meinem Gezwitscher auf Twitter? Das ist ja ein „interessanter“ Nick, dieses presseausweis0 – und so ausbaufähig, weil man einfach beliebige weitere Zahlen an den Nick hängen kann, wenn mal wieder einer der Idioten-Accounts wegen der asozialen, stinkenden Spam gelöscht wurde:
Wenig zwitschern, viel folgen und hoffen, dass viel zurückgefolgt wird, damit auch möglichst viele Leute den Link sehen, der mit jedem kleinen Fiepser mittransportiert wird. Ein Link auf eine ganz tolle Website www (punkt) dein (strich) presseausweis (punkt) de, bei der man einen „Presseausweis“ kaufen kann…
…für nur rund 40 Euro und garantiert für jeden. Steht ja auch in der „Biografie“ drin:
Bestell deinen eigenen, echten Presseausweis […]
Das Bezahlen ist ja viel einfacher als echte journalistische Tätigkeit, und so ein Presseausweis verschafft seinem Besitzer ja viele Vorteile, die auf der tollen Website auch in den buntesten Farben geschildert werden. Man möchte fast glauben, dass der Verkäufer dieser tollen Ausweise – die übrigens allein deshalb keine Urkunden sind, weil darauf kein Aussteller angegeben ist, so dass diese so genannten „Presseausweise“ auf dem Niveau eines Scherzartikels liegen – schon einmal andere, ähnlich „rechtsgültige“ Dokumente verkauft hätte, die ebenfalls recht stilsicher waren.
Ach, was rede ich! Und was bekomme ich für wirre Assoziationen, nur weil jemand Ausweise verkauft! Ich verlinke mal Markus Kompa, Rechtsanwalt, zu diesem Thema und zitiere kurz von dort – für alle, die einem Rechtslaien wie mir nicht glauben mögen:
Erstaunlicherweise lässt der Ausweis nicht erkennen, wer ihn ausgestellt hat, was für eine Urkunde nun einmal konstituierend ist. Damit ist dieser „Ausweis“ so echt wie die Detektiv-Ausweise von YPS.
Vierzig Euro für einen derartigen Scherzartikel sind dann doch ein bisschen happig. Aber wenn nicht ein gewisser… ähm… Beschiss dabei wäre, dann würde ja auch nicht das asoziale Werbemittel der Spam benötigt.
So weit zum einen.
Aber das ist noch nicht alles, denn Spammer sind ja nicht besonders wählerisch in ihrem Verlangen, andere Menschen mit Spam zu belästigen. Der Hinweis auf den Presseausweis ging ja an einen reitzrznepv3, und allein dieser Nick lässt ahnen, dass hier nicht gerade menschliche Mitteilungen transportiert werden. Und richtig, ein Blick in die Timeline macht diese Vermutung zur Gewissheit:
Niemanden folgen, von niemanden gefolgt werden, aber lauter @-Antworten an alle möglichen Twitter-Nutzer geben, immer mit dem gleichen Link.
Hier haben sich klar die Spammer untereinander zugespammt. Das ist zwar erfreulich, aber wenn die Spamseuche auf Twitter weiterhin immer schlimmer wird, dann steht zu befürchten, dass zukünftig ein Großteil der „Kommunikation“ über Twitter so aussehen wird. Damit es nicht so weit kommt, sollte sich jeder immer das bisschen Zeit nehmen, derartige Idioten als Spam zu melden, das gehr ganz bequem mit zwei Klicks.
Bleibt eigentlich nur noch eine Frage: Was bietet dieser zweite Spammer, dem da ein so genannter „Presseausweis“ angeboten wurde, eigentlich in seinen tollen Links an? Mal schauen:
Aha, „akademische Grade“ übers Internet. Das passt ja ganz hervorragend zu den „Presseausweisen“, da haben sich genau die richtigen Experten gefunden.
Spammt euch doch gegenseitig zu, ihr Idioten!
So nannte sich der Kommentarspammer, der heute gegen Mitternacht mit dem folgenden genialen Kommentar auf sich aufmerksam machte:
Hello, ladies and gentlemen. Please check my new site with actual materials hello world ;D
„Hello world“ ist ein geradezu genialer Produkthinweis. Wer aber neugierig geworden ist und mal sehen möchte, was dieses „Hello world“ eigentlich sein soll und deshalb auf den Link klickt, landet bei einem Anbieter der Marke „Bau dir deine kostenlose Homepage hier bei uns“ und sieht dort eine Seite vor sich, die ich gern im vollen Umfang zitiere:
HTML-Titel der Seite: Account Successfully Created
If you can see this, your account has been successfully created. You may now add content to this directory and replace this page.
You are solely responsible for the contents of your site. Any inappropriate sites will be deleted with no warning.
Thank you for using our services.
Das nächste Mal, Spammer, wenn du in ein paar hunderttausend Spamkommentaren deine kriminelle Müllseite verlinken willst, befüllst du deine Müllseite vorher mit Inhalt. Okay? Okay.
