Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Heise“

Phishing: Gefälschte Anwaltschreiben versprechen Krypto-Gutschriften

Montag, 25. August 2025

Keine Spam, sondern ein Hinweis auf einen aktuellen Artikel bei Heise Online, der eine Warnung des Landeskriminalamtes Niedersachsen vor „Phishing“ im Sackpost-Briefkasten weiterträgt:

Das Landeskriminalamt Niedersachsen warnt vor einer kreativen und überzeugend aufgemachten Phishing-Masche. Die fängt mit gefälschter Post vom Anwalt an, die eine Gutschrift nach einem angeblichen Krypto-Werte-Betrug verspricht […] erhalten die potenziellen Opfer ein Schreiben, in dem eine (falsche) Anwaltskanzlei angibt, dass den Empfängern eine Schadenswiedergutmachung in Höhe von 50.000 Euro zustünden. Für das dafür eingerichtete Konto müssten diese sich lediglich noch legitimieren.

[…]

Was ebenfalls die Glaubwürdigkeit erhöht, ist die Angabe der persönlichen Daten der Empfänger wie korrekter Name, Anschrift, E-Mail-Adresse, Telefonnummer, Geburtsdatum und Bankname. Die Datenherkunft ist unbekannt, jedoch stammen diese typischerweise aus geknackten Konten bei Firmen, bei denen die Opfer etwa Kunden sind

Nun, zur „unbekannten“ Datenherkunft habe ich hier eine lange Liste zum gegenwärtigen „Industriestandard des Datenschutzes“, wie ich die Zustände immer nenne. Dass ein personalisiert vorgetragener Betrugsversuch glaubwürdiger und damit gefährlicher ist als ein anonym formulierter, dürfte jedem Menschen klar sein.

Ich hoffe, dass davon jedem Menschen das Gruseln kommt. Und ja, die Liste wird unvollständig sein. Ich bekomme auch nicht alles mit, und manchmal ist mir ein Verdacht zu diffus gewesen, um ihn in die Liste aufzunehmen. Wer tapfer ist und die über Jahre hinweg (leider etwas zu unsystematisch) gesammelte Liste bis zu den wortkargen Anmerkungen ganz unten gelesen hat, kennt meine Anmerkungen. Der Grund, weshalb ich mit so einer Liste überhaupt einmal angefangen habe, waren übrigens Spams mit namentlicher Anrede des Empfängers im Jahr 2013.

Auf den Datenschutz, der überall mit gleichermaßen schönklingenden wie juristisch völlig konsequenzenlosen Worten versprochen wird, kann man sich nirgends verlassen. Nicht beim Staat, nicht bei Unternehmen, nicht bei Vereinen, nicht bei politischen Parteien.

Der einzige Datenschutz, der wirklich funktioniert, ist absolute Datensparsamkeit, also ein durch nichts leicht aufzuweichender Unwille und Widerstand, Daten überhaupt anzugeben. Ich erwarte nicht, dass dabei jemand so weit geht wie ich. Aber jeder Mensch sollte dazu imstande sein, zu erkennen, ob die anzugebenen Daten aus technischen Gründen erforderlich und damit unvermeidlich sind, oder ob es sich um die bloße „Sammelneurose“ eines unseriösen Unternehmens handelt.

Zurzeit wird den Menschen zum Beispiel beinahe überall eine Telefonnummer abverlangt, angeblich zur Verbesserung der Sicherheit, ohne dass es dafür einen technischen Grund gibt.¹ Regelmäßig werden solche Daten ohne technischen Grund langfristig gespeichert und gelangen später an die Öffentlichkeit. Eine Telefonnummer ist – ähnlich wie eine Mailadresse – bei den meisten Menschen ein recht eindeutiger und mindestens mittelfristiger persönlicher Marker, mit dem dann andere Daten zugeordnet werden können. Nein, so etwas macht man nicht in Handarbeit, dafür gibt es Computer. Dass WanzApp – ihr wisst hoffentlich, wie die hier von mir verunglimpfte, leider viel zu beliebte App des halbseidenen, illegal vorgehenden, spammigen und für seine illegale Spam vom Bundesgerichtshof verurteilten Unternehmens wirklich heißt, denn ich werde die Marke hier nicht nennen – technisch über die Telefonnummer läuft, dürfte im Wesentlichen diesen einen Grund der personalisierten Datensammelei haben. Denn zum Chatten braucht man keine Telefonnummer, die in ihrem Kern ein Artefakt der elektromechnanisch im „Selbstanschlussamt“ mit Drehwählerbank realisierten analogen Vermittlungstechnik des vorigen Jahrhunderts ist; zum Chatten braucht man nur einen Computer, ein Internet und eine Verabredung, über welches Protokoll man sich wo trifft. Und elektrischen Strom natürlich. Ich empfehle XMPP, am besten mit OMEMO-Verschlüsselung. Das ist wesentlich einfacher als verschlüsselte E-Mail. Unnötige Daten müssen dabei nirgends angegeben werden, schlimmstenfalls eine Wegwerfmailadresse. 😉️

Natürlich sind Datenangaben manchmal unvermeidlich. Wenn man etwas geliefert bekommen möchte, wird eine Lieferadresse benötigt. Das ist ein vernünftiger technischer Grund. Es ist schwer vorstellbar, auf die Daten zu verzichten. Wenn man hingegen ein lokal laufendes Betriebssystem oder eine andere Software installieren will, wird für die Lauffähigkeit der Software keine Telefonnummer, keine Mailadresse, keine Registrierung bei einem Onlinedienst und keine erzwungene „Einwilligung“ in weitreichende Überwachungsbefugnisse benötigt. Das gleiche gilt, wenn man ein gekauftes Spiel spielen will. Hier handelt es sich um die „Sammelneurose“ von in meinen Augen verachtenswerten Unternehmen, die sich zukünftige Geschäftsmodelle mit den eingesammelten Daten offenhalten wollen. Die Wahrscheinlichkeit, dass die so mit Gängelei, Lügen, vorsätzlicher Verdummung von Kunden und Technikverhinderung quasi erpressten Datenangaben – ergänzt um ein oft weit in die Privatsphäre hineinreichendes Tracking, das schon mit einfachen Mitteln tiefe Rückschlüsse zulässt² – irgendwann einmal an die Öffentlichkeit oder mindestens an interessierte kriminelle Kreise gelangen werden, ist hoch. Solche Sammlungen sind natürlich auch attraktive Ziele für Kriminelle. Und irgendwann ist ein Angriff auch einmal erfolgreich. Nein, das gefällt mir auch nicht. Wenn Datenschutz für den Gesetzgeber überhaupt eine Rolle spielte, wären solche Datensammeleien schlicht illegal, und selbst für erforderliche Daten gäbe es eine Maximalspeicherdauer, nach der sie gelöscht werden müssten. Wer ist in der Bundesrepublik Deutschland eingentlich gerade Bundesminister für so genannten Verbraucherschutz? Von dieser Person hört man ja immer so wenig, während man überall gegängelt und auf jede nur denkbare Weise abgezockt werden soll. Ach, die Frau Dr. Stefanie Hubig aus der SPD macht den Verbrecherschutz! Oh, jetzt habe ich mich verschrieben, ich meinte natürlich „Verbraucherschutz“. Und Justiz macht die auch noch? Schöne Kombination. Das würde ja prächtig zusammenpassen, wenn da nur ein politischer Wille wäre. 🤬️

Nein, es war auch in früheren Regierungen nicht besser.

Die Benutzung einer Kreditkarte im Internet verbietet sich von selbst. Zusammen mit zugehörigen persönlichen Daten werden betrügerische Geschäfte unter fremder Identität ermöglicht. Betroffene eines kriminellen Identitätsmissbrauches haben oft neben jahrelangem, psychisch hoch belastendem Ärger mit Polizeien, Staatsanwälten, Untersuchungsrichtern, Auskunfteien und Inkassounternehmen aus der ganzen Welt auch einen erheblichen finanziellen Schaden, den ihnen niemand erstattet. Ach ja: Und Probleme bei der Arbeits- und Wohnungssuche, wenn im Hintergrund Auskunfteien befragt werden. So weit ich weiß, ist bislang völlig unerforscht, wie viele verzweifelte Suizide Folge mangelhaften Datenschutzes sind. Nicht jeder Mensch hat ein zuverlässiges Netz anderer Menschen, die ihn in existenziellen persönlichen Krisen aufzufangen vermögen. Recht sicher scheint nur eines zu sein: Es gibt mehr Datenschutztote als Cannabistote.

Datenschutz ist kein Selbstzweck, sondern wirksamer Selbstschutz. Datenschutz schützt davor, überrumpelt und zum Opfer fieser Krimineller zu werden, aber auch davor, von anderen, asozial gesinnten Menschen gedoxxt, bloßgestellt, diskriminiert und gemobbt zu werden, gern auch mit direkten Aufforderungen zu grober Gewalt. Das eine spart schnell fünfstellige Geldbeträge und Monate oder Jahre voller zermürbenden Ärgers… und das andere ist leider eine realere Gefahr, als die meisten Menschen denken. Vor allem Schüler sind davon betroffen. Gut, dass sie wenigstens im Umkreis von hundert Metern um die Schule vor der Cannabisgefahr bewahrt werden. 😁️

Verzichtet auf unnötige Datenpreisgaben! Es ist der einzige Schutz, den ihr habt. Vom korrumpierten und lobbyistisch „beratenen“ Gesetzgeber habt ihr keinen Schutz zu erwarten. Egal, welche Partei gerade regiert. So ein Menschenschutz wäre ja auch schädlich für die Wirtschaft… 😐️

¹So lange man mit einer Karte seiner Bank unter Angabe eines lediglich vierstelligen Zahlencodes Bargeld aus Automaten ziehen kann, soll mir niemand erzählen, dass die seit den Sechziger Jahren bewährte Absicherung von Diensten durch Benutzername und Passwort nicht ausreichend sei und zweiter Faktoren bedürfe! Dieses Gerede ist vorsätzliche Lüge. Natürlich muss man ein gutes Passwort wählen. Zum Glück gibt es hervorragende Hilfsmittel, die kein Datenschutzproblem verursachen.

²Ich würde meine Browserchronik oder meine Suchbegriffe bei Websuchen aller Art jedenfalls nicht veröffentlichen. Eher ginge ich nackt durch die Stadt.

Mit einem Adblocker wäre das nicht passiert

Mittwoch, 18. Juni 2025

Keine Spam, sondern ein Hinweis auf eine Heise-Meldung über leider ganz normale Werbung, die jeder für eine Handvoll Geld zum Beispiel im Suchergebnis einer Websuchmaschine schalten lassen kann:

Die Täter schalten Werbeanzeigen, die auf die Support-Seiten von renommierten Unternehmen verweisen, unter anderem Apple, Bank of America, Facebook, HP, Microsoft, Netflix und Paypal […] Die Adressleiste des Webbrowsers zeigt die korrekte Domain des gesuchten Anbieters an, wodurch bei Besuchern kein Misstrauen aufkommt. Jedoch bekommen Besucherinnen und Besucher irreführende Informationen angezeigt, da der Werbelink so manipuliert wurde, dass die Webseite die betrügerische Telefonnummer in einem Feld anzeigt, das nach einem Suchanfragenfeld aussieht.

Rufen Opfer dort an, melden die Betrüger sich mit der Marke, die beworben wurde, und versuchen, die Anrufer dazu zu bringen, persönliche Daten oder Kreditkarteninformationen preiszugeben. Die Täter könnten auch versuchen, Fernzugriff auf den Rechner zu erlangen. Im untersuchten Fall der Bank of America oder Paypal wollten die Betrüger Zugriff auf die Konten der Opfer, sodass sie diese leerräumen können

Gut, dass man sich davor schützen kann! 👍️

Mit einem wirksamen Adblocker kann so etwas nämlich nicht passieren. Weil man die gebuchte, in Tonfall und Erscheinungsbild vorsätzlich irreführende Werbung gar nicht erst sieht. Ein Adblocker schützt besser vor der real existierenden Internetkriminalität als jedes Schlangenöl für die angebliche Computersicherheit. Außerdem wird das gesamte Web viel schneller, schöner und erfreulicher. Und das Beste daran: Es kostet nichts. Ein Adblocker hat also nur Vorteile für seine Nutzer. Warum Heise Online diesen Hinweis nicht gibt? Weil Heise Online als contentindustrielle Website kein seriöseres Geschäftsmodell als die vermarkteten Werbeplätze hat. Weil Heise Online seine kostenlos zugänglichen Inhalte nur für den Zweck macht, darüber Werbeplätze zu vermarkten. Die würden sich ins eigene Fleisch schneiden, wenn sie darauf hinwiesen, wie man sich einfach und zuverlässig vor Kriminalität schützen kann, indem man sie an der Wurzel unterbindet. Der contentindustrielle Journalismus im Internet lässt seine gläubigen Leser verblendet ins offene Messer laufen. Selbst noch, wenn er ihnen in scheinaufklärerischer Geste seine nicht ganz so wirkungsvollen „Tipps“ gibt, was man tun kann, um nicht auf eine aktuelle kriminelle Masche reinzufallen und dabei tausende Euro zu verlieren. Weil er sich von der Uninformiertheit seiner Leser eine Handvoll Geld verspricht. Die wissen genau, was wirkt. Sonst wären sie in einem Fachverlag fehl am Platze. Aber: Es gibt ja so wertvolle und wichtige Reklamegroschen, fast schon so gut wie die dreißig Silberlinge, die Judas Iskariot für sein kleines Busserl (Lk. 22,47-48) genommen haben soll! Deshalb habe ich zu diesen volksverdummenden Machenschaften und allen Journalistenschergen, die daran teilhaben und gleichermaßen willig wie billig mitmachen, auch eine Meinung, die ich auch gern mal mit etwas derberen Worten ausdrücke, wenn mir handelsübliche Polemik zu mild erscheint. „Hass“ nennen das dann diese „Journalisten“, die ihre eigenen Leser so abgrundtief hassen und verachten. Ich habe das mit dem einfachen Selbstschutz durch Adblocker eben gerade etwas eingedampft und unter völligem Verzicht auf Wörter, die empfindlichen und von sich selbst überzeugten Seelen möglicherweise wehtun könnten – also völlig ohne kleine Querschläger in Richtung Journalismus – als Kommentar für das Forum beim ehemaligen Fachverlag aus der Karl-Wiechert-Allee formuliert, wurde aber erstaunlicherweise beim Absenden einfach ausgeloggt. Mein Text war dann nach dem angeforderten Login futschikato, zusammen mit meiner Motivation für einen zweiten Versuch. Zufälle gibt das aber auch! 🥳️

Ja, Heise Online, ich habe verstanden! Ich bin ja auch nicht dumm. Vor meinem Arsch ist übrigens auch kein Gitter. Aber bitte vorher zähneputzen! (Und ja, es ist bitter und unerfreulich, den Zerfall bei Heise Online mitzuverfolgen. Früher habe ich mich mal gefreut, wenn ich bei meiner täglichen Lektüre endlich zu Heise Online kam. Man braucht ja seine Oasen, wenn man durch die Ödnis wandert, sonst dorrt das Gehirnchen aus. Das ist lange her. Damals gab es noch nicht so viele abgeschriebene Presseerklärungen und noch nicht so viel Schleichwerbung. Und auch noch keinen kernkorrupten Autojournalismus. Die geben Heise sicherlich Geld dafür. Man muss ja immer dafür bezahlen, wenn man will, dass einem jemand Müll abnimmt. Und es gab früher auch keine Neuberpolis. Wer die letzte Ergänzung nicht versteht, weiß gar nicht, was gerade erst verloren gegangen ist.)

Niemals ohne wirksamen Werbeblocker ins Web! Es ist dumm und gefährlich.

Ach ja: Und statt mit einer Websuchmaschine nach Websites von Unternehmen zu suchen, bei denen man Kunde ist, einfach Lesezeichen im Browser anlegen und diese Websites immer nur über diese Lesezeichen aufrufen! Auch, nachdem man eine Mail empfangen hat, die wie eine Mail des Unternehmens aussieht. Lesezeichen klicken, normal anmelden und direkt auf der Website nachschauen! Das schützt auch – weil man dann ja gar nicht mehr in betrügerische E-Mails klickt – vor der häufigsten Kriminalitätsform im Internet, vor Phishing. Aber das schreibe ich ja schon zu jeder Phishingmail, die ich hier verreiße…

Phishing mit so genannter „künstlicher Intellgenz“

Samstag, 26. April 2025

Keine Spam, sondern ein Hinweis auf einen im Kontext der Spam möglicherweise interessanten Artikel bei Heise Online [Archivversion]:

Selbst in Phishing-Software findet Künstliche Intelligenz Einzug: Das „Darcula“ getaufte Toolkit ermöglicht es Laien, Webseiten bekannter Unternehmen zu klonen und für Phishing-Scams zu nutzen, warnt das IT-Security-Unternehmen Netcraft. Neue KI-Funktionen übersetzen die gefälschten Seiten in Sekundenschnelle in die Sprache des Ziellands oder erstellen eine täuschend echte Eingabemaske, aus der Adressdaten oder Passwörter abgegriffen werden.

Kriminelle Nutzer zahlen monatlich für den Zugriff auf eine Reihe verschiedener Tools, die das Ausspähen von Daten ermöglichen. Das Geschäftsmodell der Entwickler ähnelt somit dem „Software as a Service“-Modell (SaaS)

Ich bin nicht überrascht.

Phishing ist immer noch die häufigste Form des Kriminalität im Internet. Und inzwischen ist es sogar für absolute Nichtskönner möglich, eine halbwegs überzeugende Website für das Phishing aufzusetzen, die man dann in Spammails verlinkt. Der Versenden von Spam war ja schon immer einfach.

Von daher kann ich es nicht oft genug sagen: Es gibt einen kostenlosen und hunderprozentig wirksamen Schutz gegen diese häufigste Kriminalitätsform: Niemals in eine E-Mail klicken!

Stattdessen für häufig besuchte Websites, bei denen man ein Nutzerkonto hat, immer Lesezeichen im Webbrowser anlegen und diese Websites nur über dieses Lesezeichen aufrufen. Wenn man niemals in eine E-Mail klickt, sondern Browserlesezeichen verwendet, kann einem kein Verbrecher einen Link auf eine giftige Website unterschieben. Das spart schnell eine Menge Geld und oft jahrelangen Ärger.

Bitte, macht das!

Sollen die Phisher doch verhungern!

Das Dokument ist angehängt…

Montag, 2. Dezember 2024

Keine Spam (ich bin gerade etwas unmotiviert, die diversen schon hundertfach gesehenen Standardtexte ätzend zu kommentieren), sondern heute mal ein Hinweis auf einen aktuellen Artikel bei Heise Online über die Verbreitung von Schadsoftware in Form von Mailanhängen:

Wie Forscher von ANY.RUN in einer Kurzanalyse auf X erläutern, sind sie auf von Angreifern absichtlich beschädigte Word-Dokumente gestoßen, die sie als Köder für Phishing-Attacken an E-Mails hängen. Wei die Dateien kaputt sind, fällt es bestimmter Antivirenschutzsoftware, sowie Outlooks Spamfilter schwer, den Dateityp zu erkennen. Demzufolge springen die Schutzmechanismen nicht an und so eine Mail landet ohne Warnung im Posteingang.

Die Forscher geben an, dass sie entsprechende Dateien zum Onlineanalysedienst Virustotal hochgeladen haben. Ihnen zufolge hat keiner der dort verfügbaren mehr als 60 Scanner Alarm geschlagen

Zum Glück für uns alle gibt es einen einfachen und hundertprozentig wirksamen Schutz von Schadsoftware und Phishing in E-Mail: Niemals in eine E-Mail klicken! Kaputte Dateien in Mailanhängen habe ich hier auch schon öfter mal zeigen können. Wer nicht in eine E-Mail klickt, ist vor den beiden wichtigsten Formen der so genannten „Cyberkriminalität“ sicher: Vor Erpressungstrojanern und Phishing. 🛡️

Antivirusprogramme, von mir liebevoll „Schlangenöl“ genannt, funktionieren nicht zuverlässig und sind regelmäßig völlig machtlos gegen die neueste Brut der Kriminellen. Wer sich darauf verlässt, ist verlassen. Schon der persönliche Schaden kann sehr groß sein, und ein übernommenes Unternehmensnetzwerk führt auch schon einmal zur Insolvenz, wenn es keine hinreichende administrative Vorbereitung auf so eine Katastrofe gab.

Immer vorher über einen anderen Kanal als E-Mail (zum Beispiel telefonisch) rückfragen, ob der scheinbare Absender der Mail auch der wirkliche Absender ist. Und erst klicken, wenn das bestätigt wurde! Im E-Mail von Unbekannten überhaupt nicht herumklicken! So einfach geht Computersicherheit. Ja, es ist manchmal lästig, ich weiß…

Warum Datenschutz wichtig ist, Teil 4927

Donnerstag, 5. September 2024

Keine Spam, sondern ein Hinweis auf einen im Kontext der täglichen Spam möglicherweise interessanten Artikel bei Heise Online:

Eine neue Sextortion-Kampagne macht derzeit die Runde: Kriminelle behaupten, Videos zu haben, in denen sich Menschen selbst befriedigen. Gleichzeitig schicken sie ein Foto des Hauses oder der Umgebung mit, in der Empfänger der Nachricht wohnt […]

Die Kriminellen kontaktieren die Opfer per E-Mail und behaupten, eine Webcam mit der Spyware Pegasus infiziert zu haben, um an die Videos zu gelangen. Das stimmt allerdings nicht. In den Sextortion-Mails wurden die Opfer mit ihrem Namen angesprochen und die Täter drohen, die Masturbations-Videos an all ihre Kontakte weiterzugeben, wenn sie nicht ein Lösegeld in Bitcoin im Wert von rund 2.000 US-Dollar zahlen […]

Ebenso wurde die Adresse in das Erpresserschreiben mit eingebunden und angedeutet, bei Nichtzahlung „persönlich vorbeizuschauen“. Für noch mehr Druck setzen die Täter eine Frist von 24 Stunden. Ebenfalls drohen die Täter, das Videomaterial sofort zu veröffentlichen, wenn die Opfer die E-Mails mit anderen teilen

Hier stellt sich natürlich die Frage…

Unklar ist bisher, anhand welcher Daten die Kriminellen den Standort ausfindig machen. Es könnte sein, dass die Opfer über die Daten aus früheren Leaks an die Adressen gelangten

…die Heise Online auch stellt: Wo diese ganzen kriminell verwendeten Daten überhaupt herkommen. Nun, für mich ist das ziemlich klar, und ich warne hier auch schon seit Jahren vor so etwas: Die Daten kommen aus dem gegenwärtigen Industriestandard des Datenschutzes. Und so lange der Datenschutz für Autokennzeichen strikter und und wirksamer durchgesetzt wird als der Datenschutz für Menschen, wird sich daran auch nichts ändern. Die Kriminellen haben ganz viele Quellen, und so eine an sich haltlose Erpressungsmail ist nun einmal viel überzeugender, wenn sie mit genug persönlichen Daten, einer Anschrift und einem hübschen Foto des Hauses daherkommt. Das Gefühl unmittelbarer Bedrohung in einer zuvor als sicher empfundenen Umgebung erhöht die Zahlungsbereitschaft enorm.

Wo die Anschrift herkommt? Na, wie viele Apps auf dem so genannten „Smartphone“ dürfen auf GPS-Koordinaten zugreifen und funken die nach Hause? Da bekommt man schnell heraus, wo jemand wohnt oder arbeitet, und diese Daten werden dann auch in den dunklen Ecken des Internet gehandelt. Die meisten Menschen haben keinen Überblick mehr darüber, wie weit die „ganz normal“ gewordene Überwachung in ihre Privat- und Intimsphäre hineinragt. Namen von persönlich bekannten Menschen und Kollegen kann man automatisiert über Social-Media-Anbieter rausbekommen. Der Unterschied zwischen einem totalitären Überwachungsstaat und dem gegenwärtigen Überwachungskapitalismus besteht vor allem darin, dass die Menschen inzwischen ihre Akten selbst schreiben, und dass nicht nur Inlandsgeheimdienste darauf Zugriff haben, sondern das gesamte Internet.

Der einzige Datenschutz, der funktioniert, ist und bleibt strikteste Datensparsamkeit. Und es bedeutet auch weiterhin, dass man nach Möglichkeit die naive Nutzung eines so genannten „Smartphones“ und anderer „smarter“ Geräte vermeiden sollte. Aber auf mich hört ja keiner. Datenschutz ist Menschenschutz. Datensparsamkeit ist Selbstschutz.

Und nein, Schlangenöl auf dem Smartphone hilft nicht.

Wie man Schadsoftware aufs Handy kriegt und anschließend ein leergeräumtes Konto hat

Dienstag, 27. August 2024

Keine Spam, sondern nur ein Link auf einen aktuellen Artikel bei Heise Online, der hoffentlich ein paar Menschen davor bewahrt, darauf hereinzufallen:

Android-Malware, die Daten von NFC-Karten kopiert und übermittelt, hat das slowakische IT-Sicherheitsunternehmen ESET in freier Wildbahn gefunden. Über mehrere Monate hinweg wurden damit fremde Konten bei drei tschechischen Banken geleert […]

Die Angriffe begannen mit SMS, wahrscheinlich an wahllose tschechische Handynummern verschickt. Darin wurde die Auszahlung eines Steuerguthabens versprochen, wozu die Installation einer verlinkten App erforderlich sei, die direkt im Browser läuft (Progressive Web App, PWA). Nein, das war noch nicht die NFC-Malware. Wer die App installierte und seine Bankdaten eingab, verschaffte den Tätern Zugriff auf das eigene Bankkonto. Es folgte der Anruf einer Person, die einen „hilfreichen Bankmitarbeiter“ spielte. Diese Person informierte das Opfer (faktisch korrekt) darüber, dass er Opfer eines IT-Angriffs geworden sei.

Die „notwendige Abhilfe“ bestand laut der Erzählung darin, eine weitere App zu installieren, um schnell die PIN für die eigene Bankkarte ändern zu können. Dazu wurde das Opfer auf den Google Play Store nachahmende Webseiten geschickt, um die Malware NGate herunterzuladen und zu installieren. Das war dann die NFC-Malware. (Im echten Google Play Store hat ESET sie nicht gefunden.) Die Software ahmt das Interface echter Bank-Apps nach und fragt Kundennummer, Geburtsdatum und PIN ab. Außerdem leitet sie den Nutzer dazu an, die passende Bankkarte ans Gerät zu halten. Falls notwendig, wird auch das Einschalten von NFC am Handy gefordert.

Tatsächlich dient das alles nicht der Absicherung des Bankkontos; vielmehr schickt die Malware PIN und NFC-Daten an das gerootete Android-Handy eines Täters

Natürlich ist es genau so gefährlich, in eine SMS reinzutappen, wie es gefährlich ist, in eine Mail zu klicken. Allerdings befürchte ich, dass Menschen, die nach dem Anruf eines Unbekannten irgendwelche Software von Unbekannten auf ihren Geräten installieren, von keiner Warnung mehr erreicht werden können. 😐️

Der wichtigste Schutz vor „Cyberkriminalität“ – übrigens ein sehr schlechtes und irreführendes Wort, weil die Straftaten nicht einmal in einem skurillen Sinn des Wortes etwas mit Kybernetik zu tun haben, aber das scheinen weder Journalisten noch Politiker zu wissen – besteht nach wie vor darin, dass man sich gar nicht erst einen giftigen Link auf eine Website von Verbrechern unterschieben lässt.

Keine Spam, aber…

Mittwoch, 17. Juli 2024

Es geht hier nicht um eine Spam, sondern um eine angebliche Kapitalanlage. Wenn einem jemand eine Rendite von 3,3 % täglich verspricht, ist es eigentlich ziemlich gleichgültig, ob dieses Versprechen in einer Spam, einer Reklame, einer Fernsehshow, einer großen Gala oder durch einen „Finanzberater“ verkündet wird:

Wer zuerst Kryptowährung einzahlte, sollte 3,33 Prozent Rendite erhalten. Pro Tag.

Keine weiteren Fragen. Es ist ein Betrug. Nähere Untersuchung ist da gar nicht erforderlich. Schon bei sehr viel geringeren Renditeversprechen als der hier versprochenen…

$ echo "1.0333^365" | bc -l
155828.44147298743307414021
$ _

…jährlichen Verhundertfünfzigtausendfachung des eingesetzten Kapitals – ja, wirklich! – sollten alle Alarmglocken schrillen. Geld wächst nicht auf Bäumen. Und was man mit Kryptogeld bezahlt hat, kann man sich nicht mehr zurückholen. Das macht ja auch die Beliebtheit von Kryptogeld bei Kriminellen aus.

Aber es scheint ja leider mehr als genug Menschen zu geben, bei denen alle höheren Verstandesleistungen aussetzen, wenn sie sich nur vorstellen, mit ganz geheimen Geheimmethoden, von denen man nur aus fragwürdigen Quellen erfährt an ganz viel Geld zu kommen. Die greifen dann auch nicht mehr zum Taschenrechner, zum Handy, zu ihrer Tabellenkalkulation oder zu ihrem so genannten „intelligenten Assistenten“ und rechnen einfach mal kurz überschlagsweise nach, wie plausibel das wohl alles ist, bevor sie irgendwelchen Leuten oder Klitschen ihr oft bitter erarbeitetes Geld geben. Eine Rendite von rd. 15,6 Millionen Prozent im Jahr ist so völlig absurd und gaga, dass ich hoffentlich nicht mehr darlegen muss, warum die absurd ist. Vom zweiten Jahr will ich gar nicht erst anfangen… 😲️

15.000 Menschen in Griechenland sind darauf reingefallen. Das sind rd. anderthalb Promille der Bevölkerung. Oder, wie ich es vor ein paar Jahren schon einmal anmerkte:

Der Intelligenzquotient ist so definiert, dass der Durchschnitt für jede Altersgruppe bei 100 und die Standardabweichung bei 15 liegt. Wenn die Intelligenz normalverteilt ist, und das ist sie in guter Näherung, bedeutet das: Rd. 68 % der Menschen haben einen IQ zwischen 85 und 115, rd. 4,5 % liegen über 130 oder unter 70, und rd. 0,3 % über 145 oder unter 55. Etwas deutlicher: Rd. jeder dreihundertste Mensch hat so wenig Intelligenz, dass es im Alltag richtige Probleme gibt

Die Betrüger haben mit dieser Nummer noch nicht einmal alle Dummen abgezogen. Vermutlich, weil da sogar dem einen oder anderen nicht so intelligenzbegabten Menschen aufgefallen ist, dass da etwas faul sein muss. Schade, dass diese Leute nicht zur Polizei gegangen sind.

Nicht Daten sind der Rohstoff der Zukunft. Dummheit ists.