Was plaudert mein Mailprogramm über mich aus?

Rot markierte Tags zeigen, dass hier ein Mailprogramm geschwätzig war.

Rot markierte Tags zeigen, dass hier ein Mailprogramm geschwätzig war.

Viele E-Mails und Newsletter werden von den Versendern mit versteckten Tags präpariert. Diese Code-Schnipsel verwenden sowohl Kriminelle als auch vermeintlich seriöse Versender. Sie enthalten personalisierte Identifizierungsnummern, die Rückschlüsse auf den Empfänger der Nachricht erlauben.

Die meisten Mail-Programme führen einen oder mehrere dieser Tags aus und offenbaren so, dass der Empfänger die Mail gelesen hat – auch wenn er extra keine Lesebestätigung gesendet hat.

Der kostenlose Online-Dienst Emailprivacytester.com sendet Ihnen auf Wunsch eine mit allen bekannten Spionage-Tags präparierte E-Mail zu. Dadurch finden Sie schnell und einfach heraus, ob Ihr Mailprogramm Sie verrät – oder nicht. Read More …

Lenovo-Rechner mit vorinstallierter Superfish-Adware

Momentan sind einige große Hersteller dabei, ihren guten Ruf zu verspielen. Erst wurde Samsung dabei ertappt, durch ihre Smart-TVs aufgezeichnete Gespräche an Werbetreibende weiterzugeben. Nun ist Lenovo mit heruntergelassener Hose erwischt worden: Kunden des chinesischen Herstellers war aufgefallen, dass auf PCs und Notebooks von Lenovo mehr Werbung auftauchte als gewohnt.

Lenovo erklärt, wie man die von dem Unternehmen vorinstallierte Adware Superfish wieder loswird.

Lenovo erklärt, wie man die von dem Unternehmen vorinstallierte Adware Superfish wieder loswird.

Der Grund dafür: Lenovo hat auf Rechnern für Endanwender heimlich eine Adware von Superfish installiert, die Suchergebnisse manipuliert und eigene Werbung einblendet. Laut einer von Lenovo eilig veröffentlichten Erklärung waren Produkte für Geschäftskunden nicht betroffen. Hier hatte man dann offensichtlich doch noch etwas Skrupel.

Was dem Ganzen aber die Krone aufsetzt: Superfish blendet nicht nur unerwünschte Werbung ein, sondern installierte auch ein eigenes Zertifikat, mit dem es möglich ist, sich in verschlüsselte Verbindungen einzuklinken und diese zu belauschen. Damit schuff das Unternehmen eine Hintertür, mit der sich etwa Online-Banking-Verbindungen manipulieren lassen.

Laut der Erklärung von Lenovo werden künftige Produkte nun nicht mehr mit der Adware versehen. Außerdem veröffentlichte der Hersteller Links zu Anleitungen, wie man Superfish wieder loswird.

„Online Tv Recorder“-Spam

In dem Attachment der "Online Tv Recorder"-Mail befindet sich ein Trojaner.

In dem Attachment der „Online Tv Recorder“-Mail befindet sich ein Trojaner.

Dieser Spam ist gar nicht mal so schlecht gemacht. Wer zum Beispiel Kinder im Haushalt hat, erschrickt erstmal gewaltig. Hat der Filius vielleicht heimlich einen Vertrag abgeschlossen? Nein, hat er nicht. Das Ganze ist von vorne bis hinten erstunken und erlogen.

Das angeblich beiliegende Dokument ist keine Möglichkeit, den Vertrag zu stornieren, sondern ein Trojaner.

Details dazu bei Virustotal.

Nochmal kurz zusammengefasst, woran man diesen Spam auch ohne Analyse bei Virustotal erkennen kann:

Read More …

Mit freundlichen Gruben

Mal wieder ein besonders gut „gelungener“ Spam:

Die Geselschaft aus Italien sucht sichere Leute aus Deutschland und anderen Lander.

Hallo!

Leider, konnte ich nicht bei Ihnen ich melden, weil ich ihre E-Mail-Adresse nicht finden konnte. Ich habe eine gute Nachricht fur Sie. Wir haben einen geeigneten Job in Deutschland fur Sie qusgesucht.

Read More …

Backscatter-Spam

Interessanter Artikel über ein Spam-Problem mit Unzustellbar-Nachrichten.

100 E-mail Bouncebacks? You’ve Been Backscattered

Auszug daraus:

Spammers like to put fake information in their e-mail messages in order to sneak them past e-mail filters. Because e-mail filters now just delete messages that come from nonexistent domains, the spammers like to make their messages look like they come from real e-mail addresses. That means, if your e-mail address has been published on the Web somewhere, you’re a prime candidate for backscattering.

Ein Arbeitskollege hat genau dieses Problem. Sein Postfach wird immer wieder von zahllosen Unzustellbar-Nachrichten überflutet. Zuerst dachten wir, sein Rechner wäre vielleicht infiziert und würde heimlich Spam-Mails versenden. Aber das erwies sich zum Glück als Irrtum. Ähnlich beschreibt es der Artikel:

Users often think that the backscatter may be a sign that their computer has been hacked and is sending out spam messages, said Brad Bartman, a global support manager with Text 100, a public relations consultancy. „They look at it and they’re like, ‚Whoa, is my PC infected with a virus?'“ he said.

Bleibt die Frage, was man gegen Backscatter-Spam unternehmen kann? Leider wenig. Wenn das Kind einmal in den Brunnen gefallen ist, kann man es kaum noch herausholen. Da der Absender der Spam-Nachrichten, die bouncen, kaum identifizierbar ist, bleibt einem nur einen lokalen Filter einzurichten, der die Nachrichten in den Spam-Ordner verschiebt.

Sofern möglich, kann man natürlich auch die E-Mail-Adresse wechseln und in Zukunft aufpassen, dass man sie möglichst nie im Web oder im Usenet etc. veröffentlicht. Eine Anzeige gegen Unbekannt, also gegen den eigentlichen Spam-Versender, halte ich dagegen für wenig erfolgversprechend.

Spear Phishing

Neue Tricks der Phisher und die passende Bezeichnung dazu im „Datensicherheitsreport für das erste Halbjahr 2008“ von F-Secure:

Spear Phishing – gezielte Phishing-Angriffe

Dieselben Werkzeuge und Informationen, die Kriminellen bei der Datensammlung zu Einzelpersonen helfen, ermöglichen ihnen auch, Profile über ganze Gruppen zu erstellen. Dieses gezielte Phishing wird als Spear Phishing bezeichnet. Die Angreifer versenden dabei die Phishing-E-Mail nur an Personen, die in ein bestimmtes Profil passen. Diese E-Mails enthalten den korrekten Namen der Zielperson – erreicht wird das etwa durch Analyse der E-Mail Adresse: So lautet die Anrede in einer Spear-Phishing E-Mail nicht „Sehr geehrter Kunde“, sondern „Sehr geehrter Herr Schmidt“, wenn die E-Mail-Adresse des Empfängers beispielsweise „Jochen.Schmidt@FamilieSchmidt.de lautet.

Backtrack-Spam

Nach deutlich über 200.000 erfolgreich ausgefilterten Spam-Kommentaren, die dieses Weblog bisher geplagt haben, sind nun erstmals zwei Backtrack-Spams durchgekommen.

Beide Links führen praktisch auf dieselbe Seite:

Ich hoffe, das wird nun keine neue Flut. Notfalls muss ich wohl diesen Tipp von geoffe ausprobieren:

You have to disable ping backs and while there is a way to set the default for future posts, you need to fix your current posts.

To do that, you could use this query in phpmyadmin to disable all trackbacks and pingbacks:
Update wp2_posts set ping_status=“closed“
I had the same trouble as you, did this and problem solved.

Mini-Howto: Mail-Adressen zum Wegwerfen

Eines der ersten Firefox-Addons, das ich auf einem neuen System installiere, ist Temporary Inbox. Damit lässt sich mit nur einem Klick eine vorübergehende E-Mail-Adresse erstellen, um sich beispielsweise bei einem Online-Dienst schnell anzumelden, ohne die eigene Mail-Adresse verraten zu müssen. Dadurch lässt sich einiges an Spam vermeiden.

Temporary Inbox bietet Plugins für Firefox, den Internet Explorer und Opera an. Die aktuelle Version 2.1 für Firefox wird bei Mozilla gehostet. Einfach installieren und danach den Browser neustarten.

Das Addon blendet sich als zusätzliche Zeile oben bei den Symbolleisten ein. Falls es nicht sofort erscheint, kurz überprüfen, ob das Häkchen vor „Temporary Inbox Extension“ unter „Ansicht, Symbolleisten“ auch wirklich gesetzt ist.

Eine Wegwerf-Adresse lässt sich mit einem Klick auf „Random email“ erstellen. Sie erscheint im Feld rechts von dem Button. Den Eintrag nun einfach markieren und in das gewünschte Registrierungsfeld einfügen und absenden. Temporary Inbox bietet verschiedene Domains. Wenn die jeweilige Webseite die Adresse nicht akzeptiert, einfach solange auf „Random email“ klicken, bis eine passende Mail-Domain erscheint.

Die Mail-Adresse lässt sich abfragen, indem man weiter links in der Symbolleiste auf „Check“ klickt. Bis die Mail eingetrudelt ist, vergehen meist ein bis zwei Minuten.

Sobald die Mail eingetroffen und gelesen ist, sollte man sie mit einem Klick auf das kleine Mülleimer-Icon löschen. So können andere Temporary-Inbox-Nutzer sie nicht mehr einsehen. Das hindert den Betreiber des Dienstes natürlich theoretisch nicht daran, es selbst zu tun. Man sollte also keine Passwörter etc. darüber empfangen oder diese zumindest sofort danach ändern.

Der fiese Trick mit „Barbara Moratek“

Barbara Moratek von der Ivete Foundation hat in kurzer Zeit eine hohe Berühmtheit im Internet erlangt. Dabei gibt es sie und die Organisation gar nicht. Die Daten wurden in einer gezielten Spam-Aktion verwendet, mit der Non-Profit-Organisationen mit einem fiesen Trick hereingelegt werden sollten.

Laut Sunbelt-Blog sieht die an ausgewählte Empfänger versandte Mail so aus:

From: B. Moratek- Ivete Foundation [mailto:bmoratek@ivetefoundation.org]
Sent: Thursday, January 10, 2008 5:42 PM
To:
Subject: Information for prospective donors
Would you have additional information for prospective donors or volunteers other than what is on your website? Thank you in advance.

Warm regards,
Barb
Barbara Moratek
Vice President, Director of Grant Programs
Ivete Foundation
Phone-
Fax- 800.397.7205
Web- www.ivetefoundation.org

Wenn man die genannte Webseite besucht, gibt es dort aber nicht viel zu sehen:

Und so funktioniert der Trick: Die Spammer versenden gezielt ihre Mails (Targeted Spam). Die an der Thematik interessierten Empfänger suchen die Website der Ivete Foundation auf und sehen dort nur eine Seite im Aufbau. Die Kriminellen hoffen nun, das möglichst viele bei Google weiter recherchieren.

Der Index der Suchmaschine wurde nämlich vorher mit Adressen von Webseiten gefüttert, die einen FakeCodec-Trojaner verbreiten. Bei neuen Begriffen zu denen es bisher keine Treffer gibt, ist diese Manipulation von Google kein Problem. Sobald der PC des Besuchers dann infiziert ist, ist das Ziel der Spam-Mails erreicht.

Mittlerweile hat sich das Blatt gewendet und Google verweist vor allem auf Seiten, die über den fiesen Trick berichten und nur noch spärlich auf die verseuchten Adressen. Der Trick an sich funktioniert aber natürlich weiter. Die Cyber-Kriminellen benötigen nur einen neuen begrenzten Empfängerkreis sowie einen willkürlich ausgedachten, bisher unbekannten Namen und schon kann die nächste Spam-Welle beginnen.

Spam-Statistiken

Ich habe schon eine ganze Weile nicht mehr den Spam-Filter für Kommentare überprüft. Seit ich ihn vor einigen Monaten aktualisiert habe, funktioniert er einfach. So soll’s ja auch sein.

Die aktuellen Zahlen sind jedenfalls beeindruckend:

126.552 Spam-Kommentare in vielleicht sechs Monaten. Puh.

Ein weiterer Blick in den Filter zeigt, dass im Durchschnitt jede Minute ein Spam-Kommentar hängen bleibt:

Wenn diese Idioten ihre Spam-Bots wenigstens hin und wieder überprüfen würden. Aber nein, selbst wenn kein einziger Spam-Kommentar durchkommt, wird der Bot nicht gestoppt. Bandbreite scheint jedenfalls kein Problem zu sein. Die wechselnden IP-Adressen deuten auf höchst aktive Bot-Netze hin.