Notizblog – Seite 133 – Pointers & Pointen

2. November 20073. November 2007

Symantec: Phisher sollten Tor nutzen!

Die IT-Sicherheitsfirma Symantec beschreibt im Security Response Weblog einen Weg, um Phisher zu entlarven. Dazu braucht das Unternehmen nur die Logfiles von Mailprovidern. Denn Phisher lagern ihre geraubten Kreditkartendaten nicht mehr auf gehackten Servern, sondern versenden sie per Email.

The role of the email service provider in this picture seems pretty clear: providing “drop-box” content to financial institutions quickly enough is a key part of helping to prevent fraudulent activities. There is some additional research that shows there’s actually much more available than that: providing additional data, such as the full log of the IP addresses that logged into a drop-box is another incredible source of information. While the analysis of a single log file usually does not prove particularly valuable, the correlation of data coming from different attacks is often enlightening.

Figure 1 illustrates a typical situation. In this analysis, Symantec considered three different attacks that hit a single financial institution in a short period of time. Log data provided by Yahoo and Google (as per our customer’s request) allowed us to plot all of the IP addresses that visited the three drop-boxes since the attack was discovered – the presence of common IPs was immediately evident from the analysis. The common IPs most likely belonged to the phishers and that assumption constitutes the starting point for law enforcement agencies to prosecute those criminals.

Die internetnationale Phisher-Gemeinde bedankt sich herzlich bei Symantec für den Hinweis. Man verspricht in Zukunft mehr darauf zu achten, Proxies zu verwenden oder gar Tor zu nutzen. Und bei der nächsten Betrugswelle werden sie einfach direkt bei Yahoo und Google nach den Zugangsdaten der Kunden fragen.

2. November 20072. November 2007

Die unbestellte Paris Hilton

Vor einiger Zeit hatte ich eine zweifelhafte Werbung für das Portal Webnews gefunden.

Hilton Webnews

Auf meine Anfrage wurde mir damsls mitgeteilt, dass diese Werbung so nicht in Auftrag gegeben worden sei. Auch die Verlinktung mit einer nicht-umgehbaren Anmeldeseite sei nicht beabsichtigt. Man wolle dem nachgehen.

Nun, die Werbung ist wohl doch genau wie bestellt. In den vergangenen zwei Monaten bin ich immer wieder auf diese Werbung gestoßen – sie wurde mir zum Beispiel beim Bild-Hoster ImageShack eingeblendet. Ich fragte nochmal bei Webnews nach – und erhielt keine Antwort mehr.

Die Kampagne könnte sogar erfolgreich sein, wenn man die Startseite von Webnews sieht: Boulevardmeldung reiht sich an Boulevardmeldung. Britney ole! Hilton Hurra!

Webnews-Startseite auf Boulevardniveau

1. November 20071. November 2007

Terrordateien können tödlich sein

Diese Meldung sollte man in Erinnerung halten:

Der fälschlicherweise als Terrorverdächtiger eingestufte 27-jähriger Elektriker Jean Charles de Menezes war von der Polizei überwacht worden. Die Sicherheitskräfte hatten ihn mit dem Attentäter Hussein Osman verwechselt. Dieser war später wegen versuchter Bombenanschläge in der Londoner U-Bahn zu lebenslanger Haft verurteilt worden.

Als Menezes am 21. Juli 2005, einen Tag nach einer gescheiterten Anschlagsserie, die Londoner U-Bahn-Station Stockwell betrat, töteten ihn Polizisten mit sieben Kopfschüssen aus kurzer Distanz. In einem Untersuchungsbericht war kritisiert worden, de Menezes habe keine Chance gehabt, seine Unschuld zu beweisen.

Terrordateien können tödlich sein.

30. Oktober 20072. November 2007

Ebay, Web.de und die fälschungssichere Signatur

Ebay und United Internet haben sich etwas tolles ausgedacht.

In einem zunächst auf eine Laufzeit von einem Jahr begrenzten Projekt werden ab sofort alle E-Mails, die direkt von eBay oder von eBay-Nutzern über das eBay-System versandt werden, von WEB.DE und GMX für ihre Kunden als echte E-Mails von eBay authentifiziert und mit einem Siegel versehen. Die direkt von eBay versandten E-Mails erscheinen jetzt im Posteingang von WEB.DE und GMX immer mit einem eBay-Logo und einem Häkchen-Symbol vor dem Absendernamen. Die von Nutzern über das eBay-System versandten E-Mails sind mit einem eBay-Logo und einem Personen-Symbol gekennzeichnet. Auch in der geöffneten E-Mail kann der Nutzer erkennen, dass diese tatsächlich von eBay stammt. Im Mailkopf findet sich eine fälschungssichere Kennzeichnung. Die direkt von eBay versandten E-Mails sind als „Original eBay-Nachricht“ markiert, die von Nutzern über das eBay-System versandten E-Mails als „Original-Nachricht eines eBay-Mitglieds“.

Ich hab mir das direkt mal angesehen und mir eine Mail von Ebay an meinen web.de-Account senden lassen. Die fälschungssichere Kennzeichnung im Mailkopf sieht so aus:

X-WEBDE-Confirmed: Ebay

PS: Die Postbank hat auch Probleme mit Phishern und setzt ebenfalls schon lange auf Mail-Signaturen. Allerdings hat die Postbank kein neues Verfahren erfunden, sondern verwendet eine Signatur, die einigermaßen moderne Mail-Programme ohne Probleme erkennen können. Und der Clou: Auch web.de kann die Signatur erkennen.

PPS: Was ist eigentlich gegen eine solche Pseudo-Signatur zu sagen? Nun: die Sache ist einfach: Spam-Bekämpfung wird zur Black Box. Wie die Firmen sicherstellen, dass die Mails auch tatsächlich von Ebay kommen, verraten sie auch auf Nachfrage nicht. Wenn ich sicherstellen will, dass meine Mails von Web.de und GMX nicht ausgefiltert werden sollen, muss ich mich auf die Qualität der dort eingesetzten Mailfilter verlassen. Und wenn ich meinen eigenen Mailserver brtreibe, lässt mich Ebay mit dem Sortieren alleine. Schließlich bin ich kein Unternehmen mit Millionenumsatz. Schließlich habe ich keinen Partnerschaftsvertrag. Selbst wenn Web.de und GMX mit allen millionschweren Unternehmen solche Abkommen treffen würden: wie viele individuellen Abkommen wären das alleine in Deutschland? Und dann noch die Verträge mit anderen Mail-Providern. Statt einem ganzen Haufen dieser Verträge – jeder einzelne eine Fehlerquelle und juristische Zeitbombe – könnte man doch gleich das Verfahren offen legen und jeden daran teilhaben lassen.

Zum zweiten erscheint die Maßnahme als Verzweiflungstat der Mailprovider, damit die Kunden schön das Web-Portal aufrufen anstatt die Mails per POP3 oder Email abzurufen. Auf dem Portal gibt es nämlich tausend andere Angebote und Werbung – schließlich will „Freemail“ ja auch bezahlt werden. Nicht umsonst ist die Konzernschwester 1&1 ja nicht im Boot bei dieser Sicherheitsinitiative. Denn das Webmail-Interface von 1&1 ist weitgehend werbefrei.

Ein weiteres Gegenargument hat Ebay auch gleich am nächsten Tag geliefert – aus unbekannter Ursache wurden deutschen Ebay-Kunden massenweise spanische Ebay-Werbungen zugestellt – dank Abkommen mit GMX und Web.de auch brav am Spamfilter vorbei. Schließlich kamen die Mails ja von Ebay.

30. Oktober 2007

Internet und C02

Sehr schön: Fiete Stegers geht auf tagesschau.de der Frage nach, wie sehr „das Internet“ denn die Umwelt belastet. Dabei hat er einige verbreitete Irrtümer richtig gestellt oder in die richtige Perspektive gesetzt, nennt Quellen und hat Experten zu Rate gezogen.

30. Oktober 200730. Oktober 2007

Schraubbankcast

Na sowas: Meine Bank hat nun auch ein Podcast. So sieht die Werbung aus:

Aber warum guckt die Hörerin so grimmig? Ist das ein Kopfhörer oder eine Designer-Schraubzwinge?

29. Oktober 200729. Oktober 2007

Big-Brother-Freikarte für Journalisten?

Ätschibätsch – ich werde nicht überwacht. Nunja, nur bei schweren Straftaten.

29. Oktober 200729. Oktober 2007

Zufall im Westen

Seit Jahren wünsche ich mir, dass der WDR für seine Lokalnachrichten endlich mal einen RSS-Feed einführt, sodass man auch als Kölner zwei unabhängige Newsquellen für Lokales im Feedreader haben kann. Jetzt scheint mein Wunsch erhört zu werden: Der WDR startet einen Regional-Mediathek. Muss das aber am gleichen Tag starten wie das nicht-gebührenfinanzierte Konkurrenz-Angebot der WAZ?

PS: Zu früh gefreut. Einen RSS-Feed für Kölner Lokalnachrichten gibt es nicht. Obwohl die Inhalte vorhanden sind.

28. Oktober 200728. Oktober 2007

Mittel gegen Jogger?

Amazon hat eine neue Rubrik oder so. „Sport & Freizeit“. Aha. Als ich das erste Mal darauf klickte, fiel mir sofort ein Artikel ins Auge: First Defense Pfefferspray MK-7, 15 ml.

Ob das gegen Jogger wirkt? Oder wenigstens gegen Nordic Walker?

27. Oktober 2007

Trinkgeld für Mr. Eurowings

Man stelle sich vor, man geht in ein Schuhgeschäft und finde ein tadelloses Paar schöner schuhe für 24 Euro. Man wundert sich etwas über den niedrigen Preis, aber was soll schon verkehrt sein? An der Kasse dann die Aufklärung – ja, der Schuh kostet in Wahrheit 49 Euro und 15 Cents, schließlich müssten ja „Steuern, Gebühren und Entgelte“ drauf geschlagen werden.

Unvorstellbar? Bei Billigfliegern ist das Alltag. Es wird mit Preisen ab Null Euro geworben und wenn man auf der Webseite einen Flug herausgesucht hat, wird ein höherer Preis präsentiert. Der Zuschlag ist oft teuer als der Grundpreis.

Da stellt sich mir doch die Frage: Was ist denn dieser Grundpreis eigentlich? In normalen Geschäften besteht ein Preis ja quasi ausschließlich aus „Steuern, Gebühren und Entgelten“ – von der Abwassergebühr des Geschäfts bis hin zu den Entgelten für Ladenpersonal und Miete. Was sind also die 24 Euro? Die Gewinnspanne? Ein Trinkgeld für Mister Eurowings?

M	D	M	D	F	S	S
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30	31