Missverständnisse zu #efail

Heute morgen hat uns die Electronic Frontier Foundation ganz schön erschreckt, als sie plötzlich verkündete, dass man PGP-Plugins deinstallieren solle. Nachdem ich das zugrunde liegende Papier gelesen habe, das aufgrund der übereilten EFF-Veröffentlichung einen Tag früher als geplant online gestellt wurde, kann ich diese Empfehlung nach wie vor nicht nachvollziehen.

Ja, es sind gravierende Sicherheitslücken. Was die Forscher in ihrem Paper beschreiben, ist ein Aushängeschild für den schlechten Zustand der Verschlüsselungslösungen für Endnutzer. Was mir bei der Berichterstattung allerdings etwas übel aufgefallen ist: Einige Kollegen erzählten eine Geschichte, wonach nun plötzlich ein super-sicheres System zum ersten Mal geknackt worden sei.

Der übliche Einwand darauf ist: Die Verschlüsselung wurde nicht geknackt, sondern nur umgangen. Das trifft auch hier zu. Für den Anwender mag das im Ernstfall wenig tröstlich sein. Aber treten wir mal einen Schritt zurück und sehen, worum es wirklich geht. Eine der Voraussetzungen des heute veröffentlichten Angriffs-Szenarios ist es, dass der Angreifer bereits die E-Mails des Opfers erfolgreich abfangen konnte, und nun dringend noch den Schlüssel braucht. Und sich überhaupt nicht drum schert, dass der Angriff morgen einfachst nachvollzogen werden kann.

Auf deutsch: Edward Snowden sollte heute morgen wirklich nicht Thunderbird mit den untersuchten PlugIns verwenden. Was er wohl eh nicht tat. Die meisten(!) anderen Nutzer sollten sich aber eher Gedanken drum machen, dass sie ihre E-Mail- und Verschlüsselungs-Software updaten und die Voreinstellungen überprüfen.

Eine der wichtigen Lektionen von heute ist: Verschlüsselte Daten sind nur so sicher, wie das System, auf dem sie gespeichert sind und verarbeitet werden. Es hat immer hunderte Wege gegeben und es wird immer hunderte Wege geben, an PGP-verschlüsselte E-Mails zu gelangen, wenn denn der Empfänger seine IT-Systeme nicht wirklich unter Kontrolle hat. Man kann versuchen, auf dem Rechner einen Trojaner zu installieren. Man kann Backup-Daten klauen und drauf hoffen, dass der betreffende seine wichtigen E-Mails, Passworte oder Cache-Daten im Klartext abgespeichert hat. Man kann den Bildschirminhalt und Prozessorenaktivitäten über erstaunliche Entfernungen abhören. Oder schlicht drauf warten, dass irgendjemand den falschen Knopf drückt und einen langen E-Mail-Thread im Klartext versendet. Und, und, und… Die Möglichkeiten der Gegenwehr sind vorhanden, aber nicht unerschöpflich. Um IT-Systeme sinnvoll absichern zu können, muss man einschätzen können, wie sehr und von wem man denn bedroht ist.

Die konkretere Lektion ist: E-Mail-Programme sind nicht so sicher, wie wir es gerne hätten oder bis heute angenommen haben. Jeder sicherheitsbewusste Nutzer sollte mittlerweile gehört haben, dass man E-Mails nicht Daten aus dem Internet nachladen lässt. Denn so fängt man sich nicht nur finstere Verschlüsselungsknacker ein, sondern auch Spammer und Möchtegern-Hacker. Nun haben die Forscher einige Wege gefunden, wie E-Mail-Programme ungewollt nach außen kommunizieren. Einige sind nicht ganz so neu — aber dennoch nicht abgeschafft. Andere waren zumindest weniger bekannt und müssen nun ganz gezielt ausgemerzt werden.

Was mich auch etwas nervt, wie wenig Kontext durch die Skandalisierung transportiert werden konnte. Wenn man ganz laut ALARM!!!! schreit, bleibt halt wenig Platz für Erklärungen. Wenn E-Mail-Programme Informationen nach außen leaken lassen, können Angreifer dies nicht nur dazu nutzen, um verschlüsselte E-Mails zu entschlüsseln. Man kann die gleiche Technik verwenden, um jemanden zu enttarnen, der sich hinter einer vermeintlich anonymen E-Mail-Adresse verbirgt. Man schickt dem Betreffenden eine präparierte E-Mail und wenn er sie öffnet, hat man die IP-Adresse und vielleicht noch zwei bis drei andere Datenpunkte, mit dem man ihn identifizieren kann. Das ist gängige Praxis. Selbst abgefeimteste Profis fliegen so auf. Und wenn weder Gesetzeshüter, noch Geheimdienste die Lücke nutzen: Spammer und Abobetrüger greifen sicher gerne zu.

Ein weiterer Kontext, der mir deutlich zu kurz kam: Die in Großunternehmen verwendete Verschlüsselung S/MIME schneidet im Papier wesentlich schlechter ab als die OpenSource-Lösung PGP. Und das ist ein großes Problem. Updates für Thunderbird sind schon veröffentlicht, weitere folgen in Kürze und können von Einzel-Nutzern schnell installiert werden. Ein Update der E-Mail-Software und Verschlüsselungslösungen etwa für 100000 Angestellte weltweit auszurollen, ist jedoch etwas, was nicht ganz so schnell passiert.

Auch Kontext: Die Veröffentlichungsstrategie. Der Hashtag #efail — muss das wirklich sein? Er ist zwar schön griffig, aber er transportiert vor allem Häme. Und das ist einfach #facepalm.

Lange Rede, kurzer Sinn: Ich wünschte, wir könnten etwas abgeklärter, und informativer über solche Probleme reden.

Noch einige Missverständnisse zur Blockchain

Seit ich kürzlich einige Missverständnisse zur Blockchain aufgezählt habe, haben Leute eine perverse Freude daran, mir Artikel mit teils absurden Blockchain-Lobpreisungen zuzuschicken. Jemand designte sogar ein T-Shirt, das mir in den meisten Fällen angemessen angemessen erscheint.

Aber ich habe erkannt: Es gibt eine Menge weiterer Missverständnisse, und sie verbreiten sich massenhaft ohne nennenswerten Widerspruch. Es ist eine Melange aus etwas Mathematik, viel Esoterik und Wall Street-Denken entstanden. Also lege ich hier mal ein paar Erklärungen nach.

Das Dezentralitäts-Paradox

Blockchains sind — im Prinzip — eine dezentrale Technik. Das alleine scheint schon viele Leute von der Technik zu überzeugen. So fantasiert zum Beispiel Philippe Wampfler in seinem Blog über eine Bildungsrevolution — dank Blockchain. Da ich seit über 20 Jahren Dezentralität im Internet verfechte, bin ich nicht ganz so leicht überzeugt.

Zum einen: Sehr dezentral sind Blockchains in der Praxis gar nicht. Die Mining-Kapazitäten der Bitcoin-Blockchain liegen in der Hand von einer Handvoll Miner, die reichlich Kontogebühren für ihre kryptographischen Dienste verlangen. Die ganzen Tokens, die nun im ICO-Verfahren verkauft werden, sind meist furchtbar zentral. Selbst wenn die ausgebende Firma ihre Krypto-Einheit nicht völlig selbst in Eigenregie minen will, obliegt ihr die volle Kontrolle darüber, wie Geld in das System fließt, welche Preise sie setzt und wer zu welchen Bedingungen an eventuellen Umsätzen beteiligt wird. (Da es eigentlich fast nirgends echte Umsätze gibt, ist die Frage erst mal nur von theoretischer Bedeutung.)

Dezentralität bedeutet auch generell nicht, dass die Macht eines Systems automatisch in die Hände der vielen übergeht. Nein. Für den einzelnen ohne Macht hat Dezentralität viele Nachteile. Wer jemals einen Joint mit Bitcoins gekauft hat, kann sich mittlerweile ziemlich sicher sein, dass eine staatliche Stelle darüber Bescheid wissen kann. Dezentralität verhindert schnelle Updates, und die Sicherheitslücken müssen die Nutzer als erstes ausbaden. Dezentralität gibt den Leuten viel Macht, die die Imperfektionen des Ist-Zustands ausnutzen und die große Mehrheit übervorteilen wollen. (Simples Beispiel: E-Mail-Spam.)

Dezentralität alleine bietet auch keine Sicherheit. Wer gerne im dezentralen Internet Relay Chat unterwegs ist, weiß dass die Komplikationen doch um einiges höher sind als bei WhatsApp. Und von einer End-zu-End-Verschlüsselung kann man nur träumen. (Bei XMPP kann sie funktionieren, es ist aber eine Heidenarbeit.)

Dezentralität setzt meist auch eine Zentralität voraus. Jeder muss sich strikt an ein Protokoll halten, damit auch jeder Knoten in dem weiten Netz die selben Daten auf die selbe Weise interpretieren kann. Wenn zum Beispiel Philippe davon fantasiert, dass die Blockchain zentrale Institutionen im Bildungsbereich überflüssig machen kann, ist er auf dem Holzweg. Eine Dezentralität setzt sogar eine im Bildungsbereich bisher unbekannte Zentralität voraus. Wenn Bildungsabschlüsse auf der ganzen Welt in eine gemeinsame Datenbank eingespeist werden sollen, dann muss auch die ganze Welt einig sein, wann eine Prüfung bestanden ist und wann nicht. Und welche Inhalte zu jedem Abschluss gehören. Wenn das nicht gegeben ist, kann auch die Blockchain nichts ändern.

Dezentralität ist wichtig, sie ist die Grundlage des World Wide Web, des Internets. Damit sie funktioniert, darf man sie aber nicht nur als Hype, als selbst erfüllenden Slogan begreifen. Dezentralität ist viel Arbeit. Und wenn niemand wirklich ihre Notwendigkeit versteht, bleibt sie halt unerledigt. Oder man überlässt es Google, Flash abzuschaffen und Verschlüsselung durchzusetzen. Aber ich schweife ab…

Blockchains können lügen

Einer der anderen großen Marketing-Slogans der Blockchain-Gemeinde heißt: Vertrauen. Was in der Blockchain abgespeichert ist, ist mathematisch so gesichert, dass sich auch Leute darauf verlassen können, die nie voneinander gehört haben. Oder noch besser: Leute können einander vertrauen, wenn sie schon eine Menge voneinander gehört haben und dem anderen aus guten Gründen keinen Gebrauchtwagen abkaufen würden. Denn die Mathematik ersetzt das Vertrauen.

Das mag für Bitcoins einigermaßen zutreffen. Aber halt nur deshalb, weil hier schlichtweg abstrakte Zahlen anderen abstrakten Zahlen zugeordnet werden. So lange man nur dies erreichen will, ist die Blockchain wohl ein gutes Prinzip.

Doch man muss sich auch die Grenzen des Konzepts vergegenwärtigen. Zwar ist bisher ziemlich sicher, dass ein Betrag X von Konto A auf Konto B überwiesen wird. Das Konto B kann aber per Hack rückstandslos leergeräumt werden. Oder durch einen Dienstleister, der mal eben pleite macht. Oder durch eine Festplatte, die auf der Müllkippe landet. Sobald man sichergehen will, dass ein Betrag X nicht mehr nur dem abstrakten Konto B, sondern einer bestimmten Person zu Gute kommt, ist die Blockchain bisher nicht sonderlich erfolgreich.

Steve Wozniak beschwerte sich zum Beispiel gerade, dass ihm Bitcoins gestohlen wurden. Jemand kaufte ihm die Bitcoins ab, die genutzte Kreditkarte war jedoch gestohlen. Die Blockchain hat den Kauf final registriert, die Kreditkartenfirma jedoch nicht. Ergebnis: Wozniak ist sein Geld los. Und er hat auch keine Aussicht darauf, das Geld zurückzubekommen, obwohl die Beute für jedermann sichtbar in der Blockchain ausliegt.

Dieses Problem ist nicht unbedingt spezifisch für eine Blockchain: Datenbanken vermerken nur, was man in sie eingibt. Wenn jemand bei der Eingabe lügt oder sich auch nur irrtümlich vertippt, dann kann die Datenbank nichts dafür. Die Blockchain verhindert aber recht effektiv, dass Fehler nachträglich korrigiert werden könnten.

Kurzum: Um die dezentrale Technik Blockchain nutzbar zu machen, muss man in den allermeisten Fällen so viel Zentralität voraussetzen, dass das Abspeichern in der Blockchain eh keinen Unterschied mehr macht. Man kann dann auch jede andere Datenbank einsetzen und das Ergebnis ist billiger, verlässlicher und weniger missbrauchsanfällig.

Mit der Verbreitung von „Smart contracts“ wird das Ganze noch schlimmer. Denn die Leute, die diese neuen Super-Verträge schreiben sollen, scheitern heute wahrscheinlich schon mit PHP. Und hier wie da werden Fehler ignoriert, bis es zu spät ist.

Blockchains sind kein Super-Kopierschutz

Auch diese Idee ist mittlerweile erstaunlich populär: Blockchains retten den Urheber. Dank der neuen Technik kann nun endlich Wissen sicher gehandelt werden. So hat zum Beispiel die Bundesregierung eine Studie ausgeschrieben, die die Blockchain als Grundprinzip eines Wissen-Marktplatzes erkunden soll.

Manche versuchen per Blockchain schon wieder eine art Leistungsschutzrecht zu etablieren. So schreibt die „Welt“.

Das Prinzip Blockchain dürfte das Internet grundlegend verändern. Heute können digitale Wirtschaftsgüter wie etwa Musikstücke beinahe mühelos kopiert und verteilt werden. In der Blockchain-Welt geht das nicht mehr. Alle Transaktionen werden in einem Kassenbuch abgespeichert – und dann Zeile für Zeile verschlüsselt und dabei mit den vorigen Daten verkettet. Dadurch sind einmal geschriebene Daten nicht mehr veränderbar.

Wir könnten Steuergeld sparen, wenn die Bundesregierung einfach diese Antwort akzeptierte.

Nein. Neinneinnein. Nein. Nein! NEIN! Nein. Nein. Neinneinnein. Nein. NEIN! Und: Nein.

Zum einen: Mein Broterwerb besteht daraus, urheberrechtsgeschützte Texte zu produzieren. Es kommt ganz, ganz selten vor, dass ein Urheberrechtsstreit daran scheitert, dass jemand das Entstehungsdatum eines Inhalts nicht hinreichend dokumentieren kann. Die Blockchain ist hier eine Lösung für ein Problem, dass es in der Praxis eigentlich nicht gibt.

Zum zweiten: Blockchains setzen Offenlegungen voraus. Wenn alle Geschäfte mit urheberrechtlich geschützten Material in einer öffentlich zugänglichen Plattform liegen, dann kann auch jeder sehen, welche Zwischenhändler wie viel einsteckt. Ich glaube nicht, dass dies im Sinne der Zwischenhändler ist – und in dem Fall würden sie einfach nicht mitmachen. Und falls doch: Durch die prominente Veröffentlichung numerischer Werte ohne Kontext würde das Apple-Problem verstärkt: Seit Steve Jobs beschlossen hat, im App-Store 30 Prozent Provision zu nehmen, will niemand anders weniger als 30 Prozent nehmen.

Zum dritten: Wenn man Inhalte erst registrieren muss, um Urheberrechtsschutz zu genießen, dann wird eine Menge Material nicht mehr geschützt werden, weil der Aufwand doch immer beträchtlich ist.

Zum vierten: Die Tauglichkeit der Blockchain als Kopierschutz hängt an einer simplen Tatsache: Sie ist kein Kopierschutz. Zwar könnte man zum Beispiel eine DVD-Ausgabe der Titanic auslesen und in der Bitcoin-Blockchain abspeichern. Das Problem daran ist: Jeder kann auf diese Weise den Film auslesen und den Rest der Blockchain ignorieren. Statt Raubkopien zu verhindern, liefert die Blockchain jedem Interessierten die Daten frei Haus. Zudem: Wer soll all den Kram auf Tausenden von Nodes abspeichern wollen?

Theoretisch kann man sicher ein System erdenken, dass auf jedem Blu-Ray-Player und jeder Streaming-Box installiert wird, und das Inhalte erst abspielen will, wenn eine Zahlung auf irgendeiner Blockchain registriert ist. Stattdessen kann man aber auch jeden anderen Kopierschutz nehmen, der viel einfacher zu installieren, zu updaten, zu kontrollieren ist. Hier gilt wie so oft: Wenn man es mal geschafft hat, die Blockchain zum Laufen zu bekommen, ist sie wahrscheinlich allen anderen etablierten Lösungen unterlegen.

Unbezahlte Spammer

Eine gern verbreitete Geschichte ist: Promi/Firma/Partei X hat Tausende Fake-Follower auf Facebook/Twitter/Instagram. Also hat er/sie wohl dafür bezahlt.

Ich hatte zu meinen Bildblog-Zeiten mal den Hinweis bekommen, dass verdächtig viele Fake-Profile die Hamburger Regional-Ausgabe der „Bild“ liketen. Als ich mir die Profile jedoch ansah, stellte ich fest, dass sie auch viele andere Hamburg-Seiten mit Likes beglückten – auch solche, bei denen man sich eine Kauf-Aktion nicht vorstellen kann. Es stellt sich heraus: Fake-Accounts liken auch Seiten, die sie nicht bezahlen. So versuchen sie reale Aktivität vorzutäuschen. Accounts, die ausschließlich Fake-Viagra-Seiten toll finden, wären auch allzu einfach auszusortieren.

Dies hat zum Beispiel Facebook grade wieder bei einer großen Lösch-Aktion festgestellt.

The accounts had been created not en masse, but through “more sophisticated means” in an attempt to disguise the link between them. Proxies were used to disguise their true location. “The apparent intent of the campaign was to deceptively gain new friend connections by liking and interacting primarily with popular publisher pages on our platform, after which point they would send spam.”

Wenn ihr also wieder die Geschichte seht, in der die schiere Existenz von Spamaccounts als Beweis für bezahlte Manipulationen verkauft wird, schenkt ihr nicht allzu viel Glauben.

Liebe PR-Branche

Ich habe eine ganz einfache Bitte. Bevor ihr mich in einen Presseverteiler / Newsletter aufnehmt, fragt mich einfach.

Ich habe eine separate E-Mail-Adresse für Pressemitteilungen, die ich tatsächlich auch lese. Ich sag Euch an was ich interessiert bin und was nicht. Zum Beispiel: Personalien sind meist uninteressant für mich. Neue Produkte gewisser Art hingegen sind interessant, wenn es tatsächlich neue Produkte sind und nicht nur ein neuer Dreh etwas altbekanntes als neu zu verkaufen. Prozesse sind oft spannend — aber ich verstehe, dass ihr darüber nicht reden wollt. Ich sage oft am Telefon zu einem Sprecher: „Wenn sich genau in dieser Sache etwas Neues ergibt — können Sie mir eine E-Mail schicken?“

Wenn ihr hingegen meinen Namen unter einem Artikel seht und dann im Web nach meiner E-Mail-Adresse sucht und mich dann fortan ungefragt mit jeder schlechten Idee / Infografik / Billig-Umfrage belästigt, weil das ja legal sei (eben tatsächlich gehört!), dann seid ihr Spammer.

De-Mail: Locken, drohen, täuschen

De-Mail muss einfach toll sein. Ich persönlich finde das ja nicht. Für mich ist der Dienst so nützlich wie eine Rohrpost zu meinen Nachbarn drei Etagen unter mir.

Web.de ist jedoch dafür um so entschiedener von den Vorteilen der De-Mail überzeugt. Und hört nicht auf mir davon vorzuschwärmen. Oder anders formuliert: Web.de lässt nichts unversucht mir diesen Service unterzujubeln. Sie locken, sie drohen und sie täuschen.

Ein Auszug aus den Werbebotschaften.

2.11.2011: De-Mail ist noch Zukunftsmusik und nur ein ganz tolles Angebot von vielen ganz tollen Angeboten

——————————————————————
Inhalt:

De-Mail Wunschadresse

Heiß begehrte Lieblinge

Fernreisen werden teurer

ADAC Rundum-Schutz

——————————————————————
Sehr geehrter Herr Kleinz,

haben Sie sich bereits Ihre persönliche De-Mail-Adresse gesichert?
Dann sollten Sie diese schleunigst reservieren. Bald schon fällt
der Startschuss für die rechtssichere E-Mail Kommunikation!

Vergessen Sie bei der Planung Ihres Winterurlaubs nicht, vorab
eine ADACPlusMitgliedschaft abzuschließen. Dazu erhalten Sie einen
60,- Euro Tankgutschein.

14.06.2013: De-Mail ist inzwischen Realität und ich bin ein ganz besonderer Glückspilz, dass mein Name in Kombination einer der hässlichsten Domains überhaupt noch frei ist:

——————————————————————
30 Tagesfrist für torsten.kleinz@web.de-mail.de
Sichern Sie sich rechtzeitig Ihre De-Mail-Adresse.
——————————————————————

Sehr geehrter Herr Kleinz,

Sie sind ein Glückspilz – und das gleich in doppelter Hinsicht!
Denn E-Mail-Adressen aus Vor- und Nachnamen, wie die Ihre, sind
bei WEB.DE immer seltener verfügbar.
Noch drastischer gilt das für die neuen, derzeit kostenlosen
De-Mail-Adressen, denn eine De-Mail-Adresse besteht immer
zwingend aus dem Namen, der im Personalausweis steht. Daher
sind schon jetzt über 1.000.000 (Million)
sehr gefragter De-Mail-Adressen vergeben.

4.7.2013: Die Lüge mit der 30-Tages-Frist hat nicht gefruchtet, also bisschen mehr Druck. Dass meine persönliche De-Mail-Adresse dabei verschütt ging, verwundert nicht wirklich.

——————————————————————
Fristablauf, bitte De-Mail-Adresse bestätigen!
——————————————————————
Jetzt wird’s Zeit!
[e_demail]
Sichern Sie sich rechtzeitig Ihre De-Mail-Adresse.
——————————————————————

Sehr geehrter Herr Kleinz,

es eilt, denn auf unsere letzte Nachricht haben wir bis heute keine
Identifikationsanfrage von Ihnen erhalten.
Ihre De-Mail-Adresse [e_demail]
mussten wir daher zur Löschung und anschließenden
Freigabe vorbereiten.

17.09.2013: Web.de tut so, als hätte ich tatsächlich auf die Lockvogelangebote reagiert. Vielleicht können sie mich ja überzeugen, während ich panisch nach dem „Kündigen“-Button suche.

WEB.DE De-Mail
——————————————————————
Glückwunsch!
Ihr De-Mail Postfach steht für Sie bereit!
——————————————————————

Sehr geehrter Herr Kleinz,

herzlichen Glückwunsch, Ihr De-Mail Postfach steht für Sie bereit!
Damit Sie Ihr De-Mail Postfach auch nutzen können, überprüfen Sie
bitte noch heute Ihre Angaben. Sollte etwas fehlen, können Sie es
einfach ergänzen.

Bitte vergessen Sie nicht, Ihr De-Mail Postfach im Anschluss auch
zu eröffnen.

Das geht ganz schnell:

• Klicken Sie auf „Jetzt starten“.

• Ergänzen und überprüfen Sie Ihre Angaben.

Jetzt starten:
https://produkte.web.de/de-mail/

25.11.2013: Das hat auch nicht funktioniert. Also tut web.de so als ob De-Mail kein separater Dienst ist, der der Firma ein paar Millionen Porto von Großversendern einbringen soll. Nein, es ist ein Sicherheits-Update!

WEB.DE De-Mail
——————————————————————
Wichtig: Sicherheitsupdate für Ihr Postfach!
——————————————————————
Sehr geehrter Herr Kleinz,

hiermit erhöhen wir die Sicherheitsstufe für Ihr Postfach!
Das bedeutet, dass wir Ihnen eine kostenlose Postfacherweiterung
zur Verfügung stellen.

Zur Aktivierung benötigen Sie lediglich eine persönliche
De-Mail-Adresse als Visitenkarte.

Die sichere und verschlüsselte Übertragung schützt Sie und
Ihre Daten optimal!
——————————————————————
Das müssen Sie tun:

• Klicken Sie auf „Jetzt aktivieren“
• Loggen Sie sich ggf. in Ihrem Postfach ein.
• Ergänzen und überprüfen Sie Ihre Angaben.

13.12.2013: Nochmal die Masche „Du hast dich schon angemeldet.“

WEB.DE De-Mail
——————————————————————
Glückwunsch zu Ihrer De-Mail Beantragung
——————————————————————
Sehr geehrter Herr Kleinz,

wir freuen uns, dass Sie sich für De-Mail interessieren.
Sicherlich ein wichtiger Schritt, denn ab 2014 können Sie sich
mit De-Mail einige Behördengänge sparen.

Ihre persönliche De-Mail-Adresse, bestehend aus Ihrem Vornamen
Torsten und Ihrem Nachnamen Kleinz, können Sie jetzt
kostenlos unter „Jetzt starten“ aktivieren.
——————————————————————
Das geht ganz schnell:

• Klicken Sie auf „Jetzt starten“
• Loggen Sie sich ggf. in Ihrem Postfach ein.
• Aktivieren Sie Ihre persönliche De-Mail-Adresse.

28. 12. 2013: Also lieber Kunde. Willst Du wirklich nicht? Nein, das haben wir nicht gefragt. Formulieren wir es anders: Bist Du schwer von Begriff? Ja? Na dann…

WEB.DE De-Mail
——————————————————————
Kein Schnee von gestern!
——————————————————————
Sehr geehrter Herr Kleinz,

das erste Jahr der De-Mail liegt hinter uns und auch im Jahr 2014
wird De-Mail ein großes Thema bei Banken, Behörden und der
Bundesregierung sein. Also sicherlich kein Schnee von gestern!
Uns ist es heute ein Anliegen Ihnen Ihre 3 häufigsten Fragen
kurz zu beantworten:

7.2. 2014: Wer auf Fake-Fristsetzungen nicht reagiert, dem muss man wohl ein Problem vorspielen. Natürlich nur eins, wo web.de hilft, bevor ich etwas vermisse. „Kulanz“ klingt so… kulant. Und dann noch ein gefaketes Aktenzeichen. Die Methode funktioniert ja bei gefälschten Rechnungen mit Malware-Fracht super.

WEB.DE De-Mail: Eröffnung Kulanzfall 20130709
——————————————————————
Sehr geehrter Herr Kleinz,

unser Verkauf hat Sie über die Löschung Ihrer Reservierung
eingehend informiert. Aufgrund mehrerer Anfragen werden jedoch
einige, vorreservierte De-Mail-Adressen noch für kurze Zeit
reserviert bleiben. Im Anschluss an diese kurze Kulanzzeit
werden die De-Mail-Adressen wieder freigegeben.

PS: Gegenüber dem WDR-Blog Digitalistan verteidigt sich web.de:

Hier klicken, um den Inhalt von Facebook anzuzeigen.
Erfahre mehr in der Datenschutzerklärung von Facebook.

auch andere Empfänger das gleiche Fake-Aktenzeichen zugewiesen bekamen.

Spamming Topics

Monica Lierhaus ist in den „Trending Topics“ bei Twitter.

Und wohin führen solche Links?

Ist es schon wieder so weit, dass man Twitter hinter sich lassen sollte um ein Medium mit Leuten zu suchen, die nicht hirnlos auf jeden Spam klicken?

BTW: Ich glaube, dass ein wesentlicher Teil der Spam-Industrie mittlerweile nicht mehr davon lebt gefälschte Potenz-Pillen oder Rolex-Uhren zu verkaufen – die Spammer zocken ihre eigenen Auftraggeber und Möchtegern-Spammer ab.

Falsches Bing

In meinen Zugriffs-Statistiken tauchen neuerdings auch Referrer von Microsofts neu aufgelegter Suchmaschine Bing auf. Der vermeintliche Google-Killer scheint ja richtig populär zu werden, könnte man denken. Aber von wegen. Ein kleiner Ausschnitt aus meiner Logdatei von heute:

/2007/08/29/offentlicher-druck-funktioniert/
Http Code: 200 Date: Jun 29 10:41:55 Http Version: HTTP/1.1 Size in Bytes: 26124
Referer: http://search.live.com/results.aspx?q=youtube
Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4325; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30707; MS-RTC LM 8)

Auf den ersten Blick sieht es so aus, als habe jemand bei Microsoft Live nach „YouTube“ gesucht und sei auf mein Blog gestoßen. Doch von wegen: unter dem angegebenen Referrer ist mein Blog nicht zu finden und die IP-Adresse gehört zu MSN. In Wahrheit ist der Surfer mit dem komischen Browser ein MSN-Bot, der in meinen Statistiken falsche Referrer hinterlässt.

Besonders auffällig: der korrekt gekennzeichnete MSNBot war ein paar Sekunden vorher da:


/robots.txt
Http Code: 200 Date: Jun 29 10:41:08 Http Version: HTTP/1.1 Size in Bytes: 165
Referer: -
Agent: msnbot/1.1 (+http://search.msn.com/msnbot.htm)

/2007/08/29/offentlicher-druck-funktioniert/
Http Code: 200 Date: Jun 29 10:41:08 Http Version: HTTP/1.1 Size in Bytes: 26098
Referer: -
Agent: msnbot/1.1 (+http://search.msn.com/msnbot.htm)

Und das nicht nur bei mir. Was ist da los? Betreibt Microsoft Referrer-Spam oder sind ein paar Bots falsch programmiert?

PS: Wie in den Kommentaren angemerkt, soll es sich bei dem getarnten Bot um eine Maßnahme zur Qualitätssicherung handeln. In die offizielle Dokumentation von Bing hat es diese Information offenbar nicht geschafft.

Hashtag-Spam

Sie sind unvermeidlich: Kaum ist eine Funktion etabliert, schon sind die Spammer vor Ort. Bei Twitter fangen sie nun an mit Tags wie #winnenden oder #rp09 für eine Pokerseite zu werben…


hashtag-spammer