[ Menu ]

Blogger-Phishing

Beitrag drucken

Donnerstag, 29. Januar 2009

Es scheint sich eine neue Variante des Sammelns von persönlichen Daten etabliert zu haben, die vom Einfallsreichtum und von der Kreativität der betrügerischen Datenjäger zeugt. Ihre Ziele sind die Blogger und deren Eitelkeit ist ihre Chance. Web-Schreiberlinge erhalten seit Wochen immer mehr Emails mit einem Angebot für eine „Linkkooperation“. Gestern bekam auch ich wieder so ein Schreiben von einem angeblichen „Ron Krüger“ mit folgendem Inhalt:

Sehr geehrter Herr Dobszay,

ich hoffe Sie haben der Grippewelle gut erholt entkommen können und sind bereit für neue Aufgaben.

Aktuell suche ich einem geeigneten Linkkooperationspartner für eine Seite zum Thema Finanzen/Geldanlagen.

Dabei bin ich auf Ihre Seite www.dobszay.ch/2007-07-15/warum-datenschutz-wichtig-ist/ gestoßen und habe großes Interesse von dieser URL eine Verlinkung zu erhalten. Im Gegenzug kann ich Ihnen natürlich ebenfalls hochwertige Zurückverweise anbieten.

Ich würde mich über Feedback Ihrerseits freuen.

Mit freundlichen Grüßen

Ron Krüger

Reichweite und Traffic sind das Mass aller Dinge jeder Webseite im Cyberspace. Je mehr Besucher ein Blogger hat, desto mehr steigert dies sein Selbstwertgefühl und seine Illusion, von der Web-Community wahrgenommen zu werden und wichtig zu sein. Je mehr andere Seiten auf seine Website verlinken, desto grösser sind rein statistisch gesehen seine Chancen, mehr Besucher zu erhalten. Was sollte also gegen eine solche Kooperation sprechen?

Auf den ersten Blick sieht die Email zumindest für Laien ganz seriös aus, zumal sie in korrektem, wenn auch etwas leicht holprigen Deutsch formuliert ist. Meine Email enthält aber gleich drei verdächtige Merkmale:

  1. Da die Grippewelle mich noch nicht eingeholt hat, musste ich ihr auch noch nicht entkommen. Der Absender will mir seine persönliche Nähe signalisieren – aber leider völlig unpassend und etwas plump.
  2. Die Email stammt von einem Absender mit einer kostenlosen Email-Adresse bei web.de. Jemand der mir Links und dadurch indirekt mehr Besucher verspricht, hätte zumindest eine eigene Domain mit einer entsprechenden Email-Adresse.
  3. Der Link auf den er sich bezieht, steht in keinem Zusammenhang mit dem Thema, zu dem er mir seine Linkkooperation anbietet.

Folglich wurde die Email nicht von Hand sondern automatisiert, d.h. von einem Roboter generiert. Und wozu soll dies gut sein? Nach kurzem Überlegen wird mir auch dies klar. Wenn ein linkgeiler Blogger auf das Angebot reagiert, bestätigt er damit die Gültigkeit seiner Email-Adresse. Wenn er sogar so blöd ist, seine Antwort auch noch über eine andere Email-Adresse zu verschicken, hat der Phisher zusätzlich auch diese in seiner Datenbank. Die meisten Leute geben aber in Emails nach dem „Mit freundlichen Grüssen“ im Footer auch noch gleich alle ihre persönlichen Koordinaten (Adresse, Telefonnummer, etc.) bekannt. Die Datenbank nimmt auch diese Angaben gerne entgegen. Diese Art des Datensammelns nenne ich „Blogger-Phishing“.

Dass man mit dem Verkauf solcher Daten gutes Geld verdienen kann, brauche ich wohl angesichts der Datenschutzskandale der letzten langen Monate wohl kaum besonders zu erwähnen. Aber wer steckt hinter dem Absender? Der Email-Header offenbart mir folgendes:

Received: from infong308.kundenserver.de (infong308.kundenserver.de [212.227.109.172])
by mrelayeu.kundenserver.de (node=mrelayeu6) with ESMTP (Nemesis)
id 0ML29c-1LS6LI1yab-0001zY; Wed, 28 Jan 2009 10:04:16 +0100
Received: from 91.62.33.111 (IP may be forged by CGI script)
by infong308.kundenserver.de with HTTP
id 4AgFxN-1LS6LI1fVH-0007Ac; Wed, 28 Jan 2009 10:04:16 +0100
X-Sender-Info: <108267316@infong308.kundenserver.de>
Date: Wed, 28 Jan 2009 10:04:16 +0100
Message-Id: <4AgFxN-1LS6LI1fVH-0007Ac@infong308.kundenserver.de>
Precedence: bulk
To: LD @ dobszay.ch
Subject: Gemeinsame Kooperation
From: Ron.Krueger@web.de
Cc:
Reply-To: Ron.Krueger@web.de

Die Email wurde von der IP-Adresse 91.62.33.111 verschickt, die der Deutschen Telekom AG gehört. Dies ist der ISP (Internet Service Provider) des Urhebers. Verschickt wurde die Email von einer WEB.DE-Adresse über einen Mailserver bei kundenserver.de, die wiederum der United Internet AG Tochter 1&1 Internet AG gehört, aber interessanterweise persönlich auf den Namen von Achim Weiss, dem Chief Software Architect von 1&1 eingetragen ist, wie übrigens auch die Domain von GMX. Und auch WEB.DE gehört zu 100 Prozent der United Internet AG. So einfach lässt sich die Infrastruktur eines Internet-Giganten missbrauchen. Dadurch wird wahrscheinlich auch gezielt vermieden, dass die Domain (web.de) der Absender-Adresse auf eine Blacklist gerät. Andernfalls würden Millionen von Nutzer keine Emails mehr verschicken können.

Datensammler und -händler sind äusserst rafiniert bei der Kreation immer neuer Attacken auf unsere Privatshpäre zwecks Verkauf und Missbrauch unserer Identität. Sogar der Wolfgang Schäuble könnte sich hier etwas für seinen Überwachungs- und Präventivstaat abgucken.



2 Kommentare

  1. Kommentar von Markus
    Montag, 2. Februar 2009; 10:31

    Na prima, noch mehr Phishing-Attacken. Und dabei hätte ich die Mail jetzt vom Deutsch her gar nicht mal so als Spam eingestuft. Diese Grippewelle ist natürlich schon krass, dass man die so mit ran zieht. Und auch eine kostenlose Free-Mail-Adresse finde ich nicht besonders seriös, aber danke für den Hinweis, das werde ich mir auf jeden Fall merken.

  2. Kommentar von Manfred
    Dienstag, 24. Februar 2009; 11:34

    Vielen Dank für Deine Recherchen. Ich habe ebenfalls eine Mail von diesem Ron Krüger erhalten. Ich betreibe eine Seite, auf der ich Informationen für die Mitglieder der Gewerkschaft ver.di aus dem Bereich Telekommunikation im südostbayrischen Gebiet bereit stelle. Mit dem Thema Finanz- / Geldanlagen hat meine Seite natürlich nichts zu tun. Das Thema taucht in der an mich gerichteten Mail auch nicht auf.

    Für mich ist somit erwiesen, dass es sich bei den Mails von diesem Ron Krüger tatsächlich um Datenphishing handelt. Wobei er meine Adresse und meine Telefonnummer auch aus dem presserechtlich vorgeschriebenen Impressum oder über eine DENIC-Anfrage und der Benutzung eines Telefonbuchs bekommen könnte.