Tag Archives: E-Mail

Lustige E-Mails II.

Irgendwie frage ich mich immer, welche Idioten auf solche E-Mails reinfallen. Ob als “Finanzagent” oder “Logistikpartner” – erstaunlich, diese Masche greift immer wieder:

Karrieren und Stellenangebot

Wir bieten Ihnen eine offene Vakanz an. Dieses Stellenangebot ist beschraenkt und gilt nur fuer die Buerger Deutschlands.

Unsere Firma angagiert das Personal fuer die Hausarbeit als Der aeusserliche Hilfsvertreter (Outside Support Representant). Diese Hausarbeitsposition basiert sich auf online-part-time, im beschleunigten Tempo (fast-pased Position). Die nebenamtlichen (Part-time) Mitarbeiter arbeiten gewoehnlich 4 Stunden pro Tag (Montag-Freitag) und arbeiten gewoehnlich nicht am Wochenende und an Feiertagen. Waehrend Ihrer Arbeit werden Sie mit Paketen und Paeckchen zu tun haben. Ihre Hauptaufgaben sind Erhalten, Umverpacken (notwendigerweise) und Absenden an den Endkunden.

Fuer ein Paket bekommt der Mitarbeiter ‚¬ 20,00 und Monatsgehalt je nach dem Angebot. Unsere Mitarbeiter, die nebenamtlich arbeiten, bekommen fuer jedes Paket gute Kommission. Achten Sie bitte darauf, dass diese Leute nicht mehr als 17 Stunden pro Woche beschaeftigt werden duerfen.

Fuer solche Arbeit brauchen wir keine grossen Arbeitserfahrungen und stellen keine hohen Anforderungen. Die vorliegende Arbeit ist ausgezeichnet fuer Studenten, Muetter und Menschen, die online tageweise Arbeit suchen. Wir sind eine sich schnell entwickelnde internationale Gesellschaft und Sie haben eine grosse Moeglichkeit Ihre Karriere mit uns zu beginnen. Bitte verlieren Sie keine Zeit und beginnen Sie mit Ihrer Karriere gleich.

Bitte senden Sie Ihr Resuemee/CV oder kurzen Lebenslauf an folgende e-mail ab: xxxxxx@gmail.com

In 2-3 Tagen werden Sie von uns Antwort bekommen. Danke fuer Ihre Aufmerksamkeit und Interesse an uns.

Note:
Diese Position ist online angeboten und kann von einer beliebigen Personalvermittlungsagentur verwendet werden. Diese Arbeit koennen Sie online oder durch Marketing- und online- Listen finden.

Richtig Übersetzt: “Wir suchen Idioten, die uns bei Betrug im Versandhandel unterstützen und gerne dem Staatsanwalt als Ansprechpartner zur Verfügung stehen.”

Wie das E-Mail Postfach von Sarah Palin gehackt wurde

Das E-Mail Postfach von Sarah Palin der republikanischen Anwärterin zur US Vizepräsidentschaft wurde gehackt. Nicht technisches Know How war dazu notwendig, sondern eine akribische Recherche zur Biografie im Internet. Denn die Angreifer nutzen die Funktion für “vergessene Passwörter” in Palins Yahoos E-Mail Account.

Im Blog von Michelle Malkin wird eine E-Mail des Hackers veröffentlicht, in denen die Details zum Hack genau beschrieben sind. Das Palin ein E-Mail Konto bei Yahoo hat, habe der Angreifer aus der Presse erfahren. Um an das Passwort des Yahaoo-ID Accounts zu gelangen, mussten bei der Funktion “Passwort vergessen” zwei persönliche Fragen zur Biografie von Sarah Palin beantwortet werden. Die Antworten wurden per Wikipedia, Google und Postleitzahlenverzeichnis gesucht und gefunden. Dazu der Hacker “rubico” in einer E-Mail:

after the password recovery was reenabled, it took seriously 45 mins on wikipedia and google to find the info, Birthday? 15 seconds on wikipedia, zip code? well she had always been from wasilla, and it only has 2 zip codes (thanks online postal service!)

the second was somewhat harder, the question was €œwhere did you meet your spouse?€ did some research, and apparently she had eloped with mister palin after college, if youll look on some of the screenshits that I took and other fellow anon have so graciously put on photobucket you will see the google search for €œpalin eloped€ or some such in one of the tabs.

I found out later though more research that they met at high school, so I did variations of that, high, high school, eventually hit on €œWasilla high€ I promptly changed the password to popcorn and took a cold shower€¦

Im Gegensatz zum “klassischen Hacking”, bei dem der Angreifer ein tiefes technischen Verständnis des zu kompromitierenden Systems benötigt, war der Hack des Palin E-Mail Postfachs ein cleveres Such- und Puzzlespiel per Internetrecherche. Das macht den Hack nicht weniger spektakulär, sondern es zeigt wie anfällig System sind, die die Sicherheit per vermeintlichen “biografischen Geheimnissen” sicherstellen möchten. Im Zuge von immer mehr Suchmöglichkeiten über soziale Netzwerke, wird es immer schwieriger werden biografische Besonderheiten zu schützen.

Fragen wie “Wie lautet der Name Ihres Haustieres?” oder “Wie lautet der Mädchenname Ihrer Mutter?“, sind nicht wirklich geheim in einer zunehmend vernetzten Welt und werden mit dem Grad der Vernetzung in sozialen Netzwerken zunehmend offensichtlicher.

Blogger Bruce Schneier, zerlegt in seinem Artikel “The Curse of the Secret Question” das Prinzip der biografischen Geheimfragen. Dem ist nichts hinzuzufügen.

Auch E-Mail unterliegt dem Briefgeheimnis

Autsch – bei Software-Entwicklern fehlt manchmal das Verständnis, wie mit E-Mail-Daten umgegangen werden soll. Ein solches Beispiel sehe ich gerade aktuell in meinem Quellcode Editor.

Ein neuer Kunde hat uns die Quelldateien seiner bestehenden Internet-Applikation zukommen lassen, die von einem externen Dienstleister programmiert wurden. Bei der Analyse der Quellcodes haben wir uns eine allgemeine Konfigurationsdatei angeschaut, in der Datenbankverbindungen und E-Mail-Empfänger für Mailvorgänge definiert werden.

Dort hat der ursprüngliche Entwickler brav die E-Mail-Zieladresse für Webformulare definiert. Neben den Adressen des Kunden findet sich in einer unscheinbaren Zeile folgender Eintrag:

$bcc_mail = [XXX@XXX.XX*]

(* = die E-Mail-Adresse des Software-Entwicklers)

Diese Zeile bedeutet schlicht, das sämtliche Inhalte der über das Web generierten E-Mail Formulare nicht nur an unseren neuen Kunden versendet werden, sondern auch als versteckte Kopie an den Software-Entwickler des ehemaligen Dienstleisters!

Pikant dabei: diese versteckte E-Mail Kopie wurde ohne Wissen des Kunden an den ursprünglichen Dienstleister versendet. Über die Sinnhaftigkeit dieses Verfahrens kann man nur den Kopf schütteln. Hier lässt sich jemand Informationen per E-Mail zusenden, die ihn schlicht und einfach nichts angehen.

Ich glaube nicht, dass es dem Entwickler eigentlich klar ist, dass die Inhalte dieser E-Mails nicht für sein Auge bestimmt sind. Sowohl Sender wie auch unser Kunde können sich bei der elektronischen Kommunikation auf das Briefgeheimnis berufen.

Denn § 88 TKG§ 88 TKG bestimmt, dass €žder Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war€œ dem Fernmeldegeheimnis unterliegen.

Bitte mitlesen… denn wer verschlüsselt schon E-Mails?

Während ich mir die schönstem Plagiate chinesischer Hersteller anschaue, denke ich über die Sicherheitsphilosophie vieler Unternehmen nach. IT-Abteilungen neigen dazu, beim Thema Security nicht zu sparen. Um Netzwerke abzuschotten werden für Unsummen die besten Firewalls und Intrusion-Detection-Systeme angeschafft. Das ist richtig.

Doch was bringt das abgeschottete System, wenn Mitarbeiter unverschlüsselt brisante Daten per E-Mail versenden?

Technische Zeichnungen und sensible Dokumente kursieren so unverschlüsselt im Internet und sind für Industriespionen ein gefundenes Fressen. Das Problem ensteht auf zwei Seiten: Anwender mit mangelndem Sicherheitsbewußtsein und technisch komplizierte Verschlüsselungsmethoden.

Das erste Problem lässt sich durch eine intensive Aufklärung der Anwender und einer konsequenten Sicherheitspolitik lösen. Das zweite Problem ist leider schwieriger.  Es gibt leider keine Wunderwaffe für das reibungslose verschlüsseln von E-Mails. Sichere Methoden verlangen Disziplin und Know-How vom Anwender.

Wir selbst setzen in unserem Unternehmen bei der Verschlüsselung auf OpenPGP/GnuPGP. Firmenintern funktioniert dies prima, doch im Alltag mit Kunden, Partnern und Lieferanten stellt dieses komplexe Verschlüsselungsverfahren die reibungslose Kommunikation oftmals auf die Probe.

Ich sehe aber keine Alternative.

In den letzten zehn Jahren Tätigkeit sind mir so manche kreative Methoden von Anwender unter die Augen gekommen.

Meine Hitliste, der unsicheren Schutzmethoden:

  1. Schützen einer Excel-Tabelle mit der Excel-Passwort-Funktion
  2. “Verstecken” von sensiblen Informationen in beigefügten Dokumenten (z.B. Powerpoint)
  3. Verteilen von sensiblen Informationen auf mehrer E-Mails: URL, Name, Passwort
  4. ZIP-Archive per Passwort schützen und Passwort per E-Mail versenden
  5. Verschicken sensibler Textinformationen als Grafik im Anhang