Dies war mein erster Gedanke, als ich heute meine Mails durchging und eine Benachrichtigung von den Produktmanagern des MSDN-Programms erhielt. Da behauptete eine an “Sehr geehrte/r (FIRSTNAME) (LASTNAME), “ gerichtete Nachricht, dass ich jetzt keine Kreditkarte zum Nutzen der Cloud Computing-Inklusivleistungen mehr benötige. Art und Form der betreffenden E-Mail, sowie das Stichwort “Kreditkarte” rochen stark nach einem Phishing-Versuch, obwohl die Filter im E-Mail-Programm nichts meldeten.
Werbung
Trotzdem war ich ziemlich platt, als ich den nachfolgenden Mail-Text im Posteingang fand. Die fehlenden Angaben für Vor- und Zuname im Anschreiben erschienen mir sehr suspekt. Aber der Text war in fehlerfreiem Deutsch. Sofort schoss mir der Gedanke “die Spammer werden auch immer besser” durch den Kopf.
Als ich dann noch die E-Mail-Adresse reply@email.microsoftemail.com anschaute, erschien mir das alles recht suspekt – zumal die Links der Art
http://click.email.microsoftemail.com/?qs=b7f4d89961b4ae37e6d612f
f835f570ad635108e685a3ec088edb6e410a48807296dc1760e6cbb6f
auch nicht sehr vertrauenserweckend aussahen. Als ich dann eine Suchmaschine nach dem Domainnamen befragte, stieß ich auch gleich auf die Fundstelle unter [1]. Der Beitrag bestätigte mir, dass offenbar solche obskuren Absenderadressen von Microsoft verwendet werden.
Der erste Kommentar im Beitrag [1] weckte ungute Erinnerungen an meinen Test von Windows Live On Care, wo ich ebenfalls an den Billing-Support in den USA verwiesen wurde und eine Nummer an der Pazifikküste anrufen sollte (die aber während üblicher Bürozeiten nie besetzt war) – um mein Abonnement, was jetzt kostenpflichtig würde, zu beenden. Ich schob es auf die Tatsache, dass mein Live ID-Account vor vielen Jahren mal von Microsoft Press USA eingerichtet und zwischenzeitlich mehrfach umgezogen wurde. Aber der Wahnsinn hat Methode – zwischenzeitlich habe ich noch mehrere Nutzer kennengelernt, die mit deutschen Kontaktdaten an Billing Services in den USA verwiesen werden. Seinerzeit habe ich über ein Microsoft-Forum einen Link zur deutschen Supportseite samt Telefonnummer bekommen, so dass ich das Probeabonnement kündigen konnte – an Microsoft per E-Mail geschicktes Feedback verschwand in einer Art “schwarzes Loch” und eine Beschwerde an die EU verlief seinerzeit im Sande. Zwei Sachen habe ich damals gelernt: Microsoft hat seine Online-Billing-Prozesse in keinster Weise im Griff – und ich werde mich niemals mehr bei einem dieser Dienste anmelden, wenn dort irgendwelche “Finanzdaten” für Transaktionen gefordert werden. Genau so gut könnte ich meine Kreditkarte auch in Frankfurt im Bahnhofsviertel einem wildfremden Menschen in die Hand drücken.
Aber zurück zum eigentlichen Problem, der recht obskuren Mail an den “Sehr geehrte/r (FIRSTNAME) (LASTNAME)“. Als ich dann unter [2] noch einen Blogbeitrag von Kay Giza zum Thema fand, war ich ziemlich überzeugt, dass die Nachricht von Microsoft stammte. Also habe ich mal Links in der E-Mail ausprobiert – die leiteten mich doch wirklich auf Microsoft-Seiten um.
Ich fasse es nicht…
Das Ganze lässt mich jetzt aber schon einigermaßen fassungslos zurück. Ich gehe mal davon aus, dass die obige Nachricht durch eine technische Fehlfunktion ohne korrekte Namensangaben rausging. Aber der Kern des Ganzen ist ein anderer Punkt: Eigentlich sollte Microsoft so gewitzt sein und wissen, dass Spammer unter der Flagge dieser Firma segeln und mit entsprechend gestalteten Nachrichten arglose Benutzer in die Falle locken möchten. Ergo müsste Microsoft alles tun, um in eigenen Mails die Verifikation des Absenders durch die Empfänger so einfach als möglich zu machen. Und ich erinnere mich auch an Mails von Microsoft, wo ich darauf hingewiesen wurde, wie ich gefälschte Nachrichten erkennen könne. Und nun kommt eine Nachricht von Microsoft genau so daher.
- Eine E-Mail-Absenderangabe der Art reply-fec6107176600c78-866153_HTML-344373849-115721-2@email.microsoftemail.com gehört imho nicht in eine E-Mail, die mich von MS erreicht. Das Ganze riecht für mich verdammt nach Tracking-Versuch, also genau die Technik, die von Spammern zur Identifizierung existierender E-Mail-Konten mit verwendet wird.
- Einen Link der Art http://click.email.microsoftemail.com/?qs=b7f4d89961b4ae37e6d612ff835f570ad635108e685a3ec088edb
6e410a48807296dc1760e6cbb6f, der auf eine Website verweist, würde ich freiwillig nicht mal mit der “Kneifzange” anfassen. Hat in etwa die gleiche Qualität wie die URL www.deutschepostebank.de, die mir in einer Phishing-Mail untergekommen ist. Wieso soll ich einer E-Mail, die so daherkommt, vertrauen?
Gut, ein wenig Recherche hat mir im konkreten Fall gezeigt, dass der Produktsupport von Microsoft offenbar als Absender der Nachricht fungiert. Wenn ich mir jetzt aber überlege, dass ein Weltkonzern so agiert, wird mir schon Angst und Bange. Da predige ich über Jahr und Tag in meinen Einsteigertiteln, dass die Leute die Verlinkungen in E-Mails mit Misstrauen betrachten sollen. Falls die Links nicht direkt auf die bekannten Seiten des vermeintlichen Absenders (z. B. www.microsoft.com, www.deineHausbank.de etc.) zeigen, möge man die Mail als Betrugsversuch sofort löschen. Es wird auch darauf hingewiesen, dass Link-Verkürzer zu vermeiden sind (weil das Ziel für den Surfer nicht mehr erkannt werden kann).
Microsoft sowie andere E-Mail-Client- und Browser-Entwickler haben in den letzten Jahren viel Mühe und Grips darauf verwandt, gefakte Links komplett anzuzeigen und Phishing-Versuche abzuwehren. Aber letztendlich muss der Benutzer auch etwas “Hirn aktivieren”, da Betrugsversuche durchaus von den Webinhaltsfiltern übersehen werden können.
Und nun bekomme ich in letzter Zeit sowohl von Microsoft als auch von anderen renommierten Adressaten (auch von der Hausbank) E-Mails mit genau solchen Link-Aliasen, die ein normaler Anwender auch mit Brain 2.0 ohne zusätzliche Recherchen nicht als “gefahrlos” oder “nicht mal mit der Kneifzange anfassen” qualifizieren kann. Ohne Hintergrundrecherche ist da nichts mit der Entscheidung “gut oder schlecht”.
Das ist natürlich gequirlte Kacke! Irgend eine tolle Software scheint da bei einigen Firmen im Hintergrund zu werkeln und Massen-E-Mails rumzuschicken. Und niemand scheint da irgend einen Gedanken daran zu verschwenden, was da an Links oder Absenderkennungen verhackstückt wird und wie sich so etwas auf die Sicherheitseinstufung durch den Anwender auswirkt.
Die andere Interpretationsweise wäre noch befremdlicher: Man ist bereits zum Schluss gekommen, dass eh kein Schwei… pardon kein Mensch sich die Mühe macht, den Inhalt von E-Mails zu verifizieren – und die Leute eh wild auf jeden Link klicken, der per E-Mail eintrudelt.
Jedenfalls “Prost Mahlzeit” – wenn ich mir nun noch so ansehe, was bei iPhone/iPad und Android mit den Apps so abgeht und die Leute total die Kontrolle verlieren, was da auf ihren Gadgets so läuft [3, 4], kann jeder seine Daten (einschließlich Bank- und Kreditkartendaten) eigentlich öffentlich einsehbar an die Haustür nageln. Aber vielleicht werde ich bloß langsam alt und verstehe nicht mehr, wie die Welt so tickt.
Weiterführende Links:
1: Blogler.de-Beitrag
2: MSDN Subscriptings-Update
3: Inkasso auf Fingertipp
4: User akzeptieren Werbung in Apps
(c) by Günter Born www.borncity.de
The source of smart computer books
Schlagworte: Sicherheit, Spam
