Behälterfälschung

Unerwartetes Ergebnis einer Umfrage unter weiblichen Kamera-Handy-Benutzern: Das Kamera-Telefon wird dazu verwendet, um die Frisur oder das Makeup zu kontrollieren. Einige Damen schauen sich nach dem Essen gar ihre Zähne an um zu entscheiden, ob ein Zahnstocher eingesetzt werden muss.

Der Hersteller Vodafone will gar eine eigene Abteilung einsetzen, um passend zu den Umfrage-Ergebnissen neue Produkte zu entwickeln. Was wird die neue Technik wohl bringen? Bei 1,50 EUR pro MMS wäre es ja ziemlich kontraproduktiv für den Hersteller, einen Schminkspiegel ins Handy einzubauen. Vielleicht wird stattdessen ein Zahnstocherfach oder eine Haarbürste mit Bluethooth-Empfänger gebaut?

Sicher kennen Sie den Werbeslogan des Nuß-Creme-Brotaufstrich-Herstellers. Seine Aussage bezieht sich auf die Tatsache, dass das richtige Etikett auf den richtigen Inhalt hinweist.

Was ist nun aber, wenn das richtige Etikett auf den falschen Inhalt hinweist?
Und noch einen Schritt weiter gedacht – wenn der falsche Inhalt vom richtigen Inhalt nicht zu unterscheiden ist…?

Diese Art von Täuschung macht sich ein Verfahren namens “Spoofing” zu eigen.

Stellen Sie sich vor, sie geben die Adresse “www.ebay.de” in Ihren Browser ein und sie landen plötzlich auf einer anderen Seite, die offensichtlich nicht von eBay stammt (so geschehen zum Beispiel am 28.08.2004; siehe dazu separate Meldung).

Dass dies technisch möglich ist, liegt an einer gewollt oder auch fehlerhaft manipulierten Zuordnung im Domain-Name-Eintrag (DNS-Eintrag) der jeweiligen Webadresse. Im genannten Fall war der falsche Inhalt offensichtlich, und es ist wohl davon auszugehen, dass der Vorfall eher aufgrund eines Konfigurationsfehlers zustande kam.

Was nun aber, wenn sich plötzlich eine Seite auftut, die äußerlich von der erwarteten Seite nicht zu unterscheiden ist? Lassen Sie Ihrer Phantasie freien Lauf, um sich vorzustellen, welche Mißbrauchmöglichkeiten sich daraus ergeben…

Um derartiges Missbrauchspotential einzudämmen haben sich im Internet bereits einige technische Sicherheitsvorkehrungen etabliert. Zum Beispiel die Vergabe von Zertifikaten für Server und auch für Clients. So kann überprüft werden, ob ein Webserver auch tatsächlich derjenige ist, für den er sich ausgibt. Andererseits ist diese Art von digitalem Ausweis noch nicht allzuweit verbreitet und wird bislang hauptsächlich für Online-Shops oder ähnliche Seiten verwendet.

Solange hier keine durchgängige Identitäts-Sicherheit gewährleistet ist, bleibt es ratsam, beim Surfen im Internet hin und wieder eine gewisse Skepsis walten zu lassen. Denn manchmal sind die Dinge nicht das was sie zu sein scheinen.

eBay.de war vorübergehend nicht erreichbar

Nutzer, die am Samstag morgen (28. August 2004) auf eBay.de zugreifen wollten, staunten nicht schlecht: Statt dem Online-Marktplatz steckte hinter der Seite plötzlich eine noch unfertige Clan-Website.

Unklar ist vorerst, ob es sich dabei um einen mutwilligen Angriff auf eBay oder um technische Probleme handelte. Die bei der DENIC eingetragen Daten wiesen vorübergehend auf eine noch im Bau befindliche Clan-Website, die mittlerweile wegen zu hohen Traffic abgeschaltet wurde.

Auch die Daten bei der DENIC sind mittlerweile wieder korrigiert, so dass in der Regel wieder die korrekten Seiten angezeigt werden sollten. Allerdings kann es bei einigen Nameservern durch Caching noch immer zu Problemen kommen.

eBay selbst bestätigt den Vorfall in einer kurzen Mitteilung: Das Problem sei aber identifiziert und werde so schnell wie möglich behoben. Zu den Hintergründen schweigt sich eBay aus.  (ji)

Der Olympische Geist treibt ja manchmal seltsame Blüten!

In Finnland findet inzwischen gar zum 5. Mal die Weltmeisterschaft im Handy-Weitwurf statt. Der Rekord liegt bei fast 75 Metern. Entstanden sei die Idee angeblich bei einem Wutanfall über ein streikendes Kommunikationsgerät. Nun ja – welche Weltmeisterschaften müsste es da eigentlich noch alles geben…? In der zeitgenössischen Trivial-Literatur gab es ja immerhin mal einen, der Hinkelsteine durch die Gegend schmiss…

Immerhin eine interessante Frage – wo jetzt eigentlich der falsche Zusammenhang liegt?!
Vielleicht könnte man das Phänomen als doppelte Behälterfälschung klassifizieren:
1. falscher Zusammenhang bei der Handy-Nutzung
2. falscher Inhalt bei einer sportlichen Weitwurf-Disziplin

Eine besonders große und dreiste Welle von Massenmails rollt derzeit über das Land. Dutzende von Lesern haben uns auf Mahnungen hingewiesen, die sie heute per E-Mail erhalten haben. Der Text der Nachrichten mit der Betreffzeile “Letzte Mahnung” ist immer gleichlautend.

[...]

Der Urheber hat sich nicht einmal die Mühe gemacht, für jeden Adressaten eine eigene Rechnungsnummer anzulegen. Die Domain zur Absenderadresse buchhaltung@inspire-hosting.de ist laut DeNIC nicht registriert. Der Urheber scheint darauf zu spekulieren, dass Empfänger angesichts der kurzen Frist keine Zeit haben, die Rechnung zu überprüfen, und das Geld überweisen. Bislang ließ sich noch nicht feststellen, ob die angegebene Kontonummer tatsächlich einem Betrugsversuch dienen soll oder dem Kontoinhaber ein übler Streich gespielt wird.

Erhält man solche Mails, sollte man grundsätzlich nur nach genauer Prüfung reagieren. Seriöse Anbieter, etwa aus dem Internet-Versandhandel, lassen immer Überprüfungsmöglichkeiten zu; auch haben die Kunden natürlich immer entsprechende Unterlagen über eventuelle Bestellungen oder Dienstleistungen. Zwar lassen sich grundsätzlich Verträge auch per E-Mail abschließen; wer aber eine solche Mahn-Mail ersichtlich ohne Vertragshintergrund erhält, kann sogar Strafanzeige wegen Betrugsversuchs stellen.

Ein schönes Beispiel für angewandte Behälter-Fälschung ist das Thema Telefon-Comedy. Hier wird nicht der Inhalt, sondern der Zusammenhang manipuliert, indem ein Anrufer sich für Jemanden in einer fiktiven Situation ausgibt, die erst dadurch Ihre Wirkung entfaltet, dass die Unsinnigkeit der Situation im gegebenen Zusammenhang erkennbar wird.
Für den Angerufenen selbst offenbart sich – ein gutes Konzept und eine gelungene Umsetzung vorausgesetzt – der gefälschte Zusammenhang gar nicht oder erst zum Schluss der Täuschung, wenn die tatsächliche Identität des Anrufers bekanntgegeben wird.

Oft wird die Telefon-Comedy als Unterhaltungsformat bei Radio-Sendern eingesetzt. Das Spiel erhält seinen Reiz beim Zuhörer dann dadurch, dass die Manipulation bereits vorab bekannt ist und so ein gewisser Erwartungshorizont aufgebaut wird. Der Spass des Zuhörers leitet sich aus der Schadenfreude über die hilflose Reaktion des Angerufenen ab oder im besten Fall durch die Absurdität der vorgespielten Situation.

Leider führt die zunehmende kommerzielle Vermarktung von Telefon-Comedy inzwischen zu einer merklichen Abflachung der Spannungskurve und es bleibt meist bei der klamaukhaften Effekthascherei. Gut gelungene Beiträge zeichnen sich eher dadurch aus, dass die Manipulation sehr subtil aufgebaut wird oder teilweise gar erst nach mehreren Anrufen eine Auflösung des Zusammenhangs stattfindet. Natürlich hängt auch viel davon ab, wie sehr sich der Angerufene auf den manipulierten Zusammenhang einlässt und in seinem aufrichtigen Ansinnen, auf den Anrufer einzugehen, vorgeführt wird.

Telepolis.de berichtet über den selbsternannten “Ethischen Hacker” Christoph Kastius. Im Artikel werden zahlreiche Beispiele erwähnt, in denen der Medien-Manipulator sein Unwesen treibt:

“Initiative Volksaufstand”

Der Aufmerksamkeitstäter ist wieder da – und demonstriert, wie leicht man im Internet Menschen und Medien foppen kann

Die Initiative Volksaufstand ruft zum Sturz des Kanzlers auf. “Schröder treibt es auf die Spitze. Wer so ignorant des Volkes Wille ignoriert, der hat entweder nicht mehr alle Tassen im Schrank oder legt es echt auf eine Revolution an.” Für Revolutionen im Internet, die dann doch nicht stattfinden, ist Christoph Kastius zuständig. Auf Kastius’ Seite kaufstreik.de wird der “Volksaufstand” umgeleitet.

Kastius bemüht sich seit Jahren, ein würdiger Nachfolger des legendären Heißluftpredigers Kim “Kimble” Schmitz zu werden. Erstaunlich ist nicht, dass es Kastius immer wieder gelingt, unbedarfte Menschen von seinen windigen Projekten zu überzeugen, sondern wie man mit einer einfachen Website und ein paar griffigen Thesen die Medien foppen kann. Dem “Hacker mit Ethik” ging nicht nur die “FAZ” ( Die FAZ und die Trittbrettfahrer) auf den Leim. Zahlreiche Zeitungen und Fernsehsender berichteten wohlwollend über Kastius’ diverse Projekte.

Die TAZ weist auf den “Volksaufstand” hin und suggeriert, der “ethische Hacker” sei einer der Initiatoren gegen Hartz IV. Attac-Stuttgart zitiert die Website wohlwollend und kritiklos. Und auf zahlreichen Foren wird über die “Initiative” mehr oder weniger ernsthaft diskutiert. Nur in der Newsgroup de.admin.net-abuse.mail wurden Kastius’ Aktion gleich korrekt als Spam geoutet.

[...]

Eindringliche Warnung an Kunden

Der Softwareanbieter SAP warnt seine Kunden eindringlich vor betrügerischen Anrufen. Die Anwender sollten keinesfalls vertrauliche Informationen an Anrufer herausgeben, die behaupten, sie gehörten zum Walldorfer Support-Team.

“In den vergangenen Wochen wurden zahlreiche Kunden telefonisch aufgefordert, vertrauliche Daten wie Zugangscodes herauszugeben, um damit angebliche Probleme zu beheben”, sagte SAP-Sprecher Markus Berner. “Es gehört jedoch zu den Regeln unseres Hauses, vertrauliche Kundendaten nie über das Telefon abzufragen.”

SAP warnte die Kunden dringend davor, geheime Daten am Telefon preiszugeben. Derzeit wisse SAP nur wenig über die Beteiligten, die hinter den betrügerischen Anrufen stecken. Berner wollte sich weder dazu äußern, ob neben Deutschland auch andere Länder betroffen sind, noch ob die Polizei eingeschaltet wurde.

Posträuber Ronald Biggs hätte sich wohl angewidert abgewendet: Ganoven beklauen nicht mehr die Banken, sondern deren Kunden. In einem riesigen “Phishzug” verschickten Unbekannte vergangene Nacht tausende E-Mails an vornehmlich deutsche Adressaten.

Die angeblich von der Postbank stammende Mail warnt sogar vor kriminellen Machenschaften im Internet und kündigt neue Schutzmaßnahmen an, in deren Rahmen man sein Postbank-Konto überprüfen solle. Die Mail enthält Tipps, wie man sich vor Phishing schützen kann, erläutert beispielsweise die Funktion von Zertifikaten und wie man deren Gültigkeit überprüft. Darüber hinaus erklärt sie, wie man feststellen kann, ob man nach einem Klick auf einen Link auch wirklich auf der Webseite der Postbank gelandet ist.

Die Autoren gehen offenbar davon aus, dass solche Hinweise keiner versteht oder wirklich ernst nimmt, führte doch der eingebaute Link auf http://POSTBANKS.INFO, wo ein nahezu perfekter Nachbau des Online-Banking-Logins der Postbank die Opfer erwartete. Allerdings fragt die Seite neben der PIN auch gleich eine TAN ab, sodass die Betrüger tatsächlich auch Transaktionen über die Konten ihrer Opfer abwickeln könnten. Die Seite ist mittlerweile wohl wegen starker Überlastung nur noch schwer erreichbbar; wie viele Zugangskennungen die Betrüger bislang abgreifen konnten, ist offen. Die Postbank warnt auf ihrer eigenen Seite zwar vor Phishing-Mails, bezieht sich momentan aber noch auf einen früheren Vorfall.

Dabei kann man sich ganz einfach vor solchen Phishereien schützen: Niemals Links in E-Mails vertrauen und Seiten, die einen Login mit Passwort erfordern, immer über die eigenen Bookmarks ansteuern. “Passworteingabe = Bookmark” lautet die einfache Gleichung, die man sich und seinen Angehörigen einhämmern sollte.

Nachtrag:
Mittlerweile ist die Phishing-Seite im Netz nicht mehr erreichbar, nachdem die Postbank den zuständigen Provider um Abschaltung gebeten hat. Nach Angaben von Jürgen Ebert aus der Presseabteilung der Postbank sind auch die Ermittlungsbehörden informiert worden. Allerdings sei es erfahrungsgemäß schwierig, die Urheber der Phishing-Raubzüge zu ermitteln. Auch zu den vorhergehenden Betrugsversuchen[4] durch gefälschte Mails habe man bislang wenig Erkenntnisse. Zu den aktuellen Vorgängen habe man zwar viele Hinweise von Kunden erhalten, gehe allerdings davon aus, dass kein Kunde zu Schaden gekommen sei. Offenbar hätten die Kunden die vielen Hinweise auf den eigenen Seiten zum sicheren Umgang mit Online-Banking beherzigt. Zu den neuesten Phishing-Angriffen will die Postbank in Kürze weitere Informationen online zur Verfügung stellen.

Virale Kampagne von “Burger King” setzt auf Diätwahn-Parodie

Wer ist der Feind der Burger-Brater? Genau, die Diätdoktoren, die noch eine zweite Villa im Tessin für die Freundin brauchen. Und was darf Satire? Meist weniger, als gut ist, aber auf jeden Fall irritieren.

Jedenfalls hat es Burger King jetzt mit den Joggern, Wohnzimmerradlern, Blutprobenanalytikern und Pillenschluckern aufgenommen. Man schlägt mit Satire zurück. Aua.

Heiratsinstitut? Tipps zur Haushaltsführung? Nein, “Wie werde ich reich mit Fastfood”!

Auf Angusdiet.com preist Dr. Angus (der britische Komiker Harry Enfield) seine ganz besondere Diät an: den neuen Burger der We-do-it-like-you-do-it-Kette aus Angus-Rind.

“Ich bin, weil ich esse”…

“Wenn Sie essen, ist das eine Diät. Eine Diät ist, was Sie essen.” und “Das ist wahr, weil ich Ihnen gesagt habe, dass es wahr ist.” informiert der Text in der schwindelerregenden, aber ungemein erfolgreichen Logik von Gurus, die versuchen, per Hypnose ein paar Nullen an den Betrag auf ihrem Bankkonto dran zu pappen oder grade dabei sind ihre Rolls-Royce-Sammlung aufzustocken.

[...]