Pishermen’s Friend: KI

Die Veröffentlichung der privaten Daten von Prominenten sollte uns eine gute Erinnerung an die Vorsätze sein, die wir alle zum Jahreswechsel hatten. Aber nicht das hat mich motiviert diesen Beitrag zu schreiben, sondern einige Phishing-Mails die ich -vermutlich- von Euch bekommen habe. Auch Ihr seid prominent!

Ich, prominent? Von mir will keiner was.

Das ist leider zu kurz gedacht. In nahezu Allem, was durch Eure Mailboxen oder Facebooknachrichten geht, sind auch Informationen über andere dabei – und wenn es nur die Email-Adresse ist. Viele von Euch Lesern betreuen auch Kunden – da gehört der Schutz dieser Daten nicht nur zum Anstand, sondern ist auch fürs Geschäft lebensnotwendig.

Na dann erfährt der Bösewicht eben die Emailadressen der anderen. Was kann er schon damit anstellen?

Na er kann sie schon mal anschreiben! In der Email standen Namen, ging es um Bestellungen, war eine Rechnung enthalten? Alles wunderbare Anknüpfungspunkte für Phishing.

Phishing?

Damit ist -sehr verkürzt- das Ausnehmen von Dummen gemeint.

Ähem, ich? Was will der eigentlich, wenn er mich abgephisht hat?

Am Ende immer Geld. Und dazu braucht der Phisher Zugang zum Computer oder dem Handy. Den hat er wenn er dich dazu bringt, das Du ihm ein Programm installierst. Für den Fernzugriff sozusagen.

Klar, um meine Banking-App zu verwenden!

Das wäre eine Idee – aber das ist eher aufwändig und hinterlässt zu viele Spuren. Leichter ist es die Festplatte zu verschlüsseln um Lösegeld zu erpressen. Es muss aber gar nicht dieser sofortige Super-Gau sein – naheliegend ist, den Computer nach weiteren Email-Adressen und damit neuen potentiellen Opfern auszuspähen. Dazu kann man ein Progrämmchen hinzuinstallieren, was Passwörter von Tastatureingaben mitschreibt. Gern werden gekaperte Computer auch weiter vermietet – gegen Geld.

Wer mietet denn sowas?

Wenn man viele neue Phishing Emails versenden will (sagen wir paar 10000), und das so tun möchte, dass die Spuren nicht nachvollziehbar sind, der braucht viele Computer. Einen Angriff auf große Institutionen macht man besser auch nicht mit dem eigenen Computer. Oder sich Bitcoins berechnen zu lassen…Ist Dein Computer auch manchmal so seltsam beschäftigt, wenn Du gerade nichts dran tust?

Hm ja, weiß nicht. Was muss ich denn tun, um nicht zu den Dummen zu gehören?

Regel 1: Halte all Deine Software aktuell! Auf allen Computern oder Handies! Auch vermeintlich nie ins Internet kommende Computer, wenn da ein Netzwerkkabel dran ist oder es einen USB Anschluss gibt. Wenn die Software diese Update-Kontrolle nicht selber macht (wie moderne Browser oder MS-Office) – kontrolliere es täglich.

Regel 2: Klick niemals unbedacht auf Email-Anhänge sofern Du nicht genau weißt was dann passieren wird. Am besten öffne nur Anhänge wie Bilder oder PDF’s.

Aber das mach ich doch bereits!

Sehr gut. Nun Regel 3: Vertraue auch Emails von Bekannten nicht per se! Sind da neuerdings Anhänge dran? Ist da ein seltsamer Link drin? Frage eventuell zurück. Und nehme die Fragen Deines Computers ernst („Sollen Scripte in diesem Word Dokument ausgeführt werden?“)!

Ist das nicht übertrieben?

Vielleicht, aber es kann viel Ärger ersparen. Zudem werden wir in Zukunft viel mehr sehr richtig gute Fake Mails sehen.

Also gefälschte Emails? Wer schreibt die denn alle?

Ein Computerprogramm, vermutlich sogar auf einem bereits gekaperten Computer. Und es wird sich des neuesten Tricks der Programmierer bedienen: Künstliche Intelligenz.

Boah!

Naja, das klingt etwas dramatisch. Meist meint man damit aber nur „maschinelles Lernen“ und das ist wiederum nur gut gemachte Statistik und Mathematik. Phishing Mails zu machen ist sozusagen das, was man mit KI besonders gut kann: Man entwirft mithilfe der Zusatzinformationen sagen wir 10 Varianten und sendet sie an 10000 Opfer. Die Varianten die besonders gut funktionieren werden dann (automatisiert) weiter entwickelt (das ist der Lerneffekt)…

..und irgendwann ist das Resultat so perfekt, dass auch ich reinfalle.

Genau. Aber wenn Dein Mail-Programm gut gepflegt und aktuell ist, warnt es Dich bestimmt – die gute Seite kennt die Tricks hoffentlich auch.

Na dann, 3 Regeln, das klingt ja überschaubar. Jetzt bin ich sicher.

Regel 4: Wachsam und diszipliniert bleiben, ehrlich bei eigenen Fehlern sein. Computer werden besser neu installiert wenn mal was dubioses passiert ist. Das geht am Besten mit einem Backup, hauptsächlich der Daten. Auf einem Medium, was nicht immer verbunden ist.

Ups, erwischt 🙁

Regel 5: Nicht paranoid werden, wir müssen ja weiterhin unseren Geschäften nachgehen, und wollen das auch unsere Kunden ihre Computer verwenden. Deshalb hilft es jeden Monat 15 Minuten zu investieren, um sich schlau zu machen, was es so alles Neues gibt beim Datenschutz und der Computersicherheit. Und kontrollieren, dass die Mitarbeiter diese Regeln nicht schon wieder vergessen haben. Und über den Fall der Fälle mal nachzudenken…aber das verlangt ja eh die DSGVO.


Es sind natürlich nicht nur diese 5 Regeln, aber es sind einige der wichtigsten. Sorry, wenn dies alles etwas lehrmeisterlich rüberkommt. Aber wir alle hängen am Medium Internet und müssen dafür sorgen, dass es weiter funktioniert. – Bob

SSL SSL SSL

HTTPS = SSL

Mit SSL oder HTTPS bezeichnet man die verschlüsselte Übertragung der Daten vom Browser bis zum Server. Auf diesem Weg laufen die Datenpakete über verschiedene Computer, vom WLAN Router, über unserem DSL Provider, über Internet-Knotenpunkte bis zu Geräten im Rechenzentrum wo z.B. der oekobox-online.de Server steht.
Alle diese Computer können ohne Verschlüsselung alles mitlesen. Zwar kommt keiner so leicht an die Computer in unseren Rechenzentren, aber beim WLAN Zugang im Cafe ist das schon einfacher….

Grundprinzip bei dieser Verschlüsselung ist ein mathematisches Verfahren, bei dem es geheime und öffentliche Zahlenfolgen gibt. Die öffentlichen werden in Form von Zertifikaten (ganz bestimmt formatierte Text-Dateien) verwaltet und ausgegeben.

Die sichere Übertragung wird durch das https://-Protokoll in der Web-Adresse angestoßen. Wenn alles klappt ist das Schloss geschlossen:

Noch mehr Vertrauen eines Kunden kann man durch Erweiterungen erreichen, manchmal muss man sogar zum Notar gehen und sich vorstellen. Dann gibt’s noch den Namen zum Schloss:

Na und …?

Der Inhalt meines Warenkorbes … naja das kann doch jeder sehen oder? Es gibt viele Argumente dafür, das jede individuelle Kommunikation (hier also: du mit deinem Verkäufer) privat bleiben sollte. Aber damit werden wir schon etwas politisch oder philosophisch.

Das dein Passwort abgegriffen wird, welches du auch beim Bank-Zugang verwendest ist zwar ein eher verständliches Szenario, was aber in der Praxis nicht so oft vorkommt.

Aber: die Daten können während des Abrufs auch manipuliert werden. Hier ein Beispiel:

Da du ja als Kunde deinem Bio-Shop vertraust, klickst du auf jeden Link der dir dort angeboten wird – oder lädst womöglich sogar eine Datei herunter, wo drauf steht „unsere Top-Produkte als Zip-Datei!“. Drin ist aber ein Virus, der Deinen Computer kaputt macht.

Damit sind wir dann alle genervt: du, weil du einen Virus hast, und der Bio-Shop auch, weil er verdächtigt wird eine verschmutzte Webseite zu haben – aber der Virus kam ja gar nicht von ihm sondern wurde auf dem Weg (im Cafe?) eingeschleust.

Dies war nur ein Beispiel für viele Fälle, gegen die SSL helfen kann.

Warum jetzt?

Die „Großen“ im Internet haben nun die Initiative ergriffen. Nicht nur, das deren Angebote prinzipiell per SSL erreichbar sind, sondern sie bevorzugen auch Partner, deren Inhalte auch verschlüsselt angeboten werden. Das mögen Links bei Facebook sein, oder Suchergebnisse bei Google.

Google (das Chrome Browser-Team) und auch Mozilla wollen bald vor nicht-SSL Seiten warnen – zunächst nur bei der Übermittlung von Daten, später aber auch beim einfachen Abruf von Seiten. Deshalb sollten wir das in den nächsten Monaten angehen (sofern noch nicht geschehen).

Ich habe das Thema in der Vergangenheit bei unseren Installationen nicht sehr voran getrieben – denn eine richtige Umsetzung des Gedankens kann Arbeit machen:

SSL ist mehr als nur ein Zertifikat

Das Zertifikat wird auf einen Domain-Namen ausgestellt. Der Inhalt einer Webseite kommt aber heutzutage oft nicht mehr nur von einer Domain (Wer’s genauer wissen möchte, dem empfehle ich das LightBeam-Plugin im Firefox).

Der Browser zeigt nur dann ein geschlossenes (oft grünes) Schloss an, wenn alles auf der Seite stimmt, d.h. alle dargestellten (Bilder) und nicht dargestellten Inhalte (Skripte für Animationen z.B.) auf verschlüsseltem Weg von Anbietern mit gültigen Zertifikaten kommen.

In der Praxis bedeutet dies Arbeit – viele haben eine Menge Inhalte in CMS-Systemen, wo sich auch viele sog.  absolute Links verstecken. Auch der WebDesigner muss sorgfältig arbeiten. Zum Glück gibt es Werkzeuge (z.B. HTTPS Checker) die beim aufspüren helfen.

Nicht alle Zertifikate werden von allen Endgeräten oder auch den Servern (z.B. dem Shop-Server) unterstützt – das sollte vor dem Kauf geklärt werden.

Am Besten die Kundenkommunikation läuft nur noch per SSL –  d.h. auch alle Links aus Mails sollten direkt auf die https-Seite zeigen (wie in dieser Mail!) Die oft praktizierte Logik, http-Adressen auf https- weiter zu leiten ist nicht so gut – schliesslich kann ja dann dieser erste Aufruf schon mal manipuliert sein, und weil dieser Ablauf automatisch passiert hat der Besucher keine Chance dies mitzubekommen.

D.h. am Ende sollte keiner mehr einen Grund haben, die http-Variante aufzurufen. Dazu kann man auch seinen Google Eintrag entsprechend ändern und technische Tricks wie HSTS einstellen (lassen).

SSL im Shop System

Das Shopsystem kann schon immer per https- angesprochen werden. Dazu muss nur der Aufruf innerhalb der WebSeiten geändert werden.

Im Admin-Bereich können die Links in die Webseite eingestellt werden, ebenso wie Platzhalter, Inhalte etc.

Nicht-Https-Referenzen auf Bilder im Angebot werden vom Shopsystem automatisch zu internen Links umgebaut und sind damit auch verschlüsselt verfügbar, hier fällt also keine weitere Arbeit an.

Schwieriger wird es bei Anwendern, die den Shop mit einer eigenen Sub-Domain (z.B. shop.schoenegge.de) eingebunden haben. Hier muss jeweils eine individuelle Lösung gefunden werden.

Der im Bau befindliche neue Shop greift ausschliesslich auf SSL geschützte Inhalte zurück.

SSL macht dauerhaft Arbeit – deshalb gibt es die Position „SSL-Unterstützung“ schon einige Zeit auf der Preisliste.