Der Spam wird leider immer besser... Hatte letztens eine Spam-Mail von einer Handelspartner mit korrekter Absender-Adresse, korrekter Signatur und guten Fake-Google-Drive Links. Die Links haben natürlich wo anders hingeführt. Mouseover sei Dank. Aber die Qualität dieser Nachricht hat mich schon beeindruckt...
KTelwood schrieb:
Richtig. Aber das Problem liegt nicht an email, sondern an dezentraler Infrastruktur. Da jeder seinen eigenen Server betreiben kann isses leicht eine Spam-Schleuder zu betreiben. Diesem Problem kann man auch nicht mit Digitaler Signatur oder gar Verschlüsselung beikommen. Dass email ansich veraltet ist, ist die eine Sache, aber um Spam beizukommen braucht es vorallem heuristische Clients, die die Message Header überprüfen. Die sind oft sehr aufschlussreich. Spam basiert außerdem großteils auf dem Prinzip den User auf irgendeine schwindlige Seite zu locken. Hier sollte der Mail-Client die Adresse des Links -vorallem die Domain- in einem kleinen Pop-Up anzeigen bevor der Browser gelaunched wird und nachfragen ob diese Domain seriös wirkt bezogen auf die email. Damit wird wohl auch der DAU 90% des derzeitigen Spams zweifelsfrei identifizieren können. Lösung ist aber auch das keine...
FL3X3R schrieb:
Spätestens bei einer weiterleitung auf eine nicht Amazon.de Domain sollte man stutzig werden.
Eingabe-kundenbestaetigung.de so eine Domain käme niemals von Amazon. Das würde alles über Amazon.de als Domain laufen und nicht auf eine weitere Pseudo Domain.
Ja, das weiß der ITler/Geek. Wenn aber deine Amazon-Fishing Mail auf zB mail.amazon-aws.org umleitet, was dann? Das sieht selbst für den Mann vom Fach erstmal absolut seriös aus.
Dank Domain-Validated Zertifikaten um 9$ sieht das auch im HTTPS-Modus absolut perfekt aus.
Hinsichtlich emails (und anderer Nachrichtenprotokolle) gilt daher mMn eher das White-List Prinzip: Emails, die nicht von einem ganz bestimmten Absender kommen sind erstmal nicht vertrauenswürdig. Generell werden auf Seiten die aus einem Link in einer email aufgerufen wurden keine Logins eingegeben, esseiden man prüft akribisch die URL.
@
McGybrush: Da hat wazzup schon Recht. Das Problem ist, dass wir in einer Zeit leben, in der selbst der absolute DAU alles bedienen können soll ohne auch nur die leiseste Ahnung zu haben wie es funktioniert. Du lieferst selbst die besten Beispiele dafür... All diese Dinge muss man entweder lernen (google ist gratis!) -oder man bezahlt dafür auf die eine oder andere Weise. Fahrradfahren lernt man bevor man sich in der Großstadt auf den Drahtesel wagt. Wenn man eine Reise bucht, informiert man sich hoffentlich vorher über die inkludierten Leistungen, wer einen Kredit aufnimmt ohne sich damit auseinanderzusetzen endet eventuell mit sowas wie einem Schweizer Franken Kredit. Bis zu einem gewissen zumutbaren Grad trägt jeder die Verantwortung für das eigene Handeln. Der Rechtsstaat kann selbst Betrug verbieten -aber nicht verhindern, dass irgendwer eine für sich unpassende Entscheidung trifft. Wie besagten Franken-Kredit. Entsprechende Bildung -ob staatlich vermittelt oder selbst ergoogelt- ist hier der einzige Schlüssel.
Ein System, das einen vor der eigenen Unkenntnis schützt ist vergleichbar mit iOS. Ein geschlossenes System, das zwar funktioniert, aber dem Anwender kaum Freiheiten lässt. Und wenn der Anwender es schafft, dass System doch irgendwie abzuschießen ist es ein Fehler des Systemherstellers und nicht des Anwenders, da der Systemhersteller verantwortlich ist für die Stabilität des Systems. Der Anwender übernimmt keinerlei Verantwortung für das, was er tut.
Wer sich ein solches System auch im echten Leben wünscht, dem empfehle ich einen Aufenthalt in der geschlossenen Anstalt. Dort wird man rundum betreut -und nicht mehr als mündiger Bürger behandelt, frei von jeglicher Verantwortung. Das klingt vielleicht hart, aber im echten Leben schützt Unkenntnis eben vor Strafe nicht. Das hat mit Arroganz nix zu tun... Aber in Zeiten des Internets in der Wissen frei und unmittelbar verfügbar ist, ist Unwissenheit umso weniger eine Entschuldigung.
Damit zurück zum URL-Problem: Es ist letztlich Sache des User die URL im Browser zu überprüfen und sicherzustellen, dass die Verbindung vertrauenswürdig und akzeptabel verschlüsselt ist.
Ich muss schon darüber lachen so traurig ist diese Einstellung.
